ISO/IEC 17799 Política de seguridad

Seguridad de la Información

La norma ISO 17799 facilita los requisitos que se deben adoptar para poder implementar
un Sistema de Gestión de Seguridad de la Información, con lo que se podrá mantener la
información de la organización de una forma segura ante cualquier posible amenaza. La norma
NTP-ISO/IEC 17799 es una norma técnica peruana que ayuda a implementar también medidas
de seguridad en las organizaciones, mejorando el rendimiento de la organización y aumenta su
valor añadido ante las demás organizaciones del mismo sector.

El objetivo de la norma NTP-ISO/IEC 17799 es dirigir y dar soporte a la gestión de la seguridad

de la información en concordancia con los requisitos de la organización, la legislación y las
regulaciones.

La gerencia tiene que establecer de forma clara las líneas que va a seguir la política de
seguridad y manifestar el apoyo y compromiso a la Seguridad de la Información, publicando y
manteniendo una política de seguridad en toda la empresa.

Documento de política de Seguridad de la Información

La gerencia de la organización tiene que aprobar, publicar y comunicar a todos los

trabajadores de forma adecuada, el documento de política de Seguridad de la Información que
se establecido.

Se tiene que establecer un compromiso por parte de la gerencia y el enfoque de la empresa

para gestionar la Seguridad de la Información. El documento tiene que ofrecer como mínimo la
siguiente información:

Definición de Seguridad de la Información y sus objetivos globales, el alcance de la seguridad y

su importancia como mecanismo que facilita que se comparta la información.

Establecer los objetivos de la gerencia como soporte de los objetivos y los principios de
la Seguridad de la Información.

Generar un marco en el que poder colocar todos los objetivos de control y mandos, en los que
se debe incluir la estructura de evaluación de riesgo y gestión del riesgo.

Una pequeña explicación de las políticas, principios, normas y requisitos de conformidad más
importantes para la empresa, como puede ser; conformidad con los requisitos legales,
requisitos de formación en seguridad, gestión de la continuidad de negocio y consecuencias de
las incumplimiento de las políticas de seguridad.

Una definición de la responsabilidad general y específica en materia de gestión de la Seguridad

de la Información, incluyéndose la comunicación de las incidencias en seguridad.

Referencias a documentos que puedan sustentar la política de seguridad y los procedimientos

mucho más detallados para Sistema de Información específicos.

La política debe distribuirse por toda la organización, llegando hasta todos los destinatarios de
una manera apropiada, entendible y accesible.

Además la política de seguridad tiene que ser parte de un documento general de la política
empresarial. Se debe tener cuidado a la hora de distribuir dicha política de seguridad fuera de
la organización con el fin de no compartir la información confidencial.
Revisión y evaluación

La política de seguridad tiene que ser revisada en intervalos planificados, y si se generan

cambios significativos se generan de una forma continua, adecuada y efectiva.

La política debe tener un propietario que se haga responsable del desarrollo, revisión y
evaluación de la política de seguridad. La revisión debe incluir todas las oportunidades de
evaluación con las que mejorar la política de seguridad de la información de la empresa y un
acercamiento a la gestión de la seguridad de la información generando una respuesta a los
cambios del ambiente organizacional, circunstancias del negocio, las condiciones legales o
cambios en el ambiente técnico.

La revisión de la política de Seguridad de la Información tiene que tener en cuenta todos los
resultados de las revisiones de la gestión. Tiene que existir procedimientos diferentes de la
gestión durante la revisión, incluyendo un calendario o periodo de revisión.

Durante la revisión de la gestión se tiene que incluir información acerca de:

Retroalimentación gracias a la información de terceros interesados.

Obtener resultados de revisiones independientes.

Estado sobre acciones preventivas y correctivas.

Resultados de revisiones de gestión anteriores.

Desarrollo del proceso y cumplimiento de la política de Seguridad de la Información.

Cambios que pueden afectar al alcance de la organización para gestionar la seguridad de la

información, en el que se incluyen los cambios en el ambiente organizaciones, las
circunstancias del negocio, disponibilidad de recursos, condiciones contractuales y legales.

Tendencias relacionadas con las diferentes amenazas y vulnerabilidades.

Incidentes indicados según la Seguridad de la Información.

Recomendaciones dadas por autoridades relevantes.

Las mejoras que se realizan de forma colateral son:

Mejoras en el alcance de la empresa para gestionar la Seguridad de la Información y sus

procesos.

Mejoras en los objetivos de control y los controles.

Mejoras en la asignación de recursos y responsabilidades.

Software ISO 27001

El Software ISO27001 facilita la implementación de un Sistema de Seguridad de la

Información en las organizaciones comprometidas con la seguridad de sus activos. Desde
ISOTools queremos facilitar la ardua labor que supone la implementación, mantenimiento y
mejora continua que supone dicho sistema de gestión. Además se encuentra compuesta por
diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las
empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y
confidencialidad.