Qu es la norma ISO 17799?

y razones para que usted la quiera

Contenido
Introduccin al ISO 17799 ...............................................................Pgina 1 10 reas de Control de Seguridad.................................................Pgina 3 Implementar un Sistema ISO 17799...............................................Pgina 5 ISO 17799 y los requisitos reglamentarios ....................................Pgina 6 Certificacin ISO 17799 ...................................................................Pgina 7 Acerca de BSI Management Systems............................................Pgina 8

Se les recuerda a los usuarios de esta gua que los derechos de autor permanecen. No se puede reproducir ninguna parte de esta publicacin en cualquier forma sin el permiso por escrito y por adelantado de BSI *2001. Se reservan todos los derechos.

Seccin 1. Introduccin al ISO 17799

Qu es la norma ISO 17799?... y por qu quisiera tenerla...

La Norma ISO 17799 es el Sistema de Gestin de Seguridad de la Informacin (Informational Security Management Systems, ISMS) reconocido internacionalmente. El ISO 17799 proporciona un amplio concepto de lo que un ISMS puede hacer para proteger la informacin de una organizacin. La norma define a la informacin como un activo que tiene valor en una organizacin; y como todos los activos, es imperativo mantener su valor para el xito de una organizacin. El ISO 17799 es una norma del Sistema de Gestin de Seguridad de la Informacin, reconocida internacionalmente. Proporciona las pautas para la implementacin basada en las sugerencias que deben ser consideradas por una organizacin para poder construir un programa comprensivo de gestin de seguridad de la informacin. Nota: La norma relacionada BS7799-2, es una gua de auditora del Sistema de Gestin de Seguridad de la Informacin basada en los requisitos que deben ser cubiertos por la organizacin. Contiene especificaciones para certificar los dominios individuales de seguridad para poder registrarse a esta norma. Se puede aplicar el Sistema de Gestin de Seguridad de la Informacin de una organizacin a actividades separadas con las dos distintas normas. Este cuadernillo ha sido elaborado como una introduccin al Sistema de Gestin de Seguridad de la Informacin ISO 17799 (ISMS). Este documento hace referencia a secciones encontradas en el ISO 17799, una norma diseada para sealar requisitos sugeridos para la implementacin del ISMS. Para ubicarnos en el contexto, le presentamos a Carlos. Carlos es el Oficial en Jefe de Seguridad de la Informacin (CISO Chief Information Security Officer) en una compaa manufacturera. Su compaa recientemente implement el ISO 17799. Carlos est en una conferencia de CISOs sobre mejores prcticas de negocio y est trabajando en una mesa de discusin. Durante un ciclo de preguntas y respuestas de la audiencia, se encuentra explicando el criterio del ISO 17799 y sealando los beneficios de implementar un ISMS

P. Sabemos que su organizacin est certificada a algo llamado ISO 17799. R. Si, y ha hecho una gran diferencia en nuestra forma de

administrar la seguridad de la informacin.

P. No me diga? No estamos seguros de qu es un ISO 17799 R. Es una norma internacional para los Sistemas de Gestin de

Seguridad de la Informacin, reconocida mundialmente.

P. Qu es un Sistema de Gestin de Seguridad de la Informacin? R. Es un sistema de control de seguridad lgico, documentado e

integrado, aplicable a los sectores comerciales y a compaas de cualquier tamao. Si usted piensa que administrar la seguridad de la informacin es como una combinacin de controles, eso identifica las reas clave de control que necesitan ser cubiertas para asegurar que la seguridad es administrada eficazmente.
P. El Sistema de Gestin de Seguridad de la Informacin (ISMS) es igual al Sistema de Gestin de Informacin Tecnolgica (Information Technology Management System ITMS)? R. Los dos sistemas son distintos, pero pueden tener relacin. Un

sistema IT puede ser considerado como parte de un ISMS. Sin embargo un ISMS es un acercamiento sistemtico para manejar la informacin y la propiedad confidencial de una compaa para mantenerlas seguras. Abarca personas, procesos de negocio e instalaciones de procesamiento de informacin.
P. Qu son las instalaciones de procesamiento de informacin? R. Instalaciones de procesamiento de informacin son cualquier de las

reas de almacenamiento fsico o electrnico, los cuales proveen la informacin de una organizacin. Requieren proteccin contra fuerzas que pueden causar suspensiones operacionales. Ejemplos de estos lugares incluyen el archivero a prueba de fuego de carpetas de papel, el escritorio de alguien, la entrada del pasillo a una oficina, o una Intranet electrnica. Un ISMS, el cual incluye lugares de procesamiento de informacin, puede ser operado con controles de seguridad.
P. Qu es un control de seguridad? R. Un control de seguridad es una herramienta utilizada para

administrar la proteccin de un activo de propiedad fsico o intelectual de una organizacin.

P. Por qu necesita mi organizacin controles de seguridad? R. Se necesitan controles de seguridad para asegurar la continuidad

del negocio y minimizar daos al negocio.

2

P. La norma slo aplica a preocupaciones especficas de seguridad? R. Cada organizacin tiene sus propios requerimientos y riesgos de

seguridad y debe evaluar estas reas antes de considerar un Sistema de Gestin de Seguridad de la Informacin (ISMS). El ISO 17799 puede ayudar a las organizaciones a cumplir con sus necesidades de seguridad de la informacin utilizando algunos o todos los controles.
P. Qu tipo de controles tiene el ISO 17799? R. Todos los controles de seguridad ofrecidos por la norma para

lograr la certificacin del ISO 17799 no son obligatorios, pero la norma permite a las organizaciones escoger los controles de seguridad que ellos quieran utilizar al implementar un ISMS.
P. Cuntos tipos de controles ofrece el ISO 17799? R. La norma ofrece 10 reas de control, 36 objetivos de control y 127

controles.

Seccin 2. 10 reas de Control de Seguridad

P. As que el ISMS est basado en la administracin de controles individuales de seguridad, los cuales, cuando se integran como un todo, ayudan a administrar eficazmente los aspectos de seguridad de un negocio completo. Qu necesitamos saber despus? R. Hasta ahora usted parece que ha entendido claramente. Ahora, lo

que usted necesita es entender ms acerca de los fundamentos de un buen sistema de gestin de seguridad de la informacin; eso son las 10 reas de control de seguridad. Estas reas de control son las categoras amplias de controles. Cada rea tiene objetivos de controles y controles existentes. 1. Poltica de Seguridad: La poltica documentada ayuda a proyectar las metas de seguridad de la informacin de una organizacin. Debe estar claramente redactada y comprensible para sus lectores. La poltica ayuda a la administracin con el manejo de la seguridad de la informacin a travs de la organizacin. 2. Seguridad Organizacional: Este control de seguridad delimita cmo la alta administracin puede dirigir la implementacin de seguridad de la informacin dentro de una organizacin. Proporciona un foro para revisar y aprobar las polticas de seguridad y asignar los roles de seguridad.
3

3. Clasificacin y Control de Activos: Administrar los activos fsicos e intelectuales que son importantes para mantener las protecciones apropiadas. Determina la responsabilidad de quin es dueo de qu activo de la organizacin. 4. Seguridad del Personal: La evaluacin y asignacin de las responsabilidades de seguridad de los empleados permite una administracin de recursos humanos ms efectiva. Las responsabilidades de la seguridad deben ser determinadas durante el reclutamiento de todo el personal y durante toda la propiedad del empleado en la compaa. 5. Seguridad Fsica y Ambiental: Asegurar las reas fsicas y los ambientes de trabajo dentro de la organizacin contribuye significativamente a la administracin de la seguridad de la informacin. Cualquier persona que se relaciona con su establecimiento fsico, as sean los empleados, proveedores o clientes, tienen un papel enorme en determinar la proteccin de seguridad organizacional. 6. Administracin de Comunicaciones y Operaciones: Transmitir claramente las instrucciones de seguridad a los empleados ayuda a administrar las operaciones diarias de los recursos de procesamiento de informacin. 7. Control de Acceso: Administrar los niveles de acceso de todos los empleados ayuda a controlar la seguridad de la informacin en una organizacin. Controlar niveles de acceso a la red puede llegar a ser un factor crtico de xito cuando se protegen los sistemas de documentacin o informacin en la red. 8. Desarrollo y Mantenimiento de Sistemas: La administracin de la seguridad es imperativa en el desarrollo, mantenimiento y operacin exitosa de un sistema de informacin. 9. Administracin de la Continuidad de Negocios: Al utilizar los controles de seguridad contra desastres naturales, interrupciones operacionales y fallas potenciales de seguridad ayuda a fomentar la continuidad de funciones del negocio. 10. Observancia.- El uso de asesores legales se est volviendo ms importante para asegurar la observancia de una organizacin con las obligaciones contractuales, la ley y requisitos de seguridad.

P. Bueno, ya explic las reas de control. Qu son los objetivos de control y controles existentes del ISO 17799? R. Los objetivos de control y controles existentes se han conseguido

del BS 7799-2 como una lista para que una organizacin pueda escoger de la misma, de tal forma que pueda manejar las amenazas actuales o potenciales de seguridad de la informacin. La organizacin es libre de agregar objetivos de control separados y controles existentes a esta lista.
P. Nuestra compaa podra ya estar llevando a cabo algunas de estas cosas. Es eso posible? R. S, varios negocios ya llevan a cabo estos controles sin darse cuenta,

porque son de sentido comn. La norma ISO 17799 puede ayudar a proporcionar una mejor estructura de prctica para basarse en estos principios. Al final del da, ISO 17799 es una excelente herramienta para mejorar el cumplimiento de la administracin de la seguridad de la informacin en su negocio.

Seccin 3. Implementar un Sistema ISO 17799

P. Ahora que me han presentado las bases, Dnde debe empezar una compaa? R. Una compaa debe empezar definiendo una aproximacin a la

evaluacin de riesgo. Durante este acercamiento, se debe llevar a cabo una revisin de todas las violaciones potenciales de seguridad. Esto no debe relacionarse solamente a los sistemas de TI, sino que debe abarcar toda la informacin delicada dentro de su organizacin. Las tcnicas que se utilizan en una evaluacin de riesgo son las siguientes:: 1. Identificar los riesgos de los activos fsicos e informativos de su compaa. 2. Evaluar los riesgos identificados en todas las reas de control de seguridad. 3. Identificar y evaluar opciones para el tratamiento de riesgos y tomar accin para administrar y manejar los riesgos apropiadamente. 4. Seleccionar un sistema de controles con eficiencia de costos y con objetivos que son apropiados para administrar y tratar los riesgos.
5

5. Preparar una Declaracin de Aplicacin. Este documento presenta objetivos de control, controles seleccionados y liga los resultados de evaluacin de riesgos y procesos de tratamiento de riesgos. Una vez que la aproximacin de la evaluacin de riesgo ha sido establecida, el prximo paso que se debe tomar para implementar el ISO 17799 es llevar a cabo una auditoria interna.
P. Qu es un programa de auditora interna? R. La aproximacin a la evaluacin de riesgo debe ser parte de un

programa de auditora interna. El programa utiliza los controles de seguridad que fueron seleccionados para determinar que aspectos de su organizacin deben ser medidos, analizados y mejorados antes de implementar un Sistema de Gestin de Seguridad de la Informacin como ISO 17799. Implementar un ISMS como el ISO 17799 puede traer mltiples beneficios a una organizacin. Se puede localizar ms informacin de esta rea en la publicacin gratuita de BSI, Gua para Implementar el ISO 17799 disponible en www.bsiamericas.com/seguridaddelainformacion

Seccin 4. ISO 17799 y Requisitos Reglamentarios

P. Qu puede hacer un Sistema de Gestin de Seguridad de la Informacin por mi organizacin? R. Un Sistema de Gestin de Seguridad de la Informacin (ISMS)

integrado, basado en el ISO 17799, cubre la necesidad de un acercamiento estructurado para iniciar, implementar, mantener y administrar la seguridad de la informacin dentro de cualquier organizacin. Al utilizar el ISO 17799 como base para su ISMS, su sistema de gestin puede ser evaluado por terceros, como BSI Management Systems y ser compatible con requisitos reglamentarios, tales como HIPAA y partes de Sarbanes-Oxley. El proceso agrega un valor significativo a la eficacia continua de la seguridad de la informacin de su sistema.
P. Cmo puede el Sistema de Gestin de Seguridad de la Informacin ayudar a mi compaa a cumplir con los requisitos reglamentarios? R. El diseo, operacin, uso y administracin de los sistemas de

informacin pueden ser sujetos a requisitos estatutarios o seguridad contractual. El ISMS recomienda el consejo de asesores legales para cumplir los requisitos. Por ejemplo, Sarbanes-Oxley delinea objetivos de control del sistema de informacin para mantener la calidad e integridad de la informacin del reporte financiero, que puede ser controlado con personal y herramientas de seguridad de acceso.

P. As que usted dice que al utilizar slo este sistema puedo cumplir con muchos otros requisitos R. S. Si usted cumple con todos los requisitos del ISO 17799, quiere

decir que usted est probablemente haciendo todo lo que necesita para cumplir con cualquier otro reglamento. Puede ser posible que tenga que ajustar ligeramente su sistema para cumplir con las necesidades especficas de los reglamentos, pero tendr todas las bases necesarias en su lugar.

Seccin 5. Certificacin al ISO 17799

P. Qu quiere decir estar certificado al ISO 17799? R. Quiere decir que una tercera parte, tal como BSI, visita y evala la

manera que funciona el Sistema de Gestin de Seguridad de la Informacin y sus procesos dentro de la compaa. Si todo se est ejecutando de acuerdo con los requisitos de la norma, esta tercera parte que est calificada como casa certificadora emite un certificado registrando su compaa al ISO 17799. Esto da una verificacin independiente a los clientes y otros asociados que una compaa utiliza prcticas reconocidas internacionalmente para la gestin de seguridad de la informacin.
P. Dnde puedo saber ms acerca de implementar el ISO 17799? R. Existen sesiones de capacitacin ofrecidas por compaas como BSI

que estn familiarizadas con la certificacin al ISO 17799 y los procesos de implementacin. Las sesiones de capacitacin se llevan a cabo en lugares pblicos o pueden ser llevadas a cabo en su propia empresa.
P. Qu es lo siguiente que debo hacer? Dnde puedo encontrar ms informacin? Quin me puede ayudar? R. Para ms informacin, contacte a BSI Management Systems:

informacion@bsiamericas.com o visite: www.bsiamericas.com/seguridaddelainformacion

Acerca de 4FRONTSECURITY
4FrontSecurity, Inc. desarrolla y vende gravamenes de gobierno, software para la evaluacin y cumplimiento de la administracin que permite a los clientes llevar a cabo negocios crticos y evaluaciones de seguridad de informacin organizacional de manera ms rpida y con menor costo que mtodos manuales o el mtodo ad-hoc. Para ms informacin, visitar www.4frontsecurity.com
7

Acerca de BSI Management Systems

BSI Management Systems es la casa certificadora lder mundial de ISO 17799. Hemos certificado cerca de 1000 organizaciones en el mundo al ISO 17799, en industrias comprendiendo desde bancos, aseguradoras, manufactureras y empresa en el ramo del cuidado de la salud. Nuestro personal de evaluacin de tiempo completo nos ayuda a asegurar el servicio consistente y de primera clase en todo momento. Para ms informacin visitar: www.bsiamericas.com/seguridaddelainformacion O llamar: MEXICO TEL: (55) 5535 6782 EUA TEL: 1 800 862 4977 703 437 9000 Canada TEL: 1 800 862 6752 416 620 9991

Nota: 4FrontSecurity ayud a BSI en el desarrollo de este documento y es una empresa consultora asociada al ISO 17799. El uso del 4FrontSecurity Inc. en el desarrollo de su ISMS no resultar en alguna manera en el tratamiento preferencial si usted utiliza tambin a BSI para la certificacin de su ISMS. Existen otros consultores y casas certificadoras que pueden proporcionar servicios similares de 4FrontSecurity y BSI.

R E S P U E S TA S

S U S

P R E G U N TA S

ISO 17799

Mxico BSI Management Systems Av. Paseo de la Reforma No. 90-4o piso Col. Juarez Mexico 06600 D.F. Mxico Tel: (55) 5535 6782 Estados Unidos de Amrica BSI Management Systems 12110 Sunset Hills Road Suite 200 Reston, VA 20190 USA Tel: Fax: 1 800 862 4977 703 437 9000 703 437 9001

Canada BSI Management Systems Canada, Inc. 17 Four Seasons Place Suite 102 Toronto, ON M96 6E6 Canad Tel: 1 800 862 6752 416 620 9991 4116 620 9911

SISTEMAS DE GESTIN DE SEGURIDAD DE LA INFORMACIN

Fax:

informacion@bsiamericas.com www.bsiamericas.com/mexico

BSI Group Normas Informacin Capacitacin Inspeccin Pruebas Evaluacin Certificacin

BSIMEX13/MS/0505/S

Shape the future.