Ingeniera en Sistemas Computacionales

Seguridad Informtica
Unidad 4 Seguridad Informtica
Integrantes:
Ana Karen Hernndez
Cruz
Tania Hernndez
Martnez
Adriana Morales
Antonio

CATEDRTICO:
Ing. Ivn Hernndez
Hernndez
TURNO:
M1
Fecha de Entrega: 28 de Julio
del 2014

4.3. ESTNDARES PARA LA

SEGURIDAD EN REDES

Estndar de Seguridad - ISO

17799
El estndar de seguridad ISO 17799 fue preparado por la British
Standard Institution (con el nombre de BS 7799) y fue adoptado por
el comit tcnico de la ISO en Diciembre del ao 2000.
La Norma ISO 17799 es la norma internacional que ofrece
recomendaciones para realizar la gestin de la seguridad de la
informacin dirigidas a los responsables de iniciar, implantar o
mantener la seguridad de una organizacin.
La seguridad de la informacin se define en el estndar como:
la

preservacin de la confidencialidad: asegurando que slo

quienes estn autorizados pueden acceder a la informacin

Integridad:

asegurando que la informacin y sus mtodos de

proceso son exactos y completos

Objetivo

Mtodo de
gestin de la
seguridad

Proporcionar una base para

desarrollar normas de
seguridad dentro de las
Organizaciones

Objetiv
o

Aplcable a todo tipo de

organizacin

Establece
transacciones y
relaciones de
confianza entre
empresas

AREAS DE CONTROL DE
SEGURIDAD
Los fundamentos de un buen sistema de gestin de seguridad de la
informacin; eso son las 10 reas de control de seguridad. Estas
reas de control son las categoras amplias de controles. Cada rea
tiene objetivos de controles y controles existentes.

1. Poltica de Seguridad:
La poltica documentada ayuda a proyectar las metas de
seguridad de la informacin de una organizacin. Debe estar
claramente redactada y comprensible para sus lectores. La
poltica ayuda a la administracin con el manejo de la
seguridad de la informacin a travs de la organizacin.
Dirigir y dar soporte a la gestin de la seguridad de la
informacin.
La alta direccin debe definir una poltica que refleje las
lneas directrices de la organizacin en materia de seguridad,
aprobarla y publicitarla de la forma adecuada a todo el
personal implicado en la seguridad de la informacin.

2. Seguridad Organizacional:
Este control de seguridad delimita cmo la alta administracin puede
dirigir la implementacin de seguridad de la informacin dentro de una
organizacin. Proporciona un foro para revisar y aprobar las polticas de
seguridad y asignar los roles de seguridad.
Gestionar

la seguridad de la informacin dentro de la organizacin.

Mantener

la seguridad de los recursos de tratamiento de la informacin

y de los activos de informacin de la organizacin que son accedidos
por terceros.

Mantener

la seguridad de la informacin cuando la responsabilidad de

su tratamiento se ha externalizado a otra organizacin.

Debe disearse una estructura organizativa dentro de la compaa que

defina las responsabilidades que en materia de seguridad tiene cada

3. Clasificacin y Control de
Activos:
Administrar los activos fsicos e intelectuales que son importantes
para mantener las protecciones apropiadas. Determina la
responsabilidad de quin es dueo de qu activo de la
organizacin.
Mantener

una proteccin adecuada sobre los activos de la

organizacin.

Asegurar

un nivel de proteccin adecuado a los activos de

informacin.

Debe definirse una clasificacin de los activos relacionados con

los sistemas de informacin, manteniendo un inventario

4. Seguridad del Personal:

La evaluacin y asignacin de las responsabilidades de seguridad
de los empleados permite una administracin de recursos
humanos ms efectiva. Las responsabilidades de la seguridad
deben ser determinadas durante el reclutamiento de todo el
personal y durante toda la propiedad del empleado en la
compaa.
Reducir los riesgos de errores humanos, robos, fraudes o mal
uso de las instalaciones y los servicios.

Asegurar que los usuarios son conscientes de las amenazas y

riesgos en el mbito de la seguridad de la informacin, y que
estn preparados para sostener la poltica de seguridad de la
organizacin en el curso normal de su trabajo.

5. Seguridad Fsica y Ambiental:

Asegurar las reas fsicas y los ambientes de trabajo dentro de la
organizacin contribuye significativamente a la administracin de
la seguridad de la informacin. Cualquier persona que se relaciona
con su establecimiento fsico, as sean los empleados, proveedores
o clientes, tienen un papel enorme en determinar la proteccin de
seguridad organizacional.
Evitar accesos no autorizados, daos e interferencias contra los
locales y la informacin de la organizacin.

Evitar prdidas, daos o comprometer los activos as como la

interrupcin de las actividades de la organizacin.

6. Administracin de
Comunicaciones y Operaciones:
Transmitir claramente las instrucciones de seguridad a los
empleados ayuda a administrar las operaciones diarias de los
recursos de procesamiento de informacin.
Asegurar la operacin correcta y segura de los recursos de
tratamiento de informacin.

Minimizar el riesgo de fallos en los sistemas.

Proteger la integridad del software y de la informacin.

Mantener la integridad y la disponibilidad de los servicios de

tratamiento de informacin y comunicacin.

Asegurar la salvaguarda de la informacin en las redes y la

7. Control de Acceso: a la red

Objetivo: Evitar el acceso no autorizado a los servicios de la
red.
Se debiera controlar el acceso a los servicios de redes internas
y externas. El acceso del usuario a las redes y servicios de las
redes no debieran comprometer la seguridad de los servicios
Controles y servicios de redes
de la red asegurando:
Registro del usuario
Gestin

de privilegios

Gestin

y uso de claves secretas de los usuarios

Revisin
Poltica

de los derechos de acceso del usuario

sobre el uso de los servicios de la red

7. Control de Acceso: sistemas

operativos
Objetivo: Evitar el acceso no autorizado a los sistemas
operativos. Se debieran utilizar medios de seguridad para
restringir el acceso a los sistemas operativos a los usuarios
autorizados. Los medios debieran tener la capacidad para:
a)

autenticar a los usuarios autorizados, en concordancia con una

poltica de control

de

acceso definida;

b)

registrar los intentos exitosos y fallidos de autenticacin del

sistema;

c)

registrar el uso de los privilegios especiales del sistema;

d)

emitir alarmas cuando se violan las polticas de seguridad del

7. Control de Acceso: aplicacin y

la informacin
Objetivo: Evitar el acceso no autorizado a la informacin
mantenida en los sistemas de aplicacin. El acceso lgico al
software de la aplicacin y la informacin se debiera limitar a
los usuarios autorizados.
Restriccin
Aislar

del acceso a la informacin

el sistema confidencial

8. Desarrollo y Mantenimiento de
Sistemas:
Objetivo: Evitar prdida, dao, robo o compromiso de los activos
y la interrupcin de las actividades de la organizacin. La
administracin de la seguridad es imperativa en el desarrollo,
mantenimiento y operacin exitosa de un sistema de
informacin.

Ubicacin y proteccin del equipo

Servicios

pblicos de soporte

Seguridad

del cableado

Mantenimiento

de equipo

Seguridad

del equipo fuera del local

Seguridad

de la eliminacin o re-uso del equipo

9. Administracin de la
Continuidad de Negocios:
Objetivo: Asegurar la operacin correcta y segura de los medios
de procesamiento de la informacin. Al utilizar los controles de
seguridad contra desastres naturales, interrupciones
operacionales y fallas potenciales de seguridad ayuda a fomentar
la
continuidad de funciones del negocio.

Procedimientos de operacin documentados

Procedimientos
Gestin

de operacin documentados

del cambio

Segregacin
Separacin

operacin

de los deberes

de los medios de desarrollo, prueba y

10. Cumplimiento de las polticas

y estndares de seguridad, y
cumplimiento
tcnico
Objetivo: Asegurar el cumplimiento de los sistemas con las

polticas y estndares de seguridad organizacional. El uso de

asesores legales se est volviendo ms importante para asegurar
la observancia de una organizacin con las obligaciones
contractuales, la ley y requisitos de seguridad.
Chequeo

del cumplimiento tcnico

Consideraciones

de auditoria de los sistemas de

informacin
Controles

de auditora de los sistemas de informacin

Proteccin

de las herramientas de auditora de los

sistemas de informacin

Estndares de Seguridad - BS7799 / ISO 17799

OUTSOURCING:
Objetivo: Mantener la seguridad de la informacin
cuando la responsabilidad del procesamiento est en
manos de otra organizacin.
Las negociaciones de outsourcing deben tener
definidos claramente en los contratos suscritos, los
riesgos, los controles de seguridad y los
procedimientos para los sistemas de informacin que
se encuentren dentro de los procesos que estarn en
manos de la organizacin proveedora del outsourcing.

Estndares de Seguridad - BS7799 / ISO 17799

SEGURIDAD EN CONEXIONES CON TERCEROS:
Objetivo: Mantener la seguridad de la informacin de la
organizacin que es accesada por terceros.
El

acceso a la informacin de la organizacin por

parte de terceros debe ser controlado.

Se

debe hacer un anlisis de riesgos para determinar

las implicaciones en seguridad y los requerimientos de
control. Los controles que se definan deben ser
definidos en el contrato que se firme con el tercero.

Estndares de Seguridad - BS7799 / ISO 17799

POLITICA DE SEGURIDAD INFORMATICA:
Objetivo: Proveer directrices a la administracin y
soporte para la seguridad de la informacin.
La

administracin debe ser capaz de definir la

direccin de las polticas de Seguridad de la
informacin. Adems debe establecer un claro y
firme compromiso con estas polticas y divulgarlas a
travs de toda la organizacin.

Estndares de Seguridad - BS7799 / ISO 17799

Certificaciones ISO
Si la empresa est sometida a un proceso de
compra/venta, alianza estratgica o hace parte de
una cadena de valor B2B.
Renegociacin de primas y reaseguros.
Porque brindar seguridad es una ventaja competitiva.

Bibliografa
https://seguridadinformaticaufps.wikispaces.com

/Normas,+estandares,+Leyes+y+demas+de+las+polit
icas+de+seguridad.+
1150204-159-250-214
http://

es.slideshare.net/lauramiranda16/norma-iso-17799
-15652263