Está en la página 1de 20

APLICACIÓN DE LA NTP ISO/IEC

17799-27001
Definiciones:
• La norma técnica peruana ISO/IEC 17799 es una guía práctica que
desarrolla los estándares organizacionales de la seguridad y
genera prácticas efectivas durante la gestión de la Seguridad de la
Información.
• La norma ISO 27001 define cómo organizar la seguridad de la
información en cualquier tipo de organización, con o sin fines de
lucro, privada o pública, pequeña o grande.
SISTEMA GESTIÓN DE SEGURIDAD DE
LA INFORMACIÓN (SGSI)

Definición: SGSI es la abreviatura utilizada para


referirse a un Sistema de Gestión de la Seguridad de la
Información. En el contexto aquí tratado, se entiende
por información todo aquel conjunto de datos
organizados en poder de una entidad que posean valor
para la misma, independientemente de la forma en que
se guarde o transmita.
¿PARA QUE SIRVE EL SSGI?
La información, junto a los procesos y sistemas que
hacen uso de ella, son activos muy importantes de una
organización. La confidencialidad, integridad y
disponibilidad de información sensible pueden llegar a
ser esenciales para mantener los niveles de
competitividad, rentabilidad, conformidad legal e
imagen empresarial.
¿QUÉ INCLUYE EL SSGI?
En el ámbito de la gestión de la calidad según ISO 9001,
siempre se ha mostrado gráficamente la documentación del
sistema como una pirámide de cuatro niveles.
 Manual de seguridad .
 Procedimientos .
 Instrucciones, checklists y formularios .
 Registros.
¿COMO SE INPLEMENTA EL SGSI?
Para establecer y gestionar un Sistema de Gestión de la
Seguridad de la Información en base a ISO 27001, se utiliza el
ciclo continuo PDCA (Plan, Do, Check y Act) tradicional en los
sistemas de gestión de la calidad.
 Plan (planificar): establecer el SGSI.
 Do (hacer): implementar y utilizar el SGSI.
 Check (verificar): monitorizar y revisar el SGSI.
 Act (actuar): mantener y mejorar el SGSI.
DOMINIOS DE CONTROL
La norma ISO/IEC 17799 establece diez dominios de control que
cubren por completo la Gestión de la Seguridad de la
Información:
SEGURIDAD ORGANIZACIONAL
Dentro de este, se establece el marco formal de
seguridad que debe sustentar la institución,
incluyendo servicios o contrataciones externas
a la infraestructura de seguridad.
1.POLITICA DE SEGURIDAD
 La alta dirección debe definir una política que refleje las
líneas directrices de la organización en materia de
seguridad.
 La política se constituye en la base de todo el sistema de
seguridad de lainformación.
 La alta dirección debe apoyar visiblemente la seguridad de
la información en la compañía.
2.ASPECTOS ORGANIZATIVOS PARA LA
SEGURIDAD
 Gestionar la seguridad de la información dentro de la
organización.
 Mantener la seguridad de los recursos de tratamiento de la
información y de los activos de información de la organización.

 Mantener la seguridad de la información cuando la


responsabilidad de su tratamiento se ha externalizado a otra
organización.
3.CLASIFICACIÓN Y CONTROL DE
ACTIVOS
 Mantener una protección adecuada sobre los activos de la
organización.
 Asegurar un nivel de protección adecuado a los activos de
información.
4.SEGURIDAD LIGADA AL PERSONAL

 Reducir los riesgos de errores humanos, robos, fraudes o mal


uso de las instalaciones y los servicios.
 Asegurar que los usuarios son conscientes de las amenazas y
riesgos en el ámbito de la seguridad de la información.
 Minimizar los daños provocados por incidencias de seguridad
y por el mal funcionamiento, controlándolos y aprendiendo de
ellos.
5.GESTIÓN DE CONTINUIDAD DEL
NEGOCIO
 Reaccionar a la interrupción de actividades del negocio y
proteger sus procesos críticos frente grandes fallos o
desastres.
 Los planes de contingencia deben ser probados y revisados
periódicamente.
 Se deben definir equipos de recuperación ante
contingencias.
SEGURIDAD FÍSICA
Identifica los límites mínimos que se deben cumplir en
cuanto a perímetros de seguridad, de forma que se
puedan establecer controles en el manejo de equipos,
transferencia de información y control de los accesos a
las distintas áreas con base en la importancia de los
activos.
6.SEGURIDAD FÍSICA Y DEL ENTORNO
 Evitar accesos no autorizados, daños e interferencias contra
los locales y la información de la organización.
 Evitar pérdidas, daños o comprometer los activos así como la
interrupción de las actividades de la organización.
 Prevenir las exposiciones a riesgo o robos de información y de
recursos de tratamiento de información.
SEGURIDAD LÓGICA
Trata de establecer e integrar los mecanismos y
procedimientos, que permitan monitorear el acceso a
los activos de información, que incluyen los
procedimientos de administración de usuarios,
definición de responsabilidades, perfiles de seguridad,
control de acceso a las aplicaciones sobre sistemas.
7.CONTROL DE ACCESOS
 Controlar los accesos a la información.
 Evitar accesos no autorizados a los sistemas de información.
 Evitar el acceso de usuarios no autorizados.
 Protección de los servicios en red.
 Evitar accesos no autorizados a ordenadores.
8.DESARROLLO Y MANTENIMIENTO DE
SISTEMAS
 Asegurar que la seguridad está incluida dentro de los
sistemas de información.
 Evitar pérdidas, modificaciones o mal uso de los datos de
usuarios en las aplicaciones.
 Proteger la confidencialidad, autenticidad e integridad de la
información.
9.GESTIÓN DE COMUNICACIONES Y
OPERACIONES
 Asegurar la operación correcta y segura de los recursos de
tratamiento de información.
 Minimizar el riesgo de fallos en los sistemas.
 Proteger la integridad del software y de la información.
 Mantener la integridad y la disponibilidad de los servicios de
tratamiento de información y comunicación.
SEGURIDAD LEGAL
Integra los requerimientos de seguridad que deben
cumplir todos los empleados y usuarios de la red
institucional bajo la reglamentación de la normativa
interna de políticas y manuales de procedimientos .
10.CONFORMIDAD CON LA
LEGISLACIÓN
 Evitar el incumplimiento de cualquier ley, estatuto,regulación
u obligación contractual y de cualquier requerimiento de
seguridad.
 Garantizar la alineación de los sistemas con la política de
seguridad de la organización.
 Maximizar la efectividad y minimizar la interferencia de
proceso de auditoría de sistemas.