ESTNDAR

INTERNACIONAL (ISO/IEC 17799)

CDIGO PARA LA PRCTICA DE LA
GESTIN DE LA SEGURIDAD DE LA
INFORMACIN

qu es ISO 17799?
ISO 17799 es una norma internacional
que ofrece recomendaciones para
realizar la gestin de la seguridad de la
informacin dirigidas a los responsables
de iniciar, implantar o mantener la
seguridad de una organizacin.

OBJETIVO
Es proteger adecuadamente este activo para asegurar la
continuidad del negocio, minimizar los daos a la
organizacin y maximizar el retorno de las inversiones y
las oportunidades de negocio
El objetivo de la norma ISO 17799 es proporcionar una
base comn para desarrollar normas de seguridad
dentro de las organizaciones y ser una prctica eficaz de
la gestin de la seguridad.

La seguridad de la informacin se
define como la preservacin de:
Confidencialidad. Aseguramiento de que la
informacin es accesible slo
para aquellos autorizados a tener acceso.
Integridad. Garanta de la exactitud y
completitud de la informacin y de los mtodos
de su procesamiento.
Disponibilidad. Aseguramiento de que los
usuarios autorizados tienen acceso cuando lo
requieran a la informacin y sus activos
asociados.

 El concepto no se limita slo a los

sistemas informticos o los sistemas de
almacenamiento de informacin
electrnica. Se aplica a todos los
aspectos de la proteccin de la
informacin.

Histrico
En 1987 el departamento de Comercio e Industria del Reino
Unido (DTI) ha creado un centro de seguridad de la
informacin, el CCSC (Comercial Centro de Seguridad
Informtica).
Tarea de crear un estndar para la seguridad de la
informacin para el Reino Unido.
Desde 1989 vrios documentos preliminares foram publicados
por esse centro, at que, em 1995, surgiu a BS7799 (British
Standart 7799).

Desde 1989, varios proyectos se publicaron en este

centro, hasta que, en 1995, lleg a BS7799 (britnica
Standart 7799).

Histrico
El 1 de diciembre de 2000, tras la incorporacin de
varias sugerencias y cambios a BS7799 ganado
estatus internacional con su publicacin en la forma
de la norma ISO / IEC 17799:2000.
En septiembre de 2001, la versin aprob ABNT
Brasileo de la norma, denominada ISO / IEC 17799.
El 24 de abril 2003, En Una Reunin Tuvo lugar en
Quebec, donde la preparacin es Una nueva version
de la norma revisada. Esta nueva version de la ISO /
IEC 17799, FUE Lanzado en 2005.

Estructura: dominios de control

La norma UNE-ISO/IEC 17799 establece diez dominios de control
que
cubren por completo la Gestin de la Seguridad de la Informacin:
1. Poltica de seguridad.
2. Aspectos organizativos para la seguridad.
3. Clasificacin y control de activos.
4. Seguridad ligada al personal.
5. Seguridad fsica y del entorno.
6. Gestin de comunicaciones y operaciones.
7. Control de accesos.
8. Desarrollo y mantenimiento de sistemas.
9. Gestin de continuidad del negocio.
10.Conformidad con la legislacin.

 De estos diez dominios se derivan 36

objetivos de control (resultados que se
esperan alcanzar mediante la
implementacin de controles) y 127
controles (prcticas, procedimientos o
mecanismos que reducen el nivel de
riesgo).

Estructura: dominios de control

1. POLTICA DE SEGURIDAD
Dirigir y dar soporte a la gestin de la seguridad de la
informacin.

La alta direccin debe definir una

poltica que refleje las lneas
directrices de la organizacin en
materia de seguridad, aprobarla y
publicitarla de la forma adecuada a
todo el personal implicado en la
seguridad de la informacin.

2. ASPECTOS ORGANIZATIVOS PARA

LA SEGURIDAD
Gestionar la seguridad de la informacin dentro de
la organizacin.
Mantener la seguridad de los recursos de
tratamiento de la informacin y de los activos de
informacin de la organizacin que son accedidos
por terceros.
Mantener la seguridad de la informacin cuando la
responsabilidad de su tratamiento se ha
externalizado a otra organizacin.

3.CLASIFICACIN Y CONTROL DE
ACTIVOS
Mantener una proteccin adecuada sobre
los activos de la organizacin.
Asegurar un nivel de proteccin adecuado
a los activos de informacin.

4. SEGURIDAD LIGADA AL
PERSONAL
Reducir los riesgos de errores humanos, robos,
fraudes o mal uso de las instalaciones y los servicios.
Asegurar que los usuarios son conscientes de las
amenazas y riesgos en el mbito de la seguridad de
la informacin, y que estn preparados para sostener
la poltica de seguridad de la organizacin en el
curso normal de su trabajo.
Minimizar los daos provocados por incidencias de
seguridad y por el mal funcionamiento,
controlndolos y aprendiendo de ellos.

5. SEGURIDAD FSICA Y DEL

ENTORNO
Evitar accesos no autorizados, daos e
interferencias contra los locales y la
informacin de la organizacin.
Evitar prdidas, daos o comprometer los
activos as como la interrupcin de las
actividades de la organizacin.
Prevenir las exposiciones a riesgo o robos
de informacin y de recursos de
tratamiento de informacin.

6. GESTIN DE COMUNICACIONES Y
OPERACIONES
Asegurar la operacin correcta y segura de los recursos de
tratamiento de informacin.
Minimizar el riesgo de fallos en los sistemas.
Proteger la integridad del software y de la informacin.
Mantener la integridad y la disponibilidad de los servicios de
tratamiento de informacin y comunicacin.
Asegurar la salvaguarda de la informacin en las redes y la
proteccin de su infraestructura de apoyo.
Evitar daos a los activos e interrupciones de actividades de
la organizacin.
Prevenir la prdida, modificacin o mal uso de la informacin
intercambiada entre organizaciones.

7. CONTROL DE ACCESOS
Controlar los accesos a la informacin.
Evitar accesos no autorizados a los sistemas de
informacin.
Evitar el acceso de usuarios no autorizados.
Proteccin de los servicios en red.
Evitar accesos no autorizados a ordenadores.
Evitar el acceso no autorizado a la informacin contenida
en los sistemas.
Detectar actividades no autorizadas.
Garantizar la seguridad de la informacin cuando se usan
dispositivos de informtica mvil y teletrabajo.

8. DESARROLLO Y MANTENIMIENTO
DE SISTEMAS
Asegurar que la seguridad est incluida dentro de los
sistemas de
informacin.
Evitar prdidas, modificaciones o mal uso de los datos de
usuario en las aplicaciones.
Proteger la confidencialidad, autenticidad e integridad de la
informacin.
Asegurar que los proyectos de Tecnologa de la Informacin
y las actividades complementarias son llevadas a cabo de
una forma segura.
Mantener la seguridad del software y la informacin de la
aplicacin del sistema.

9. GESTIN DE CONTINUIDAD DEL

NEGOCIO
Reaccionar a la interrupcin de
actividades del negocio y proteger sus
procesos crticos frente grandes fallos o
desastres.

10. CONFORMIDAD
Evitar el incumplimiento de cualquier ley,
estatuto, regulacin u obligacin contractual
y de cualquier requerimiento de seguridad.
Garantizar la alineacin de los sistemas con
la poltica de seguridad de la organizacin y
con la normativa derivada de la misma.
Maximizar la efectividad y minimizar la
interferencia de o desde el proceso de
auditora de sistemas.

AUDITORIA
Una auditora ISO 17799 proporciona
informacin precisa acerca del nivel de
cumplimiento de la norma a diferentes
niveles: global, por dominios, por objetivos
y por controles.

Conociendo el nivel de cumplimiento actual, es

posible determinar el nivel mnimo aceptable y
el nivel objetivo en la organizacin:
Nivel mnimo aceptable. Estado con las
mnimas garantas de seguridad necesarias
para trabajar con la informacin corporativa.
Nivel objetivo. Estado de seguridad de
referencia para la organizacin, con un alto
grado de cumplimiento ISO 17799.

Nivel Objetivo ISO 17799

A partir del nivel mnimo aceptable y el nivel

objetivo, podemos definir un plan de trabajo para
alcanzar ambos a partir del estado actual.
Nivel mnimo aceptable. Implantacin de los
controles tcnicos ms urgentes, a muy corto
plazo.
Nivel objetivo. Se desarrolla en el tiempo dentro
del Plan Director de Seguridad corporativo, y
es el paso previo a la certificacin UNE 71502.

UN EJEMPLO
Dominio de control: Gestin de comunicaciones y
operaciones
Objetivo de control: proteger la integridad del
software y de la informacin.
Control: Controles contra software malicioso.
Se deberan implantar controles para detectar el
software malicioso y prevenirse contra l, junto a
procedimientos adecuados para concienciar a los
usuarios.

 Normativa de uso de software: definicin y

publicitacin en la Intranet.
Filtrado de contenidos: X - Content
Filtering v3.4.
Antivirus de correo: Y Antivirus v2.0.
Antivirus personal: Z - Antivirus v4.5.

VENTAJAS DE LA NORMA
Aumento de la seguridad efectiva de los sistemas de
informacin.
Correcta planificacin y gestin de la seguridad.
Garantas de continuidad del negocio.
Mejora contnua a travs del proceso de auditora
interna.
Incremento de los niveles de confianza de nuestros
clientes y partners.
Aumento del valor comercial y mejora de la imagen de
la organizacin.

CONCLUSIONES
ISO 17799 es una norma internacional que
ofrece recomendaciones para realizar la
gestin de la seguridad de la informacin,
adoptada en Espaa como norma UNEISO/IEC 17799.
La norma se estructura en diez dominios
de control que cubren por completo todos
los aspectos relativos a la seguridad de la
informacin.

CONCLUSIONES
Implantar ISO 17799 requiere de un trabajo
de consultora que adapte los
requerimientos de la norma a las
necesidades de cada organizacin
concreta.
La adopcin de ISO 17799 presenta
diferentes ventajas para la organizacin,
entre ellas el primer paso para la
certificacin segn UNE 71502.

Ni la adopcin de ISO 17799, ni la certificacin

UNE 71502, ni... garantizan la inmunidad de la
organizacin frente a problemas de seguridad.

GRACIAS