Investigacion Iso17799

8/19/2019 Investigacion Iso17799

http://slidepdf.com/reader/full/investigacion-iso17799 1/7

LA ISO 17799

ISO 17799 es una norma internacional que ofrece recomendaciones para realizar

la gestión de la seguridad de la información dirigidas a los responsables de iniciar,

implantar o mantener la seguridad de una organización.

ISO 17799 define la información como un activo que posee valor para la

organización y requiere por tanto de una protección adecuada. l ob!etivo de la

seguridad de la información es proteger adecuadamente este activo para asegurar

la continuidad del negocio, minimizar los da"os a la organización y ma#imizar el

retorno de las inversiones y las oportunidades de negocio.

$a seguridad de la información se define como la preservación de%

• Confidencialidad. &seguramiento de que la información es accesible sólo

para aquellos autorizados a tener acceso.

• Integridad. 'arant(a de la e#actitud y completitud de la información y de los

m)todos de su procesamiento.

• Disponibilidad. &seguramiento de que los usuarios autorizados tienen

acceso cuando lo requieran a la información y sus activos asociados.

l ob!etivo de la norma ISO 17799 es proporcionar una base com*n para

desarrollar normas de seguridad dentro de las organizaciones y ser una pr+ctica

eficaz de la gestión de la seguridad.

Se trata de una norma, que recoge la relación de controles a aplicar o al menos, a

evaluar- para establecer un Sistema de 'estión de la Seguridad de la Información

S'SI-.

$a norma ISO 17799 establece diez dominios de control que cubren por completo

la 'estión de la Seguridad de la Información%

1. ol(tica de seguridad./. &spectos organizativos para la seguridad.0. lasificación y control de activos.2. Seguridad ligada al personal.3. Seguridad f(sica y del entorno.



4. 'estión de comunicaciones y operaciones.7. ontrol de accesos.5. 6esarrollo y mantenimiento de sistemas.9. 'estión de continuidad del negocio.1.onformidad con la legislación.

POLÍTICA DE SE!"IDAD#



6irigir y dar soporte a la gestión de la seguridad de la información.

$a alta dirección debe definir una pol(tica que refle!e las l(neas directrices de la

organización en materia de seguridad, aprobarla y publicitarla de la forma

adecuada a todo el personal implicado en la seguridad de la información.

$a pol(tica se constituye en la base de todo el sistema de seguridad de la

información.

$a alta dirección debe apoyar visiblemente la seguridad de la información en la

compa"(a.

ASPECTOS O"A$I%ATI&OS PA"A LA SE!"IDAD

'estionar la seguridad de la información dentro de la organización.

8antener la seguridad de los recursos de tratamiento de la información y de

los activos de información de la organización que son accedidos por

terceros. 8antener la seguridad de la información cuando la responsabilidad de su

tratamiento se a e#ternalizado a otra organización.

6ebe dise"arse una estructura organizativa dentro de la compa"(a que defina las

responsabilidades que en materia de seguridad tiene cada usuario o +rea de

traba!o relacionada con los sistemas de información de cualquier forma.

6ica estructura debe poseer un enfoque multidisciplinar% los problemas de

seguridad no son e#clusivamente t)cnicos.

CLASI'ICACI($ ) CO$T"OL DE ACTI&OS

8antener una protección adecuada sobre los activos de la organización.

&segurar un nivel de protección adecuado a los activos de información.

6ebe definirse una clasificación de los activos relacionados con los sistemas de

información, manteniendo un inventario actualizado que registre estos datos, y



proporcionando a cada activo el nivel de protección adecuado a su criticidad en la

organización.

SE!"IDAD LIADA AL PE"SO$AL

:educir los riesgos de errores umanos, robos, fraudes o mal uso de las

instalaciones y los servicios. &segurar que los usuarios son conscientes de las amenazas y riesgos en el

+mbito de la seguridad de la información, y que est+n preparados para

sostener la pol(tica de seguridad de la organización en el curso normal de

su traba!o. 8inimizar los da"os provocados por incidencias de seguridad y por el mal

funcionamiento, control+ndolos y aprendiendo de ellos

$as implicaciones del factor umano en la seguridad de la información son muy

elevadas.

;odo el personal, tanto interno como e#terno a la organización, debe conocer tanto

las l(neas generales de la pol(tica de seguridad corporativa como las implicaciones

de su traba!o en el mantenimiento de la seguridad global.

6iferentes relaciones con los sistemas de información% operador, administrador,

guardia de seguridad, personal de servicios, etc.

rocesos de notificación de incidencias claros, +giles y conocidos por todos.

SE!"IDAD 'ÍSICA ) DEL E$TO"$O

vitar accesos no autorizados, da"os e interferencias contra los locales y la

información de la organización. vitar p)rdidas, da"os o comprometer los activos as( como la interrupción

de las actividades de la organización. revenir las e#posiciones a riesgo o robos de información y de recursos de

tratamiento de información.



$as +reas de traba!o de la organización y sus activos deben ser clasificadas y

protegidas en función de su criticidad, siempre de una forma adecuada y frente a

cualquier riesgo factible de (ndole f(sica robo, inundación, incendio...-.

ESTI($ DE CO*!$ICACIO$ES ) OPE"ACIO$ES

&segurar la operación correcta y segura de los recursos de tratamiento de

información. 8inimizar el riesgo de fallos en los sistemas.

roteger la integridad del soft<are y de la información.

8antener la integridad y la disponibilidad de los servicios de tratamiento de

información y comunicación. &segurar la salvaguarda de la información en las redes y la protección de

su infraestructura de apoyo. vitar da"os a los activos e interrupciones de actividades de la

organización. revenir la p)rdida, modificación o mal uso de la información intercambiada

entre organizaciones.

Se debe garantizar la seguridad de las comunicaciones y de la operación de los

sistemas cr(ticos para el negocio.

CO$T"OL DE ACCESOS

ontrolar los accesos a la información.

vitar accesos no autorizados a los sistemas de información.

vitar el acceso de usuarios no autorizados.

rotección de los servicios en red.

vitar accesos no autorizados a ordenadores.

vitar el acceso no autorizado a la información contenida en los sistemas.

6etectar actividades no autorizadas.

'arantizar la seguridad de la información cuando se usan dispositivos de

inform+tica móvil y teletraba!o.

Se deben establecer los controles de acceso adecuados para proteger los

sistemas de información cr(ticos para el negocio, a diferentes niveles% sistema

operativo, aplicaciones, redes, etc.

DESA""OLLO ) *A$TE$I*IE$TO DE SISTE*AS



&segurar que la seguridad est+ incluida dentro de los sistemas de

información. vitar p)rdidas, modificaciones o mal uso de los datos de usuario en las

aplicaciones.

roteger la confidencialidad, autenticidad e integridad de la información. &segurar que los proyectos de ;ecnolog(a de la Información y las

actividades complementarias son llevadas a cabo de una forma segura. 8antener la seguridad del soft<are y la información de la aplicación del

sistema.

6ebe contemplarse la seguridad de la información en todas las etapas del ciclo de

vida del soft<are en una organización% especificación de requisitos, desarrollo,

e#plotación, mantenimiento...

ESTI($ DE CO$TI$!IDAD DEL $EOCIO

:eaccionar a la interrupción de actividades del negocio y proteger sus

procesos cr(ticos frente grandes fallos o desastres.

;odas las situaciones que puedan provocar la interrupción de las actividades del

negocio deben ser prevenidas y contrarrestadas mediante los planes de

contingencia adecuados.

$os planes de contingencia deben ser probados y revisados periódicamente.

Se deben definir equipos de recuperación ante contingencias, en los que se

identifiquen claramente las funciones y responsabilidades de cada miembro en

caso de desastre.

CO$'O"*IDAD

vitar el incumplimiento de cualquier ley, estatuto, regulación u obligación

contractual y de cualquier requerimiento de seguridad. 'arantizar la alineación de los sistemas con la pol(tica de seguridad de la

organización y con la normativa derivada de la misma.



8a#imizar la efectividad y minimizar la interferencia de o desde el proceso

de auditor(a de sistemas.

Se debe identificar convenientemente la legislación aplicable a los sistemas de

información corporativos en nuestro caso, $O6, $I, $SSI...-, integr+ndola en elsistema de seguridad de la información de la compa"(a y garantizando su

cumplimiento.

Se debe definir un plan de auditor(a interna y ser e!ecutado convenientemente,

para garantizar la detección de desviaciones con respecto a la pol(tica de

seguridad de la información.

En A+ditoria#

=Somos seguros> =8uy seguros> =oco seguros> =:elativamente seguros>...

? ;raba!o de auditor(a ISO 17799% valoración del nivel de adecuación,

implantación y gestión de cada control de la norma en la organización%

Seguridad lógica.

Seguridad f(sica.

Seguridad organizativa.

Seguridad legal.

? :eferencia de la seguridad de la información est+ndar y aceptada

internacionalmente.

? @na vez conocemos el estado actual de la seguridad de la información en la

organización, podemos planificar correctamente su me!ora o su mantenimiento.

@na auditor(a ISO 17799 proporciona información precisa acerca del nivel de

cumplimiento de la norma a diferentes niveles% global, por dominios, por ob!etivos

y por controles.

Investigacion Iso17799

Documents

Transcript of Investigacion Iso17799