La NTP-ISO/IEC 17799 establece recomendaciones para la gestión de la seguridad de la información en entidades del gobierno peruano. La norma cubre 10 dominios como políticas de seguridad, organización, clasificación de activos, seguridad física y del personal. El documento evalúa la implementación de la norma en un ministerio, identificando carencias como falta de políticas formales, controles de acceso débiles y ausencia de planes de continuidad. La norma busca estandarizar prácticas de seguridad

1. Generando Políticas de Seguridad Informática

2. Historia de ISO 17799

3. ¿Qué busca esta Norma? Esta Norma es de uso obligatorio para todas las entidades del sector gobierno que a su vez conforman el Sistema Nacional de Informática. Para esta NTP la informaciónde las organizaciones representa el activo mas Importante, la cual se encuentra en forma impresa, digital, verbal.

4. Base legal 2004 Mediante la Resolución Ministerial Nº 224- 2004-PCM del 23 de julio de 2004 se aprobó el uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC 17799:2004 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de la información, 1º Edición”, en todas las Entidades integrantes del Sistema Nacional de Informática.

5. Base legal 2007 El 22 de Agosto del 2007, se actualiza la presente Norma, bajo RESOLUCIÓN MINISTERIAL Nº 246-2007-PCM Norma Técnica Peruana “NTP-ISO/ IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de la información. 2a. Edición” bajo el mismo ámbito de aplicación de la versión anterior.

6. Las 10 secciones de ISO 17799

7. NTP 17799 DOMINIO(Secciones) OBJETIVO CONTROLES Guía de Implementación

8. Ejemplo de Implementación Dominio de control : Gestión de Comunicaciones y Operación. Objetivo de control : Proteger la integridad del software y de la Información. Control : Controles contra Software malicioso Guía de Implementación : Normativa de uso de Software Definición, Publicación. Filtrado de contenidos Web Antivirus de Correo Antivirus Personal

9. Ejemplo MINISTERIO XYZ Evaluación con Norma NTP 17799 Elaboración de las Políticas

10. 1 Política de Seguridad Objetivo de Control Dirigir y Dar Soporte a la gestión de la Seguridad de la información. Control : Dirección : Política y Apoyo visible. Política : Sistema de seguridad de la información.

11. 1 Política de Seguridad No se tenía identificado un documento de Política de Seguridad que sea de conocimiento del personal, sin embargo se contaba con dos Directivas aprobadas y dos en proceso de aprobación

12. Política de Seguridad

13. 2 Organización de la Seguridad Objetivo de Control Gestionar la seguridad de la información dentro de la organización. Control : Mantener la seguridad de los recursos. Mantener la seguridad de la información.

14. 2 Organización de la Seguridad No existe un comité de Gestión de Seguridad de Información, sin embargo se habían establecido algunas responsabilidades en cuanto a seguridad de la información. En Informática se encontró un documento con el contenido de la norma y algunas recomendaciones realizadas en base a esta norma, las cuales no se habían tomado en cuenta. Existía un practicante como encargado de Seguridad de Redes, que no desarrollaba labores netamente de un Oficial de Seguridad porque no tenía la documentación ni los procedimientos formalmente definidos.

15. 3 Clasificación y Control de Activos Objetivo de Control Mantener una protección adecuada sobre los activos de la Organización. Asegurar un nivel adecuado de protección a los activos de Información.

16. 3 Clasificación y Control de Activos Se cuenta con un inventario de activos fijos los que son controlados por el área de Control Patrimonial. Todas las áreas deberían contar con una clasificación de los activos más importantes (información, hardware, software, servicios y otros) de acuerdo a criticidad y/o confiabilidad y el uso de un procedimiento de clasificación de la información.

17. 4 Seguridad en el Personal Objetivo de Control Reducir los riesgos de errores humanos. Asegurar que los usuarios son conscientes Minimizar los daños.

18. 4 Seguridad del Personal No se realizan charlas, capacitaciones y entrenamiento en temas de seguridad de información. No se consigna una cláusula de Confidencialidad en los contratos, específicamente lo relacionado con el procesamiento y seguridad de la información, sólo se describe sus Términos de Referencia.

19. 5 Seguridad física y del entorno Objetivo de Control Evitar accesos no autorizados. Evitar pérdidas. Prevenir la exposición a riesgos o pérdida de información.

20. 5 Seguridad física y del entorno Se cuenta con un buen control de ingreso a las instalaciones como revisión de paquetes, registro de equipos tanto al ingreso como a la salida así como también en el ingreso a las oficinas, pues se cuenta con un vigilante en cada puerta. Sin embargo el tema de la Seguridad física al ingreso y salida de las instalaciones, es realizado por un Service.

21. 6 Gestión Comunicaciones y Operaciones Objetivo de Control Se debe garantizar la seguridad de las comunicaciones y de la operación de los sistemas críticos del negocio. Asegurar la operación correcta y segura de los recursos de información. Gestión de seguridad en redes, Monitoreo y SLA con terceros. Proteger la integridad del software y de la información, contra software malicioso.

22. 6 Gestión Comunicaciones y Operaciones Existen algunos manuales y procedimientos de operación pero no están actualizados. Los procedimientos de monitoreo de servicios realizados por terceros no se encuentran formalizados. Adicionalmente se tiene directivas aprobadas sobre el respaldo de información, que se encuentran publicadas en la Web, pero, no son conocidas por los usuarios, falta de difusión a toda la organización. Los Log de auditoría deshabilitados, ante algún problema no se podría obtener las pistas de auditoria para evaluar y deslindar responsabilidades ante falla de los sistemas.

23. 7 Control de Accesos Objetivo de Control Se deben establecer los controles de acceso adecuados para proteger los sistemas de información críticos para el negocio, a diferentes niveles, sistema operativo, aplicaciones, redes, etc. Control : Los usuarios deberán seguir buenas practicas de seguridad para la selección y uso de sus contraseñas.

24. 7 Control de Accesos Carencia de un procedimiento formal para la gestión de cuentas de usuarios en los diferentes sistemas. No existen los controles adecuados para asegurar que los usuarios sigan las buenas prácticas de seguridad para la selección y uso de sus contraseñas. Falta de una política de escritorio limpio para papeles y medios removibles de almacenamiento, así como una política de pantalla limpia para instalaciones de procesamiento de información.

25. Uso adecuado de las claves de acceso

26. 8 Adquisición, Desarrollo y Mantenimiento de Sistemas Objetivo de Control Debe contemplarse la seguridad de la información en todas las etapas del ciclo de vida del software.

27. 8 Adquisición, Desarrollo y Mantenimiento de Sistemas Los requerimientos de mantenimiento de sistemas no son comunicados por un canal formal. No se encontró estándares específicos ni metodologías para la adquisición, desarrollo y mantenimientos de sistemas.

28. Políticas y Normas para la utilización de software.

29. 9 Gestión de Continuidad del Negocio Objetivo de Control Reaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente a a grandes fallos o desastres. Control : Continuidad del negocio y evaluación de riesgos.

30. 9 Gestión de Continuidad del Negocio Se cuenta con un documento de contingencias, no ha sido aprobado, no está alineado a la seguridad de información a nivel de toda la organización. Además no se han realizado pruebas ni actualización del mismo, por consiguiente el personal de la organización, no tiene conocimiento de este dominio. La Organización no tiene un plan de continuidad de negocio

31. 10 Cumplimiento Objetivo de Control Se debe identificar convenientemente la legislación aplicable a los sistemas de información de la organización. Control : Continuidad del negocio y evaluación de riesgos.

32. 10 Cumplimiento Los requerimientos legales (estatuto, norma o contratos) para el uso de sistemas de información y que son relevantes para la organización no están explícitamente definidos, documentados ni difundidos.

33. CONCLUSIONES Esta Norma Técnica Peruana establece recomendaciones para realizar la gestión de la seguridad de la información que pueden utilizarse por los responsables de iniciar, implantar o mantener la seguridad en una organización. Persigue proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la seguridad, así como proporcionar confianza en las relaciones entre organizaciones.