1              Asignatura  Auditoria y seguridad de sistemas             Catedrático:      Ing. Edw yn sanders rivera     ...
Contenido:Artículo I.       Objetivos .......................................................................................
Artículo I. Objetivos                                                                                                  3  ...
Artículo II. IntroducciónLa Norma ISO 17799 es la norma internacional que ofrece recomendaciones para realizar lagestión d...
Artículo III. METODOLOGIALa metodología utilizada para la elaboración del presente informe fue Tema de Investigación.La me...
Artículo IV. OBJETIVO DE LA NORMA ISO 17799                               Proporcionar una base                           ...
1. Política de Seguridad: La política documentada ayuda a proyectar las metas de seguridad dela información de una organiz...
Artículo VI. Estructura de la norma ISO 17799 (Dominios de control)                                                       ...
 Mantener una protección adecuada sobre los activos de la organización.    Asegurar un nivel de protección adecuado a lo...
Artículo VII.   VENTAJAS PARA LA ADOPCION DE LA NORMA ISO 17799     Aumento de la seguridad efectiva de los sistemas de i...
2. Evaluar los riesgos identificados en todas las áreas de control de seguridad.3. Identificar y evaluar opciones para el ...
Artículo XI.   Certificación al ISO 17799Quiere decir que una tercera parte, tal como BSI, visita y evalúa la manera que f...
Artículo XII.       Conclusiones    ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la     ...
Artículo XIII.       RECOMENDACIONES                                                                                      ...
Artículo XIV.        BibliografíaBSI Managemen System. (2001).¿Qué es la norma ISO 17799? y razones para que ustedla quier...
Artículo XV.            ApéndiceNorma ISO 17799: La Norma ISO 17799 es la norma internacional que ofrece recomendacionespa...
Artículo XVI.   Anexo                        17
Upcoming SlideShare
Loading in...5
×

norma iso 17799

9,585

Published on

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
9,585
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
413
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

norma iso 17799

  1. 1. 1 Asignatura Auditoria y seguridad de sistemas Catedrático: Ing. Edw yn sanders rivera Presentado por: Laura Edelmira Miranda DomínguezSan Pedro Sula, 13 de Diciembre de 2012
  2. 2. Contenido:Artículo I. Objetivos .................................................................................................................................... 3 Sección 1.01 Objetivos generales............................................................................................................ 3 Sección 1.02 Objetivos Específicos ........................................................................................................ 3Artículo II. Introducción ............................................................................................................................... 4Artículo III. METODOLOGIA .................................................................................................................. 5 2Artículo IV. OBJETIVO DE LA NORMA ISO 17799.............................................................................. 6Artículo V. AREAS DE CONTROL DE SEGURIDAD .......................................................................... 6Artículo VI. Estructura de la norma iso 17799 (Dominios de control) ..................................................... 8 Sección 6.01 POLÍTICA DE SEGURIDAD ........................................................................................... 8 Sección 6.02 ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD ............................................ 8 Sección 6.03 CLASIFICACIÓN Y CONTROL DE ACTIVOS ............................................................. 9 Sección 6.04 SEGURIDAD LIGADA AL PERSONAL ........................................................................ 9 Sección 6.05 SEGURIDAD FÍSICA Y DEL ENTORNO ...................................................................... 9 Sección 6.06 GESTIÓN DE COMUNICACIONES Y OPERACIONES............................................... 9Artículo VII. VENTAJAS PARA LA ADOPCION DE LA NORMA ISO 17799 .................................. 10Artículo VIII. ORIENTACION DE LA NORMA ISO 17799 ................................................................... 10Artículo IX. Implementar un Sistema ISO 17799 .................................................................................... 10Artículo X. ISO 17799 y Requisitos Reglamentarios ............................................................................. 11Artículo XI. Certificación al ISO 17799 .................................................................................................. 12 Sección 11.01 ¿Qué quiere decir estar certificado al ISO 17799? ...................................................... 12Artículo XII. Conclusiones ........................................................................................................................ 13Artículo XIII. RECOMENDACIONES ...................................................................................................... 14 Sección 13.01 ¿Dónde puedo saber más acerca de implementar el ISO 17799? ................................ 14 Sección 13.02 ¿Qué es lo siguiente que debo hacer? ¿Dónde puedo encontrar más información? ¿Quién me puede ayudar? ......................................................................................................................... 14Artículo XIV. Bibliografía .......................................................................................................................... 15Artículo XV. Apéndice .............................................................................................................................. 16Artículo XVI. Anexo ................................................................................................................................... 17 Sección 16.01 Historia de la Norma ISO 17799 ................................................................................. 17 Sección 16.02 Una auditoría ISO 17799 proporciona información precisa acerca del nivel de cumplimiento de la norma a diferentes niveles: global, por dominios, por objetivos y por controles. ..... 17
  3. 3. Artículo I. Objetivos 3  Conocer los fundamentos de la Norma internacional ISO 17799 para gestión de la seguridad de la información.  Analizar los objetivos de la Norma internacional ISO 17799.  Enumerar las áreas de control de seguridad que abarca la Norma internacional ISO 17799.  Identificar la estructura de la Norma internacional ISO 17799.  Enumerar las ventajas que presenta la aplicación de la Norma internacional ISO 17799.  Plantear el tipo de metodología utilizada para el desarrollo del tema.
  4. 4. Artículo II. IntroducciónLa Norma ISO 17799 es la norma internacional que ofrece recomendaciones para realizar lagestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar omantener la seguridad de una organización. 4Existen multitud de estándares aplicables a diferentes niveles pero ISO 17799 como estándarinternacional, es el más extendido y aceptado.La Norma ISO 17799 es el Sistema de Gestión de Seguridad de la Información (InformationalSecurity Management Systems, ISMS) reconocido internacionalmente. El ISO 17799proporciona un amplio concepto de lo que un ISMS puede hacer para proteger la informaciónde una organización. La norma define a la información como un activo que tiene valor en unaorganización; y como todos los activos, es imperativo mantener su valor para el éxito de unaorganización.El ISO 17799 es una norma del Sistema de Gestión de Seguridad de la Información,reconocida internacionalmente. Proporciona las pautas para la implementación basada en lassugerencias que deben ser consideradas por una organización para poder construir unprograma comprensivo de gestión de seguridad de la información.
  5. 5. Artículo III. METODOLOGIALa metodología utilizada para la elaboración del presente informe fue Tema de Investigación.La metodología aclara –en forma muy detallada– los pasos y procedimientos utilizados para llevar acabo la investigación. 5Esta metodología incluye la descripción de: a) El tipo y modalidad de investigación que se usará para alcanzar la meta propuesta en el objetivo general –los verbos seleccionados indican los alcances y enfoques de la investigación. • Justifique las razones por las que se ha seleccionado esa forma de acercamiento al objeto de estudio y no otra. b) Las fuentes de investigación documental que se revisaran: reportes de investigación, libros, revistas, manuales, Internet, entre otros. c) Si hay necesidad de trabajo de campo, indicar las técnicas a utilizar: cuestionarios, entrevistas, observaciones in situ, etc.
  6. 6. Artículo IV. OBJETIVO DE LA NORMA ISO 17799 Proporcionar una base para desarrollar normas de seguridad dentro de las 6 Organización Establece transacciones y Método de gestión OBJETIVO relaciones de eficaz de la seguridad confianza entre empresas Aplicable a todo tipo de organizacionArtículo V. AREAS DE CONTROL DE SEGURIDADLos fundamentos de un buen sistema de gestión de seguridad de la información; eso son las10 áreas de control de seguridad. Estas áreas de control son las categorías amplias decontroles. Cada área tiene objetivos de controles y controles existentes.
  7. 7. 1. Política de Seguridad: La política documentada ayuda a proyectar las metas de seguridad dela información de una organización. Debe estar claramente redactada y comprensible para suslectores. La política ayuda a la administración con el manejo de la seguridad de lainformación a través de la organización.2. Seguridad Organizacional: Este control de seguridad delimita cómo la alta administraciónpuede dirigir la implementación de seguridad de la información dentro de una organización.Proporciona un foro para revisar y aprobar las políticas de seguridad y asignar los roles deseguridad.3. Clasificación y Control de Activos: Administrar los activos físicos e intelectuales que son 7importantes para mantener las protecciones apropiadas. Determina la responsabilidad de quiénes dueño de qué activo de la organización.4. Seguridad del Personal: La evaluación y asignación de las responsabilidades de seguridadde los empleados permite una administración de recursos humanos más efectiva. Lasresponsabilidades de la seguridad deben ser determinadas durante el reclutamiento de todo elpersonal y durante toda la propiedad del empleado en la compañía.5. Seguridad Física y Ambiental: Asegurar las áreas físicas y los ambientes de trabajo dentrode la organización contribuye significativamente a la administración de la seguridad de lainformación. Cualquier persona que se relaciona con su establecimiento físico, así sean losempleados, proveedores o clientes, tienen un papel enorme en determinar la protección deseguridad organizacional.6. Administración de Comunicaciones y Operaciones: Transmitir claramente las instruccionesde seguridad a los empleados ayuda a administrar las operaciones diarias de los recursos deprocesamiento de información.7. Control de Acceso: Administrar los niveles de acceso de todos los empleados ayuda acontrolar la seguridad de la información en una organización. Controlar niveles de acceso a lared puede llegar a ser un factor crítico de éxito cuando se protegen los sistemas dedocumentación o información en la red.8. Desarrollo y Mantenimiento de Sistemas: La administración de la seguridad es imperativaen el desarrollo, mantenimiento y operación exitosa de un sistema de información.9. Administración de la Continuidad de Negocios: Al utilizar los controles de seguridadcontra desastres naturales, interrupciones operacionales y fallas potenciales de seguridadayuda a fomentar la continuidad de funciones del negocio.10. Observancia.- El uso de asesores legales se está volviendo más importante para asegurarla observancia de una organización con las obligaciones contractuales, la ley y requisitos deseguridad.
  8. 8. Artículo VI. Estructura de la norma ISO 17799 (Dominios de control) 8Dirigir y dar soporte a la gestión de la seguridad de la información.• La alta dirección debe definir una política que refleje las líneas directrices de la organización enmateria de seguridad, aprobarla y publicitarla de la forma adecuada a todo el personal implicado en laseguridad de la información.• La política se constituye en la base de todo el sistema de seguridad de la información.• La alta dirección debe apoyar visiblemente la seguridad de la información en la compañía.  Gestionar la seguridad de la información dentro de la organización.  Mantener la seguridad de los recursos de tratamiento de la información y de los activos de información de la organización que son accedidos por terceros.  Mantener la seguridad de la información cuando la responsabilidad de su tratamiento se ha externalizado a otra organización.• Debe diseñarse una estructura organizativa dentro de la compañía que defina las responsabilidadesque en materia de seguridad tiene cada usuario o área de trabajo relacionada con los sistemas deinformación de cualquier forma.• Dicha estructura debe poseer un enfoque multidisciplinar: los problemas de seguridad no sonexclusivamente técnicos.
  9. 9.  Mantener una protección adecuada sobre los activos de la organización.  Asegurar un nivel de protección adecuado a los activos de información.• Debe definirse una clasificación de los activos relacionados con los sistemas de información,manteniendo un inventario actualizado que registre estos datos, y proporcionando a cada activo elnivel de protección adecuado a su criticidad en la organización. 9  Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y los servicios.  Asegurar que los usuarios son conscientes de las amenazas y riesgos en el ámbito de la seguridad de la información, y que están preparados para sostener la política de seguridad de la organización en el curso normal de su trabajo.  Minimizar los daños provocados por incidencias de seguridad y por el mal funcionamiento, controlándolos y aprendiendo de ellos.  Evitar accesos no autorizados, daños e interferencias contra los locales y la información de la organización.  Evitar pérdidas, daños o comprometer los activos así como la interrupción de las actividades de la organización.  Prevenir las exposiciones a riesgo o robos de información y de recursos de tratamiento de información.  Asegurar la operación correcta y segura de los recursos de tratamiento de información.  Minimizar el riesgo de fallos en los sistemas.  Proteger la integridad del software y de la información.  Mantener la integridad y la disponibilidad de los servicios de tratamiento de información y comunicación.  Asegurar la salvaguarda de la información en las redes y la protección de su infraestructura de apoyo.  Evitar daños a los activos e interrupciones de actividades de la organización.  Prevenir la pérdida, modificación o mal uso de la información intercambiada entre organizaciones.
  10. 10. Artículo VII. VENTAJAS PARA LA ADOPCION DE LA NORMA ISO 17799  Aumento de la seguridad efectiva de los sistemas de información.  Correcta planificación y gestión de la seguridad.  Garantías de continuidad del negocio  Mejora continua a través del proceso de auditoría interna.  Incremento de los niveles de confianza de los clientes y socios de negocios. 10Artículo VIII. ORIENTACION DE LA NORMA ISO 17799  La norma ISO 17799 no es una norma tecnológica.  La seguridad de la información es un asunto que compete a la alta gerencia no al área tecnológica, por lo cual es un asunto empresarial.  La gente toma decisiones de seguridad basados en los riesgos percibidos no en los riesgos reales, por lo cual el análisis de riesgos es fundamental para los negocios.Artículo IX. Implementar un Sistema ISO 17799Una compañía debe empezar definiendo una aproximación a la evaluación de riesgo. Duranteeste acercamiento, se debe llevar a cabo una revisión de todas las violaciones potenciales deseguridad. Esto no debe relacionarse solamente a los sistemas de TI, sino que debe abarcartoda la información delicada dentro de su organización. Las técnicas que se utilizan en unaevaluación de riesgo son las siguientes:1. Identificar los riesgos de los activos físicos e informativos de su compañía.
  11. 11. 2. Evaluar los riesgos identificados en todas las áreas de control de seguridad.3. Identificar y evaluar opciones para el tratamiento de riesgos y tomar acción paraadministrar y manejar los riesgos apropiadamente.4. Seleccionar un sistema de controles con eficiencia de costos y con objetivos que sonapropiados para administrar y tratar los riesgos.5. Preparar una Declaración de Aplicación. Este documento presenta objetivos de control,controles seleccionados y liga los resultados de evaluación de riesgos y procesos de 11tratamiento de riesgos.Una vez que la aproximación de la evaluación de riesgo ha sido establecida, el próximo pasoque se debe tomar para implementar el ISO 17799 es llevar a cabo una auditoria interna.La aproximación a la evaluación de riesgo debe ser parte de un programa de auditoría interna.El programa utiliza los controles de seguridad que fueron seleccionados para determinar quéaspectos de su organización deben ser medidos, analizados y mejorados antes de implementarun Sistema de Gestión de Seguridad de la Información como ISO 17799. Implementar unISMS como el ISO 17799 puede traer múltiples beneficios a una organización.Artículo X. ISO 17799 y Requisitos ReglamentariosUn Sistema de Gestión de Seguridad de la Información (ISMS) integrado, basado en el ISO17799, cubre la necesidad de un acercamiento estructurado para iniciar, implementar,mantener y administrar la seguridad de la información dentro de cualquier organización. Alutilizar el ISO 17799 como base para su ISMS, su sistema de gestión puede ser evaluado porterceros, como BSI Management Systems y ser compatible con requisitos reglamentarios,tales como HIPAA y partes de Sarbanes-Oxley. El proceso agrega un valor significativo a laeficacia continua de la seguridad de la información de su sistema.El diseño, operación, uso y administración de los sistemas de información pueden ser sujetosa requisitos estatutarios o seguridad contractual. El ISMS recomienda el consejo de asesoreslegales para cumplir los requisitos. Por ejemplo, Sarbanes-Oxley delinea objetivos de controldel sistema de información para mantener la calidad e integridad de la información del reportefinanciero, que puede ser controlado con personal y herramientas de seguridad de acceso.
  12. 12. Artículo XI. Certificación al ISO 17799Quiere decir que una tercera parte, tal como BSI, visita y evalúa la manera que funciona el 12Sistema de Gestión de Seguridad de la Información y sus procesos dentro de la compañía. Sitodo se está ejecutando de acuerdo con los requisitos de la norma, esta tercera parte que estácalificada como casa certificadora emite un certificado registrando su compañía al ISO 17799.Esto da una verificación independiente a los clientes y otros asociados que una compañíautiliza prácticas reconocidas internacionalmente para la gestión de seguridad de lainformación.
  13. 13. Artículo XII. Conclusiones  ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la 13 gestión de la seguridad de la información  La norma se estructura en diez dominios de control que cubren por completo todos los aspectos relativos a la seguridad de la información.  Implantar ISO 17799 puede requerir de un trabajo de consultoría que adapte los requerimientos de la norma a las necesidades de cada organización.  Además considero que la a educación es un proceso interminable, puesto que cada día se aprende cosas nuevas o se actualizan las ya conocidas o aprendidas, es decir, que la educación es un proceso permanente, por eso debemos estar in con las tecnologías del momento y preparado para recibir las nuevas.  La adopción de ISO 17799 presenta diferentes ventajas para la organización, entre ellas el primer paso para la certificación según UNE 71502.
  14. 14. Artículo XIII. RECOMENDACIONES 14Existen sesiones de capacitación ofrecidas por compañías como BSI que están familiarizadascon la certificación al ISO 17799 y los procesos de implementación. Las sesiones decapacitación se llevan a cabo en lugares públicos o pueden ser llevadas a cabo en su propiaempresa.Para más información, contacte a BSI Management Systems: informacion@bsiamericas.como visite: www.bsiamericas.com/seguridaddelainformacion.
  15. 15. Artículo XIV. BibliografíaBSI Managemen System. (2001).¿Qué es la norma ISO 17799? y razones para que ustedla quiera.Villalon Huerta, A.(2004). El Sistema de Gestión de Seguridad de la Información.Recuperado el 10 de Diciembre de 2012 de http://www.shutdown.es/ISO17799.pdf 15
  16. 16. Artículo XV. ApéndiceNorma ISO 17799: La Norma ISO 17799 es la norma internacional que ofrece recomendacionespara realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, 16implantar o mantener la seguridad de una organización.ISO: La Organización Internacional de Normalización o ISO (del griego, ἴσος (isos), igual), nacidatras la Segunda Guerra Mundial(23 de febrero de 1947), es el organismo encargado de promover eldesarrollo de normas internacionales de fabricación (tanto de productos como de servicios),comercio y comunicación para todas las ramas industriales a excepción de la eléctrica y laelectrónica. Su función principal es la de buscar la estandarización de normas de productos yseguridad para las empresas u organizaciones (públicas o privadas) a nivel internacional.Sistema de Gestión de la seguridad de la Información: Un Sistema de Gestión de la seguridadde la Información (SGSI) es, como el nombre lo sugiere, un conjunto de políticas de administraciónde la información. El término es utilizado principalmente por la ISO/IEC 27001. El término sedenomina en Inglés "Information Security Management System" (ISMS).seguridad de la información: Se entiende por seguridad de la información a todas aquellasmedidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicosque permitan resguardar y proteger la información buscando mantener la confidencialidad, ladisponibilidad e integridad de la misma.El concepto de seguridad de la información no debe ser confundido con el de seguridad informática,ya que este último sólo se encarga de la seguridad en el medio informático, pero la informaciónpuede encontrarse en diferentes medios o formas, y no solo en medios informáticos.
  17. 17. Artículo XVI. Anexo 17

×