Resumen: ISO 17799

Surge de la norma britnica BS 7799, y se define como una gua protocolar en la

implementacin del sistema de administracin de la seguridad de la informacin. En general

proporciona las pautas para la implementacin basada en las sugerencias que

deben ser consideradas por una organizacin para poder construir un
programa comprensivo de gestin de seguridad de la informacin.
Se orienta a preservar los siguientes principios:

Confidencialidad: asegurar que, nicamente, personal autorizado tenga

acceso a la informacin.
Integridad: garantizar que la informacin no ser alterada, eliminada o
destruida por entidades no autorizadas; preservando exactitud y
completitud de la misma y de los mtodos de su procesamiento.
Disponibilidad: cerciorar que los usuarios autorizados tendrn acceso a
la informacin cuando la requieran y sus medios asociados.

La Norma ISO/IEC 17799 establece diez dominios de control que cubren (casi)
por completo la Gestin de la Seguridad de la Informacin:
1
2
3

5
6

8
9

Polticas de seguridad: el estndar define como obligatorias las polticas de seguridades

documentadas y procedimientos internos de la organizacin que permitan su actualizacin y
revisin por parte de un Comit de Seguridad.
Aspectos organizativos: establece el marco formal de seguridad que debe integrar una
organizacin.
Clasificacin y control de activos: el anlisis de riesgos generar el inventario de activos
que deber ser administrado y controlado con base en ciertos criterios de clasificacin y
etiquetado de informacin, es decir, los activos sern etiquetados de acuerdo con su nivel de
confidencialidad.
Seguridad ligada al personal: contrario a lo que uno se puede imaginar, no se orienta a la
seguridad del personal desde la ptica de proteccin civil, sino a proporcionar controles a las
acciones del personal que opera con los activos de informacin. Su objetivo es contar con los
elementos necesarios para mitigar el riesgo inherente a la interaccin humana, o sea,
establecer claras responsabilidades por parte del personal en materia de seguridad de la
informacin.
Seguridad fsica y del entorno: identificar los permetros de seguridad, de forma que se
puedan establecer controles en el manejo de equipos, transferencia de informacin y control
de los accesos a las distintas reas con base en el tipo de seguridad establecida.
Gestin de comunicaciones y operaciones: integrar los procedimientos de operacin de la
infraestructura tecnolgica y de controles de seguridad documentados, que van desde el
control de cambios en la configuracin de los equipos, manejo de incidentes, administracin
de aceptacin de sistemas, hasta el control de cdigo malicioso.
Control de accesos: habilitar los mecanismos que permitan monitorear el acceso a los
activos de informacin, que incluyen los procedimientos de administracin de usuarios,
definicin de responsabilidades o perfiles de seguridad y el control de acceso a las
aplicaciones.
Desarrollo y mantenimiento de sistemas: la organizacin debe disponer de procedimientos
que garanticen la calidad y seguridad de los sistemas desarrollados para tareas especficas
de la organizacin.
Gestin de continuidad del negocio: el sistema de administracin de la seguridad debe
integrar los procedimientos de recuperacin en caso de contingencias, los cuales debern ser

revisados de manera constante y puestos a prueba con la finalidad de determinar las

limitaciones de los mismos.
10 Cumplimiento o conformidad de la legislacin: la organizacin establecer los
requerimientos de seguridad que deben cumplir todos sus proveedores, socios y usuarios;
stos se encontrarn formalizados en los contratos o convenios.
En el ao 2007 la norma ISO 17799 pasa a formar parte de la familia de normas ISO 27000, y es
renombrada como la norma ISO 27002.

Bibliografa
http://es.kioskea.net/contents/600-iso-17799
http://es.slideshare.net/marieu.enriquez/norma-iso-17799
http://es.slideshare.net/lauramiranda16/norma-iso-1779915652263
http://es.wikipedia.org/wiki/ISO/IEC_27002
Norma Tcnica Peruana NTP-ISO/IEC 17799 2007 PDF