Universitario(a):

Materia:
Fecha:
 ISO/IEC 17799 Seguridad de información
ISO (La Organización Internacional de Estandarización) e IEC (la Comisión Electrotecnia
Internacional) forman el sistema especializado para la estandarización mundial. Los organismos
internacionales miembros de ISO e IEC participan en el desarrollo de estándares internacionales a
través de los comités establecidos por la organización respectiva para lidiar con áreas particulares de
la actividad técnica.
ISO/IEC 17799 fue preparada por el comité técnico conjunto de ISO/IEC JTC1, tecnología de la
información, subcomité SC 27, técnicas de seguridad TI.
Seguridad de la información
La seguridad de la información se define como la preservación de:

 Confidencialidad: Aseguramiento de que la información es accesible solo para aquellos

autorizados a tener acceso.
 Integridad: Garantía de la exactitud y totalidad de la información y de los métodos de
procesamiento.
 Disponibilidad: Aseguramiento de que los usuarios autorizados tienen acceso cuando lo
requieran a la información y a los recursos relacionados.
Su objetivo:

 Es la de asegurar la continuidad de la empresa.

 Mantener la competitividad, la rentabilidad, los recursos generales, el cumplimiento de las
leyes y la imagen comercial.
 Minimizar el riesgo.
 Maximizar las oportunidades.
La información es un activo que, como otros activos comerciales importantes, es esencial para el
negocio de una organización y en consecuencia necesita ser protegido adecuadamente. Esto es
especialmente importante en el ambiente comercial cada vez más interconectado. Como resultado de
esta creciente interconectividad, la información ahora está expuesta a un número cada vez mayor y
una variedad más amplia de amenazas y vulnerabilidades.
La información puede existir en muchas formas. Puede estar impresa o escrita en un papel,
almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos, mostrada en
películas o hablada en una conversación. Cualquiera que sea la información, o medio por el cual sea
almacenada o compartida, siempre debiera estar apropiadamente protegida.
La seguridad de la información es la protección de la información de un rango amplio de amenazas
para poder asegurar la continuidad del negocio, minimizar el riesgo comercial y maximizar el retorno
de las inversiones y las oportunidades comerciales.
La seguridad de la información se logra implementando un adecuado conjunto de controles;
incluyendo políticas, procesos, procedimientos, estructuras organizacionales y funciones de software
y hardware. Se necesita establecer, implementar, monitorear, revisar y mejorar estos controles cuando
sea necesario para asegurar que se cumplan los objetivos de seguridad y comerciales específicos. Esto
se debiera realizar en conjunto con otros procesos de gestión del negocio.
¿Por qué se necesita seguridad de la información?
La organización y sus sistemas y redes de información enfrentan amenazas de seguridad de un amplio
rango de fuentes; incluyendo fraude por computadora, espionaje, sabotaje, vandalismo, fuego o
inundación. Las causas de daño como código malicioso, pirateo computarizado o negación de ataques
de servicio se hacen cada vez más comunes, más ambiciosas y cada vez mas sofisticadas.
La seguridad de la información es importante tanto para negocios del sector público como privado, y
para proteger la infraestructura crítica. En ambos sectores, la seguridad de la información funcionara
como un facilitador; por ejemplo para lograr e-gobierno o e-negocio, para evitar o reducir los riesgos
relevantes. La interconexión de redes públicas y privadas y el intercambio de fuentes de información
incrementan la dificultad de lograr un control del acceso. La tendencia a la computación distribuida
también ha debilitado la efectividad de un control central y especializado.
¿Cómo establecer los requerimientos de seguridad?
Es esencial que una organización identifique sus requerimientos de seguridad, existen tres fuentes
principales de requerimientos de seguridad.
Una fuente se deriva de avaluar los riesgos para la organización, tomando en cuenta la estrategia
general y los objetivos de la organización. A través de la evaluación de riesgos, se identifican las
amenazas para activos, se evalúa la vulnerabilidad y la probabilidad de ocurrencia y se calcula el
impacto potencial.
Otras fuentes son los requerimientos legales, reguladores, estatuarios y contractuales que tienen que
satisfacer una organización, sus socios comerciales, contratistas y proveedores de servicio; y su
ambiente socio- cultural.
¿Qué sucede si falla?

 Perdida o falsos datos financieros.

 Perdida de negocio, clientes y cuota de mercado.
 Responsabilidad legal – denuncias, litigios, multas, etc.
 Daño a la imagen de la empresa
 Interrupción de la operaciones
 Mayores costos de operación
 Costo de recuperación para volver a la situación inicial.
Evaluación y análisis de Riesgos
Análisis de riesgos: Es una consideración sistemática

 Se estima el impacto potencial de una falla de seguridad en los negocios y sus posibles
consecuencias de perdida de la confidencialidad, integridad o disponibilidad.
 Se evalúa la probabilidad de ocurrencia de dicha falla tomando en cuenta las amenazas,
vulnerabilidades y controles implementados.
 Establecimiento de PRIORIDADES y ACCIONES
Sistemas de gestión de la seguridad de la información
La norma ISO 17799 recoge la relación de controles a aplicar para establecer un sistema de gestión
de la seguridad de la información.
Conjunto completo de controles que conforman las buenas prácticas de seguridad de información.

 Redactas de forma flexible e independiente de cualquier solución de seguridad concreta.

 Proporciona buenas prácticas neutrales con respecto a tecnologías o fabricantes específicos.
 Aplicable a todo tipo de organizaciones, con independencia de su tamaño u orientación de
negocio.
Gestión de la seguridad de información
La norma ISO 17799:2005 establece once dominios de control que cubren por completo la gestión de
la seguridad de la información:
1. Política de seguridad: Dirigir y dar soporte a la gestión de la seguridad de la información –
directrices y recomendaciones.
2. Aspectos organizativos de la seguridad: Gestión dentro de la organización (recursos., activos,
tercerización, etc.)
3. Clasificación y control de activos: Inventario a nivel de protección de los activos.
4. Seguridad ligada al personal: Reducir riesgos de errores humanos, robos, fraudes o mal de
uso de recursos.
5. Seguridad física y del entorno: Evitar accesos no autorizados, violación, daños o
perturbaciones a las instalaciones y a los datos.
6. Gestión de comunicaciones y operaciones: Asegurar la operación correcta y segura de los
recursos de tratamientos de información.
7. Control de accesos: Evitar accesos no autorizados a los sistemas de información (de usuarios,
computadores, etc.)
8. Desarrollo y mantenimiento de sistemas: Asegurar que la seguridad está incorporada dentro
de los sistemas de información. Evitar pérdidas, modificaciones, mal uso.
9. Gestión de incidentes: Gestionar los incidentes que afectan la seguridad de la información.
10. Gestión de continuidad del negocio: Reaccionar a la interrupción de las actividades del
negocio y proteger a sus procesos críticos frente a fallas, atraque o desastres.
11. Conformidad con la legislación: Evitar el incumplimiento de leyes, regulaciones, aligaciones
y de otros requerimientos de seguridad.
De estos once dominios se derivan los objetos de control, resultados que se esperan alcanzar mediante
la implementación de controles y los controles, que son las prácticas, procedimientos y/o mecanismos
que reducen el nivel de riesgo.
Ventajas de adopción de la norma ISO17799

 Aumento de la seguridad efectiva de los sistemas de información.

 Correcta planificación y gestión de la seguridad.
 Garantías de continuidad del negocio.
 Mejora continua a través del proceso de auditoría interna.
 Incremento de los niveles de confianza de los clientes y socios de negocio.
 Aumento del valor comercial y mejora de la imagen de la organización.
Orientación de la norma ISO 17799

 La norma ISO 17799 no es una norma tecnológica.

  La seguridad de la información es un asunto que compete a la alta gerencia no al área
tecnológica, por lo cual es un asunto empresarial.
 La gente toma decisiones de seguridad basados en los riesgos percibidos no en los riesgos
reales, por lo cual el análisis de riesgos en fundamental para los negocios.
En conclusión ISO 17799

 Es una norma internacional que ofrece recomendaciones para realizar la gestión de la

seguridad de la información.
 La norma se estructura en once dominios de control que cubren por completo todos los
aspectos relativos a la seguridad de la información.
 Implantar ISO 17799 puede requerir de un trabajo de consultoría que adapte los
requerimientos de la norma a las necesidades de cada organización.
 La adopción de ISO 17799 presenta múltiples ventajas para la organización, entre ellas el
primer paso para una certificación ISO 27001, pero ni la adopción de ISO 17799, ni la
certificación garantizan la inmunidad de la organización frente a problemas de seguridad.
 Hay que hacer análisis periódicos de los riesgos y monitorear continuamente la situación.
 La seguridad no es un tema de un día ni un tema exclusivos del departamento de TI.
 Hay que prepararse para entender la norma y avanzar en los seguimientos de las
recomendaciones establecida.