SlideShare ist ein Scribd-Unternehmen logo

norma iso 17799

Laura Miranda Dominguez
Laura Miranda Dominguez
1 von 17
Downloaden Sie, um offline zu lesen
1 Asignatura Auditoria y seguridad de sistemas Catedrático: Ing. Edw yn sanders rivera Presentado por: Laura Edelmira Miranda Domínguez San Pedro Sula, 13 de Diciembre de 2012
Contenido: Artículo I. Objetivos .................................................................................................................................... 3 Sección 1.01 Objetivos generales............................................................................................................ 3 Sección 1.02 Objetivos Específicos ........................................................................................................ 3 Artículo II. Introducción ............................................................................................................................... 4 Artículo III. METODOLOGIA .................................................................................................................. 5 2 Artículo IV. OBJETIVO DE LA NORMA ISO 17799.............................................................................. 6 Artículo V. AREAS DE CONTROL DE SEGURIDAD .......................................................................... 6 Artículo VI. Estructura de la norma iso 17799 (Dominios de control) ..................................................... 8 Sección 6.01 POLÍTICA DE SEGURIDAD ........................................................................................... 8 Sección 6.02 ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD ............................................ 8 Sección 6.03 CLASIFICACIÓN Y CONTROL DE ACTIVOS ............................................................. 9 Sección 6.04 SEGURIDAD LIGADA AL PERSONAL ........................................................................ 9 Sección 6.05 SEGURIDAD FÍSICA Y DEL ENTORNO ...................................................................... 9 Sección 6.06 GESTIÓN DE COMUNICACIONES Y OPERACIONES............................................... 9 Artículo VII. VENTAJAS PARA LA ADOPCION DE LA NORMA ISO 17799 .................................. 10 Artículo VIII. ORIENTACION DE LA NORMA ISO 17799 ................................................................... 10 Artículo IX. Implementar un Sistema ISO 17799 .................................................................................... 10 Artículo X. ISO 17799 y Requisitos Reglamentarios ............................................................................. 11 Artículo XI. Certificación al ISO 17799 .................................................................................................. 12 Sección 11.01 ¿Qué quiere decir estar certificado al ISO 17799? ...................................................... 12 Artículo XII. Conclusiones ........................................................................................................................ 13 Artículo XIII. RECOMENDACIONES ...................................................................................................... 14 Sección 13.01 ¿Dónde puedo saber más acerca de implementar el ISO 17799? ................................ 14 Sección 13.02 ¿Qué es lo siguiente que debo hacer? ¿Dónde puedo encontrar más información? ¿Quién me puede ayudar? ......................................................................................................................... 14 Artículo XIV. Bibliografía .......................................................................................................................... 15 Artículo XV. Apéndice .............................................................................................................................. 16 Artículo XVI. Anexo ................................................................................................................................... 17 Sección 16.01 Historia de la Norma ISO 17799 ................................................................................. 17 Sección 16.02 Una auditoría ISO 17799 proporciona información precisa acerca del nivel de cumplimiento de la norma a diferentes niveles: global, por dominios, por objetivos y por controles. ..... 17
Artículo I. Objetivos 3  Conocer los fundamentos de la Norma internacional ISO 17799 para gestión de la seguridad de la información.  Analizar los objetivos de la Norma internacional ISO 17799.  Enumerar las áreas de control de seguridad que abarca la Norma internacional ISO 17799.  Identificar la estructura de la Norma internacional ISO 17799.  Enumerar las ventajas que presenta la aplicación de la Norma internacional ISO 17799.  Plantear el tipo de metodología utilizada para el desarrollo del tema.
Artículo II. Introducción La Norma ISO 17799 es la norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización. 4 Existen multitud de estándares aplicables a diferentes niveles pero ISO 17799 como estándar internacional, es el más extendido y aceptado. La Norma ISO 17799 es el Sistema de Gestión de Seguridad de la Información (Informational Security Management Systems, ISMS) reconocido internacionalmente. El ISO 17799 proporciona un amplio concepto de lo que un ISMS puede hacer para proteger la información de una organización. La norma define a la información como un activo que tiene valor en una organización; y como todos los activos, es imperativo mantener su valor para el éxito de una organización. El ISO 17799 es una norma del Sistema de Gestión de Seguridad de la Información, reconocida internacionalmente. Proporciona las pautas para la implementación basada en las sugerencias que deben ser consideradas por una organización para poder construir un programa comprensivo de gestión de seguridad de la información.
Artículo III. METODOLOGIA La metodología utilizada para la elaboración del presente informe fue Tema de Investigación. La metodología aclara –en forma muy detallada– los pasos y procedimientos utilizados para llevar a cabo la investigación. 5 Esta metodología incluye la descripción de: a) El tipo y modalidad de investigación que se usará para alcanzar la meta propuesta en el objetivo general –los verbos seleccionados indican los alcances y enfoques de la investigación. • Justifique las razones por las que se ha seleccionado esa forma de acercamiento al objeto de estudio y no otra. b) Las fuentes de investigación documental que se revisaran: reportes de investigación, libros, revistas, manuales, Internet, entre otros. c) Si hay necesidad de trabajo de campo, indicar las técnicas a utilizar: cuestionarios, entrevistas, observaciones in situ, etc.
Artículo IV. OBJETIVO DE LA NORMA ISO 17799 Proporcionar una base para desarrollar normas de seguridad dentro de las 6 Organización Establece transacciones y Método de gestión OBJETIVO relaciones de eficaz de la seguridad confianza entre empresas Aplicable a todo tipo de organizacion Artículo V. AREAS DE CONTROL DE SEGURIDAD Los fundamentos de un buen sistema de gestión de seguridad de la información; eso son las 10 áreas de control de seguridad. Estas áreas de control son las categorías amplias de controles. Cada área tiene objetivos de controles y controles existentes.
1. Política de Seguridad: La política documentada ayuda a proyectar las metas de seguridad de la información de una organización. Debe estar claramente redactada y comprensible para sus lectores. La política ayuda a la administración con el manejo de la seguridad de la información a través de la organización. 2. Seguridad Organizacional: Este control de seguridad delimita cómo la alta administración puede dirigir la implementación de seguridad de la información dentro de una organización. Proporciona un foro para revisar y aprobar las políticas de seguridad y asignar los roles de seguridad. 3. Clasificación y Control de Activos: Administrar los activos físicos e intelectuales que son 7 importantes para mantener las protecciones apropiadas. Determina la responsabilidad de quién es dueño de qué activo de la organización. 4. Seguridad del Personal: La evaluación y asignación de las responsabilidades de seguridad de los empleados permite una administración de recursos humanos más efectiva. Las responsabilidades de la seguridad deben ser determinadas durante el reclutamiento de todo el personal y durante toda la propiedad del empleado en la compañía. 5. Seguridad Física y Ambiental: Asegurar las áreas físicas y los ambientes de trabajo dentro de la organización contribuye significativamente a la administración de la seguridad de la información. Cualquier persona que se relaciona con su establecimiento físico, así sean los empleados, proveedores o clientes, tienen un papel enorme en determinar la protección de seguridad organizacional. 6. Administración de Comunicaciones y Operaciones: Transmitir claramente las instrucciones de seguridad a los empleados ayuda a administrar las operaciones diarias de los recursos de procesamiento de información. 7. Control de Acceso: Administrar los niveles de acceso de todos los empleados ayuda a controlar la seguridad de la información en una organización. Controlar niveles de acceso a la red puede llegar a ser un factor crítico de éxito cuando se protegen los sistemas de documentación o información en la red. 8. Desarrollo y Mantenimiento de Sistemas: La administración de la seguridad es imperativa en el desarrollo, mantenimiento y operación exitosa de un sistema de información. 9. Administración de la Continuidad de Negocios: Al utilizar los controles de seguridad contra desastres naturales, interrupciones operacionales y fallas potenciales de seguridad ayuda a fomentar la continuidad de funciones del negocio. 10. Observancia.- El uso de asesores legales se está volviendo más importante para asegurar la observancia de una organización con las obligaciones contractuales, la ley y requisitos de seguridad.
Artículo VI. Estructura de la norma ISO 17799 (Dominios de control) 8 Dirigir y dar soporte a la gestión de la seguridad de la información. • La alta dirección debe definir una política que refleje las líneas directrices de la organización en materia de seguridad, aprobarla y publicitarla de la forma adecuada a todo el personal implicado en la seguridad de la información. • La política se constituye en la base de todo el sistema de seguridad de la información. • La alta dirección debe apoyar visiblemente la seguridad de la información en la compañía.  Gestionar la seguridad de la información dentro de la organización.  Mantener la seguridad de los recursos de tratamiento de la información y de los activos de información de la organización que son accedidos por terceros.  Mantener la seguridad de la información cuando la responsabilidad de su tratamiento se ha externalizado a otra organización. • Debe diseñarse una estructura organizativa dentro de la compañía que defina las responsabilidades que en materia de seguridad tiene cada usuario o área de trabajo relacionada con los sistemas de información de cualquier forma. • Dicha estructura debe poseer un enfoque multidisciplinar: los problemas de seguridad no son exclusivamente técnicos.
 Mantener una protección adecuada sobre los activos de la organización.  Asegurar un nivel de protección adecuado a los activos de información. • Debe definirse una clasificación de los activos relacionados con los sistemas de información, manteniendo un inventario actualizado que registre estos datos, y proporcionando a cada activo el nivel de protección adecuado a su criticidad en la organización. 9  Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y los servicios.  Asegurar que los usuarios son conscientes de las amenazas y riesgos en el ámbito de la seguridad de la información, y que están preparados para sostener la política de seguridad de la organización en el curso normal de su trabajo.  Minimizar los daños provocados por incidencias de seguridad y por el mal funcionamiento, controlándolos y aprendiendo de ellos.  Evitar accesos no autorizados, daños e interferencias contra los locales y la información de la organización.  Evitar pérdidas, daños o comprometer los activos así como la interrupción de las actividades de la organización.  Prevenir las exposiciones a riesgo o robos de información y de recursos de tratamiento de información.  Asegurar la operación correcta y segura de los recursos de tratamiento de información.  Minimizar el riesgo de fallos en los sistemas.  Proteger la integridad del software y de la información.  Mantener la integridad y la disponibilidad de los servicios de tratamiento de información y comunicación.  Asegurar la salvaguarda de la información en las redes y la protección de su infraestructura de apoyo.  Evitar daños a los activos e interrupciones de actividades de la organización.  Prevenir la pérdida, modificación o mal uso de la información intercambiada entre organizaciones.
Artículo VII. VENTAJAS PARA LA ADOPCION DE LA NORMA ISO 17799  Aumento de la seguridad efectiva de los sistemas de información.  Correcta planificación y gestión de la seguridad.  Garantías de continuidad del negocio  Mejora continua a través del proceso de auditoría interna.  Incremento de los niveles de confianza de los clientes y socios de negocios. 10 Artículo VIII. ORIENTACION DE LA NORMA ISO 17799  La norma ISO 17799 no es una norma tecnológica.  La seguridad de la información es un asunto que compete a la alta gerencia no al área tecnológica, por lo cual es un asunto empresarial.  La gente toma decisiones de seguridad basados en los riesgos percibidos no en los riesgos reales, por lo cual el análisis de riesgos es fundamental para los negocios. Artículo IX. Implementar un Sistema ISO 17799 Una compañía debe empezar definiendo una aproximación a la evaluación de riesgo. Durante este acercamiento, se debe llevar a cabo una revisión de todas las violaciones potenciales de seguridad. Esto no debe relacionarse solamente a los sistemas de TI, sino que debe abarcar toda la información delicada dentro de su organización. Las técnicas que se utilizan en una evaluación de riesgo son las siguientes: 1. Identificar los riesgos de los activos físicos e informativos de su compañía.
2. Evaluar los riesgos identificados en todas las áreas de control de seguridad. 3. Identificar y evaluar opciones para el tratamiento de riesgos y tomar acción para administrar y manejar los riesgos apropiadamente. 4. Seleccionar un sistema de controles con eficiencia de costos y con objetivos que son apropiados para administrar y tratar los riesgos. 5. Preparar una Declaración de Aplicación. Este documento presenta objetivos de control, controles seleccionados y liga los resultados de evaluación de riesgos y procesos de 11 tratamiento de riesgos. Una vez que la aproximación de la evaluación de riesgo ha sido establecida, el próximo paso que se debe tomar para implementar el ISO 17799 es llevar a cabo una auditoria interna. La aproximación a la evaluación de riesgo debe ser parte de un programa de auditoría interna. El programa utiliza los controles de seguridad que fueron seleccionados para determinar qué aspectos de su organización deben ser medidos, analizados y mejorados antes de implementar un Sistema de Gestión de Seguridad de la Información como ISO 17799. Implementar un ISMS como el ISO 17799 puede traer múltiples beneficios a una organización. Artículo X. ISO 17799 y Requisitos Reglamentarios Un Sistema de Gestión de Seguridad de la Información (ISMS) integrado, basado en el ISO 17799, cubre la necesidad de un acercamiento estructurado para iniciar, implementar, mantener y administrar la seguridad de la información dentro de cualquier organización. Al utilizar el ISO 17799 como base para su ISMS, su sistema de gestión puede ser evaluado por terceros, como BSI Management Systems y ser compatible con requisitos reglamentarios, tales como HIPAA y partes de Sarbanes-Oxley. El proceso agrega un valor significativo a la eficacia continua de la seguridad de la información de su sistema. El diseño, operación, uso y administración de los sistemas de información pueden ser sujetos a requisitos estatutarios o seguridad contractual. El ISMS recomienda el consejo de asesores legales para cumplir los requisitos. Por ejemplo, Sarbanes-Oxley delinea objetivos de control del sistema de información para mantener la calidad e integridad de la información del reporte financiero, que puede ser controlado con personal y herramientas de seguridad de acceso.
Artículo XI. Certificación al ISO 17799 Quiere decir que una tercera parte, tal como BSI, visita y evalúa la manera que funciona el 12 Sistema de Gestión de Seguridad de la Información y sus procesos dentro de la compañía. Si todo se está ejecutando de acuerdo con los requisitos de la norma, esta tercera parte que está calificada como casa certificadora emite un certificado registrando su compañía al ISO 17799. Esto da una verificación independiente a los clientes y otros asociados que una compañía utiliza prácticas reconocidas internacionalmente para la gestión de seguridad de la información.
Artículo XII. Conclusiones  ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la 13 gestión de la seguridad de la información  La norma se estructura en diez dominios de control que cubren por completo todos los aspectos relativos a la seguridad de la información.  Implantar ISO 17799 puede requerir de un trabajo de consultoría que adapte los requerimientos de la norma a las necesidades de cada organización.  Además considero que la a educación es un proceso interminable, puesto que cada día se aprende cosas nuevas o se actualizan las ya conocidas o aprendidas, es decir, que la educación es un proceso permanente, por eso debemos estar in con las tecnologías del momento y preparado para recibir las nuevas.  La adopción de ISO 17799 presenta diferentes ventajas para la organización, entre ellas el primer paso para la certificación según UNE 71502.
Artículo XIII. RECOMENDACIONES 14 Existen sesiones de capacitación ofrecidas por compañías como BSI que están familiarizadas con la certificación al ISO 17799 y los procesos de implementación. Las sesiones de capacitación se llevan a cabo en lugares públicos o pueden ser llevadas a cabo en su propia empresa. Para más información, contacte a BSI Management Systems: informacion@bsiamericas.com o visite: www.bsiamericas.com/seguridaddelainformacion.
Artículo XIV. Bibliografía BSI Managemen System. (2001).¿Qué es la norma ISO 17799? y razones para que usted la quiera. Villalon Huerta, A.(2004). El Sistema de Gestión de Seguridad de la Información. Recuperado el 10 de Diciembre de 2012 de http://www.shutdown.es/ISO17799.pdf 15
Artículo XV. Apéndice Norma ISO 17799: La Norma ISO 17799 es la norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, 16 implantar o mantener la seguridad de una organización. ISO: La Organización Internacional de Normalización o ISO (del griego, ἴσος (isos), 'igual'), nacida tras la Segunda Guerra Mundial(23 de febrero de 1947), es el organismo encargado de promover el desarrollo de normas internacionales de fabricación (tanto de productos como de servicios), comercio y comunicación para todas las ramas industriales a excepción de la eléctrica y la electrónica. Su función principal es la de buscar la estandarización de normas de productos y seguridad para las empresas u organizaciones (públicas o privadas) a nivel internacional. Sistema de Gestión de la seguridad de la Información: Un Sistema de Gestión de la seguridad de la Información (SGSI) es, como el nombre lo sugiere, un conjunto de políticas de administración de la información. El término es utilizado principalmente por la ISO/IEC 27001. El término se denomina en Inglés "Information Security Management System" (ISMS). seguridad de la información: Se entiende por seguridad de la información a todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma. El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.
Artículo XVI. Anexo 17

Empfohlen

Trabajo iso-17799
Trabajo iso-17799Trabajo iso-17799
Trabajo iso-17799
Kevin Quiroz Flores
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
Freddy Fernando Cajamarca Sarmiento
 
Nist
NistNist
Nist
Yessica B. Leyva Avalos
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Cecilia Hernandez
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información
Jonathan López Torres
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
jralbornoz
 
Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016
Ricardo Urbina Miranda
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Ramiro Cid
 

Empfohlen

Trabajo iso-17799
Trabajo iso-17799Trabajo iso-17799
Trabajo iso-17799
Kevin Quiroz Flores
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
Freddy Fernando Cajamarca Sarmiento
 
Nist
NistNist
Nist
Yessica B. Leyva Avalos
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Cecilia Hernandez
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información
Jonathan López Torres
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
jralbornoz
 
Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016
Ricardo Urbina Miranda
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Ramiro Cid
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
Johanna Pazmiño
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Primala Sistema de Gestion
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
Iestp Instituto Superior
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
Juan Fernando Jaramillo
 
Iso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion Sgsi
Jhonny Willians Franco Delgado
 
1.6 Activos Informáticos
1.6 Activos Informáticos1.6 Activos Informáticos
1.6 Activos Informáticos
Meztli Valeriano Orozco
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
Jessicakatherine
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
José María Apellidos
 
Iso 17799 (2)
Iso 17799 (2)Iso 17799 (2)
Iso 17799 (2)
Yadi De La Cruz
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
Angel Ricardo Marchan Collazos
 
iso 27005
iso 27005iso 27005
iso 27005
Pamelita TA
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo
Abby Ramirez
 
Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019
Ricardo Urbina Miranda
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
ana anchundia
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
Tensor
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la información
ROBERTH CHAVEZ
 
Metodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activosMetodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activos
Alexander Velasque Rimac
 
Information security: importance of having defined policy & process
Information security: importance of having defined policy & processInformation security: importance of having defined policy & process
Information security: importance of having defined policy & process
Information Technology Society Nepal
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
UPTAEB
 
Hacking ético
Hacking éticoHacking ético
Hacking ético
Paulo Colomés
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02
lizardods
 
Punteros
PunterosPunteros
Punteros
marcosmendozap
 

Weitere ähnliche Inhalte

Was ist angesagt?

Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la información
ROBERTH CHAVEZ
 
Metodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activosMetodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activos
Alexander Velasque Rimac
 

Was ist angesagt? (20)

Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Iso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion Sgsi
 
1.6 Activos Informáticos
1.6 Activos Informáticos1.6 Activos Informáticos
1.6 Activos Informáticos
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 
Iso 17799 (2)
Iso 17799 (2)Iso 17799 (2)
Iso 17799 (2)
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 
iso 27005
iso 27005iso 27005
iso 27005
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo
 
Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la información
 
Metodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activosMetodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activos
 
Information security: importance of having defined policy & process
Information security: importance of having defined policy & processInformation security: importance of having defined policy & process
Information security: importance of having defined policy & process
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
 
Hacking ético
Hacking éticoHacking ético
Hacking ético
 

Ähnlich wie norma iso 17799

Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsi
santosperez
 
Documentos final.11.7
Documentos final.11.7Documentos final.11.7
Documentos final.11.7
Whitman Perez
 
Politicas y medidas de seguridad
Politicas y medidas de seguridadPoliticas y medidas de seguridad
Politicas y medidas de seguridad
Carolina Cols
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine
 
Paper - Gestiones de Seguridad de la Información en las Organizaciones.pdf
Paper - Gestiones de Seguridad de la Información en las Organizaciones.pdfPaper - Gestiones de Seguridad de la Información en las Organizaciones.pdf
Paper - Gestiones de Seguridad de la Información en las Organizaciones.pdf
NAVIRAGISSELAANGULOM
 
Expo informacion final
Expo informacion finalExpo informacion final
Expo informacion final
cc11203942
 
Políticas generales de_seguridad
Políticas generales de_seguridadPolíticas generales de_seguridad
Políticas generales de_seguridad
Luis Martinez
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informática
yuliaranda
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informática
yuliaranda
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informática
yuliaranda
 

Ähnlich wie norma iso 17799 (20)

Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02
 
Punteros
PunterosPunteros
Punteros
 
Electiva cpc iso 270001
Electiva cpc iso 270001Electiva cpc iso 270001
Electiva cpc iso 270001
 
Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsi
 
Documentos final.11.7
Documentos final.11.7Documentos final.11.7
Documentos final.11.7
 
Politicas y medidas de seguridad
Politicas y medidas de seguridadPoliticas y medidas de seguridad
Politicas y medidas de seguridad
 
NORMAS ISO
NORMAS ISO NORMAS ISO
NORMAS ISO
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Paper - Gestiones de Seguridad de la Información en las Organizaciones.pdf
Paper - Gestiones de Seguridad de la Información en las Organizaciones.pdfPaper - Gestiones de Seguridad de la Información en las Organizaciones.pdf
Paper - Gestiones de Seguridad de la Información en las Organizaciones.pdf
 
Expo informacion final
Expo informacion finalExpo informacion final
Expo informacion final
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la Información
 
Políticas generales de_seguridad
Políticas generales de_seguridadPolíticas generales de_seguridad
Políticas generales de_seguridad
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsi
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informática
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informática
 
Articles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridadArticles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridad
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informática
 

Mehr von Laura Miranda Dominguez

Mehr von Laura Miranda Dominguez (20)

Cómo crear una encuesta con Google Forms.pdf
Cómo crear una encuesta con Google Forms.pdfCómo crear una encuesta con Google Forms.pdf
Cómo crear una encuesta con Google Forms.pdf
 
Contenido de Taller de Marketing digital.pdf
Contenido de Taller de Marketing digital.pdfContenido de Taller de Marketing digital.pdf
Contenido de Taller de Marketing digital.pdf
 
Pasos para crear una firma en gmail.pdf
Pasos para crear una firma en gmail.pdfPasos para crear una firma en gmail.pdf
Pasos para crear una firma en gmail.pdf
 
Fundamentos de Base de Datos 1.pdf
Fundamentos de Base de Datos 1.pdfFundamentos de Base de Datos 1.pdf
Fundamentos de Base de Datos 1.pdf
 
Manual Laboratorio de Computacion III de III BTP en Informatica Segundo Parci...
Manual Laboratorio de Computacion III de III BTP en Informatica Segundo Parci...Manual Laboratorio de Computacion III de III BTP en Informatica Segundo Parci...
Manual Laboratorio de Computacion III de III BTP en Informatica Segundo Parci...
 
Actividad # 4 2021 informatica i (primer parcial)
Actividad # 4 2021 informatica i (primer parcial)Actividad # 4 2021 informatica i (primer parcial)
Actividad # 4 2021 informatica i (primer parcial)
 
Actividad # 3 2021 informatica i (primer parcial)
Actividad # 3 2021 informatica i (primer parcial)Actividad # 3 2021 informatica i (primer parcial)
Actividad # 3 2021 informatica i (primer parcial)
 
Actividad # 2 2021 informatica i (primer parcial)
Actividad # 2 2021 informatica i (primer parcial)Actividad # 2 2021 informatica i (primer parcial)
Actividad # 2 2021 informatica i (primer parcial)
 
Actividad # 1 2021 informatica i (primer parcial)
Actividad # 1 2021 informatica i (primer parcial)Actividad # 1 2021 informatica i (primer parcial)
Actividad # 1 2021 informatica i (primer parcial)
 
Actividad # 5 2021 laboratorio de informatica 1 (primer parcial)
Actividad # 5 2021 laboratorio de informatica 1 (primer parcial)Actividad # 5 2021 laboratorio de informatica 1 (primer parcial)
Actividad # 5 2021 laboratorio de informatica 1 (primer parcial)
 
Actividad # 4 2021 laboratorio de informatica 1 (primer parcial)
Actividad # 4 2021 laboratorio de informatica 1 (primer parcial)Actividad # 4 2021 laboratorio de informatica 1 (primer parcial)
Actividad # 4 2021 laboratorio de informatica 1 (primer parcial)
 
Actividad # 3 2021 laboratorio de informatica 1 (primer parcial)
Actividad # 3 2021 laboratorio de informatica 1 (primer parcial)Actividad # 3 2021 laboratorio de informatica 1 (primer parcial)
Actividad # 3 2021 laboratorio de informatica 1 (primer parcial)
 
Actividad # 2 2021 laboratorio de informatica 1 (primer parcial)
Actividad # 2 2021 laboratorio de informatica 1 (primer parcial)Actividad # 2 2021 laboratorio de informatica 1 (primer parcial)
Actividad # 2 2021 laboratorio de informatica 1 (primer parcial)
 
Actividad # 4 2021 informatica (primer parcial)
Actividad # 4 2021 informatica (primer parcial)Actividad # 4 2021 informatica (primer parcial)
Actividad # 4 2021 informatica (primer parcial)
 
Actividad # 3 2021 informatica (primer parcial)
Actividad # 3 2021 informatica (primer parcial)Actividad # 3 2021 informatica (primer parcial)
Actividad # 3 2021 informatica (primer parcial)
 
Actividad # 1 2021 informatica (primer parcial)
Actividad # 1 2021 informatica (primer parcial)Actividad # 1 2021 informatica (primer parcial)
Actividad # 1 2021 informatica (primer parcial)
 
Actividad # 2 2021 informatica (primer parcial)
Actividad # 2 2021 informatica (primer parcial)Actividad # 2 2021 informatica (primer parcial)
Actividad # 2 2021 informatica (primer parcial)
 
Manual de analisis y diseños de sistemas i de ii btp informatica segundo parc...
Manual de analisis y diseños de sistemas i de ii btp informatica segundo parc...Manual de analisis y diseños de sistemas i de ii btp informatica segundo parc...
Manual de analisis y diseños de sistemas i de ii btp informatica segundo parc...
 
Complemento del manual de programacion iii sql
Complemento del manual de programacion iii sqlComplemento del manual de programacion iii sql
Complemento del manual de programacion iii sql
 
Manual de laboratorio de informatica iii
Manual de laboratorio de informatica iiiManual de laboratorio de informatica iii
Manual de laboratorio de informatica iii
 

norma iso 17799

  • 1. 1 Asignatura Auditoria y seguridad de sistemas Catedrático: Ing. Edw yn sanders rivera Presentado por: Laura Edelmira Miranda Domínguez San Pedro Sula, 13 de Diciembre de 2012
  • 2. Contenido: Artículo I. Objetivos .................................................................................................................................... 3 Sección 1.01 Objetivos generales............................................................................................................ 3 Sección 1.02 Objetivos Específicos ........................................................................................................ 3 Artículo II. Introducción ............................................................................................................................... 4 Artículo III. METODOLOGIA .................................................................................................................. 5 2 Artículo IV. OBJETIVO DE LA NORMA ISO 17799.............................................................................. 6 Artículo V. AREAS DE CONTROL DE SEGURIDAD .......................................................................... 6 Artículo VI. Estructura de la norma iso 17799 (Dominios de control) ..................................................... 8 Sección 6.01 POLÍTICA DE SEGURIDAD ........................................................................................... 8 Sección 6.02 ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD ............................................ 8 Sección 6.03 CLASIFICACIÓN Y CONTROL DE ACTIVOS ............................................................. 9 Sección 6.04 SEGURIDAD LIGADA AL PERSONAL ........................................................................ 9 Sección 6.05 SEGURIDAD FÍSICA Y DEL ENTORNO ...................................................................... 9 Sección 6.06 GESTIÓN DE COMUNICACIONES Y OPERACIONES............................................... 9 Artículo VII. VENTAJAS PARA LA ADOPCION DE LA NORMA ISO 17799 .................................. 10 Artículo VIII. ORIENTACION DE LA NORMA ISO 17799 ................................................................... 10 Artículo IX. Implementar un Sistema ISO 17799 .................................................................................... 10 Artículo X. ISO 17799 y Requisitos Reglamentarios ............................................................................. 11 Artículo XI. Certificación al ISO 17799 .................................................................................................. 12 Sección 11.01 ¿Qué quiere decir estar certificado al ISO 17799? ...................................................... 12 Artículo XII. Conclusiones ........................................................................................................................ 13 Artículo XIII. RECOMENDACIONES ...................................................................................................... 14 Sección 13.01 ¿Dónde puedo saber más acerca de implementar el ISO 17799? ................................ 14 Sección 13.02 ¿Qué es lo siguiente que debo hacer? ¿Dónde puedo encontrar más información? ¿Quién me puede ayudar? ......................................................................................................................... 14 Artículo XIV. Bibliografía .......................................................................................................................... 15 Artículo XV. Apéndice .............................................................................................................................. 16 Artículo XVI. Anexo ................................................................................................................................... 17 Sección 16.01 Historia de la Norma ISO 17799 ................................................................................. 17 Sección 16.02 Una auditoría ISO 17799 proporciona información precisa acerca del nivel de cumplimiento de la norma a diferentes niveles: global, por dominios, por objetivos y por controles. ..... 17
  • 3. Artículo I. Objetivos 3  Conocer los fundamentos de la Norma internacional ISO 17799 para gestión de la seguridad de la información.  Analizar los objetivos de la Norma internacional ISO 17799.  Enumerar las áreas de control de seguridad que abarca la Norma internacional ISO 17799.  Identificar la estructura de la Norma internacional ISO 17799.  Enumerar las ventajas que presenta la aplicación de la Norma internacional ISO 17799.  Plantear el tipo de metodología utilizada para el desarrollo del tema.
  • 4. Artículo II. Introducción La Norma ISO 17799 es la norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización. 4 Existen multitud de estándares aplicables a diferentes niveles pero ISO 17799 como estándar internacional, es el más extendido y aceptado. La Norma ISO 17799 es el Sistema de Gestión de Seguridad de la Información (Informational Security Management Systems, ISMS) reconocido internacionalmente. El ISO 17799 proporciona un amplio concepto de lo que un ISMS puede hacer para proteger la información de una organización. La norma define a la información como un activo que tiene valor en una organización; y como todos los activos, es imperativo mantener su valor para el éxito de una organización. El ISO 17799 es una norma del Sistema de Gestión de Seguridad de la Información, reconocida internacionalmente. Proporciona las pautas para la implementación basada en las sugerencias que deben ser consideradas por una organización para poder construir un programa comprensivo de gestión de seguridad de la información.
  • 5. Artículo III. METODOLOGIA La metodología utilizada para la elaboración del presente informe fue Tema de Investigación. La metodología aclara –en forma muy detallada– los pasos y procedimientos utilizados para llevar a cabo la investigación. 5 Esta metodología incluye la descripción de: a) El tipo y modalidad de investigación que se usará para alcanzar la meta propuesta en el objetivo general –los verbos seleccionados indican los alcances y enfoques de la investigación. • Justifique las razones por las que se ha seleccionado esa forma de acercamiento al objeto de estudio y no otra. b) Las fuentes de investigación documental que se revisaran: reportes de investigación, libros, revistas, manuales, Internet, entre otros. c) Si hay necesidad de trabajo de campo, indicar las técnicas a utilizar: cuestionarios, entrevistas, observaciones in situ, etc.
  • 6. Artículo IV. OBJETIVO DE LA NORMA ISO 17799 Proporcionar una base para desarrollar normas de seguridad dentro de las 6 Organización Establece transacciones y Método de gestión OBJETIVO relaciones de eficaz de la seguridad confianza entre empresas Aplicable a todo tipo de organizacion Artículo V. AREAS DE CONTROL DE SEGURIDAD Los fundamentos de un buen sistema de gestión de seguridad de la información; eso son las 10 áreas de control de seguridad. Estas áreas de control son las categorías amplias de controles. Cada área tiene objetivos de controles y controles existentes.
  • 7. 1. Política de Seguridad: La política documentada ayuda a proyectar las metas de seguridad de la información de una organización. Debe estar claramente redactada y comprensible para sus lectores. La política ayuda a la administración con el manejo de la seguridad de la información a través de la organización. 2. Seguridad Organizacional: Este control de seguridad delimita cómo la alta administración puede dirigir la implementación de seguridad de la información dentro de una organización. Proporciona un foro para revisar y aprobar las políticas de seguridad y asignar los roles de seguridad. 3. Clasificación y Control de Activos: Administrar los activos físicos e intelectuales que son 7 importantes para mantener las protecciones apropiadas. Determina la responsabilidad de quién es dueño de qué activo de la organización. 4. Seguridad del Personal: La evaluación y asignación de las responsabilidades de seguridad de los empleados permite una administración de recursos humanos más efectiva. Las responsabilidades de la seguridad deben ser determinadas durante el reclutamiento de todo el personal y durante toda la propiedad del empleado en la compañía. 5. Seguridad Física y Ambiental: Asegurar las áreas físicas y los ambientes de trabajo dentro de la organización contribuye significativamente a la administración de la seguridad de la información. Cualquier persona que se relaciona con su establecimiento físico, así sean los empleados, proveedores o clientes, tienen un papel enorme en determinar la protección de seguridad organizacional. 6. Administración de Comunicaciones y Operaciones: Transmitir claramente las instrucciones de seguridad a los empleados ayuda a administrar las operaciones diarias de los recursos de procesamiento de información. 7. Control de Acceso: Administrar los niveles de acceso de todos los empleados ayuda a controlar la seguridad de la información en una organización. Controlar niveles de acceso a la red puede llegar a ser un factor crítico de éxito cuando se protegen los sistemas de documentación o información en la red. 8. Desarrollo y Mantenimiento de Sistemas: La administración de la seguridad es imperativa en el desarrollo, mantenimiento y operación exitosa de un sistema de información. 9. Administración de la Continuidad de Negocios: Al utilizar los controles de seguridad contra desastres naturales, interrupciones operacionales y fallas potenciales de seguridad ayuda a fomentar la continuidad de funciones del negocio. 10. Observancia.- El uso de asesores legales se está volviendo más importante para asegurar la observancia de una organización con las obligaciones contractuales, la ley y requisitos de seguridad.
  • 8. Artículo VI. Estructura de la norma ISO 17799 (Dominios de control) 8 Dirigir y dar soporte a la gestión de la seguridad de la información. • La alta dirección debe definir una política que refleje las líneas directrices de la organización en materia de seguridad, aprobarla y publicitarla de la forma adecuada a todo el personal implicado en la seguridad de la información. • La política se constituye en la base de todo el sistema de seguridad de la información. • La alta dirección debe apoyar visiblemente la seguridad de la información en la compañía.  Gestionar la seguridad de la información dentro de la organización.  Mantener la seguridad de los recursos de tratamiento de la información y de los activos de información de la organización que son accedidos por terceros.  Mantener la seguridad de la información cuando la responsabilidad de su tratamiento se ha externalizado a otra organización. • Debe diseñarse una estructura organizativa dentro de la compañía que defina las responsabilidades que en materia de seguridad tiene cada usuario o área de trabajo relacionada con los sistemas de información de cualquier forma. • Dicha estructura debe poseer un enfoque multidisciplinar: los problemas de seguridad no son exclusivamente técnicos.
  • 9.  Mantener una protección adecuada sobre los activos de la organización.  Asegurar un nivel de protección adecuado a los activos de información. • Debe definirse una clasificación de los activos relacionados con los sistemas de información, manteniendo un inventario actualizado que registre estos datos, y proporcionando a cada activo el nivel de protección adecuado a su criticidad en la organización. 9  Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y los servicios.  Asegurar que los usuarios son conscientes de las amenazas y riesgos en el ámbito de la seguridad de la información, y que están preparados para sostener la política de seguridad de la organización en el curso normal de su trabajo.  Minimizar los daños provocados por incidencias de seguridad y por el mal funcionamiento, controlándolos y aprendiendo de ellos.  Evitar accesos no autorizados, daños e interferencias contra los locales y la información de la organización.  Evitar pérdidas, daños o comprometer los activos así como la interrupción de las actividades de la organización.  Prevenir las exposiciones a riesgo o robos de información y de recursos de tratamiento de información.  Asegurar la operación correcta y segura de los recursos de tratamiento de información.  Minimizar el riesgo de fallos en los sistemas.  Proteger la integridad del software y de la información.  Mantener la integridad y la disponibilidad de los servicios de tratamiento de información y comunicación.  Asegurar la salvaguarda de la información en las redes y la protección de su infraestructura de apoyo.  Evitar daños a los activos e interrupciones de actividades de la organización.  Prevenir la pérdida, modificación o mal uso de la información intercambiada entre organizaciones.
  • 10. Artículo VII. VENTAJAS PARA LA ADOPCION DE LA NORMA ISO 17799  Aumento de la seguridad efectiva de los sistemas de información.  Correcta planificación y gestión de la seguridad.  Garantías de continuidad del negocio  Mejora continua a través del proceso de auditoría interna.  Incremento de los niveles de confianza de los clientes y socios de negocios. 10 Artículo VIII. ORIENTACION DE LA NORMA ISO 17799  La norma ISO 17799 no es una norma tecnológica.  La seguridad de la información es un asunto que compete a la alta gerencia no al área tecnológica, por lo cual es un asunto empresarial.  La gente toma decisiones de seguridad basados en los riesgos percibidos no en los riesgos reales, por lo cual el análisis de riesgos es fundamental para los negocios. Artículo IX. Implementar un Sistema ISO 17799 Una compañía debe empezar definiendo una aproximación a la evaluación de riesgo. Durante este acercamiento, se debe llevar a cabo una revisión de todas las violaciones potenciales de seguridad. Esto no debe relacionarse solamente a los sistemas de TI, sino que debe abarcar toda la información delicada dentro de su organización. Las técnicas que se utilizan en una evaluación de riesgo son las siguientes: 1. Identificar los riesgos de los activos físicos e informativos de su compañía.
  • 11. 2. Evaluar los riesgos identificados en todas las áreas de control de seguridad. 3. Identificar y evaluar opciones para el tratamiento de riesgos y tomar acción para administrar y manejar los riesgos apropiadamente. 4. Seleccionar un sistema de controles con eficiencia de costos y con objetivos que son apropiados para administrar y tratar los riesgos. 5. Preparar una Declaración de Aplicación. Este documento presenta objetivos de control, controles seleccionados y liga los resultados de evaluación de riesgos y procesos de 11 tratamiento de riesgos. Una vez que la aproximación de la evaluación de riesgo ha sido establecida, el próximo paso que se debe tomar para implementar el ISO 17799 es llevar a cabo una auditoria interna. La aproximación a la evaluación de riesgo debe ser parte de un programa de auditoría interna. El programa utiliza los controles de seguridad que fueron seleccionados para determinar qué aspectos de su organización deben ser medidos, analizados y mejorados antes de implementar un Sistema de Gestión de Seguridad de la Información como ISO 17799. Implementar un ISMS como el ISO 17799 puede traer múltiples beneficios a una organización. Artículo X. ISO 17799 y Requisitos Reglamentarios Un Sistema de Gestión de Seguridad de la Información (ISMS) integrado, basado en el ISO 17799, cubre la necesidad de un acercamiento estructurado para iniciar, implementar, mantener y administrar la seguridad de la información dentro de cualquier organización. Al utilizar el ISO 17799 como base para su ISMS, su sistema de gestión puede ser evaluado por terceros, como BSI Management Systems y ser compatible con requisitos reglamentarios, tales como HIPAA y partes de Sarbanes-Oxley. El proceso agrega un valor significativo a la eficacia continua de la seguridad de la información de su sistema. El diseño, operación, uso y administración de los sistemas de información pueden ser sujetos a requisitos estatutarios o seguridad contractual. El ISMS recomienda el consejo de asesores legales para cumplir los requisitos. Por ejemplo, Sarbanes-Oxley delinea objetivos de control del sistema de información para mantener la calidad e integridad de la información del reporte financiero, que puede ser controlado con personal y herramientas de seguridad de acceso.
  • 12. Artículo XI. Certificación al ISO 17799 Quiere decir que una tercera parte, tal como BSI, visita y evalúa la manera que funciona el 12 Sistema de Gestión de Seguridad de la Información y sus procesos dentro de la compañía. Si todo se está ejecutando de acuerdo con los requisitos de la norma, esta tercera parte que está calificada como casa certificadora emite un certificado registrando su compañía al ISO 17799. Esto da una verificación independiente a los clientes y otros asociados que una compañía utiliza prácticas reconocidas internacionalmente para la gestión de seguridad de la información.
  • 13. Artículo XII. Conclusiones  ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la 13 gestión de la seguridad de la información  La norma se estructura en diez dominios de control que cubren por completo todos los aspectos relativos a la seguridad de la información.  Implantar ISO 17799 puede requerir de un trabajo de consultoría que adapte los requerimientos de la norma a las necesidades de cada organización.  Además considero que la a educación es un proceso interminable, puesto que cada día se aprende cosas nuevas o se actualizan las ya conocidas o aprendidas, es decir, que la educación es un proceso permanente, por eso debemos estar in con las tecnologías del momento y preparado para recibir las nuevas.  La adopción de ISO 17799 presenta diferentes ventajas para la organización, entre ellas el primer paso para la certificación según UNE 71502.
  • 14. Artículo XIII. RECOMENDACIONES 14 Existen sesiones de capacitación ofrecidas por compañías como BSI que están familiarizadas con la certificación al ISO 17799 y los procesos de implementación. Las sesiones de capacitación se llevan a cabo en lugares públicos o pueden ser llevadas a cabo en su propia empresa. Para más información, contacte a BSI Management Systems: informacion@bsiamericas.com o visite: www.bsiamericas.com/seguridaddelainformacion.
  • 15. Artículo XIV. Bibliografía BSI Managemen System. (2001).¿Qué es la norma ISO 17799? y razones para que usted la quiera. Villalon Huerta, A.(2004). El Sistema de Gestión de Seguridad de la Información. Recuperado el 10 de Diciembre de 2012 de http://www.shutdown.es/ISO17799.pdf 15
  • 16. Artículo XV. Apéndice Norma ISO 17799: La Norma ISO 17799 es la norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, 16 implantar o mantener la seguridad de una organización. ISO: La Organización Internacional de Normalización o ISO (del griego, ἴσος (isos), 'igual'), nacida tras la Segunda Guerra Mundial(23 de febrero de 1947), es el organismo encargado de promover el desarrollo de normas internacionales de fabricación (tanto de productos como de servicios), comercio y comunicación para todas las ramas industriales a excepción de la eléctrica y la electrónica. Su función principal es la de buscar la estandarización de normas de productos y seguridad para las empresas u organizaciones (públicas o privadas) a nivel internacional. Sistema de Gestión de la seguridad de la Información: Un Sistema de Gestión de la seguridad de la Información (SGSI) es, como el nombre lo sugiere, un conjunto de políticas de administración de la información. El término es utilizado principalmente por la ISO/IEC 27001. El término se denomina en Inglés "Information Security Management System" (ISMS). seguridad de la información: Se entiende por seguridad de la información a todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma. El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.
  • 17. Artículo XVI. Anexo 17