La norma ISO/IEC 17799 proporciona recomendaciones para la gestión de la seguridad de la información en 11 secciones. Establece los objetivos y controles de seguridad para asegurar la confidencialidad, integridad y disponibilidad de la información. En Perú, la norma es de uso obligatorio para instituciones públicas desde 2004 y está a cargo de su cumplimiento la ONGEI.
1. BASADO EN EL ISO 17799
SOBRE SEGURIDAD INFORMATICA
2. La Normalización es una actividad necesaria, de
elevada importancia que según AENOR (1993)
"pretende establecer un proceso por el cual se
unifican criterios respecto a determinadas materias y
se posibilita la utilización de un lenguaje común en
un campo de actividad concreto", y que además puede
ser creativa y apasionante si se enfoca
adecuadamente.
3. Es la expresión práctica de la normalización mediante la
cual el fabricante, consumidores, usuarios y
administradores acuerdan las características técnicas que
deberá reunir un producto o un servicio. La ISO (1992) la
define como: "Especificación técnica accesible al público,
establecida con la cooperación y el consenso o la
aprobación general de todas las partes interesadas, basadas
en los resultados conjuntos de la ciencia y la tecnología y la
experiencia, que tiene por objetivo el beneficio óptimo de la
comunidad y que ha sido aprobado por un organismo
cualificado a nivel nacional, regional o internacional." Es
decir que es un documento técnico voluntario que contiene
especificaciones de calidad, terminología, métodos de
ensayo, información de rotulado, etc.
4. Fabricantes a través de sus organizaciones sectoriales y en
su condición de empresa;
Usuarios y consumidores a través de sus organizaciones y
a título personal;
Administración pública, como veladora del bien público y
de los intereses de los ciudadanos;
Centros de investigación y laboratorios aportando su
experiencia y dictamen técnico;
Profesionales a través de asociaciones y colegios
profesionales o empresas;
Expertos en el tema que se normalice, nombrados a título
personal"
5. En Perú, la Normalización como actividad sistemática
y organizada es de origen reciente. Como primer
intento de unificación, se dio la Ley de Pesas y
Medidas el 16 de diciembre de 1862, siendo Presidente
el General Miguel San Román, por la que se estableció
el Sistema Métrico Decimal, cambiando las unidades
de medida usadas hasta ese momento en el país, que
se derivaran principalmente de las coloniales e
incaicas. Posteriormente, la preocupación por la
normalización se plasma en una serie de reglamentos
y códigos de construcción.
6. La normalización tal como se entiende actualmente,
se inicia con la creación del Instituto Nacional de
Normas Técnicas Industriales y Certificación
(INANTIC) con ley de Promoción Industrial Nº 13270
de noviembre de 1959, que continuó sus actividades
hasta 1970. La Ley General de Industrias D.L. Nº 18350
y posteriormente, los D.L. 19262 y 19565 crean y fijan
objetivos y funciones del Instituto Nacional de
Investigación Tecnológica y Normas Técnicas
(ITINTEC), que funcionó hasta noviembre de 1992.
Actualmente las labores de normalización están a
cargo del Instituto Nacional de Defensa de la
Competencia y de la Protección de la Propiedad
Intelectual (INDECOPI), creado por Ley 25818 del 24
de noviembre de 1992.
7. La Organización Internacional para la Estandarización (ISO) es una
federación de alcance mundial integrada por cuerpos de
estandarización nacionales de 130 países, uno por cada país.
La ISO es una organización no gubernamental establecida en 1947. La
misión de la ISO es promover el desarrollo de la estandarización y las
actividades con ella relacionada en el mundo con la mira en facilitar el
intercambio de servicios y bienes, y para promover la cooperación en
la esfera de lo intelectual, científico, tecnológico y económico.
Todos los trabajos realizados por la ISO resultan en acuerdos
internacionales los cuales son publicados como Estándares
Internacionales.
8. ISO 17799 es una norma internacional que ofrece
recomendaciones para realizar la gestión de la seguridad
de la información dirigidas a los responsables de iniciar,
implantar o mantener la seguridad de una organización.
ISO 17799 define la información como un activo que
posee valor para organización y requiere por tanto de una
protección adecuada.
El objetivo de la seguridad de la información es
proteger adecuadamente este activo para asegurar la
continuidad del negocio, minimizar los daños a la
organización y maximizar el retorno de las inversiones y
las oportunidades de negocio.
9. La seguridad de la información se define como la
preservación de Integridad, Disponibilidad y
Confidencialidad de los activos de información.
El objetivo de la norma es proporcionar una base
común para desarrollar normas de seguridad dentro
de las organizaciones y ser una práctica eficaz de la
gestión de la seguridad.
La adaptación peruana de la norma es la NORMA
TECNICA PERUANA NTP-ISO/IEC 17799
10. La presente Norma Técnica Peruana fue elaborada por el Comité
Técnico de Normalización de Codificación e Intercambio
Electrónico de Datos (EDI), mediante el Sistema 1 u Adopción,
durante los meses de agosto a noviembre del 2003, utilizando
como antecedente a la Norma ISO/IEC 17799:2000 Information
technology – Code of practice for information security
management.
El Comité Técnico de Normalización de Codificación e
Intercambio Electrónico de Datos (EDI) presentó a la Comisión de
Reglamentos Técnico y Comerciales -CRT, con fecha 2003-12-02, el
PNTP-ISO/IEC 17799:2003 para su revisión y aprobación; siendo
sometido a la etapa de Discusión Pública el 2004-01-27. No
habiéndose presentado ninguna observación, fue oficializada como
Norma Técnica Peruana NTP-ISO/IEC 17799:2004 EDI. Tecnología
de la información. Código de buenas prácticas para la gestión de la
seguridad de la información, 1ª Edición, el 27 marzo del 2004.
11. En Perú la ISO/IEC 17799:2000 es de uso obligatorio en
todas las instituciones públicas desde el año 2004,
estandarizando de esta forma los diversos proyectos y
metodologías en este campo, respondiendo a la necesidad
de seguridad por el uso intensivo de Internet y redes de
datos institucionales, la supervisión de su cumplimiento
esta a cargo de la Oficina Nacional de Gobierno
Electrónico e Informática – ONGEI.
ISO/IEC 17799 proporciona recomendaciones de las
mejores prácticas en la gestión de la seguridad de la
información a todos los interesados y responsables en
iniciar, implantar o mantener sistemas de gestión de la
seguridad de la información.
12. La seguridad de la Información se define en el estándar
como la preservación de la confidencialidad (asegurando
que sólo quienes estén autorizados pueden acceder a la
información), integridad (asegurando que la información y
sus métodos de proceso son exactos y completos) y
disponibilidad (asegurando que los usuarios autorizados
tienen acceso a la información y a sus activos asociados
cuando lo requieran).
13. Política de seguridad
Aspectos organizativos para la seguridad
Clasificación y control de activos
Seguridad ligada al personal
Seguridad física y del entorno
Gestión de comunicaciones y operaciones
Control de accesos
Desarrollo y mantenimiento de sistemas
Gestión de incidentes de seguridad de la información
Gestión de continuidad de negocio
Conformidad
14. Dentro de cada sección, se especifican los objetivos de
los distintos controles para la seguridad de la
información. Para cada uno de los controles se indica
asimismo una guía para su implantación. El número
total de controles suma 133 entre todas las secciones
aunque cada organización debe considerar
previamente cuántos serán realmente los aplicables
según sus propias necesidades.
Con la aprobación de la norma ISO/IEC 27001 en
octubre de 2005 y la reserva de la numeración 27.000
para la seguridad de la información, se espera que
ISO/IEC 17799:2005 pase a ser renombrado como
ISO/IEC 27002 en la revisión y actualización de sus
contenidos en el 2007.
15. Se encarga de dirigir y dar soporte a la gestión de la seguridad
de la información en concordancia con los requerimientos del
negocio, las leyes y regulaciones.
La gerencia debería establecer de forma clara las líneas de la
política de actuación y manifestar su apoyo y compromiso a la
seguridad de la información, publicando y manteniendo una
política de seguridad en toda la organización.
16. Gestionar la seguridad de la información dentro de la
organización.
Se deberá tomar una estructura de gestión para iniciar y controlar
la implantación de la seguridad de la información dentro de la
organización.
Es conveniente organizar foros de gestión adecuadas con las
gerencias para aprobar la política de seguridad de la información,
asignar roles de seguridad y coordinar la implantación de la
seguridad en toda la organización.
Si fuera necesario, se debería facilitarse el acceso dentro de la
organización a un equipo de consultores especializados en
seguridad de la información. Deberían desarrollarse contactos con
especialistas externos de seguridad para mantener al día en las
tendencias de la industria. La evolución de las normas y los
métodos de evaluación, así como tener un punto de enlace para
tratar las incidencias de seguridad. Debería fomentarse un enfoque
multidisciplinario de la seguridad de la información.
17. Mantener una protección adecuada sobre los activos de
la organización.
Todos los activos deben ser considerados y tener un
propietario asignado.
Deberían identificarse los propietarios para todos los
activos importantes. Y se debería asignar la
responsabilidad del mantenimiento de los controles
apropiados. La responsabilidad de la implantación de
controles debería delegarse. Pero la responsabilidad
debería mantenerse en el propietario designado al
activo.
18. Asegurar que los empleados, contratistas y terceros
entiendan sus responsabilidades y que sean adecuados
para los roles que han sido considerados, reduciendo el
riesgo de hurto, fraude o mal uso de instalaciones.
Las responsabilidades de la seguridad se deben tratar
antes del empleo en funciones adecuadas descritas y en
términos y condiciones del empleo.
Todos los candidatos para empleo, contratistas y usuarios
de terceros deben ser adecuadamente seleccionados,
especialmente para trabajos sensibles.
Empleados, contratistas, y terceros que utilizan las
instalaciones del procedimiento de la información deben
firmar un acuerdo de confidencialidad.
19. Evitar acceso no autorizados, daños de interferencias
contra los locales u la información de la organización.
Los recursos para el tratamiento de información
crítica o sensible para la organización deberían
ubicarse en áreas seguras protegidas por un perímetro
de seguridad definido, con barreras de seguridad y
controles de entrada apropiados. Se debería dar
protección física contra accesos no autorizados, daños
e interferencias.
Dicha proporción debería ser proporcionada a los
riesgos identificados.
20. Asegurar la operación correcta y segura de los
recursos de tratamiento informáticos.
Se debería establecer responsabilidades y
procedimientos para la gestión y operaciones de todos
los recursos de tratamiento de información. Esto
incluye el desarrollo de instrucciones apropiadas de
operación y procedimientos de la respuesta ante
incidencias.
Se impulsará la segregación de tareas, cuando sea
adecuado, para reducir el riesgo de un mal uso del
sistema deliberado o por negligencia.
21. Controlar los accesos a la información.
Se debería controlar el acceso a la información y los
procesos del negocio sobre la base de los requisitos de
seguridad y negocios.
Se deberían tener en cuenta para ellos las políticas de
distribución de la información y de autorizaciones.
22. Asegurar que la seguridad esté imbuida dentro de los
sistemas de información.
Esto incluirá la infraestructura, las aplicaciones de
negocios y las aplicaciones desarrolladas por usuarios.
El diseño y la implantación de los procesos de
negocios que soportan las aplicaciones o el servicio,
pueden ser cruciales para la seguridad. Los requisitos
de seguridad deberían ser identificados y
consensuados antes de desarrollar los sistemas de
información.
23. Asegurar que los eventos y debilidades en la seguridad de
información asociados con los sistemas de información
sean comunicados de una manera que permita que se
realice una acción correctiva a tiempo.
El reporte formal de eventos y los procedimientos de
escalada deben estar implementados.
Todos los empleados, contratistas y terceros deben estar al
tanto de los procedimientos para reportar los diferentes
tipos de eventos y debilidades que puedan tener impacto
en la seguridad de los activos organizacionales. Se les debe
requerir que reporten cualquier evento o debilidad en la
seguridad de información, lo más rápido posible, al punto
de contacto designado.
24. Reaccionar a la interrupción de actividades del
negocio y proteger sus procesos críticos frente a
grandes fallos de los sistemas de información o
desastres.
25. Evitar los incumplimientos de cualquier ley civil o penal,
reglamentario, regulación u oblicacion contractual, y de
todo requisito de seguridad.
El diseño, operación, uso y gestión de los sistemas de
información puede estar sujeto a requisitos estatuarios,
regulatorios y contractuales de seguridad.
Se debería buscar el asesoramiento sobre requisitos legales
específicos de los asesores legales de la organización, o de
profesionales del derecho calificados. Los requisitos
legales varían de un país a otro, al igual que en el caso de
las transmisiones internacionales de datos(datos creados
en un país y transmitidos a otro).
26.
27.
28. La norma ISO/IEC 17799 es una guía de buenas prácticas y no
especifica los requisitos necesarios que puedan permitir el
establecimiento de un sistema de certificación adecuado para
este documento.