La norma ISO 17799 proporciona recomendaciones para gestionar la seguridad de la información en las organizaciones. Se estructura en once dominios de control relacionados con aspectos como la política de seguridad, clasificación de activos, seguridad física, control de accesos y desarrollo de sistemas. Su objetivo es establecer una base para desarrollar normas de seguridad internas y crear confianza entre empresas manejando la información de forma segura.

1. ISO 17799
SILVIA YULIETH HERNANDEZ GOMEZ
ADRIANA CHAVEZ DE LA CRUZ
SEGURIDAD Y PRIVACIDAD DE LA INFORMACION

2. ¿QUÉ ES LA NORMA
ISO 17799?
Es una norma internacional que ofrece
recomendaciones para realizar la gestión de la
seguridad de la información dirigidas a los
responsables de iniciar, implantar o mantener la
seguridad de una organización.

3. 1995 1998 2000 2002 2004
HISTORIA
British
Standard
Institute
BS 7799
BS 7799-2
BS 7799 Se
denomina ISO/IEC
17799
ISO se adopta como
UNE 17799
UNE 71502 basada
en BS 7799-2

4. OBJETIVO DE LA
NORMA ISO 17799

5. OBJETIVO
Proporcionar una base
para desarrollar normas
de seguridad dentro de
las Organización
Establece
transacciones y
relaciones de
confianza entre
empresas
Aplicable a todo
tipo de
organización
Método de gestión
eficaz de la
seguridad

6. ESTRUCTURA DE LA NORMA ISO
17799 (DOMINIOS DE CONTROL)

7. POLÍTICA DE SEGURIDAD
ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD
Dirigir y dar soporte a la gestión de la seguridad de la
información.
Gestionar la seguridad de la información
dentro de la organización.
Mantener la seguridad de la información cuando
la responsabilidad de su tratamiento se ha
externalizado a otra organización.
Mantener la seguridad de los recursos de tratamiento de
la información y de los activos de información de la
organización que son accedidos por terceros.

8. CLASIFICACIÓN Y CONTROL DE ACTIVOS
Mantener una protección adecuada sobre los
activos de la organización.
Asegurar un nivel de protección adecuado a los
activos de información.

9. SEGURIDAD LIGADA AL PERSONAL
Reducir los
riesgos de
errores
humanos,
robos, fraudes
o mal uso de
las
instalaciones y
los servicios.
Asegurar que los usuarios son
conscientes de las amenazas
y riesgos en el ámbito de la
seguridad de la
información, y que están
preparados para sostener la
política de seguridad de la
organización en el curso
normal de su trabajo.
Minimizar los
daños
provocados por
incidencias de
seguridad y por
el mal
funcionamiento,
controlándolos y
aprendiendo de
ellos.

10. SEGURIDAD FÍSICA Y DEL ENTORNO
Evitar accesos no
autorizados, daños
e interferencias
contra los locales
y la información
de la
organización.
Evitar pérdidas,
daños o
comprometer los
activos así como
la interrupción de
las actividades de
la organización.
Prevenir las
exposiciones a
riesgo o robos
de información
y de recursos de
tratamiento de
información.

11. GESTIÓN DE COMUNICACIONES Y OPERACIONES
Asegurar Minimizar
Proteger Mantener
Evitar Prevenir

12. CONTROL DE ACCESOS
Controlar accesos a
información
Evitar acceso de usuarios no
autorizados.
Protección de los servicios
en red.
Detectar actividades no
autorizadas.
Garantizar la seguridad de la
información
1
3
2
4
5

13. DESARROLLO Y MANTENIMIENTO DE SISTEMAS
Asegurar que la seguridad está
incluida dentro de los SI
Evitar pérdidas, modificaciones o mal uso
de los datos.
Proteger confidencialidad, autenticidad e
integridad de la información.
Asegurar que los proyectos de Tecnología de la
Información sean llevadas a cabo de una forma segura
Mantener la seguridad del software y la información de la
aplicación del sistema.

14. GESTIÓN DE CONTINUIDAD DEL NEGOCIO
 Reaccionar a la interrupción de actividades del
negocio y proteger sus procesos críticos frente
grandes fallos o desastres.
Maximizar la efectividad y minimizar la
interferencia
CONFORMIDAD
Evitar el incumplimiento de cualquier ley
Garantizar la alineación de los
sistemas con la política de seguridad
de la organización

15. VENTAJAS PARA LA ADOPCION
DE LA NORMA ISO 17799
 Aumento de la seguridad efectiva de los sistemas de
información.
 Correcta planificación y gestión de la seguridad.
 Garantías de continuidad del negocio
 Mejora continua a través del proceso de auditoría
interna.
 Incremento de los niveles de confianza de los clientes
y socios de negocios.

16. ORIENTACION DE LA NORMA ISO
17799
 La norma ISO 17799 no es una norma tecnológica.
 La seguridad de la información es un asunto que compete a
la alta gerencia no al área tecnológica, por lo cual es un
asunto empresarial.
 La gente toma decisiones de seguridad basados en los
riesgos percibidos no en los riesgos reales, por lo cual el
análisis de riesgos es fundamental para los negocios.

17. IMPLANTACION DE UN SISTEMA ISO
17799
Identificar los riesgos de los activos físicos e
informativos de su compañía.
Evaluar los riesgos identificados en todas las áreas
de control de seguridad.
Identificar y evaluar opciones para el tratamiento de
riesgos y tomar acción para administrar y manejarlos
Seleccionar un sistema de controles con eficiencia
de costos
Preparar una Declaración de Aplicación.
1
3
2
4
5

18. CONCLUSIONES
 ISO 17799 es una norma internacional que
ofrece recomendaciones para realizar la gestión
de la seguridad de la información
 La norma se estructura en once dominios de
control que cubren por completo todos los
aspectos relativos a la seguridad de la
información.
 Implantar ISO 17799 puede requerir de un
trabajo de consultoría que adapte los
requerimientos de la norma a las necesidades
de cada organización.

19. GRACIAS 