SEGURIDAD INFORMATICA

NORMA ISO/IEC 17799 2005

1. ALCANCE
2. TERMINOS Y DEFINICIONES
3. ESTRUCTURA DE LA NORMA
4. EVALUACION Y TRATAMIENTO DE RIESGO
5. POLITICA DE SUGURIDA
6. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACION
7. ADMINISTRACION DE ACTIVO
8. SEGURIDAD DE DERECHOS HUMANOS
9. SEGURIDAD FISICA Y AMBIENTAL
10. GESTION DE COMUNICACIONES Y OPERACIONES
11. CONTROL DE ACCESO
12. DESARROLLO Y MANTENIMIENTO DE SISTEMAS
13. ADMINISTRACION DE INCIDENTES DE LA SEGURIDAD DE
INFORMACION
 RESUMEN DE LA NORMA ISO/IEC 17799 2005

1. ALCANCE

Primero que todo esta norma establece lineamientos y principios generales

para iniciar, implementar y mejorar de dirección de la seguridad de la
información en determinada organización.
Esta norma sirve de guía práctica para desarrollar normas de seguridad
organizacional, también practicas de dirección de seguridad, eficaces y
ayudara a elaborar actividades de confianza inter-organizacionales.

2. TERMINOS Y DEFINICIONES

- Ventaja ISO/IEC 13335-1:2004

- Control: medio de dirigir el riesgo incluyendo políticas, procedimientos entre
otros.
-Lineamientos: descripción que aclara que debe de ser hecho y como, para
poder llegar a cumplir los objetivos predispuestos en las políticas. ISO/IEC
13335-1:2004.

- Facilidades de procesamiento de información: Cualquier sistema de

procesamiento de información, servicio o infraestructura o ubicaciones físicas
que lo almacena.

- Seguridad de la información: preservación de la confidencialidad, integridad y

disponibilidad de la información, a lo cual se le puede sumar la autenticidad,
contabilidad, no repudio y confianza.

- Resultado de la seguridad de la información: ISO/IEC TR 18044:2004

- Incidente de la seguridad de la información: se considera una probabilidad

que comprometa operaciones comerciales y amenazar la seguridad de la
información. ISO/IEC TR 18044:2004.

- Política: intención y dirección expresada formalmente por la administración.

- Riesgos: es la combinación de la probabilidad de un evento y su

consecuencia. ISO/IEC GUIDE 73:2002

- Análisis de riesgo: uso de cierta información para identificar fuentes y estimar

el riesgo. ISO/IEC GUIDE 73:2002.

- Valoración de riesgos: es el proceso de análisis y evaluación del riesgo.

ISO/IEC GUIDE 73:2002

- Evaluación de riesgo: ISO/IEC GUIDE 73:2002

- Administración de riesgo: actividades y coordinación para guiar y controlar
una organización con respecto al riesgo; incluye valoración del riesgo,
tratamiento, aceptación y comunicación de este: ISO/IEC GUIDE 73:2002.

- Tratamiento del riesgo: es el proceso que permite la selección e

implementación de medidas para modificar el riesgo: ISO/IEC GUIDE 73:2002.

- Tercera parte: o tercera persona que se reconoce como independiente de las

partes involucradas. ISO/IEC GUIDE 2:1996.

- Amenaza: se toma como un evento que puede desencadenar un incidente

sobre un activo. ISO/IEC 13335-1:2004.

- Vulnerabilidad: posibilidad de que una amenaza se materialice. ISO/IEC

13335-1:2004.

3. ESTRUCTURA DE LA NORMA

El estándar presenta 11 clausulas de control de seguridad y dentro de las

cuales hay unas categorías, estas categorías son en total 39 y una clausula
introductoria a la evaluación y tratamiento de riesgos.

- Clausulas: cada clausula contiene una cantidad de categorías de seguridad.

. Política de seguridad (1)

. Organización de seguridad de la información (2)
. Ventajas de la administración (2)
. Seguridad de los recursos humanos (3)
. Seguridad física y ambiente (2)
. Administración de las comunicaciones y operaciones (10)
. Control de accesos (7)
. Adquisición, desarrollo y mantenimiento de sistemas de información (6)
. Incidente en la administración de la seguridad de la administración (2)
. Dirección continúa de negocios (1)
. Cumplimiento (3)

El orden no indica importancia de una sobre otra. Dependiendo de la situación

todas las clausulas podrían ser importantes, de tal manera que la organización
debe de identificar las clausulas aplicables a ella.

4. EVALUACION Y TRATAMIENTO DE RIEGOS.

- Evaluación de riegos: debe de identificar, cuantificar y poner criterio contra

propiedades de riesgo para la capacitación de este y hace los objetivos
relevantes para la organización. Los resultados de la evaluación deben de guiar
a la acción apropiada de la administración y cuales son las prioridades para
poder administrar esos riesgos.
La evaluación de riesgos incluye un análisis de riesgo y la misma evaluación;
esta evaluación se debe de hacer periódicamente para el tratamiento de
cambios en las exigencias de seguridad y en la situación de riesgo por ejemplo
en las ventajas, amenazas, vulnerabilidades, impactos. Evaluación de riesgo y
cuando ocurran cambios importantes.
El alcance de una evaluación puede ser de toda la organización, o un sistema
de información individual.

- Tratamiento del riesgo: antes de hacer un tratamiento la organización debe

decidir criterios para determinar si el riesgo puede ser aceptado o no. para
cada riesgo identificado se debe de tomar una decisión de tratamiento de
riesgo. Hay unas cuantas posibilidades:

a) aplicar controles apropiados para reducir el riesgo.

b) evitar el riesgo para que el riego no se convierta en ataque.
c) transferir riesgos a otras entidades como proveedores y aseguradoras.

Los controles pueden ser seleccionados de este estándar o de otros, también

pueden ser diseñados según la necesidad de la organización.

5. POLITICA DE SEGURIDAD

Objetivo: proporcionar dirección de la administración y apoyo para seguridad de

la información conforme exigencias de la organización y leyes relevantes y
regulaciones.

Control: un documento de política de seguridad debe de ser aprobado por la

administración, publicado y comunicado a todos los empleados y partes
externas relevantes.

Guía de implementación: el documento de política de seguridad debería de

declarar el compromiso de la administración y disponibilidad de acercamiento a
la organización a la administración de la seguridad de la información. Esta
política debe de ser comunicada de manera pertinente a todos los usuarios de
la organización de manera pertinente, accesible y comprensible. Si la
información de la política de la información ha de ser distribuida fuera de la
organización se debe de tomar precaución para no revelar información
importante. La información adicional puede ser encontrada en el ISO/IEC
13335-1:2004.

6. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACION

Objetivo: administrar la información dentro de la organización; si es necesaria

una fuente de asesoramiento de especialistas debería se hecha y establecida
dentro de la organización, ya que el contacto con especialistas de seguridad
externos a la organización incluyendo autoridades relevantes puede mantener
a la organización al tanto de tendencias industriales, monitoreo de estándares y
métodos de evaluación.
Dentro de este capitulo se encuentran las siguientes categorías:

- Compromiso de administración para la seguridad de la información

- Coordinación de la seguridad de la información
- Asignación de responsabilidades de seguridad de la información
- Proceso de autorización para instalaciones de informática
- Acuerdos de confidencialidad
Entre otras, la información adicional la puede encontrar en ISO/IEC 13335-
1:2004

7. ADMINISTRACION DE ACTIVO

Objetivo: alcanzar y mantener la protección del activo(s) de la organización,

todo el activo debe de ser considerado para tener un dueño. Los dueños son
responsables de los mantenimientos de control apropiados.
El activo debe de ser identificado en su totalidad para hacer y mantener un
inventario completo de este. La organización esta en la obligación de identificar
todo el activo y documentar la importancia de este. El inventario del activo debe
de incluir toda la información necesaria para reponerse de un desastre,
incluyendo el tipo de activo, formato, posición, back up de información, licencia,
y un valor de negocio; hay muchos tipos de activos, uno de ellos son:
- información
- activo de software
- activo físico
- servicios
- gente
- intangibles= reputación de la organización.

8. SEGURIDAD DE RECURSOS HUMANOS

Objetivo: asegurarse que los empleados, contratistas y usuarios de tercero

entiendan sus responsabilidades para los papeles que han sido contratados,
para reducir el riesgo de robo, fraude, o mal uso de las instalaciones; las
responsabilidades de seguridad deben ser especificadas antes de conceder el
empleo en descripciones de trabajo adecuadas y las condiciones de uso.
Los empleados, contratistas y terceros deben de firmar un acuerdo sobre sus
papeles de seguridad y responsabilidades. Los papeles de seguridad deben ser
definidos y comunicados claramente a candidatos de trabajo en el proceso de
pre empleo.
Verificar de fondo sobre candidatos de empleo, contratistas y terceros debe ser
hecho conforme a las leyes relevantes, regulaciones y ética y proporcional a los
requerimientos del negocio.

9. SEGURIDAD FISICA Y AMBIENTAL

Objetivo: prevenir el acceso no autorizado físico, daño o interferencia para los

permisos e información de la organización. Las instalaciones de proceso de
información crítica deben de estar en áreas aseguradas, protegidas por
perímetros de seguridad, incluyendo barreras físicas, controles de entrada y
sistema de vigilancia por cámaras para evitar el acceso no autorizado. Las
áreas seguras deben ser protegidas por controles de entrada apropiadas para
asegurar que solo tenga acceso personal autorizado, parámetros como: tiempo
y fecha de entrada y salida de visitantes, el acceso a áreas restringidas solo el
personal autorizado, vestimenta que identifique a los empleados y también un
documento que también lo identifique como tal, hacen que la seguridad de
control de acceso sea mas efectiva.
Se debe de tener en cuenta la protección contra amenazas externas y
ambientales, dentro de las cuales está la protección física contra el fuego,
inundación, terremoto, explosión, malestar civil, entre otras formas de desastre
natural o artificial.
Para contrarrestar lo anterior se deben de tener en cuenta las siguientes
precauciones:
- los materiales arriesgados o combustibles deben de ser almacenados en un
área segura,

- el equipo de back up y los medios de comunicación de respaldo deben de

estar en un lugar distinto en el que estén los equipos principales para evitar así
que en un desastre se pierda también los equipos de respaldo.

- el equipo contraincendios debe de ser el adecuado y estar instalado.

10. GESTION DE COMUNICACIÓNES Y OPERACIONES

Objetivo: garantizar el funcionamiento correcto y seguro de las instalaciones de

procesamiento de información.
Se deben documentar y mantener los procedimientos operativos de la
información, también se debe de llevar un control de cambios de la información
del sistema.
La planeación y aprobación de sistemas se utiliza o implementa para minimizar
el riesgo de fallas en los sistemas, deben realizarse proyecciones para futuros
requerimientos de capacidad con el fin de reducir el riesgo de sobrecarga del
sistema.
- protección contra software malicioso: para proteger la integridad del software
y la información; es necesario tomar medidas para detectar la introducción de
este tipo de software malicioso, dentro de la compañía es muy necesario el
descubrimiento, la prevención y el control de la recuperación para proteger
contra código malicioso, también concientizar a los empleados sobre este tipo
de software perjudicial y como combatirlos de una manera básica. La
instalación de antivirus y antimalware es una de las tantas maneras correctas
de combatir este tipo de código, se debe de tener instalado el antivirus en todos
los equipos de la compañía y sus licencias para poder que el antivirus actualice
su base de datos y así detectar los virus nuevos que salen.
- el back up es una parte muy parte muy importante dentro de la compañía, ya
que protege la información de la compañía frente a un desastre natural, del
daño de un equipo donde se almacene información vital, cambio o migración de
datos de datos de un lugar de forma segura. Se debe de asegurar que la copia
de respaldo sea totalmente correcta.

11. CONTROL DE ACCESO

Objetivo: controlar el acceso de la información. Deben de declararse las reglas

de control de acceso y derechos para cada usuario o grupo de usuarios
claramente. El acceso de control es físico y lógico y deben de considerarse
juntos; la administración de acceso del usuario trata de que se asegure el
acceso del usuario autorizado y prevenir el acceso desautorizado a información
de sistemas.
El objetivo del control de acceso de red es prevenir el acceso desautorizado a
los servicios conectados a una red de computadores.

12. ANALISIS Y MANTENIMIENTO DE SISTEMAS

Objetivo: asegurar que la seguridad es incorporada a los sistemas de

información, dentro de lo cual se incluirá infraestructura, aplicaciones
comerciales, servicios y aplicaciones desarrolladas por el usuario.
La seguridad en los sistemas de aplicación tiene como finalidad prevenir
errores, la pérdida, modificaciones o uso inadecuado de información en las
aplicaciones.
Los controles criptográficos protegen la confidencialidad, autenticidad o
integridad de la información, la administración de claves debe de estar en un
lugar para mantener el uso de técnicas criptográficas, debe ser desarrollada
una política en el uso de controles criptográficos para la protección de la
información.

13. ADMINISTRACION DE INCIDENTES DE LA SEGURIDAD DE LA

INFORMACION

Objetivo: asegurar que los eventos y debilidad de la seguridad de la

información asociados con sistemas de información son comunicados de
manera que permite tomar la acción correctiva. Los eventos de la seguridad de
la información deben ser reportados a través de los canales de dirección
apropiados tan pronto como sea posible, todos los empleados, contratistas y
usuarios deben ser consientes de sus responsabilidades para informar
cualquiera de los eventos lo mas inmediatamente posible. Algunos ejemplos de
eventos son:
* Perdida de servicio, equipo o instalaciones.
* Malfuncionamiento del sistema o sobrecarga.
* Errores humanos.
* Incumplimiento con políticas o lineamientos.
* Descontrol en cambios del sistema.
* Malfuncionamiento del hardware o software
* Violaciones de acceso.
El malfuncionamiento o anomalías del comportamiento del sistema podría ser
indicador de un ataque a la seguridad o violación de la seguridad actual y por lo
tanto debe de ser siempre reportado como evento de seguridad de la
información.