[CONSULTORA INTEGRAL DE TICS] ITESCAM

ING. RAFAEL J. CUEVAS MIJANGOS 1

3.1.2. GESTIN DE LA SEGURIDAD Y LA NORMA BS 7799 (ISO 17799)

Un Sistema de Gestin de la Seguridad de la Informacin (SGSI) debe
constituir un modelo de gestin que establezca unos procedimientos adecuados y
la planificacin e implantacin de controles de seguridad basados en una
evaluacin de riesgos y en una medicin de la eficacia de los mismos.
El objeto ltimo de estos Sistemas de Gestin es identificar los riesgos a los
que est sometida su informacin y asumirlos, minimizarlos, transferirlos o
controlarlos mediante una sistemtica definida, documentada y conocida por
todos, que se analiza y mejora constantemente.
Un Sistema de Gestin de la Seguridad de la Informacin ayuda a establecer
polticas y procedimientos en relacin a los objetivos de negocio de la
organizacin, con objeto de mantener un nivel de exposicin siempre menor al
nivel de riesgo que la propia organizacin ha decidido asumir, disminuyendo
vulnerabilidades e incrementando el valor de sus activos. (Ver la figura 1)

Figura 1. Riesgos de la organizacin
La norma BS 7799 de British Standard Institution (BSI) aparece por primera
vez en 1995, con objeto de proporcionar a cualquier empresa -britnica o no- un
conjunto de buenas prcticas para la gestin de la seguridad de su informacin.
[CONSULTORA INTEGRAL DE TICS] ITESCAM

ING. RAFAEL J. CUEVAS MIJANGOS 2

La primera parte de la norma (BS 7799-1) es una gua de buenas
prcticas, para la que no se establece un esquema de certificacin. Es la segunda
parte (BS 7799-2), publicada por primera vez en 1998, la que establece los
requisitos de un sistema de seguridad de la informacin (SGSI) para ser
certificable por una entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera
parte se adopt por International Organization for Standardization (ISO), sin
cambios sustanciales, como ISO 17799 en el ao 2000.
En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO
de sistemas de gestin.
En 2005, con ms de 1700 empresas certificadas en BS 7799-2, este
esquema se public por ISO como estndar ISO 27001, al tiempo que se revis y
actualiz ISO17799. Esta ltima norma se renombra como ISO 27002:2005 el 1 de
J ulio de 2007, manteniendo el contenido as como el ao de publicacin formal de
la revisin.

La normativa BS7799 le ayuda a las empresas a proteger sus activos e
informacin en todas sus formas, electrnica y/o impresa, en trminos de:
La confidencialidad, que asegura que slo las personas autorizadas tengan
acceso a la informacin.
La integridad, que salvaguarda la exactitud e integridad de la informacin y
de los mtodos de procesamiento.
La disponibilidad, que asegura el acceso de los usuarios autorizados a la
informacin y a los activos relacionados cuando es necesario.

LAS AREAS DE CONTROL DE LA NORMA ISO 17799
[CONSULTORA INTEGRAL DE TICS] ITESCAM

ING. RAFAEL J. CUEVAS MIJANGOS 3

La estructura de la normatividad de gestin en seguridad de sistemas de
informacin, norma ISO 17799, queda especificada en 10 componentes, que
incluyen:
1. Poltica de seguridad.
2. Organizacin de la seguridad.
3. Control y clasificacin los recursos de informacin.
4. Seguridad de personal.
5. Seguridad fsica y ambiental.
6. Manejo de 1 comunicaciones y las operaciones.
7. Control de acceso.
8. Desarrollo y mantenimiento de los sistema.
9. Manejo de la continuidad empresarial, as como el cumplimiento.
VENTAJAS DE LA NORMA ISO 17799
Las ms relevantes seran:
Proteccin de los bienes de la empresa (informacin y actividades)
Proteccin de la informacin en las comunicaciones y software
Proteccin ante accesos malintencionados
Prevenir alteraciones en las comunicaciones entre organizaciones
Procesamiento seguro de la informacin
BENEFICIOS DE LA NORMA TCNICA ISO 17799
Una empresa certificada con la norma tcnica ISO 17799 puede ganar frente a
sus competidores no certificados. Si un cliente potencial tiene que escoger entre
empresas diferentes y la seguridad es un aspecto trascendente, por lo general
optar por la certificada. Adems una empresa certificada tendr en cuenta lo
siguiente:
Mayor seguridad en la empresa
[CONSULTORA INTEGRAL DE TICS] ITESCAM

ING. RAFAEL J. CUEVAS MIJANGOS 4

Planeacin y manejo de la seguridad ms efectivos
Alianzas comerciales y e-commerce ms seguros
Mayor confianza en el cliente
Auditorias de seguridad ms precisas y confiables
Menor responsabilidad civil.

FUENTES

http://es.kioskea.net/contents/attaques/attaques.php3 (tipos de ataques, viernes
20-04-2012)
http://www.canal-ayuda.org/a-seguridad/tipataques.html (tipos de ataques, viernes
20-04-2012)
http://www.sistemaantispam.com/noticias/spam/2007-03-26/44/spam-virus-
spyware-phishing-robo-de-directorios-caballos-de-troya-programas-
malintencionados.html (tipos de ataques, viernes 20-04-2012)
http://sisbib.unmsm.edu.pe/bibvirtual/publicaciones/administracion/v05_n10/gestio
n.htm (Gestin de la seguridad y la norma BS 7799 (ISO 17799), viernes 20-04-
2012)
http://www.gestion-calidad.com/seguridad-informacion.html (Gestin de la
seguridad y la norma BS 7799 (ISO 17799), viernes 20-04-2012)
http://www.channelplanet.com/index.php?idcategoria=12753 (Gestin de la
seguridad y la norma BS 7799 (ISO 17799), viernes 20-04-2012)
http://www.rediris.es/cert/doc/unixsec/node14.html (Gestin de la seguridad y la
norma BS 7799 (ISO 17799), viernes 20-04-2012)
http://www.rediris.es/cert/doc/unixsec/node14.html (Autenticacin de usuarios
Introduccin y conceptos bsicos, viernes 20-04-2012)
https://zonatic.usatudni.es/aprendizaje/aprende-sobre-el-dnie/57-aspectos-
tecnicos/196-criptografia-y-esquemas-de-clave-publica.html (Proteccin de datos:
criptografa de clave pblica y privada. Esteganografa, viernes 20-04-2012)
[CONSULTORA INTEGRAL DE TICS] ITESCAM

ING. RAFAEL J. CUEVAS MIJANGOS 5

http://usuarios.multimania.es/aledomiisa/esteganografia.php (Proteccin de datos:
criptografa de clave pblica y privada. Esteganografa, viernes 20-04-2012)

INVESTIGACIN REALIZADA POR:

ALFREDO RENE TUZ PECH
LIRIO PERSIDA CAUICH UCAN
LANDY LUCELY TORRES BAOS
ANA GUADALUPE COHUO AVILA
FATIMA DEL ROSARIO POOT NAAL