www.business-intelligent.

com
Business Intelligent

Utilice ISO 17799 para mejorar seguridad y para

reducir al mínimo riesgos
Fazila Nurani

La mayoría de las organizaciones son dependientes sobre sus sistemas de la

información y del negocio, dejándolos expuestos a la pérdida crítica en las
consecuencias de una abertura de la seguridad. Afortunadamente, poniendo un
sistema de gerencia en ejecución de la seguridad de la información (“ISMS”),
conforme al únicos estándar/código internacionalmente aceptados para tratar
seguridad de la información, un negocio puede reducir perceptiblemente el riesgo
de una abertura de la seguridad.

ISO/IEC 17799:2005 (“ISO 17799”), conocido como el código de la práctica para la

gerencia de la seguridad de la información, fue desarrollado por ÉL subcomité de la
seguridad del International Organization for Standardization y publicado en junio
de 2005. La ISO 17799 es superior a otros estándares de la seguridad porque es
global aceptada y comprensiva. La ISO 17799 se ha hecho a mano listo para
trabajar mana a través de industrias y de geographies. También, el International
Organization for Standardization consciente ha hecho este estándar constante con
la mayoría de los otros estándares existentes de la intervención y del control de la
seguridad de la información, tales como ésos desarrollados por el NIST (National
Institute of Standards and Technology). Por lo tanto, la ISO 17799 puede ser el
marco común que se liga a el resto de estándares, de requisitos reguladores y de
las iniciativas del gobierno corporativo.

La ISO 17799 proporciona las pautas prácticas para desarrollar controles de

organización de la seguridad y prácticas de gerencia eficaces de la seguridad.
Resultados de una evaluación de la ISO 17799 en una foto de la infraestructura de
la seguridad de la compañía, en que proporciona una vista de alto nivel como de
bien (o cómo gravemente) de una seguridad de la información de los instrumentos
de la compañía. Este estándar es una gran herramienta para las compañías si
establece o mejora seguridad de la información dentro de su organización.

El proceso de la seguridad de la información se ha basado tradicionalmente en

mejores prácticas sanas y pautas, con las metas de prevenir, de detectar y de
contener aberturas de la seguridad, así como la restauración de los datos afectados
a su estado anterior. Mientras que esta sabiduría acumulativa de las edades es
válida, está también conforme a varias interpretaciones y puestas en práctica. La
ISO 17799 ofrece una prueba patrón realizable contra la cual construir seguridad de
organización de la información.

Controle la selección basada en los riesgos identificados

contacto@business-intelligent.com www.business-intelligent.com
BUSINESS INTELLIGENT
“Soluciones de Gestión de Calidad ISO 9001 de primer nivel para las Organizaciones”. Confianza, calidad y tecnología
 www.business-intelligent.com
Business Intelligent
La ISO 17799 consiste en 39 controles de la seguridad, que se pueden utilizar como
base para un gravamen de riesgo de la seguridad. Los controles abarcan todas las
formas y tipos de información, si son archivos electrónicos, documentos de papel o
varias formas de comunicaciones tales como email, fax y conversaciones habladas.
El estándar precisan una variedad de consideraciones del hardware y del software,
las políticas, los procedimientos y las estructuras de organización que protegen los
activos de la información de una compañía contra una amplia gama de las
amenazas y de las vulnerabilidades modernas de la seguridad. Cómo la forma de las
organizaciones sus programas de la seguridad de la información dependerá de los
requisitos y de los riesgos únicos hacen frente. Una organización debe desplegar
solamente los controles con los cuales relaciónese, y está en proporción con, los
riesgos reales que hacen frente.

Los controles pueden también se describan más simplemente como las

contramedidas para los riesgos. Aparte de con conocimiento aceptar arriesga
consideraba aceptable, o transfiriendo esos riesgos (con seguro) a otros, hay
esencialmente cuatro tipos de control:

1. Los controles disuasivos reducen la probabilidad de un ataque deliberado.

2. Los controles preventivos protegen vulnerabilidades y hacen un ataque
fracasado o reducen su impacto.
3. Los controles correctivos reducen el efecto de un ataque.
4. Los controles detectives descubren ataques y controles preventivos o correctivos
del disparador.

Es esencial que cualquier control se ponga en ejecución que es rentable. El coste

de poner y de mantener un control en ejecución no debe ser ningún mayor que el
coste identificado y cuantificado del impacto de la amenaza identificada (o de
amenazas). No es posible proporcionar seguridad total contra cada solo riesgo; la
compensación implica el proporcionar de seguridad eficaz contra la mayoría de los
riesgos. Ningún tablero debe firmar apagado en cualquier oferta de ISMS que
intente quitar todo el riesgo del negocio - el negocio, después de todo, existe
dentro de un marco del riesgo y, puesto que es imposible existir riesgo-libre, hay
poco punto en proponer eliminar cada riesgo.

Ninguna organización debe invertir en tecnología de seguridad de la información

(hardware o software) o poner procesos y procedimientos de la gerencia en
ejecución de la seguridad de la información sin realizar un riesgo y un gravamen
apropiados del control que los asegure eso:

- La inversión propuesta (el coste total del control) es igual como, o menos que, el
coste del impacto identificado;
- La clasificación del riesgo, que considera su probabilidad, es apropiada para la
inversión propuesta; y

contacto@business-intelligent.com www.business-intelligent.com
BUSINESS INTELLIGENT
“Soluciones de Gestión de Calidad ISO 9001 de primer nivel para las Organizaciones”. Confianza, calidad y tecnología
 www.business-intelligent.com
Business Intelligent
- La atenuación del riesgo es una prioridad - es decir todos los riesgos con un
prioritization más alto se han controlado ya adecuadamente y, por lo tanto, es
apropiado ahora invertir en controlar éste.

Una vez que la seguridad de la información necesite y se identifican los requisitos,

un sistema conveniente de controles de ISO 17799 se puede establecer, poner en
ejecución, supervisar, repasar y mejorar sobre para asegurarse de que los objetivos
específicos de la seguridad de la organización son met.

La ISO 17799 es un código comprensivo de seguridad de la información de la

práctica que proporciona las empresas una metodología internacionalmente
reconocida y estructurada para la seguridad de la información. Además de ISO
17799, el International Organization for Standardization también publicó la ISO
27001, que especifica un número de requisitos para establecer, poner, mantener y
mejorar un ISMS en ejecución usando los controles contorneados en ISO 17799.

La ISO 27001 es el estándar formal contra el cual una organización puede buscar la
certificación independiente de su ISMS. Mientras que la certificación es
enteramente opcional, en el día enero de 2007, sobre 3000 organizaciones por todo
el mundo era la ISO 27001 certificada, demostrando su comisión a la seguridad de
la información. Las organizaciones pueden ser obedientes certificado con ISO 27001
por un número de cuerpos acreditados de la certificación por todo el mundo. La
certificación de la ISO 27001 implica generalmente un proceso de dos fases de la
intervención, con “una revisión de la tapa de tabla” de la documentación
dominante en la primera etapa y una intervención más profundizada del ISMS en la
segunda etapa. La organización certificada necesitaría ser valorada de nuevo
periódicamente por el cuerpo de la certificación.

Resumiendo, las organizaciones hacen frente a amenazas a sus activos de la

información sobre una base diaria. Al mismo tiempo, están llegando a ser cada vez
más dependientes en estos activos. Las soluciones técnicas son solamente una
porción de un acercamiento holístico a la seguridad de la información. Establecer
amplios requisitos de la seguridad de la información en el marco de propio
ambiente único del riesgo de la organización es esencial.

contacto@business-intelligent.com www.business-intelligent.com
BUSINESS INTELLIGENT
“Soluciones de Gestión de Calidad ISO 9001 de primer nivel para las Organizaciones”. Confianza, calidad y tecnología