UNIVERSIDAD TECNOLÓGICA EN LA REGIÓN NORTE DE GUERRERO

UNIDAD ACADÉMICA DE LA REGIÓN DE LA MONTAÑA.

INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN.

ASIGNATURA:
SEGURIDAD DE LA INFORMACIÓN

NORMAS ISO-27001 & ISO-17799

PROFESOR:
LIC. FAUSTINO TECOLAPA TIXTECO

INTEGRANTES:

BLANCA ESTRELLA PASCUALEÑO VISCA

FCO. JAVIER GASPARILLO PANTALEON
 ISO/IEC 27001 Gestión de la seguridad de la información

¿Qué es información?

Conjunto de datos organizados en poder de una entidad que poseen valor

para la misma.

• escrita
• en imágenes
• oral
• impresa en papel
• almacenada electrónicamente
La información puede estar
• Proyectada
• enviada por correo, fax o email
• transmitida en conversaciones
• nube
 Seguridad de la información

•La información no se pone a

Confidencialida
disposición ni se revela a individuos,
d
entidades o procesos no
autorizados.

•Mantenimiento de la exactitud y
Integridad completitud de la información y sus
métodos de proceso.

•Acceso y utilización de la información y los

sistemas de tratamiento de la misma por
Disponibilidad
parte de los individuos, entidades o
procesos autorizados cuando lo requieran.
 establecer

implement un sistema de
ar gestión de
Norma seguridad de la
mantener
internacional que información(SGSI)
establece mejorar
requisitos para
• preserva la
confidencialidad
brinda la confianza • Integridad
sobre la gestión • disponibilidad de
adecuada de los la información
riesgos a las partes
interesadas

mediante un
proceso de gestión
de riesgos
NORMA ISO-17799
 La norma ISO/IEC 17799 tiene su origen de la norma
Historia: británica BS7799

1987 Origen de la BS7799

1995 La BS7799 fue publicada como un código de practica para

manejo de seguridad de información

1999 Publican la versión totalmente revisada de la BS7799

2000 1 de diciembre bajo ciertas modificaciones surge la ISO/IEC

17799
2004 Revisión de la ISO/IEC 17799

2005 15 de Junio, publican la nueva ISO/IEC 17799

 Definición

 ISO 17799 es una norma internacional que ofrece

recomendaciones para realizar la gestión de la seguridad
de la información dirigidas a los responsables de iniciar,
implantar o mantener la seguridad de una organización.

 ISO 17799 define la información como un activo que posee

valor para la organización y requiere por tanto de una
protección adecuada.

 El objetivo de la seguridad de la información es proteger

adecuadamente este activo para asegurar la continuidad
del negocio, minimizar los daños a la organización y
maximizar el retorno de las inversiones y las oportunidades
de negocio.
La seguridad de la información se define como la
preservación de:

 Confidencialidad: Aseguramiento de que la información es

accesible sólo para aquellos autorizados a tener acceso.

 Integridad: Garantía de la exactitud y completitud de la

información y de los métodos de su procesamiento.

 Disponibilidad: Aseguramiento de que los usuarios

autorizados tienen acceso cuando lo requieran a la
información y sus activos asociados.
 Objetivos

 Proporcionar una base común para desarrollar normas

de seguridad dentro de las organizaciones y ser una
práctica eficaz de la gestión de la seguridad.

 Proteger la confidencialidad, integridad y disponibilidad

de la información escrita, almacenada y transferida.

 Asegurar la continuidad de las operaciones de la

organización, reducir al mínimo los daños por una
contingencia, así como optimizar la inversión en
tecnologías de seguridad.
Estructura y Dominios
La norma ISO/IEC 17799 establece 12 dominios de control que
cubren por completo la Gestión de la Seguridad de la
Información:

1. Política de seguridad.
2. Aspectos organizativos para la seguridad.
3. Clasificación y control de activos.
4. Seguridad ligada al recurso humano.
5. Seguridad física.
6. Seguridad del entorno.
7. Gestión de comunicaciones y operaciones.
8. Control de accesos.
9. Desarrollo y mantenimiento de sistemas.
10. Gestión de Incidentes en la Seguridad de la Información.
11. Gestión de continuidad del negocio.
12. Cumplimiento.
 Dominio 1:
Política de seguridad

Objetivo:
Proporcionar la guía y apoyo de la Dirección para la seguridad de la
información en relación a los requisitos del negocio y a las leyes y
regulaciones relevantes.
 Debe Incluir:
La Dirección debería aprobar y
publicar un documento de la
política de seguridad de la
información y comunicar la
política a todos los empleados
y las partes externas relevantes.
 Objetivos y alcance generales de
seguridad.
 Apoyo Expreso de la dirección.
 Breve explicación de los valores de
seguridad de la organización.
 Definición de las responsabilidades
generales y específicas en materia de
gestión de la seguridad de la
información.
 Referencias a documentos que
puedan respaldar la política.

Documento de política de seguridad de la información

Dominio 2:
ASPECTOS ORGANIZATIVOS DE
LA SEGURIDAD DE LA
Información
Objetivo
Gestionar la seguridad de la información dentro
de la Organización; y mantener la seguridad de
los recursos de tratamiento de la información y
de los activos de información de la
organización que sean accesibles por terceros.
 Organización interna
Debería seguir los siguientes lineamientos
 Se debería establecer una estructura de gestión con objeto de iniciar y
controlar la implantación de la seguridad de la información dentro de la
Organización.
 El órgano de dirección debería aprobar la política de seguridad de la
información, asignar los roles de seguridad y coordinar y revisar la
implantación de la seguridad en toda la Organización.
 Si fuera necesario, en la Organización se debería establecer y facilitar el
acceso a una fuente especializada de consulta en seguridad de la
información. Deberían desarrollarse contactos con especialistas externos
en seguridad, que incluyan a las administraciones pertinentes, con objeto
de mantenerse actualizado en las tendencias de la industria, la evolución
de las normas y los métodos de evaluación, así como proporcionar enlaces
adecuados para el tratamiento de las incidencias de seguridad.
 Debería fomentarse un enfoque multidisciplinario de la seguridad de la
información, que, por ejemplo, implique la cooperación y la colaboración
de directores, usuarios, administradores, diseñadores de aplicaciones,
auditores y el equipo de seguridad con expertos en áreas como la gestión
de seguros y la gestión de riesgos.
 Terceros
Respecto al manejo de la terceros:
 La seguridad de la información de la organización y las
instalaciones de procesamiento de la información no
debería ser reducida por la introducción de un servicio o
producto externo.

 Debería controlarse el acceso de terceros a los dispositivos de

tratamiento de información de la organización.

 Cuando el negocio requiera dicho acceso de terceros, se

debería realizar una evaluación del riesgo para determinar sus
implicaciones sobre la seguridad y las medidas de control que
requieren. Estas medidas de control deberían definirse y
aceptarse en un contrato con la tercera parte.
Dominio 3:
gestión de activos
Objetivos:
Alcanzar y mantener una protección adecuada de
los activos de la Organización; y asegurar que se
aplica un nivel de protección adecuado a la
información.
 Responsabilidad sobre los activos
 Todos los activos deberían ser justificados y tener asignado un
propietario. Se deberían identificar a los propietarios para todos los
activos y asignarles la responsabilidad del mantenimiento de los
controles adecuados. La implantación de controles específicos podría
ser delegada por el propietario convenientemente.
 El término “propietario” identifica a un individuo o entidad
responsable, que cuenta con la aprobación del órgano de dirección,
para el control de la producción, desarrollo, mantenimiento, uso y
seguridad de los activos. El término “propietario” no significa que la
persona disponga de los derechos de propiedad reales del activo.
Como aplicarlo:
 Elabore y mantenga un inventario de activos de información,
mostrando los propietarios de los activos (directivos o gestores
responsables de proteger sus activos) y los detalles relevantes.
 Use códigos de barras para facilitar las tareas de realización de
inventario y para vincular equipos de TI que entran y salen de las
instalaciones con empleados.
 Clasificación de la Información
 Se debería clasificar la información para indicar la necesidad, prioridades y
nivel de protección previsto para su tratamiento.

 La información tiene diversos grados de sensibilidad y criticidad. Algunos

ítems podrían requerir niveles de protección adicionales o de un
tratamiento especial. Debería utilizarse un esquema de clasificación de la
información para definir el conjunto adecuado de niveles de protección y
comunicar la necesidad de medidas especiales para el tratamiento.

Cómo hacerlo:
 Distinga los requisitos de seguridad básicos (globales) de los
avanzados, de acuerdo con el riesgo.

 Comience quizás con la confidencialidad, pero no olvide los

requisitos de integridad y disponibilidad.
Dominio 4:
Seguridad ligada a los Recursos
Humanos
Objetivos:

 Asegurar que los empleados, contratistas y usuarios de terceras

partes entiendan sus responsabilidades y sean aptos para las
funciones que desarrollen. Reducir el riesgo de robo, fraude y mal
uso de las instalaciones y medios.

 Asegurar que los empleados, contratistas y terceras partes son

conscientes de las amenazas de seguridad, de sus
responsabilidades y obligaciones y que están equipados
para cumplir con la política de seguridad de la organización en
el desempeño de sus labores diarias, para reducir el riesgo
asociado a los errores humanos.

 Garantizar que los empleados, contratistas y terceras personas

abandonan la organización o cambian de empleo de forma
organizada.
Dominio 5:
Seguridad Física
Objetivos:

 Evitar el acceso físico no autorizado, daños o intromisiones

en las instalaciones y a la información de la organización.

 Evitar la pérdida, daño, robo o puesta en peligro de los

activos y interrupción de las actividades de la organización.
Dominio 6:
Seguridad del Entorno
 Las Reglas básicas sobre la Seguridad Ambiental o del entorno que debemos
implementar entre otras son:

• Protecciones eléctricas, de agua y gas.

• Instalaciones de Aire Acondicionado y Sistemas de Refrigeración y ventilación
fluida.
• Protección ante Incendios y métodos eficaces de evacuación guiados.
• Sistemas de detección en casos de accidentes ambientales, como fuego por
ejemplo.
• Personal de Seguridad y Sistemas de Monitoreo.
Dominio 7:
Gestión de Comunicaciones y
Operaciones
Objetivos:
 Asegurar la operación correcta y segura de los recursos de tratamiento de
información.
 Implementar y mantener un nivel apropiado de seguridad de la información y
de la prestación del servicio en línea con los acuerdos de prestación del
servicio por terceros.
 Asegurar la seguridad de los servicios de comercio electrónico y de su uso
seguro.
 Detectar actividades de procesamiento de la información no autorizadas.
 Asegurar la protección de la información en las redes y la protección de su
infraestructura de apoyo.
 Mantener la seguridad de la información y del software que se intercambian
dentro de la organización o con cualquier entidad externa.
 Características

Para garantizar el cumplimiento de los objetivos se deben:

 Establecer las responsabilidades y procedimientos para la gestión
 Implementar la separación de funciones cuando corresponda.
 Documentar los procedimientos de operación
 Separar instalaciones de:
 Desarrollo
 Prueba
 Operaciones

 Definir reglas claras para el paso de un software, del

estado de desarrollo hacia el estado operativo.
 Estipular procedimientos y normas para proteger la
información y los medios físicos que contienen
información en tránsito.
Dominio 8:
Control de Acceso
En este dominio se considerada la SEGURIDAD LÓGICA. Está
encargado de administrar los niveles de acceso de todos los
empleados para ayudar a controlar la seguridad de la
información y su flujo, autorizado o no autorizado, en una
organización. Además, controlar los niveles de acceso a la red
porque pueden llegar a ser un factor crítico de éxito cuando se
protegen los sistemas de documentación o información en la
red.

Se deben establecer los controles de acceso adecuados para

proteger los sistemas de información críticos para el negocio, a
diferentes niveles: sistema operativo, aplicaciones, redes, etc.
Dominio 8: OBJETIVOS:
Control de Acceso
 Evitar accesos no autorizados a los
sistemas de información.
 Evitar el acceso de usuarios no
autorizados.
 Protección de los servicios en red.
 Evitar accesos no autorizados a
ordenadores.
 Evitar el acceso no autorizado a la
información contenida en los sistemas.
 Detectar actividades no autorizadas.
 Garantizar la seguridad de la
información cuando se usan dispositivos
de informática móvil y teletrabajo.
Dominio 9:
Desarrollo y Mantenimiento de
Sistemas
Encargado del desarrollo e implementación de medidas de
seguridad y aplicación de controles de seguridad en las etapas
del proceso de desarrollo y mantenimiento de sistemas.

Debe contemplarse la seguridad de la información en todas las

etapas del ciclo de vida del software en una organización:
especificación de requisitos, desarrollo, explotación,
mantenimiento...
Dominio 9:
Desarrollo y Mantenimiento de
Sistemas
OBJETIVOS:
 Asegurar que la seguridad está incluida
dentro de los sistemas de información.
 Evitar pérdidas, modificaciones o mal uso
de los datos de usuario en las
aplicaciones.
 Proteger la confidencialidad, autenticidad
e integridad de la información.
 Asegurar que los proyectos de Tecnología
de la Información y las actividades
complementarias son llevadas a cabo de
una forma segura.
 Mantener la seguridad del software y la
información de la aplicación del sistema.
Dominio 9:
Desarrollo y Mantenimiento
de Sistemas
Debe contemplarse la seguridad de la información en
todas las etapas del ciclo de vida del software en una
organización: especificación de requisitos, desarrollo,
explotación, mantenimiento. Para esto deben crearse:

 Requisitos de Seguridad de Sistemas: Estos deben ser

identificados para el desarrollo de sistemas de
información.
 Seguridad de Sistemas de Aplicación: Sistemas de
aplicación interactivos con los usuarios, sin dejar de
lado la seguridad de la información.
Dominio 10:
Gestión de Incidentes en la
Seguridad de la Información
Comunicación de eventos y puntos débiles de seguridad
de la información, gestión de incidentes y mejoras de
seguridad de la información
Dominio 11:
Administración de la
Continuidad de Negocios

Considera el análisis de todos los procesos y recursos críticos

del negocio, y define las acciones y procedimientos a seguir
en caso de fallas o interrupción de los mismos, evitando la
pérdida de información y la cancelación de los procesos
productivos del negocio.
Dominio 11:
Administración de la
Continuidad de Negocios

OBJETIVO:
 Reaccionar a la interrupción de
actividades del negocio y proteger
sus procesos críticos frente grandes
fallos o desastres.
 Dominio 11:
Administración de la Continuidad
de Negocios
Al utilizar los controles de seguridad contra desastres naturales,
interrupciones operacionales y fallas potenciales de seguridad
ayudan a fomentar la continuidad de funciones del negocio.

Principales etapas o curso a seguir si se presenta un imprevisto.

1. Clasificación de los distintos escenarios de desastres
2. Evaluación de impacto en el negocio.
3. Desarrollo de una estrategia de recuperación.
4. Implementación de la estrategia.
5. Documentación del plan de recuperación.
6. Mantenimiento del plan.
Dominio 11:
Administración de la
Continuidad de Negocios
 Todas las situaciones que puedan provocar la
interrupción de las actividades del negocio deben ser
prevenidas y contrarrestadas mediante los planes de
contingencia adecuados.
 Los planes de contingencia deben ser probados y
revisados periódicamente.
 Se deben definir equipos de recuperación ante
contingencias, en los que se identifiquen claramente
las funciones y responsabilidades de cada miembro
en caso de desastre.
Dominio 12:
Cumplimiento
Adecuada evidencia de que los controles han funcionado en forma correcta y
consistente durante todo el periodo en que la evidencia a recuperar fue
almacenada y procesada por el sistema.

Para lograr la validez de la evidencia, las organizaciones deben garantizar que

sus sistemas de información cumplan con los estándares o códigos de practica:

• Revisión de la política de seguridad y la compatibilidad técnica

• Auditoria de sistemas
 OBJETIVO:
Dominio 12:
Cumplimiento
 Evitar el incumplimiento de
cualquier ley, estatuto,
regulación u obligación
contractual y de cualquier
requerimiento de seguridad.

 Garantizar la alineación de los

sistemas con la política de
seguridad de la organización y
con la normativa derivada de
la misma.

 Maximizar la efectividad y
minimizar la interferencia de o
desde el proceso de auditoría
de sistemas.
Dominio 12:
Cumplimiento
 Se debe identificar convenientemente la legislación
aplicable a los sistemas de información corporativos
(en nuestro caso, LOPD, LPI, LSSI...), integrándola en el
sistema de seguridad de la información de la
compañía y garantizando su cumplimiento.

 Se debe definir un plan de auditoría interna y ser

ejecutado convenientemente, para garantizar la
detección de desviaciones con respecto a la política
de seguridad de la información.
Ventajas
Aumento de los niveles de
seguridad de las
organizaciones

 La norma permite una gestión efectiva de sus recursos

de información críticos y los mecánicos de protección
adecuados.
Planificación de actividades

 A través de la norma las organizaciones pueden

trazar una efectiva planificación de las actividades a
desarrollar con el objetivo de hacer más seguro los
sistemas.
Mejora continua

 Se tienen en cuenta tanto los procesos de alcance

de objetivos de seguridad como los criterios de
revisión y mejora continua para mantener los niveles
de seguridad deseados.
 POSICIONAMIENTO
ESTRATEGICO

 Su implementación permite a las organizaciones

enfrentar nuevos desafíos y ampliar sus
actividades y competencias de manera segura.
CUMPLIMIENTO DE NORMATIVAS Y
REGLAMENTACIONES

 Este estándar permite alinear los esfuerzos y

recursos de la organización, ya que en muchos
sectores existen normativas y reglamentaciones
respecto al tratamiento de la información.
Plan de Seguridad
Esta basado en el sistema PLANEAR, HACER, COMPROBAR Y
ACTUAR:
Planear

Actuar Hacer

Comprobar
 Ciclo
 Planificación: Establecer la política, objetivos, procesos y
procedimientos relativos a la gestión del riesgo y mejorar la
seguridad de la información de la organización para ofrecer
resultados de acuerdo con las políticas y objetivos generales
de la organización.

 Hacer: Implementar y gestionar el SGSI de acuerdo a su

política, controles, procesos y procedimientos.

 Comprobar: Medir y revisar las prestaciones de los procesos del

SGSI
.
 Actuar: Adoptar acciones correctivas y preventivas basadas
en auditorías y revisiones internas ó en otra información
relevante a fin de alcanzar la mejora continua del SGSI.
 Riesgos Implementación de un Plan
de Seguridad
Política
 Identificación de los principales riesgos
informáticos para su compañía.

Acción
 Definición por la dirección de una política básica
de seguridad.

Normativo
 Acción concreta en dos frentes:

Ejecutivo
R Identificación de riesgos en su compañía

 Clasificación de los mas críticos

 Fraudes informáticos
 Ataque externos a las redes
 Modificaciones no autorizadas de datos sensibles
 Falta de disponibilidad de los sistemas
 Software ilegal
 Falta de control de uso de los sistemas
 Destrucción de información y equipos
P Definición de una política básica de seguridad

Esta debe ser:

 Breve
 Clara
 Implementable
 Puesta en marcha por la dirección
 Difundida al personal y terceros
 Definición de una política básica de seguridad