You are on page 1of 23

³Para Estar Seguro´: ISO 17799

8721-27-0404-IMPLANTACION SGSI-004 © APPLUS+ CTC

Quiénes somos
Factores de éxito 

Conocimiento  Experiencia  Solvencia  Flexibilidad

que ya tienes claro lo que quiero para mis datos Cuenta con ello. ¿Qué es para ti seguridad?´ Se necesita una base común que propicie el entendimiento Entonces me dices que puedo estar tranquilo. mi compañía tiene el sistema perfecto y seguro para cubrir tus expectativas .Introducción ³Pero.

¿de qué estamos hablando? La seguridad de la información se caracteriza como la preservación de su Confidencialidad. su Integridad y su Disponibilidad SEGURIDAD CONFIDENCIALIDAD NECESIDADES DE NUESTRO NEGOCIO S E G U R I D A D AUTENTICACION INTEGRIDAD NO REPUDIO DISPONIBILIDAD TRAZABILIDAD RESPONSABILIDAD GESTIÓN DE LA SEGURIDAD SEGURIDAD TOTAL .Introducción Seguridad.

Modelo tecnológico de la seguridad. etc. Monitorización Actualización de antivirus Mantenimiento de firewalls Análisis de vulnerabilidades Confianza y PKI. etc. ³Estamos seguros. CRMs. Oficina Principal Servidores Web PCs de empleados Servidor transaccional Servidores corporativos CA Interna Consola antivirus Servicios externos Router Balanceador de carga Firewall Firewall Switch IDS Servidor de correo Gateway VPN Servidor de autorización y autenticación IDS Firewall Servicios críticos: Financieros. ¿a que sí?´ Clientes Usuarios de internet La competencia Hackers. Consolas de gestión Túnel VPN Firewall VPN Túnel VPN PCs de empleados Switch Router Servidores Delegación Conexiones remotas . Etc. ERPs.

El factor humano. los usuarios El modelo tecnológico por si sólo no ha funcionado  Cada año se duplican los incidentes de seguridad  Cada día se descubren entre 2 y 5 nuevas vulnerabilidades Problemas más importantes de la seguridad (Information Security Magazine) Código malicioso Vulnerabilidades del equipamiento Gestión de la compañía 11% 9% 31% Usuarios autorizados Usuarios no autorizados Otros 11% 15% 23% .Modelo tecnológico de la seguridad.

Gestión de la Seguridad Evolución de la seguridad de la información Negocio Aplicaciones Sistema Com Entorno Terceros Personal Operación Desarrollo Productos Planes Sistema de Gestión .

2..2.Modelo de gestión de la seguridad.2.Planificación y aceptación del sistema Minimizar el riesgo de fallos de los sistemas Control 8..Aceptación de Sistemas Se establecerán criterios de aceptación para sistemas y versiones nuevos o mejorados y se desarrollarán con ellos las pruebas adecuadas antes de su aceptación .Gestión de comunicaciones y operaciones Objetivo 8. ISO 17799 Código de buenas prácticas para la gestión de la seguridad de la información Estructura de la Norma Sección 8..

3 Controles) (5 Objetivo. 31 Controles) (1 Objetivo. 5 Controles) Seguridad del personal (3 Objetivo.Modelo de gestión de la seguridad. 18 Controles) Control de acceso Comunicaciones Y operaciones Mantenimiento De sistemas (1 Objetivo. 3 Controles) . 23 Controles) (8 Objetivo. 11 Controles) Plan de Continuidad de Negocio Política de seguridad (7 Objetivo. 13 Controles) Estructura organizativa (3 Objetivo. 10 Controles) Seguridad física (3 Objetivo. 10 Controles) Clasificación de activos (1 Objetivo. ISO 17799 Conformidad legal (3 Objetivo.

Organigramas Responsabilidades Descripciones Etc.Modelo de gestión de la seguridad. Control documental Control de registros Gestión de incidentes Acciones preventivas Acciones correctivas Parámetros . Diseño del Sistema de Gestión Manual de seguridad Directorio de documentación Índice Motor de búsquedas Procedimientos genéricos Organización Mapa de Procesos Política Alcance Análisis Riesgos Objetivos Procedimientos Normas Registros Etc.

ISO 17799 Sección 3: Política de seguridad Política de seguridad de la información Documento de política Revisión y evaluación Trata de que se disponga de una normativa común de seguridad que regule las líneas maestras sobre como va a trabajar toda la organización .

etc. comités.ISO 17799 Sección 4: Estructura organizativa Infraestructura de seguridad de información Comité Coordinación Responsabilidad Autorización Asesoramiento Cooperación Revisión Identificación De riesgos Requerimientos De seguridad En los contratos Requerimientos De seguridad En los contratos Seguridad en accesos de Terceras partes Externalización Establece la estructura organizativa (terceros.) y su funcionamiento de cara a gestionar la seguridad de la información . colaboraciones. responsables.

ISO 17799 Sección 5: Clasificación y control de activos Responsabilidades Sobre los activos Clasificación De la información Guías de clasificación Inventario de activos Marcado y tratamiento Incorpora las herramientas para establecer qué debe ser protegido. qué nivel de protección requiere y quién es el responsable principal de su protección .

ISO 17799 Sección 6: Seguridad relacionada con el personal Seguridad en la definición de los puestos de trabajo Seguridad en la definición de puestos Selección y política de personal Capacitación de los usuarios Respuesta ante incidentes de seguridad Comunicación De incidentes Comunicación De amenazas Educación y Capacitación En seguridad Acuerdos de confidencialidad Términos y condiciones Establece las medidas de seguridad que se van a tomar con el personal. ya que finalmente son estos los que van a utilizar los sistemas y la información Comunicación de fallos software Aprender de los incidentes Procesos disciplinarios .

) que se deben tomar para proteger los sistemas y la información . salas. cableado.ISO 17799 Sección 7: Seguridad física y del entorno Áreas seguras Seguridad de los Equipos Controles generales Perímetro de seguridad Control de accesos Oficinas y despachos El trabajo en áreas seguras Zonas de carga y descarga Instalación y protección Electricidad Cableado Mantenimiento Seguridad fuera De la oficina Reutilización o eliminación Política de pantallas y mesas limpias Salidas de equipos o información Incluye las medidas de seguridad física (edificios. etc. armarios.

ISO 17799 Sección 8: Gestión de comunicaciones y operaciones Procedimientos y responsabilidades Planificación del sistema Planificación de capacidad Aceptación de sistemas Protección código malicioso Medidas y controles Copias Logs Registro de fallos Gestión de respaldos Documentación Cambios Incidencias Segregación de tareas Separación de entornos Servicios Externos Determina las medidas de seguridad que la organización debe contemplar en sus operaciones y en el uso de las comunicaciones .

ISO 17799 Sección 8: Gestión de comunicaciones y operaciones Gestión de redes Controles de redes Intercambios de información Acuerdos Soportes en tránsito Uso y seguridad de soportes eCommerce eMail Información publica Otras formas De intercambio Gestión Eliminación Uso Documentación de sistemas .

ISO 17799 Sección 9: Control de accesos Requerimientos Responsabilidad usuarios Uso de passwords Equipos desatendidos Control de Acceso a la red Política Routing Autenticación usuarios externos Autenticación de nodos Puertos de diagnostico Segregación de redes Control de conexión Control de routing Seguridad de los servicios de red Política Gestión de Acceso usuarios Registro Privilegios Passwords Revisión Derechos Establece las medidas de control de acceso a la información a los distintos niveles en los que se puede plantear .

ISO 17799 Sección 9: Control de accesos Control de Acceso al SO Identificación de terminales Logon Identificación de usuarios Gestión de passwords Utilidades del sistema Alarma bajo coacción Desconexión de terminales Ventanas de conexión Control acceso a aplicaciones Restricción de acceso Aislamiento de sistemas Informática móvil y teletrabajo Informática móvil Teletrabajo Seguimiento de Accesos y usos Registro de incidencias Seguimiento de usos Sincronización de relojes .

ISO 17799 Sección 10: Desarrollo y mantenimiento de sistemas Requerimientos de seguridad Análisis y especificaciones Controles criptográficos Política de criptografía Cifrado Firma digital No repudio Seguridad Desarrollo y soporte Control de cambios Revisión de cambios SO Restricción de cambios Desarrollo externalizado Seguridad en aplicaciones Validación de entrada Control proceso interno Autenticación mensajes Validación de salida Gestión claves Seguridad de Ficheros sistema Control software producción Protección datos prueba Control Código fuente Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de sus sistemas y al desarrollo de los aplicativos que utiliza en sus operaciones .

ISO 17799 Sección 11: Gestión de continuidad de negocio Aspectos de la Gestión de continuidad Proceso de gestión Análisis de impactos Redacción e Implantación de PCN Planificación Pruebas y mantenimiento Incorpora los aspectos que la organización debe tener en consideración para evitar interrupciones en la continuidad de su negocio .

I. regulatorios y contractuales que le son de aplicación .P.ISO 17799 Sección 12: Conformidad Cumplimiento de los requerimientos legales Identificación la legislación aplicable D. Registros de organización Protección DCP Evitar mal uso de recursos Controles de cifrado Recogida de pruebas Conformidad con política de seguridad Comprobación conformidad técnica Controles Auditoría Sistemas Protección de herramientas auditoría Revisiones de la política de seguridad y de conformidad técnica Consideraciones sobre la auditoría de sistemas Por último la organización debe cumplir con los requerimientos legales.

no un producto. Preguntas? 8721-27-0404-IMPLANTACION SGSI-004 © APPLUS+ CTC .La seguridad es un proceso.