UNIVERSIDAD TECNOLGICA DE HONDURAS LA CEIBA

Investigacin Norma ISO 17799 Presentado por la clase de: Auditora y Seguridad de Sistemas Catedrtico: Ing. Edwin Sanders Presentado por: Delcy Marixa Ulloa Flores 200820620069 Roger Ivan Gurdian Castillo 200611410011 Jasn Armando Hernndez 201020510008 La Ceiba, Atlntida 05 de Diciembre del 2013

Norma ISO 17799

NDICE
INTRODUCCIN ................................................................................................................................... 3 OBJETIVOS ........................................................................................................................................... 4 General: ........................................................................................................................................... 4 Especficos: ...................................................................................................................................... 4 METODOLOGA.................................................................................................................................... 5 NORMA ISO 17799 .............................................................................................................................. 6 Definicin: ....................................................................................................................................... 6 Objetivo: .......................................................................................................................................... 6 Estructura: ....................................................................................................................................... 7 Estructura Piramidal Norma ISO 17799 .......................................................................................... 9 Ventajas:.......................................................................................................................................... 9 Implementacin: ........................................................................................................................... 10 CONCLUSIONES ................................................................................................................................. 11 RECOMENDACIONES ......................................................................................................................... 12 BIBLIOGRAFA .................................................................................................................................... 13 ANEXOS ............................................................................................................................................. 14

Auditora y Seguridad de Sistemas

Pgina 2 de 15

Norma ISO 17799

INTRODUCCIN
ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestin de la seguridad de la informacin dirigida a los responsables de iniciar, implantar o mantener la seguridad de una organizacin. Existen multitud de estndares aplicables a diferentes niveles pero ISO 17799 como estndar internacional, es el ms extendido y aceptado. ISO 17799 define la informacin como un activo que posee valor para la organizacin y requiere por tanto de una proteccin adecuada. El objetivo de la seguridad de la informacin es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daos a la organizacin y maximizar el retorno de las inversiones y las oportunidades de negocio. Recin en diciembre del 2000 la organizacin de estndares internacionales (ISO) incorpora la primera parte de la norma BS 7799, rebautizada como ISO 17799, la cual se presenta bajo la forma de notas de orientacin y recomendaciones en el rea de Seguridad de la informacin. En el ao 2005 hubo cambios interesantes a nivel de ISO 17799 y de COBIT (con su nueva versin 4.0). En cuanto a la norma ISO, las novedades son ms que interesantes. Hasta ahora muchas compaas se alineaban a la 17799:2000 y luego tenan que certificar la norma BS 7799:2002 dado que ISO no haba reglamentado las caractersticas de un Sistema de Gestin de Seguridad de la Informacin.

Auditora y Seguridad de Sistemas

Pgina 3 de 15

Norma ISO 17799

OBJETIVOS
General: Conocer la historia y fundamentos de la norma ISO 17799 en la cual conoceremos la importancia de esta norma para la gestin de la seguridad de la informacin.

Especficos: Conocer el concepto de la norma ISO 17799. Conocer los dominios de control de la norma ISO 17799 y as escribir un comentario personal sobre los dominios de control en la clase online de Auditora y Seguridad de Sistemas. Conocer la importancia de implementar la norma ISO 17799. Enumerar las ventajas que tiene la norma ISO 17999. Plantear el tipo de metodologa utilizada para desarrollar este tema de las ISO 17799.

Auditora y Seguridad de Sistemas

Pgina 4 de 15

Norma ISO 17799

METODOLOGA
La metodologa utilizada para la elaboracin del presente informe fue la investigacin. La metodologa aclara en forma muy detallada los pasos y procedimientos utilizados para llevar a cabo la investigacin. Esta metodologa incluye la descripcin de: a) El tipo y modalidad de investigacin que se usar para alcanzar la meta propuesta en el objetivo general, los verbos seleccionados indican los alcances y enfoques de la investigacin. b) Las fuentes de investigacin documental que se revisaran: bsqueda en internet y conocimientos previos de otras asignaturas.

Auditora y Seguridad de Sistemas

Pgina 5 de 15

Norma ISO 17799

NORMA ISO 17799

Definicin: Es una norma internacional que ofrece recomendaciones para realizar la gestin de la seguridad de la informacin dirigida a los responsables de iniciar, implantar o mantener la seguridad de una organizacin. Define la informacin como un activo que posee valor para la organizacin y requiere por tanto de una proteccin adecuada. El objetivo de la seguridad de la informacin es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daos a la organizacin y maximizar el retorno de las inversiones y las oportunidades de negocio. La seguridad de la informacin se define con la preservacin de: Confidencialidad: aseguracin de la privacidad de la informacin de la organizacin. Integridad: garanta del estado original de los datos. Disponibilidad: Acceso cuando sea requerido por los usuarios. No repudio: Estadsticas de la acciones realizadas por el personal autorizado.

Objetivo: Proporcionar una base comn para desarrollar normas de seguridad dentro de las organizaciones, un mtodo de gestin eficaz de la seguridad y para establecer transacciones y relaciones de confianza entre las empresas.

Auditora y Seguridad de Sistemas

Pgina 6 de 15

Norma ISO 17799

Estructura: Esta norma establece 10 dominios de control que cubren por completo la gestin de seguridad de la informacin: 1. Poltica de seguridad: dirige y da soporte a la gestin de la seguridad de la informacin. La alta direccin debe definir una poltica que refleje las lneas directrices de la organizacin en materia de seguridad, aprobarla y publicitarla de la forma adecuada a todo el personal implicado en la seguridad de la informacin. La poltica se constituye en la base de todo el sistema de seguridad de la informacin. La alta direccin debe apoyar visiblemente la seguridad de la informacin en la compaa. 2. Aspectos organizativos para la seguridad: gestiona la seguridad de la informacin dentro de la organizacin; mantiene la seguridad de los recursos de tratamiento de la informacin y de los activos de informacin de la organizacin que son accedidos por terceros y mantiene la seguridad de la informacin cuando la responsabilidad de su tratamiento se ha externalizado a otra organizacin. 3. Clasificacin y control de activos: mantiene una proteccin adecuada sobre los activos de la organizacin y asegura un nivel de proteccin adecuado a los activos de la informacin. 4. Seguridad ligada al personal: reduce el riesgo de los errores humanos, robos, fraudes o mal uso de la instalacin y los servicios; asegura que los usuarios son conscientes de las amenazas y riesgo en el mbito de la seguridad de la informacin, y que estn preparados para sostener las polticas de seguridad de la organizacin y minimiza los daos provocados por incidencias de seguridad y por el mal funcionamiento controlndolo y aprendiendo de ellos. 5. Seguridad fsica y del entorno: evita el acceso no autorizado, daos e interferencias contra los locales y la informacin de la organizacin; evita perdidas, daos o comprometer los activos as como la interrupcin de las actividades de la organizacin y previene las exposiciones a riesgos y a robos de la informacin y de recursos de tratamiento de informacin.

Auditora y Seguridad de Sistemas

Pgina 7 de 15

Norma ISO 17799

6.Gestion de comunicacin y operaciones: asegura la operacin correcta y segura de los recursos de tratamiento de la informacin; minimiza el riesgo de fallos en el sistema; protege la integridad del software y de la informacin; mantiene la integridad y la disponibilidad de los servicios de tratamiento de informacin y de comunicacin; asegura y salvaguarda de la informacin en las redes y la proteccin de su infraestructura de apoyo; evita dao a los activos e interrupciones de actividades de la organizacin y previene la perdida, modificacin o mal uso de la informacin intercambiada entre organizaciones. 7. Control de acceso: controla los accesos a la informacin, evita acceso no autorizado a los sistemas de informacin; protege los servicios en red; evita acceso no autorizado a ordenadores; evita el acceso no autorizado a la informacin contenida en el sistema; detecta actividades no autorizadas y garantiza la seguridad de la informacin cuando se usan dispositivos de informacin mvil o teletrabajo. 8. Desarrollo y mantenimiento de sistema: asegura que la seguridad est incluida dentro de los sistemas de informacin; evita perdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones; protege la confidencialidad, integridad y autenticidad de la informacin; asegura que los proyectos de Tecnologas de la Informacin y las actividades complementarias son llevadas a cabo de una forma segura y mantiene la seguridad del software y la informacin de la aplicacin del sistema. 9. Gestin de continuidad del negocio: reacciona a la interrupcin de actividades del negocio y protege sus procesos crticos frente a grandes fallos o desastres. Todas las situaciones que puedan provocar la interrupcin de las actividades del negocio deben ser prevenidas y contrarrestadas mediante los planes de contingencia adecuados. Los planes de contingencia deben ser probados y revisados peridicamente. Se deben definir equipos de recuperacin ante contingencias, en los que se identifiquen claramente las funciones y responsabilidades de cada miembro en caso de desastre. 10. Conformidad con la legislacin: evita el incumplimiento de cualquier ley, estatuto, regulacin u obligacin contractual y de cualquier requerimiento de seguridad; garantiza la alineacin de los sistemas con la poltica de seguridad de la organizacin y con la normativa derivada de la misma y maximiza la efectividad y minimiza la interferencia de o desde el proceso de auditora del sistema.

Auditora y Seguridad de Sistemas

Pgina 8 de 15

Norma ISO 17799

Estructura Piramidal Norma ISO 17799

Ventajas: Aumento de la seguridad efectiva de los sistemas de informacin. Correcta planificacin y gestin de la seguridad. Garantas de continuidad del negocio. Mejora continua a travs del proceso de auditora interna. Incremento de los niveles de confianza de nuestros clientes. Aumento del valor comercial y mejora de la imagen de la organizacin.

Auditora y Seguridad de Sistemas

Pgina 9 de 15

Norma ISO 17799

Implementacin:

Una compaa debe empezar definiendo una aproximacin a la evaluacin de riesgo, durante este acercamiento, se debe llevar a cabo una revisin de todas las violaciones potenciales de seguridad. Esto no debe relacionarse solamente a los sistemas de TI, sino que debe abarcar toda la informacin delicada dentro de su organizacin. Las tcnicas que se utilizan en una evaluacin de riesgo son las siguientes: 1. Identificar los riesgos de los activos fsicos e informativos de su compaa. 2. Evaluar los riesgos identificados en todas las reas de control de seguridad. 3. Identificar y evaluar opciones para el tratamiento de riesgos y tomar accin para administrar y manejar los riesgos apropiadamente. 4. Seleccionar un sistema de controles con eficiencia de costos y con objetivos que son apropiados para administrar y tratar los riesgos. 5. Preparar una Declaracin de Aplicacin: este documento presenta objetivos de control, controles seleccionados y liga los resultados de evaluacin de riesgos y procesos de tratamiento de riesgos. Una vez que la aproximacin de la evaluacin de riesgo ha sido establecida, el prximo paso que se debe tomar para implementar el ISO 17799 es llevar a cabo una auditoria interna. La aproximacin a la evaluacin de riesgo debe ser parte de un programa de auditora interna. El programa utiliza los controles de seguridad que fueron seleccionados para determinar qu aspectos de su organizacin deben ser medidos, analizados y mejorados antes de implementar un Sistema de Gestin de Seguridad de la Informacin como ISO 17799.

Auditora y Seguridad de Sistemas

Pgina 10 de 15

Norma ISO 17799

CONCLUSIONES
Concluyendo sobre lo investigado de este estndar internacional, debemos centrarnos en una posicin de compromiso y responsabilidad frente a la seguridad de la informacin y determinar cul es el nivel de nuestro equipo de trabajo u organizacin frente a este tema. Los niveles adquieren relevancia dentro del marco estratgico, tctico y operativo de nuestra organizacin o equipo de trabajo. Queda para cada uno de nosotros la decisin de quedarse en el estado de comodidad actual, o bien, dar el paso de llevar el conocimiento a la prctica, buscando aprender y mejorar el nivel de seguridad en lo que a nuestras actividades se refiere. Con el anlisis efectuado sobre esta normativa, tiene por objeto conocer los temas que anteriormente no sabamos que existan y salir de nuestra ceguera en los temas de seguridad de la informacin, para poder ir creciendo profesionalmente, siendo ms competentes en la implementacin a pasos escalonados de una normativa de estas caractersticas. Sin olvidar que cada vez que damos un paso en conocimiento, debemos de aplicarlo y seguir las normas ISO ya que estn diseadas para el bien de nosotros y de nuestra organizacin ya que han sido implementadas y diseadas por profesionales reconocidos y con una amplia experiencia en el rea y nos garantizan excelentes resultados.

Auditora y Seguridad de Sistemas

Pgina 11 de 15

Norma ISO 17799

RECOMENDACIONES
Tenemos muy poco que recomendar en cuanto a esta norma ya que est muy bien diseada, pero siempre hay algo en que mejorar, como incluir esta norma en todas las universidades del mundo, y que todos los ingenieros o licenciados en alguna rea de informtica conozca de esta norma, en las primeras clases de la carrera para implementarlas en sus proyectos siguientes.

Auditora y Seguridad de Sistemas

Pgina 12 de 15

Norma ISO 17799

BIBLIOGRAFA
1. http://www.mvausa.com/Colombia/Presentaciones/INTRODUCCION_ISO_17799.pdf 2. http://www.enterate.unam.mx/Articulos/2005/febrero/seguridad.htm

Auditora y Seguridad de Sistemas

Pgina 13 de 15

Norma ISO 17799

ANEXOS
Actualizacin de la Norma ISO 17799:2005 y Creacin de la ISO 27001:2005

En seguridad de la informacin la referencia obligada a nivel internacional es la norma ISO 17799:2000, que incluye la seguridad informtica. Originariamente el primer estndar en seguridad de la informacin fue desarrollado en los aos 1990, en Inglaterra, como respuesta a las necesidades de la industria, el gobierno y las empresas para fomentar un entendimiento comn sobre el tema y establecer lineamientos generales. En 1995, el estndar BS 7799 es oficialmente presentado. En 1998 se establecen las caractersticas de un Sistema de Gestin de la Seguridad de la Informacin (SGSI) que permita un proceso de certificacin, conocida como BS 7799 parte 2.

Auditora y Seguridad de Sistemas

Pgina 14 de 15

Norma ISO 17799

Historia de la Norma ISO 17799

Auditora y Seguridad de Sistemas

Pgina 15 de 15