NORMA ISO/IEC 17799

SEGURIDAD INFORMATICA
NORMA ISO/IEC 27002 - 2005

INDICE

Contenido

Pg.

Introduccin

03

Definiciones

04

1.1.

Que es ISO

04

1.2.

Que es IEC

04

Que es ISO/IEC JTC 1

04

1.3.
2.

Que es ISO/IEC 17799 - ISO/IEC 27002-2005

05

2.1.

Relacin con la norma ISO / IEC 27001

06

2.2.

Estructura y formato de la norma ISO / IEC 27002

06

3.

Historia

07

4.

Estructura (Dominios de Control)

09

4.1.

Poltica de Seguridad

12

4.2.

Organizacin de la Seguridad de la Informacin

13

4.3.

Gestin de Activos

14

4.4.

Recursos Humanos de Seguridad

14

4.5.

Seguridad Fsica y Ambiental

15

4.6.

Comunicaciones y Gestin de Operaciones

16

4.7.

Control de Accesos

17

4.8.

Desarrollo y Mantenimiento de Sistemas

18

4.9.

Gestin de Incidentes en la Seguridad de Informacin

19

4.10.

Gestin de Continuidad del Negocio

19

Cumplimiento

20

4.11.

Conclusiones

22

Recomendaciones

23

Sitios de Consulta

24

INTRODUCCION

Actualmente la tendencia de la gran mayora de las empresas dedicadas o relacionadas con

las tecnologas de informacin, es enfocar sus procesos a transacciones
y operaciones en red. La seguridad informtica siempre ha sido importante, desde los
inicios de las computadoras, pero ahora se ha agudizado ms la importancia de contar con
buenos mecanismos de seguridad debido a que los riesgos y amenazas no solamente
consisten en que personas que se encuentren en el rea geogrfica donde estn las
computadoras, roben informacin, sino que ahora tambin existen riesgos de robo o
accesos no autorizados a informacin mediante las diferentes redes que interconectan a las
computadoras o a cualquier equipo tecnolgico utilizado para transmitir informacin
digital.
Y es as que surge la Norma internacional de Seguridad Informtica denominada ISO/IEC
17799, que posteriormente fue modificada por los mismos requerimientos comerciales,
industriales y empresariales del mundo entero convirtindose en la norma internacional de
seguridad ISO/IEC 27002, la cual es una gua de buenas prcticas que describe los
objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No
es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.

La ISO 27002 es una gua para, en distintos mbitos, conocer qu se puede hacer para
mejorar la seguridad de la informacin. Aunque muchas empresas le restan valor o
importancia al aspecto de seguridad, no se puede dudar que las prdidas por la falta de
seguridad informtica pueden ser tremendamente caras, tanto en materia econmica como
en cuanto a prestigio, nivel de ventas, problemas legales, daos a empleados de
la organizacin o a terceros, etc.
En vista de la importancia que tiene la seguridad en las tecnologas de informacin, se
afirma que estudiar no solamente buenas prcticas y consejos sabios de personas que
llevan una gran trayectoria en el rea de la informtica, sino que ms
an, Normas Internacionales certificables, es un beneficio de grandes magnitudes para
cualquier organizacin. Por ello se analizamos que el estudio de la Norma Internacional
ISO/IEC 27002 es totalmente necesario para cualquier organizacin que tenga que ver de
alguna forma con aspectos relacionados a tecnologas de informacin.
He aqu la importancia que sustenta el siguiente trabajo:

1. DEFINICIONES
1.1.

QUE ES ISO

ISO es el acrnimo de International Organization for Standardization. Aunque si se

observan las iniciales para el acrnimo, el nombre debera ser IOS, los fundadores
decidieron que fuera ISO, derivado del griego "isos", que significa "igual". Por lo tanto, en
cualquier pas o en cualquier idioma, el nombre de la institucin es ISO, y no cambia de
acuerdo a la traduccin de "International Organization for Standardization" que
corresponda a cada idioma. Se trata de la organizacin desarrolladora y publicadora de
Estndares Internacionales ms grande en el mundo. ISO es una red de instituciones de
estndares nacionales de 157 pases, donde hay un miembro por pas, con una Secretara
Central en Geneva, Suiza, que es la que coordina el sistema.
ISO es una organizacin no gubernamental que forma un puente entre los sectores pblicos
y privados.
Respecto al origen de la organizacin ISO, oficialmente comenz sus operaciones el 23 de
febrero de 1947 en Geneva, Suiza. Naci con el objetivo de "facilitar
la coordinacin internacional y la unificacin de los estndares industriales."

1.2.

QUE ES IEC

IEC es el acrnimo de International Electrotechnical Commission. Esta es una organizacin

sin fines de lucro y tambin no gubernamental. Se ocupa de preparar y publicar estndares
internacionales para todas las tecnologas elctricas o relacionadas a la electrnica.
IEC nace en 1906 en London, Reino Unido, y desde entonces ha estado proporcionando
estndares globales a las industrias electrotcnicas mundiales. Aunque como se acaba de
decir, IEC naci en el Reino Unido, en el ao de 1948 movieron su sede a Geneva, Suiza,
ciudad en la que tambin se encuentra la sede de ISO.

1.3.

ISO/IEC JTC1

ISO e IEC han establecido un comit tcnico conjunto denominado ISO/IEC JTC1 (ISO/IEC
Joint Technical Committee). Este comit trata con todos los asuntos de tecnologa de
la informacin. La mayora del trabajo de ISO/IEC JTC1 es hecho por subcomits que
tratan con un campo o rea en particular. Especficamente el subcomit SC 27 es el que se
encarga de las tcnicas de seguridad de las tecnologas de informacin. Dicho subcomit
ha venido desarrollando una familia de Estndares Internacionales para el
Sistema Gestin y Seguridad de la Informacin. La familia incluye Estndares
Internacionales sobre requerimientos, gestin de riesgos, mtrica y medicin, y el
lineamiento de implementacin del sistema de gestin de seguridad de la informacin. Esta
familia adopt el esquema de numeracin utilizando las series del nmero 27000 en
secuencia, por lo que a partir de julio de 2007, las nuevas ediciones del ISO/IEC 17799 se
encuentran bajo el esquema de numeracin con el nombre ISO/IEC 27002.

2. QUE ES ISO/IEC 17799 ISO/IEC 27002-2005

ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestin
de la seguridad de la informacin dirigidas a los responsables de iniciar, implantar o
mantener la seguridad de una organizacin.
ISO 17799 define la informacin como un activo que posee valor para la organizacin y
requiere por tanto de una proteccin adecuada. El objetivo de la seguridad de la informacin
es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar
los daos a la organizacin y maximizar el retorno de las inversiones y las oportunidades
de negocio.
La seguridad de la informacin se define como la preservacin de:

Confidencialidad. Aseguramiento de que la informacin es accesible slo para

aquellos autorizados a tener acceso.

Integridad. Garanta de la exactitud y completitud de la informacin y de los

mtodos de su procesamiento.

Disponibilidad. Aseguramiento de que los usuarios autorizados tienen acceso

cuando lo requieran a la informacin y sus activos asociados.

Al igual que la gobernanza y la gestin de riesgos, gestin de seguridad de la informacin

es un tema muy amplio, con ramificaciones a travs de todas las organizaciones. Seguridad
de la informacin, y por lo tanto la norma ISO / IEC 27002, es relevante para todos los
tipos de organizaciones, incluyendo las empresas comerciales de todos los tamaos (desde
un solo hombre-bandas hasta gigantes multinacionales), sin fines de lucro, organizaciones
benficas, los departamentos gubernamentales y cuasi-autnomo cuerpos - de hecho
cualquier organizacin que maneja y depende de la informacin. Los requisitos de riesgos
de seguridad de la informacin y de control especficos pueden diferir en detalle, pero hay
un montn de puntos en comn, por ejemplo, la mayora de las organizaciones tienen que
hacer frente a los riesgos de seguridad de la informacin en relacin con sus empleados,
adems de los contratistas, los consultores y los proveedores externos de servicios de
informacin.
El estndar se refiere explcitamente a la informacin de seguridad, lo que significa la
seguridad de todas las formas de informacin (por ejemplo, datos informticos, la
documentacin, el conocimiento y la propiedad intelectual) y no slo de TI / seguridad de
sistemas o "ciberseguridad", como es la moda de la poca.

2.1.

Relacin con la norma ISO / IEC 27001

ISO / IEC 27001 define formalmente los requisitos obligatorios para un Sistema de Gestin
de Seguridad de la Informacin (SGSI). Utiliza la norma ISO / IEC 27002 para indicar los
controles de seguridad de informacin adecuados dentro de los SGSI, pero como la norma
ISO / IEC 27002 es ms que un cdigo de conducta / directriz en lugar de una norma de
certificacin, las organizaciones tienen la libertad de seleccionar e implementar otros
controles, o incluso adoptar alternativa suites completas de los controles de seguridad de
la informacin como mejor les parezca. ISO / IEC 27001 incorpora un resumen (un poco
ms que los ttulos de las secciones, de hecho) de los controles de la norma ISO / IEC
27002 en el Anexo A. En la prctica, la mayora de las organizaciones que adoptan la norma
ISO / IEC 27001 tambin adoptan la norma ISO / IEC 27002.

2.2.

Estructura y formato de la norma ISO / IEC 27002

ISO / IEC 27002 es un cdigo de prcticas - un documento de asesoramiento genrico, no

una especificacin formal, como la norma ISO / IEC 27001 Recomienda controles de
seguridad de informacin que abordan los objetivos de control de seguridad de informacin
que surgen de los riesgos para la confidencialidad, integridad y disponibilidad de la
informacin. Las organizaciones que adoptan la norma ISO / IEC 27002 deben evaluar sus
propios riesgos de seguridad de la informacin, aclarar sus objetivos de control y aplicar
controles adecuados (o incluso otras formas de tratamiento de riesgos) utilizando el
estndar para la orientacin.
La norma se estructura lgicamente torno a grupos de controles de seguridad relacionados.
Muchos controles podran haber sido puestos en varias secciones, pero, para evitar la
duplicacin y de conflicto, se les asign arbitrariamente a uno y, en algunos casos, con
referencias cruzadas de otros lugares. Por ejemplo, un sistema de acceso de control de la
tarjeta para, por ejemplo, una sala de ordenadores o archivo / bveda es a la vez un control
de acceso y un control fsico que implica procedimientos y polticas tecnolgicas ms la
gestin / administracin asociada y uso. Esto se ha traducido en unos pocos rarezas (como
la seccin 6.2 en los dispositivos mviles y el teletrabajo formar parte de la seccin 6 de la
organizacin de seguridad de la informacin), pero es al menos una estructura
razonablemente completo. Puede que no sea perfecto, pero es lo suficientemente bueno.

3. HISTORIA
En 1995 el British Standard Institute publica la norma BS7799, un cdigo de buenas
prcticas para la gestin de la seguridad de la informacin.
En 1998, tambin el BSI pblica la norma BS7799-2, especificaciones para los sistemas de
gestin de la seguridad de la informacin; se revisa en 2002.
Tras una revisin de ambas partes de BS7799 (1999), la primera es adoptada como norma
ISO en 2000 y denominada ISO/IEC 17799:

Conjunto completo de controles que conforman las buenas prcticas de seguridad

de la informacin.

Aplicable por toda organizacin, con independencia de su tamao.

Flexible e independiente de cualquier solucin de

recomendaciones neutrales con respecto a la tecnologa.

seguridad

concreta:

En 2002 la norma ISO se adopta como UNE sin apenas modificacin (UNE 17799), y en
2004 se establece la norma UNE 71502, basada en BS7799-2 (no existe equivalente ISO).

La ISO 27002 es una gua para, en distintos mbitos, conocer qu se puede hacer para
mejorar la seguridad de la informacin. Expone, en distintos campos, una serie de
apartados a tratar en relacin a la seguridad, Los objetivos de seguridad a perseguir, una
serie de consideraciones (controles) a tener en cuenta para cada objetivo y un conjunto de
"sugerencias" para cada uno de esos controles. Sin embargo, la propia norma ya indica que
no existe ningn tipo de priorizacin entre controles, y que las "sugerencias" que realiza no
tienen por qu ser ni siquiera convenientes, en funcin del caso en cuestin.
Esta Norma Internacional est diseado para que las organizaciones utilizan como
referencia para la seleccin de los controles en el proceso de implementacin de un Sistema
de Gestin de Seguridad de la Informacin (SGSI) basado en la norma ISO / IEC 27001 o
como un documento de orientacin para las organizaciones que efectan controles de
seguridad de la informacin generalmente aceptadas. Esta norma tambin es para uso en
el desarrollo de directrices de gestin de seguridad de la informacin y la industriaespecficas de la organizacin, teniendo en cuenta su entorno de riesgo seguridad de la
informacin especfica (s).
Los activos estn sujetos a las amenazas deliberadas o accidentales, mientras que los
relacionados con los procesos, los sistemas, las redes y las personas tienen
vulnerabilidades inherentes. Los cambios en los procesos de negocio y sistemas u otros
cambios externos (por ejemplo, nuevas leyes y reglamentos) pueden crear nuevos riesgos
de seguridad de la informacin. Por lo tanto, dada la multiplicidad de formas en que las
amenazas podran aprovecharse de las vulnerabilidades para daar a la organizacin, los
riesgos de seguridad de la informacin estn siempre presentes. Seguridad de la
informacin eficaz reduce estos riesgos mediante la proteccin de la organizacin contra
las amenazas y vulnerabilidades, y luego reduce los impactos de sus activos.
Seguridad de la informacin se logra mediante la implementacin de un conjunto adecuado
de controles, incluidas las polticas, procesos, procedimientos, estructuras organizativas y
de software y funciones de hardware. Estos controles se deben establecer, implementar,
supervisar, revisar y mejorar, cuando sea necesario, para asegurar que se cumplan los
objetivos especficos de seguridad y de negocios de la organizacin. Un SGSI como el que
se especifica en la norma ISO / IEC 27001 tiene una visin holstica, coordinada de los
riesgos de seguridad de la informacin de la organizacin con el fin de poner en prctica
un conjunto completo de controles de seguridad de la informacin en el marco general de
un sistema de gestin coherente.
Muchos sistemas de informacin no han sido diseados para ser seguro en el sentido de la
norma ISO / IEC 27001 y este estndar. La seguridad de que se puede lograr a travs de
medios tcnicos es limitada y debe ser apoyada por la administracin y los procedimientos
apropiados. La identificacin que controla debe estar en su lugar requiere una cuidadosa
planificacin y atencin al detalle. Un xito SGSI requiere el apoyo de todos los empleados
en la organizacin.

4. ESTRUCTURA (Dominios de Control)

La norma UNE-ISO/IEC 17799 establece diez dominios de control que cubren por
completo la Gestin de la Seguridad de la Informacin:
1) Poltica de seguridad.
2) Aspectos organizativos para la seguridad.
3) Clasificacin y control de activos.
4) Seguridad ligada al personal.
5) Seguridad fsica y del entorno.
6) Gestin de comunicaciones y operaciones.
7) Control de accesos.
8) Desarrollo y mantenimiento de sistemas.
9) Gestin de continuidad del negocio.
10) Conformidad con la legislacin.

De estos diez dominios se derivan 36 objetivos de control (resultados que se esperan

alcanzar mediante la implementacin de controles) y 127 controles (prcticas,
procedimientos o mecanismos que reducen el nivel de riesgo).

ISO / IEC 27002: 2005 establece los lineamientos y principios generales para iniciar,
implementar, mantener y mejorar la gestin de seguridad de la informacin en una
organizacin. Los objetivos trazados proporcionan una gua general sobre los objetivos
comnmente aceptados de gestin de la seguridad de la informacin. ISO / IEC 27002:
2005 contiene las mejores prcticas de los objetivos de control y controles en las siguientes
reas de gestin de seguridad de la informacin:
1) Poltica de seguridad;
2) Organizacin de la seguridad de la informacin;
3) Gestin de activos;
4) Recursos humanos de seguridad;
5) Seguridad fsica y ambiental;
6) Comunicaciones y gestin de operaciones;
7) Control de acceso;
8) Los sistemas de informacin de adquisicin, desarrollo y mantenimiento;
9) Informacin de gestin de incidentes de seguridad;
10) Gestin de la continuidad del negocio;
11) Cumplimiento.
Los objetivos de control y controles en la norma ISO / IEC 27002: 2005 estn destinados a
ser implementado para satisfacer las necesidades identificadas por la evaluacin del
riesgo. ISO / IEC 27002: 2005 pretende ser una base comn y gua prctica para el
desarrollo de estndares de seguridad de la organizacin y las prcticas eficaces de gestin
de la seguridad, y para ayudar a construir la confianza en las actividades
interinstitucionales.
Esta norma cuenta con 11 dominios, 39 objetivos de control y 133 Controles, dentro
de cada seccin, se especifican los objetivos de los distintos controles para la seguridad de
la informacin. Para cada uno de los controles se indica asimismo una gua para su
implantacin.

10

11

4.1.

POLTICA DE SEGURIDAD

Dirigir y dar soporte a la gestin de la seguridad de la informacin. La alta direccin debe

definir una poltica que refleje las lneas directrices de la organizacin en materia de
seguridad, aprobarla y publicitarla de la forma adecuada a todo el personal implicado en la
seguridad de la informacin.
La poltica se constituye en la base de todo el sistema de seguridad de la informacin. La
alta direccin debe apoyar visiblemente la seguridad de la informacin en la compaa.
Su objetivo es proporcionar a la gerencia la direccin y soporte para la seguridad de la
informacin, en concordancia con los requerimientos comerciales y las leyes y regulaciones
relevantes. Esto por supuesto debe ser creado de forma particular por cada organizacin.
Se debe redactar un "Documento de la poltica de seguridad de la informacin." Este
documento debe ser primeramente aprobado por la gerencia y luego publicado y
comunicado a todos los empleados y las partes externas relevantes.
El Documento de la Poltica de Seguridad de la Informacin debe contar con un claro
lineamiento de implementacin, y debe contener partes tales como una definicin de
seguridad de la informacin, sus objetivos y alcances generales, importancia, intencin de
la gerencia en cuanto al tema de seguridad de la informacin, estructuras de evaluacin
y gestin de riesgos, explicacin de las polticas o principios de la organizacin, definicin
de las responsabilidades individuales en cuanto a la seguridad, etc.
Se debe tener especial cuidado respecto a la confidencialidad de este documento, pues si
se distribuye fuera de la organizacin, no debera divulgar informacin confidencial que
afecte de alguna manera a la organizacin o a personas especficas (por ejemplo que afecte
la intimidad de alguien al divulgar sus datos personales, etc.)

12

4.2.

ORGANIZACIN DE LA SEGURIDAD DE LA INFROMACION

La organizacin de la seguridad de la informacin
se puede dar de dos formas: organizacin
interna y organizacin con respecto a terceros.
En cuanto a la organizacin interna, se tiene como
objetivo manejar la seguridad de la informacin
dentro de la organizacin.

Se requiere un compromiso por parte de la

gerencia para apoyar activamente la seguridad
dentro de la organizacin. La gerencia debe
invertir en seguridad, y no verlo como un aspecto
que no tiene relevancia. Algunas veces la seguridad requiere inversin econmica, y parte
del compromiso de la gerencia implica tener un presupuesto especial para seguridad, por
supuesto de una forma razonable que no afecte la rentabilidad de la empresa. Por ejemplo,
implementar un mtodo carsimo de seguridad podra ser de gran beneficio, pero
representar un costo demasiado elevado.
Es fundamental tambin asignar responsabilidades. Es tpica una tendencia humana el
echarle la culpa a otros. Entonces cuando la seguridad es atacada, casi siempre las
personas dentro de la organizacin tratan de buscar un culpable y quedar libres de todo
cargo. Por esa razn se deben asignar claramente responsabilidades para que cuando se
den los problemas, cada quien responda por sus actos y por lo que estaba bajo su cargo.
La asignacin de responsabilidades no solamente tiene que ser verbal, sino que escrita y
en muchas ocasiones, incluso bajo un contrato legal.
Deben tambin existir acuerdos de confidencialidad. Tambin se debe tener en cuenta
mantener los contactos apropiados con las autoridades relevantes, por ejemplo con la
polica, departamento de bomberos, etc. Tambin se debe saber en qu casos se debe
contactar a estas instituciones. Tambin se deben mantener contactos apropiados
con grupos de inters especial u otros foros de seguridad especializados y asociaciones
profesionales, as como contar con capacitaciones en materia de seguridad.
La organizacin en materia de seguridad de la informacin debe tambin considerarse
respecto a terceros. El objetivo de esto es mantener la seguridad de la informacin y los
medios de procesamiento de informacin de la organizacin que son ingresados,
procesados, comunicados a, o manejados por, grupos externos. Para ello se debe comenzar
por la identificacin de los riesgos relacionados con los grupos externos. Se debe estudiar
cmo a raz de procesos comerciales que involucran a grupos externos se les puede estar
otorgando acceso que afecte la seguridad. Esto se puede dar tanto con clientes o
con proveedores. Se debe tener especial cuidado respecto a los contratos que se hagan con
terceros, para no afectar la seguridad de la informacin.

13

4.3.

GESTION DE ACTIVOS
Se deben asignar responsabilidades por cada uno de los
activos
de
la
organizacin,
as
como
poseer
un inventario actualizado de todos los activos que se tienen,
a quien/quienes les pertenecen, el uso que se les debe dar,
y la clasificacin de todos los activos. Para esto el
departamento de contabilidad tendr que hacer un buen
trabajo en cuanto a esta clasificacin y desglose de activos,
y el departamento de leyes de la empresa tambin tendr
que ser muy metdico en estos procesos, ya que los activos
son todos los bienes y recursos que posee una empresa,
incluyendo bienes muebles e inmuebles, dinero, etc. Por lo
tanto este es un asunto delicado y de gran importancia.

Mantener una proteccin adecuada sobre los activos de la organizacin. Asegurar un nivel
de proteccin adecuado a los activos de informacin.
Debe definirse una clasificacin de los activos relacionados con los sistemas de
informacin, manteniendo un inventario actualizado que registre estos datos, y
proporcionando a cada activo el nivel de proteccin adecuado a su criticidad en la
organizacin.

4.4.

RECURSOS HUMANOS DE SEGURIDAD

El objetivo de esto es asegurar que los empleados, contratistas y terceros entiendan sus
responsabilidades, y sean idneos para los roles para los cuales son considerados,
reduciendo el riesgo de robo, fraude y mal uso de los medios. Es necesario definir
claramente los roles y responsabilidades de cada empleado. Todo esto no debe ser
simplemente mediante acuerdos verbales, sino que se debe plasmar en el contrato de
trabajo. Tambin deben existir capacitaciones peridicas para concientizar y proporcionar
formacin y procesos disciplinarios relacionados a la seguridad y responsabilidad de los
recursos humanos en este mbito.
Las implicaciones del factor humano en la seguridad de la informacin son muy elevadas.
Todo el personal, tanto interno como externo a la organizacin, debe conocer tanto las
lneas generales de la poltica de seguridad
corporativa como las implicaciones de su
trabajo en el mantenimiento de la seguridad
global.
Tambin
se
deben
especificar
las
responsabilidades cuando se da el cese
del empleo o cambio de puesto de trabajo, para
que la persona no se vaya simplemente y deje a
la organizacin afectada de alguna manera en
materia de seguridad.

14

4.5.

SEGURIDAD FSICA Y AMBIENTAL

La seguridad fsica y ambiental se divide

en reas seguras y seguridad de los
equipos. Respecto a las reas seguras, se
refiere a un permetro de seguridad fsica
que cuente con barreras o lmites tales
como paredes, rejas de entrada controladas
por tarjetas o recepcionistas, y medidas de
esa naturaleza para proteger las reas que
contienen informacin y medios de
procesamiento de informacin.
Se debe tambin contar con controles fsicos de entrada, tales como puertas con llave, etc.
Adems de eso, es necesario considerar la seguridad fsica con respecto a amenazas
externas y de origen ambiental, como incendios (para los cuales deben haber extintores
adecuados y en los lugares convenientes), terremotos, huracanes, inundaciones, atentados
terroristas, etc. Deben tambin haber reas de acceso pblico de carga y descarga,
parqueos, reas de visita, entre otros. Si hay gradas, deben ser seguras y con las medidas
respectivas como antideslizantes y barras de apoyo sobre la pared para sujetarse.
En cuanto a la seguridad ambiental, se debe controlar la temperatura adecuada para los
equipos, seguridad del cableado, mantenimiento de equipos, etc. Para todo esto se requerir
de los servicios de tcnicos o ingenieros especializados en el cuidado y mantenimiento de
cada uno de los equipos, as como en la inmediata reparacin de los mismos cuando sea
necesario. La ubicacin de los equipos tambin debe ser adecuada y de tal manera que
evite riesgos. Por ejemplo si algn equipo se debe estar trasladando con frecuencia, quiz
sea mejor dejarlo en la primera planta, en vez de dejarlo en la ltima planta de un edificio,
pues el traslado podra aumentar los riesgos de que se caiga y dae, especialmente si no se
cuenta con un ascensor. Se debe igualmente verificar y controlar el tiempo de vida til de
los equipos para que trabajen en condiciones ptimas.
Las reas de trabajo de la organizacin y sus activos deben ser clasificadas y protegidas en
funcin de su criticidad, siempre de una forma adecuada y frente a cualquier riesgo factible
de ndole fsica (robo, inundacin, incendio...).

15

4.6.

COMUNICACIONES Y GESTION DE OPERACIONES

El objetivo de esto es asegurar la operacin correcta y segura de los medios de

procesamiento de la informacin. En primer lugar, es necesario que los procedimientos de
operacin estn bien documentados, pues no basta con tener las ideas en la mente de los
administradores, sino que se deben plasmar en documentos que por supuesto estn
autorizados por la gerencia.

A la hora de aceptar un nuevo sistema, se debe tener especial cuidado, verificando

primeramente las capacidades y contando con evaluadores capacitados para determinar la
calidad o falta de calidad de un sistema nuevo a implementar. Se tienen que establecer
criterios de aceptacin de los sistemas de informacin,
actualizaciones
o
versiones
nuevas,
y
se
deben
realizar pruebas adecuadas a los sistemas durante su
desarrollo y antes de su aceptacin.
La proteccin contra el cdigo malicioso y descargable debe
servir para proteger la integridad del software y
la integracin con los sistemas y tecnologas con que ya se
cuenta. Se deben tambin tener controles de deteccin,
prevencin y recuperacin para proteger contra cdigos
maliciosos, por ejemplo antivirus actualizados y respaldos de
informacin. De hecho, los respaldos de informacin son
vitales y deben realizarse con una frecuencia razonable, pues
de lo contrario, pueden existir prdidas de informacin de
gran impacto negativo.
En cuanto a las redes, es necesario asegurar la proteccin de la informacin que se
transmite y la proteccin de la infraestructura de soporte. Los servicios de red tienen que
ser igualmente seguros, especialmente considerando cmo la tendencia de los ltimos aos
se encamina cada vez ms a basar todas las tecnologas de la informacin a ambientes en
red para transmitir y compartir la informacin efectivamente. Los sistemas tienen que estar
muy bien documentados, detalle a detalle, incluyendo por supuesto la arquitectura de red
con la que se cuenta.
Asegurar la operacin correcta y segura de los recursos de tratamiento de informacin.
Minimizar el riesgo de fallos en los sistemas. Proteger la integridad del software y de la
informacin. Mantener la integridad y la disponibilidad de los servicios de tratamiento de
informacin y comunicacin. Asegurar la salvaguarda de la informacin en las redes y la
proteccin de su infraestructura de apoyo. Evitar daos a los activos e interrupciones de
actividades de la organizacin. Prevenir la prdida, modificacin o mal uso de la
informacin intercambiada entre organizaciones.
Se debe garantizar la seguridad de las comunicaciones y de la operacin de los sistemas
crticos para el negocio.

16

4.7.

CONTROL DE ACCESOS
Controlar los accesos a la informacin. Evitar
accesos no autorizados a los sistemas de
informacin. Evitar el acceso de usuarios no
autorizados. Proteccin de los servicios en red.
Evitar accesos no autorizados a ordenadores.
Evitar el acceso no autorizado a la informacin
contenida en los sistemas. Detectar actividades no
autorizadas. Garantizar la seguridad de la
informacin cuando se usan dispositivos de
informtica mvil y teletrabajo.

Se deben establecer los controles de acceso

adecuados para proteger los sistemas de informacin crticos para el negocio, a diferentes
niveles: sistema operativo, aplicaciones, redes, etc.
En primer lugar, se debe contar con una poltica de control de acceso. Todo acceso no
autorizado debe ser evitado y se deben minimizar al mximo las probabilidades de que eso
suceda. Todo esto se controla mediante registro de usuarios, gestin de privilegios,
autenticacin mediante usuarios y contraseas, etc.
Aparte de la autenticacin correspondiente, los usuarios deben asegurar que el equipo
desatendido tenga la proteccin apropiada, como por ejemplo la activacin automtica de
un protector de pantalla despus de cierto tiempo de inactividad, el cual permanezca
impidiendo el acceso hasta que se introduzca una contrasea conocida por quien estaba
autorizado para utilizar la mquina desatendida.
Son necesarios controles de acceso a la red, al sistema operativo, a las aplicaciones y a la
informacin. Para todo esto deben existir registros y bitcoras de acceso.
Deben tambin existir polticas que contemplen adecuadamente aspectos de comunicacin
mvil, redes inalmbricas, control de acceso a ordenadores porttiles, y teletrabajo, en caso
que los empleados de la empresa ejecuten su trabajo fuera de las instalaciones de la
organizacin.

17

4.8.

DESARROLLO Y MANTENIMIENTO DE SISTEMAS

Contemplar aspectos de seguridad es requerido al

adquirir equipos y sistemas, o al desarrollarlos. No
solamente se debe considerar la calidad y el precio,
sino que la seguridad que ofrecen.
Debe existir una validacin adecuada de los datos de
entrada y de salida, controlando el procesamiento
interno en las aplicaciones, y la integridad de los
mensajes.
La gestin de claves debe ser tal que ofrezca soporte al
uso de tcnicas criptogrficas en la organizacin,
utilizando tcnicas seguras.
Garantizar la seguridad de los archivos del sistema es fundamental, por lo que se debe
controlar el acceso a los archivos del sistema y el cdigo fuente del programa, y
los proyectos de tecnologas de informacin y las actividades de soporte se deben realizar
de manera segura.

Deben establecerse procedimientos para el control de la instalacin del software en los

sistemas operacionales. Con esto por ejemplo se evita el riesgo de realizar instalaciones
ilegales o sin las respectivas licencias.
Se debe restringir el acceso al cdigo fuente para evitar robos, alteraciones, o la aplicacin
de ingeniera inversa por parte de personas no autorizadas, o para evitar en general
cualquier tipo de dao a la propiedad de cdigo fuente con que se cuente.
La seguridad en los procesos de desarrollo y soporte debe considerar procedimientos de
control de cambios, revisiones tcnicas de aplicaciones tras efectuar cambios en el sistema
operativo y tambin restricciones a los cambios en los paquetes de software. No se tiene
que permitir la fuga ni la filtracin de informacin no requerida.
Contar con un control de las vulnerabilidades tcnicas ayudar a tratar los riesgos de una
mejor manera.
Asegurar que la seguridad est incluida dentro de los sistemas de informacin. Evitar
prdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones. Proteger la
confidencialidad, autenticidad e integridad de la informacin. Asegurar que los proyectos
de Tecnologa de la Informacin y las actividades complementarias son llevados a cabo de
una forma segura. Mantener la seguridad del software y la informacin de la aplicacin del
sistema.
Debe contemplarse la seguridad de la informacin en todas las etapas del ciclo de vida del
software en una organizacin: especificacin de requisitos, desarrollo, explotacin,
mantenimiento.

18

4.9.

GESTION DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACION

La comunicacin es fundamental en todo proceso. Por lo tanto, se debe trabajar con

reportes de los eventos y debilidades de la seguridad de la informacin, asegurando una
comunicacin tal que permita que se realice una accin correctiva oportuna, llevando la
informacin a travs de los canales gerenciales apropiados lo ms rpidamente posible. De
la misma manera se debe contar con reportes de las debilidades en la seguridad,
requiriendo que todos los empleados, contratistas y terceros de los sistemas y servicios de
informacin tomen nota de y reporten cualquier debilidad de seguridad observada o
sospechada en el sistema o los servicios.
Asegurar que se aplique un enfoque consistente y efectivo a la
gestin de los incidentes en la seguridad de la informacin es
elemental.
Aprender de los errores es sabio. Por ello, se deben establecer
mecanismos para permitir cuantificar y monitorear los tipos,
volmenes y costos de los incidentes en la seguridad de la
informacin, siempre con la idea de no volver a cometer los
errores que ya se cometieron, y mejor an, aprender de los
errores que ya otros cometieron.
A la hora de recolectar evidencia, cuando una accin de seguimiento contra una persona u
organizacin despus de un incidente en la seguridad de la informacin involucra una
accin legal (ya sea civil o criminal); se debe recolectar, mantener y presentar evidencia
para cumplir con las reglas de evidencia establecidas en la(s) jurisdiccin(es) relevante(s).

4.10. GESTIN DE CONTINUIDAD DEL NEGOCIO

Las consecuencias de los desastres, fallas en la
seguridad, prdida del servicio y la disponibilidad del
servicio debieran estar sujetas a un anlisis del impacto
comercial. Se deben desarrollar e implementar planes
para la continuidad del negocio para asegurar la
reanudacin oportuna de las operaciones esenciales. La
seguridad de la informacin debiera ser una parte
integral del proceso general de continuidad del negocio,
y otros procesos gerenciales dentro de la organizacin.
Se debe contar con planes de continuidad del negocio que incluyan la seguridad de la
informacin. Estos planes no deben ser estticos, sino que deben ser actualizados y ser
sometidos a pruebas, mantenimiento y reevaluacin.

19

Junto a la gestin de riesgos, debe aparecer la identificacin de eventos que pueden causar
interrupciones a los procesos comerciales, junto con la probabilidad y el impacto de dichas
interrupciones y sus consecuencias para la seguridad de la informacin. Por supuesto se
requieren planes alternativos y de accin ante tales eventos, asegurando siempre la
proteccin e integridad de la informacin y tratando de poner el negocio en su estado de
operacin normal a la mayor brevedad posible.
Reaccionar a la interrupcin de actividades del negocio y proteger sus procesos crticos
frente grandes fallos o desastres.
Todas las situaciones que puedan provocar la interrupcin de las actividades del negocio
deben ser prevenidas y contrarrestadas mediante los planes de contingencia adecuados.
Los planes de contingencia deben ser probados y revisados peridicamente.
Se deben definir equipos de recuperacin ante contingencias, en los que se identifiquen
claramente las funciones y responsabilidades de cada miembro en caso de desastre.

4.11. CUMPLIMIENTO
Es una prioridad el buen cumplimiento de los requisitos legales para evitar las violaciones
a cualquier ley; regulacin estatutaria, reguladora o contractual; y cualquier requerimiento
de seguridad. La identificacin de la legislacin aplicable debe estar bien definida.
Se deben definir explcitamente, documentar y actualizar
todos los requerimientos legales para cada sistema de
informacin y para la organizacin en general.
Es necesario implementar los procedimientos apropiados
para asegurar el cumplimiento de los requerimientos
legislativos, reguladores y contractuales sobre el uso del
material
con
respecto
a
los
cuales
puedan
existir derechos de propiedad intelectual y sobre el uso
de productos de software patentado.
El cumplimiento de los requisitos legales se aplica tambin
a la proteccin de los documentos de la organizacin, proteccin de datos y privacidad de
la informacin personal, prevencin del uso indebido de los recursos de tratamiento de la
informacin, y a regulaciones de los controles criptogrficos.
Los sistemas de informacin deben estar bajo monitoreo y deben chequearse regularmente
para ver y garantizar el cumplimiento de los estndares de implementacin de la seguridad.
En cuanto a las auditoras de los sistemas de informacin, se tiene que maximizar la
efectividad de y minimizar la interferencia desde/hacia el proceso de auditora del sistema
de informacin. Durante las auditoras de los sistemas de informacin deben existir
controles para salvaguardar los sistemas operacionales y herramientas de auditora.
Tambin se requiere proteccin para salvaguardar la integridad y evitar el mal uso de las
herramientas de auditora.

20

Las actividades y requerimientos de auditora que involucran chequeos de los sistemas

operacionales deben ser planeados y acordados cuidadosamente para minimizar el riesgo
de interrupciones en los procesos comerciales.
Evitar el incumplimiento de cualquier ley, estatuto, regulacin u obligacin contractual y
de cualquier requerimiento de seguridad. Garantizar la alineacin de los sistemas con la
poltica de seguridad de la organizacin y con la normativa derivada de la misma. Maximizar
la efectividad y minimizar la interferencia de o desde el proceso de auditora de sistemas.
Se debe definir un plan de auditora interna y ser ejecutado convenientemente, para
garantizar la deteccin de desviaciones con respecto a la poltica de seguridad de la
informacin.

21

CONCLUSIONES

La norma que es una gua de buenas prcticas, recoge los objetivos de control y los
controles recomendables y no es certificable. La certificacin se realiza con la
norma ISO/IEC 27001, que recoge un resumen de estos controles en su Anexo A,
como base para desarrollar los Sistemas de Gestin de la Seguridad de la
Informacin, SGSI, de las organizaciones.

Luego de estudiar el Estndar Internacional ISO/IEC 27002, se puede ver cmo

muchos de los aspectos resaltados por este Estndar son aspectos generales que
muchas organizaciones los toman en cuenta an sin tener el certificado ISO/IEC
27002. Pero tambin existen muchas deficiencias en la gran mayora de
organizaciones en materia de seguridad. Algunos podran considerar que apegarse
a este tipo de estndares es en cierta forma cara y complicada, pero en realidad
resulta mucho ms caro sufrir las consecuencias que suele traer la falta de
seguridad en un importante sistema de informacin.

El hecho de cumplir a cabalidad con el Estndar Internacional ISO/IEC 27002 no

garantiza al 100% que no se tendrn problemas de seguridad, pues la seguridad al
100% no existe. Lo que s se logra es minimizar al mximo las probabilidades de
sufrir impactos negativos y prdidas originados por la falta de seguridad.

El trabajo proporciona una idea bastante clara de cmo se debe trabajar en materia
de seguridad de tecnologas de informacin al apegarse a un Estndar Internacional
(y por lo tanto mundialmente aceptado y conocido) como lo es el ISO/IEC 27002.

22

RECOMENDACIONES

La primera recomendacin es precisamente implementar el Estndar Internacional

ISO/IEC 27002 a la mayor brevedad posible, o de no ser posible (por aspectos
econmicos, de infraestructura, etc.), por lo menos estudiar el documento oficial de
este Estndar y estar conocedores de todos los elementos que se pueden
implementar y de cmo esto podra beneficiar y minimizar la posibilidad de
problemas por falta de seguridad.

La segunda recomendacin es tener en claro, como ya se dijo, que la seguridad al

100% no existe pero que s se puede maximizar la seguridad y minimizar los riesgos
por falta de seguridad.

De ser posible, se debera considerar adquirir la certificacin de este Estndar

Internacional, pues esto representa un gran activo no slo por los beneficios que de
por s trae el tener excelentes mecanismos de seguridad, sino tambin por el
prestigio de contar con certificaciones internacionales de calidad.

Se recomienda tambin tener un equipo de analistas que evalen las condiciones

particulares de una organizacin, pues cada caso es nico, y lo que a uno le
funcion, a otro podra no funcionarle debido a los aspectos particulares de cada
empresa. Por esa razn, se debe estudiar cada caso en concreto, aunque nunca est
de ms aprender de los errores o del xito de otros.

Implantar ISO 27002 requiere de un trabajo de consultora que adapte los

requerimientos de la norma a las necesidades de cada organizacin concreta.

23

SITIOS DE CONSULTA

http://www.monografias.com/trabajos67/estandar-internacional/estandarinternacional2.shtml#estandaria

http://www.iso27000.es/download/ControlesISO27002-2005.pdf

https://www.google.com.gt/search?hl=es419&site=imghp&tbm=isch&source=hp&
biw=1280&bih=923&q=ISO+27002-2005&oq=ISO+27002-2005&gs_

http://seguridadinformacioncolombia.blogspot.com/2010/04/iso-27001-e-iso27002-dominio-11.html

http://www.isaca.org/chapters7/Madrid/Events/Documents/Principales%20Nov
edades%20de%20la%20ISO27001ISO%2027002%20-%20Paloma%20Garcia.pdf

http://nimbosystems.com/wp/?p=52

http://seguridadinformacioncolombia.blogspot.com/2010/03/iso-27001-e-iso27002-politica-de_02.html

http://www.redseguridad.com/opinion/articulos/sabes-diferenciar-la-iso-27001y-la-iso-27002

http://pdf.usaid.gov/pdf_docs/PA00JRCT.pdf

http://www.iso27001security.com/html/27002.html#Section5

24