ESTANDRES APLICADOS

EN LA GESTIN DE LA
SEGURIDAD DE LA
INFORMACIN

NTP-ISO/IEC 17799

Introduccin:
Nuestro pas no es ajeno a la evolucin de la sociedad de la informacin, tal es as
que, cuenta con un Plan para el Desarrollo de la Sociedad de la Informacin elaborada
por la Comisin Multisectorial para el Desarrollo de la Sociedad de la Informacin

(CODESI), plasmada en la llamada Agenda Digital Peruana una de cuyas mesas de

trabajo es la mesa 5: Gobierno Electrnico, cuyo objetivo es:

Acercar la administracin del Estado y sus procesos a la ciudadana y a

las empresas en general, proveyendo servicios de calidad, accesibles,
seguros, transparentes y oportunos,a travs del uso intensivo de las
TICs(CODESI, 2005)

Introduccin:
Una de las estrategias para el logro de este objetivo consiste en desarrollar un plan de
seguridad de la informacin en el sector pblico (CODESI, 2005), como uno de los
componentes fundamentales para la creacin de la infraestructura de Gobierno
Electrnico.

Para consolidar y estandarizar las diferentes iniciativas en el sector, a travs de la

PCM se decret la obligatoriedad de la implantacin de la Norma NTP-ISO/IEC 17799
cdigo de buenas prcticas para la gestin de la seguridad de la informacin en el
sector pblico, a partir del 23 de Julio de 2004 por resolucin ministerial de la
Presidencia de Consejo de Ministros (RM N 224-2004-PCM, 2004), encargando la
supervisin del cumplimiento de su implementacin a la PCM a travs de la Oficina
Nacional de Gobierno Electrnico e Informtica ONGEI. (NTP/ISO 17799, 2007).

Contenido de la sesin:
1. Directrices de la NTP-ISO/IEC 17799 - I
Objeto y campo de aplicacin
Trminos y definiciones
Estructura del estndar
Evaluacin y tratamiento del riesgo
Poltica de seguridad

2. Directrices de la NTP-ISO/IEC 17799 II

Aspectos organizativos de la seguridad
Gestin de activos
Seguridad en recursos humanos
Seguridad fsica y del entorno
Gestin de comunicaciones y operaciones

3. Directrices de la NTP-ISO/IEC 17799 - III

Control de accesos
Adquisicin, desarrollo y mantenimiento de sistemas
Gestin de incidentes en la seguridad de informacin
Gestin de continuidad del negocio
Cumplimiento

1. OBJETO Y CAMPO DE APLICACIN

OBJETO Y CAMPO DE APLICACIN

Se ofrecen recomendaciones para la gestin de la seguridad de informacin.

Busca proporcionar una base comn para desarrollar normas de seguridad

en las organizaciones.

Puede servir como gua prctica para desarrollar estndares de seguridad.

2. TRMINOS Y DEFINICIONES

TRMINOS Y DEFINICIONES
Activo: Algo que tenga valor para la organizacin.

Control: Herramienta de la gestin de riesgo, incluido polticas, pautas, estructuras organizacionales, que
pueden ser de naturaleza administrativa, tcnica, gerencial o legal.

Seguridad de informacin: Preservacin de la confidencialidad, integridad y disponibilidad de la

informacin, as mismo, otras propiedades como la autenticidad, no rechazo, contabilidad y confiabilidad
tambin pueden ser consideradas.

Incidente de seguridad de informacin: Es indicado por una a varias series de incidentes inesperados y
no deseados que tiene una gran probabilidad de comprometer las operaciones de negocios y de amenazar
la seguridad de informacin.

TRMINOS Y DEFINICIONES (cont.)

Poltica: Direccin general y formal expresada por la gerencia.

Riesgo: Combinacin de la probabilidad de un evento y sus consecuencias.

Gestin de riesgos: Actividades coordinadas para dirigir y controlar una organizacin considerando el
riesgo.

Amenaza: Causa potencial de un incidente no deseado que puede resultar en dao al sistema u
organizacin.

Vulnerabilidad: Debilidad de un activo o grupo de activos que pueden ser explotados por una o ms
amenazas.

3. ESTRUCTURA DEL ESTNDAR

ESTRUCTURA DEL ESTNDAR

Clusulas:
11

Categoras principales de seguridad:

Descripcin del objetivo de control
Controles que deben aplicarse.

4. EVALUACIN Y TRATAMIENTO DEL RIESGO

EVALUACIN Y TRATAMIENTO DEL RIESGO

Evaluacin de riesgos de seguridad:

Identificar, cuantificar y priorizad.

Tratamiento de riesgos de seguridad:

Reducir, aceptar, evitar, transferir.

5. POLTICA DE SEGURIDAD

POLTICA DE SEGURIDAD
5.1. Poltica de seguridad de la informacin

5.1.1 Documento de poltica de Seguridad de la Informacin

5.1.2 Revisin de la poltica de Seguridad de la Informacin

6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD

ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD

6.1. Organizacin Interna
6.1.1 Compromiso de la gerencia con la seguridad de la informacin
6.1.2 Coordinacin de la Seguridad de la Informacin
6.1.3 Definicin de las responsabilidades de Seguridad de la Informacin
6.1.4 Procesos de autorizacin para el uso de la infraestructura de informacin
6.1.5 Acuerdos de confidencialidad
6.1.6 Contacto con autoridades
6.1.7 Contacto con grupos de inters
6.1.8 Revisin Independiente de la Seguridad de la Informacin
6.2. Partes externas
6.2.1 Identificacin de riesgos asociados a terceras partes
6.2.2 Enfoque de la seguridad al interactuar con clientes
6.2.3 Enfoque de la seguridad en acuerdos con terceras partes

7. GESTIN DE ACTIVOS

GESTIN DE ACTIVOS
7.1. Responsabilidad de los activos
7.1.1 Inventario de activos
7.1.2 Propiedad de activos
7.1.3 Uso adecuado de activos
7.2. Clasificacin de la informacin
7.2.1 Gua para la clasificacin
7.2.2 Identificacin y manejo de la informacin

8. SEGURIDAD EN RECURSOS HUMANOS

SEGURIDAD EN RECURSOS HUMANOS

8.1. Previo al empleo
8.1.1 Funciones y responsabilidades
8.1.2 Seleccin y verificacin de candidatos
8.1.3 Trminos y condiciones del empleo
8.2. Durante el empleo
8.2.1 Responsabilidades de la gerencia
8.2.2 Concientizacin, educacin y entrenamiento en la seguridad de la
informacin
8.2.3 Proceso disciplinario
8.3. Finalizacin o cambio de empleo
8.3.1 Finalizacin de responsabilidades
8.3.2 Devolucin de activos
8.3.3 Retiro de los permisos de acceso

9. SEGURIDAD FSICA Y DEL ENTORNO

SEGURIDAD FSICA Y DEL ENTORNO

9.1. reas seguras
9.1.1 Controles de seguridad fsica
9.1.2 Controles fsicos de entrada
9.1.3 Seguridad en oficinas, cuartos y edificios
9.1.4 Proteccin contra amenazas externas y ambientales
9.1.5 Trabajo en reas seguras
9.1.6 reas de acceso pblica, carga y entrega
9.2. Seguridad de los equipos
9.2.1 Ubicacin y proteccin de equipamiento
9.2.2 Suministros de soporte
9.2.3 Seguridad en el cableado
9.2.4 Mantenimiento de equipos
9.2.5 Seguridad de los equipos fuera de las instalaciones
9.2.6 Desecho o rehso seguro de los equipos
9.2.7 Retiro de propiedad

10. GESTIN DE COMUNICACIONES Y OPERACIONES

GESTIN DE COMUNICACIONES Y OPERACIONES

10.1. Responsabilidades y procedimientos operacionales
10.1.1 Procedimientos operacionales documentados
10.1.2 Administracin de cambios
10.1.3 Segregacin de funciones
10.1.4 Separacin de ambientes
10.2. Gestin de servicios por terceras partes
10.2.1 Entrega de servicios
10.2.2 Monitoreo y revisin de los servicios de terceros
10.2.3 Administracin de cambios en los servicios de terceros
10.3. Planificacin y aceptacin del sistema
10.3.1 Gestin de la Capacidad
10.3.2 Aceptacin de sistemas

GESTIN DE COMUNICACIONES Y OPERACIONES

10.4. Proteccin contra cdigo mvil y malicioso
10.4.1 Controles contra software malicioso
10.4.2 Controles contra cdigo mvil
10.5. Respaldo
10.5.1 Copia de respaldo de informacin

10.6. Gestin de seguridad en la red

10.6.1 Controles de red
10.6.2 Seguridad de servicios de red
10.7. Gestin de soportes
10.7.1 Gestin de los medios removibles
10.7.2 Eliminacin de medios
10.7.3 Procedimientos para el manejo de informacin
10.7.4 Seguridad de la documentacin de los sistemas

GESTIN DE COMUNICACIONES Y OPERACIONES

10.8. Intercambio de informacin
10.8.1 Polticas y procedimientos de intercambio de informacin
10.8.2 Acuerdos de intercambio
10.8.3 Medios fsicos en transito
10.8.4 Mensajera electrnica
10.8.5 Sistemas de informacin de negocio

10.9. Servicios de comercio electrnico

10.9.1 Comercio electrnico
10.9.2 Transacciones en lnea
10.9.3 Informacin de acceso publico

GESTIN DE COMUNICACIONES Y OPERACIONES

10.10. Monitoreo
10.10.1 Registro de eventos
10.10.2 Monitoreo del uso de los sistemas
10.10.3 Proteccin de la informacin de registros
10.10.4 Registros del administrador y operador
10.10.5 Registro de fallas
10.10.6 Sincronizacin de relojes

11. CONTROL DE ACCESO

CONTROL DE ACCESO
11.1. Requerimientos de negocio para el control del acceso
11.1.1 Poltica de control de acceso
11.2. Gestin de accesos de usuarios
11.2.1 Registro de usuarios
11.2.2 Gestin de privilegios
11.2.3 Gestin de contraseas de usuarios
11.2.4 Revisin de los derechos de acceso de los usuarios
11.3. Responsabilidades de usuario
11.3.1 Uso de contraseas
11.3.2 Equipos de usuarios desatendidos
11.3.3 Poltica de escritorio y pantalla limpia

CONTROL DE ACCESO
11.4. Control de acceso a redes
11.4.1 Poltica para el uso de servicios de red
11.4.2 Autenticacin de usuarios para conexiones externas
11.4.3 Identificacin de equipos en las redes
11.4.4 Proteccin de puerto de diagnstico y configuracin remota
11.4.5 Segregacin en redes
11.4.6 Control de conexiones a la red
11.4.7 Control de enrutamiento en la red
11.5. Control de acceso al sistema operativo
11.5.1 Procedimientos de inicio seguro de sesin
11.5.2 Identificacin y autenticacin de usuarios
11.5.3 Sistema de gestin de contraseas
11.5.4 Uso de las utilidades del sistema
11.5.5 Control de tiempo para terminales
11.5.6 Limitacin en el tiempo de conexin

CONTROL DE ACCESO
11.6. Control de acceso a la informacin y las aplicaciones
11.6.1 Restriccin de acceso a la informacin
11.6.2 Aislamiento de los sistemas sensibles
11.7. Informtica mvil y teletrabajo
11.7.1 Computacin y comunicaciones mviles
11.7.2 Teletrabajo

12. ADQUISICIN, DESARROLLO Y MANTENIMIENTO

DE SISTEMAS

ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS

12.1. Requerimientos de seguridad de los sistemas de informacin
12.1.1 Anlisis y especificaciones de los requerimientos de seguridad
12.2. Procesamiento correcto en las aplicaciones
12.2.1 Validacin de los datos de entrada
12.2.2 Control del procesamiento interno
12.2.3 Integridad de mensajes
12.2.4 Validacin de datos de salida
12.3. Controles criptogrficos
12.3.1 Poltica en el uso de controles de cifrado
12.3.2 Administracin de llaves

ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS

12.4. Seguridad de los archivos del sistema
12.4.1 Control del software operacional
12.4.2 Proteccin de los datos de prueba del sistema
12.4.3 Control de acceso al cdigo fuente de programas
12.5. Seguridad en el desarrollo y soporte de procesos
12.5.1 Procedimientos de control de cambios
12.5.2 Revisin tcnica de aplicaciones despus de cambios al sistema operativo
12.5.3 Restricciones en los cambios a los paquetes de software
12.5.4 Fuga de informacin
12.5.5 Desarrollo de software en outsourcing
12.6. Gestin de vulnerabilidades tcnicas
12.6.1 Control de vulnerabilidades tcnicas

13. GESTIN DE INCIDENTES EN LA SEGURIDAD DE

INFORMACIN

GESTIN DE INCIDENTES EN LA SEGURIDAD DE INFORMACIN

13.1. Informes de los eventos de seguridad de la informacin y vulnerabilidades
13.1.1 Reporte de eventos de seguridad de la informacin
13.1.2 Reporte de debilidades de seguridad
12.3. Gestin de incidentes y mejoras de seguridad de la informacin
13.2.1 Responsabilidades y procedimientos
13.2.2 Aprender de los incidentes de seguridad de la informacin
13.2.3 Recoleccin de evidencia

14. GESTIN DE CONTINUIDAD DEL NEGOCIO

GESTIN DE CONTINUIDAD DEL NEGOCIO

14.1. Gestin de los aspectos de seguridad de la continuidad del negocio
14.1.1 Inclusin de seguridad de informacin en gestin de continuidad del negocio
14.1.2 Continuidad del negocio y evaluacin de riesgos
14.1.3 Desarrollo de planes de continuidad incluyendo seguridad de la informacin
14.1.4 Modelo para la planeacin de la continuidad del negocio
14.1.5 Prueba, mantenimiento y re-evaluacin de planes de continuidad de negocio

15. CUMPLIMIENTO

CUMPLIMIENTO
15.1. Cumplimiento de los requerimientos legales
15.1.1 Identificacin de la legislacin aplicable
15.1.2 Derechos de propiedad intelectual (IPR)
15.1.3 Proteccin de los registros de la organizacin
15.1.4 Proteccin y privacidad de la informacin personal
15.1.5 Prevencin del mal uso de la infraestructura de procesamiento
15.1.6 Regulacin de controles de cifrado
15.2. Cumplimiento de polticas y estndares, y cumplimiento tcnico
15.2.1 Cumplimiento de polticas y estndares de seguridad
15.2.2 Verificacin del cumplimiento tcnico
15.3. Consideraciones de auditoria de sistemas de informacin
15.3.1 Controles de auditora de los sistemas de informacin
15.3.2 Proteccin de las herramientas de auditoria de los sistemas de informacin

CMO ADAPTARSE?

CMO ADAPTARSE?