UNIVERSIDAD NACIONAL

PEDRO RUIZ GALLO

FACULTAD DE INGENIERIA CIVIL, SISTEMAS Y
ARQUITECTURA

NORMA ISO 27000

DOCENTE:

ARTEAGA LORA, Roberto.

INTEGRANTES:

BERNAB NUNTON, Jhonatan.

CASTILLO BENITES, Csar.
MENDOZA FRIAS, Diego.
RAYA GMEZ, Arnold.

ESCUELA:

Ingeniera de Sistemas

Lambayeque, julio de 2017

1
 INDICE

INTRODUCCIN ............................................................................................................................ 3
ISO 27000 ...................................................................................................................................... 4
1. ORIGEN.............................................................................................................................. 4
2. SERIE ISO 27000 ................................................................................................................ 5
3. ISO 27001 .......................................................................................................................... 6
4. BENEFICIOS ....................................................................................................................... 7
5. PASOS PARA LA CERTIFICACIN....................................................................................... 8
6. CONTENIDO DE LA NORMA ISO 27001 ............................................................................ 8
7. METODOLOGIA PDCA ..................................................................................................... 10
8. DOMINIOS Y CONTROLES ............................................................................................... 11
9. NTP 17799 ....................................................................................................................... 18
CASO APLICATIVO ....................................................................................................................... 19
CONCLUSIN............................................................................................................................... 20
BIBLIOGRAFIA ............................................................................................................................. 21

2
 INTRODUCCIN
La informacin es un activo vital para el xito y la continuidad en el mercado de cualquier
organizacin. El aseguramiento de dicha informacin y de los sistemas que la procesan es, por
tanto, un objetivo de primer nivel para la organizacin.

Para la adecuada gestin de la seguridad de la informacin, es necesario implantar un sistema

que aborde esta tarea de una forma metdica, documentada y basada en unos objetivos claros
de seguridad y una evaluacin de los riesgos a los que est sometida la informacin de la
organizacin. ISO/IEC 27000 es un conjunto de estndares desarrollados o en fase de desarrollo
por ISO (International Organization for Standardization) e IEC (International Electrotechnical
Commission), que proporcionan un marco de gestin de la seguridad de la informacin utilizable
por cualquier tipo de organizacin, pblica o privada, grande o pequea.

En esta monografa se resumen las distintas normas que componen la serie ISO 27000 y se indica
cmo puede una organizacin implantar un sistema de gestin de seguridad de la informacin
(SGSI) basado en ISO 27001.

3
 ISO 27000
1. ORIGEN

Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (British Standards
Institution) es responsable de la publicacin de importantes normas como:

BS 5750 de 197935, ahora ISO 9001.

BS 7750 de 199236, ahora ISO 14001.
BS 8800 de 199637, ahora OHSAS 18001 (Occupational Health and Safety Management
Systems).

Para encontrar las races de la serie 27000 hay que remontarse al 1995 y la norma BS7799 de la
propia BSI, cuyo principal objetivo era dotar a las empresas de un conjunto de buenas prcticas
que aplicar, a la hora de gestionar la seguridad de la informacin.

La norma BS 7799, se subdivide en dos normas, segn la fecha de publicacin:

BS 7799-1 de 1995, que establece una gua de buenas prcticas, pero que no constituye
un esquema de certificacin.
BS 7799-2 de 1998, donde ya s, se establecen los requisitos de un SGSI (Sistema de
Gestin de Seguridad de la Informacin)38 para que ste pueda ser certificado como
tal.

La norma BS 7799, en sus dos partes, sigue evolucionando, y es sometida a una revisin en 1999,
de forma que la norma BS 7799-1 es adoptada por ISO como la norma ISO 17799, sin cambios
fundamentales.

Posteriormente la norma BS 7799-2 es nuevamente revisada, en el 2002, para adaptarse a la

filosofa adoptada por ISO en materia de sistemas de gestin.

Es as que en el 2005 nace, a partir de la norma BS 7799-2, la norma ISO 27001, como estndar
de certificacin, as como se revisa y actualiza la norma ISO 17799, renombrndose sta como
ISO 27002:2005. Vase un esquema que aclare esta evolucin:

4
2. SERIE ISO 27000

A semejanza de otras normas ISO, la 27000 es un conjunto de estndares desarrollados, o en

fase de desarrollo, por ISO e IEC, que proporcionan un marco de gestin de seguridad de la
informacin utilizable por cualquier tipo de organizacin, ya sea, pblica o privada, y cualquiera
que sea su entidad.

Seguidamente, y considerando que son de especial inters los contenidos de cada una de ellas,
se presenta una breve descripcin de toda la serie ISO 27000.

2.1. ISO 27000: Esta norma proporciona una visin general de las normas que componen la
serie 27000, una introduccin a los Sistemas de Gestin de Seguridad de la Informacin,
una breve descripcin del proceso Plan-Do-Check-Act y trminos y definiciones que se
emplean en toda la serie 27000.

2.2. ISO 27001: Es la certificacin que deben obtener las organizaciones. Norma que
especifica los requisitos para la implantacin del SGSI. Es la norma ms importante de
la familia. Adopta un enfoque de gestin de riesgos y promueve la mejora continua de
los procesos. Fue publicada como estndar internacional en octubre de 2005. En su
Anexo A, enumera en forma de resumen los objetivos de control y controles que
desarrolla la ISO 27002 para que sean seleccionados por las organizaciones en el
desarrollo de sus SGSI; a pesar de no ser obligatoria la implementacin de todos los
controles enumerados en dicho anexo, la organizacin deber argumentar slidamente
la no aplicabilidad de los controles no implementados.

2.3. ISO 27002: Es una gua de buenas prcticas que describe los objetivos de control y
controles recomendables en cuanto a seguridad de la informacin. No es certificable.
Contiene 39 objetivos de control y 114 controles, agrupados en 14 dominios.

2.4. ISO 27003: Es una gua que se centra en los aspectos crticos necesarios para el diseo
e implementacin con xito de un SGSI de acuerdo ISO 27001

2.5. ISO 27004: son mtricas para la gestin de seguridad de la informacin. Es la que
proporciona recomendaciones de quin, cundo y cmo realizar mediciones de
seguridad de la informacin.

2.6. ISO 27005: trata la gestin de riesgos en seguridad de la informacin. Es la que

proporciona recomendaciones y lineamientos de mtodos y tcnicas de evaluacin de
riesgos de Seguridad en la Informacin, en soporte del proceso de gestin de riesgos de
la norma ISO 27001. Es la ms relacionada a la actual British Standard BS 7799

2.7. ISO 27006: Especifica los requisitos para la acreditacin de entidades de auditora y
certificacin de sistemas de gestin de seguridad de la informacin.

2.8. ISO 27007: Publicacin prevista en 2011. Consistir en una gua de auditora de un SGSI,
como complemento a lo especificado en ISO 19011.

5
 2.9. ISO 27011: Es una gua de interpretacin de la implementacin y gestin de la seguridad
de la informacin en organizaciones del sector de telecomunicaciones basada en
ISO/IEC 27002.

2.10. ISO 27031: Describe los conceptos y principios de la tecnologa de informacin y

comunicacin (TIC)

2.11. ISO 27032: Publicacin prevista en 2011. Gua relativa a la ciberseguridad.

2.12. ISO 27034: Varias guas de seguridad para aplicaciones informticas.

3. ISO 27001

La norma ISO 27001 tiene su origen en la norma BS 7799-2:2002 y se public en octubre del
2005.

Se podra decir que es la norma principal de la serie, ya que tiene una completa descripcin de
los Sistemas de Gestin de Seguridad de la Informacin, pudiendo considerar actualmente a
dichos sistemas, como el mejor medio para asegurar la calidad de la seguridad de la informacin.

En esta norma, adems del Objeto, campo de aplicacin, terminologa y definiciones, se define
de forma clara cmo crear, implantar, operar, supervisar, revisar, mantener y mejorar el SGSI,
as como los requisitos de documentacin y control de dichos sistemas.

Importante tambin es, la descripcin de las responsabilidades de la direccin, en cuanto a

gestin de provisin de recursos, concienciacin y formacin del personal y gestin del proceso
peridico de revisiones. En la norma ISO 27001 tambin se definen la forma de realizar

6
auditoras internas a los SGSI, as como acciones correctivas y preventivas para su mejora
continua.

Un SGSI, trata de ser un proceso sistemtico, documentado y conocido por toda la organizacin,
para gestionar la seguridad de la informacin desde un enfoque de riesgo empresarial.

Garantizar un nivel de proteccin total, la llamada seguridad plena, es prcticamente imposible,

por tanto, el propsito del sistema de gestin de seguridad, debe ser, garantizar que los riesgos
de la seguridad de la informacin sean conocidos, asumidos, gestionados y minimizados por la
organizacin, todo esto, de forma documentada, sistemtica, estructurada, repetible, eficiente
y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologas.

Para realizar estas funciones, y en el mbito de la gestin de la calidad (ISO 9001), podra decirse
que un SGSI est formado por el siguiente modelo:

Estos niveles se pueden desglosar en las siguientes funcionalidades:

4. BENEFICIOS

Garanta de los controles internos y cumplimiento de requisitos de gestin corporativa

y de continuidad de la actividad comercial.
Reduccin del riesgo de prdida, robo o corrupcin de informacin.
Los clientes tienen acceso a la informacin a travs medidas de seguridad.
Confianza de clientes y socios estratgicos por la garanta de calidad y confidencialidad
comercial.
Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.
Reduccin de costes y mejora de procesos

7
 Las auditoras externas ayudan cclicamente a identificar las debilidades del sistema y
las reas a mejorar.
Aumento de la motivacin y satisfaccin del personal al contar con unas directrices
claras.

5. PASOS PARA LA CERTIFICACIN

5.1. Elegir la norma.

Se elige la norma para luego poder realizar una solicitud correspondiente, para bajar de la
pgina web de la ISO 27001 para poder leer y entender la misma.

5.2. Contactar

Es necesario ponerse en contacto con los trabajadores de la certificacin donde sus

requerimientos son los ms importantes para una buena entrega del estndar con ello se
pondr de acuerdo del precio y el tiempo que se supone ser evaluado.

5.3. Cita con el equipo de evaluacin

Se conoce a la persona responsable de que el certificado sea entregado con todas las normas
correspondientes a este estndar dando la confianza de profesionalismo ante todo en el
trabajo que realiza y en los conocimientos que posee para un buen desempeo de la
certificacin.

5.4. Considerar la formacin

Si se desea ampliar los conocimientos del estndar, se debe disponer de talleres, seminarios
donde la funcin es adaptar los conocimientos que se han pedido que se aplique en la
certificacin y as no tener problemas en el desarrollo de algn sistema de seguridad en
cualquier organizacin.

5.5. Revisin y evaluacin

Se realiza una anlisis de los procesos operativos del sistema de gestin de seguridad
informtica, por ende cualquier problema que se realice se debe satisfacer antes de la
evaluacin formal, una vez resuelto el problema se llevara la evaluacin exclusiva en la
organizacin.

5.6. Certificacin y mucho ms

Concluida la evaluacin se emite un certificado de registro que se explica hasta donde llega
la certificacin, este certificado lleva una validez de tres aos y el responsable de la entrega
visitar constantemente para ayuda como garanta que cumpla los requisitos y el apoyo
continuo de los sistemas.

6. CONTENIDO DE LA NORMA ISO 27001

6.1. Introduccin

En la introduccin se indicar todo lo que se va abarcar en la Norma ISO 27001 con el fin que el
lector comprenda hasta dnde llegar sus objetivos y funciones de sta tesis.

8
 6.2. Objeto

En el objeto de la Norma ISO 27001 se propone abarcar hasta qu punto puede ayudar ste tipo
de estndar en la organizacin que se va a auditar, se basa mucho en lo que es el Anexo A dnde
va ser el alcance de nuestra tesis.

6.3. Referencias normativas

Aqu interviene de donde no ms se logr sacar la informacin, es decir, si se obtuvo tambin

de otras ISO y qu especficamente se alcanz de dichas referencias.

6.4. Trminos y definiciones

Aqu se coloca cada uno de los trminos importantes que se den en la Norma ISO 27001 como
su respectiva definicin de cada uno de los trminos propiamente escritos.

6.5. Sistema de gestin de la seguridad de la informacin

En este sistema se abarca todo acerca de la seguridad de la informacin en la parte especfica

de lo que es la gestin, que intervienen en sta poltica y que no ms necesita para encontrar la
solucin ms adecuada para su respectiva auditora.

6.6. Responsabilidad de la direccin

La direccin debe estar atenta a lo que ocurra con las auditoras, ya que con ello pueden tomar
medidas para poder prevenir posibles fallos en la seguridad informtica. La direccin debe
tambin racionalizar el uso de los activos informticos y para ello se realizan actividades que
ayudan al auditor a tomar decisiones

6.7. Auditoras internas de SGSI

El objetivo primordial de este tipo de auditora de SGSI es averiguar si hay algo que se est
realizando mal, de manera objetiva. El auditor interno debe ser una persona capacitada y atenta
a lo que est ocurriendo en la empresa, debe poder descubrir si algo se hace mal dentro de su
empresa de trabajo. Si se realiza un buen trabajo, correctivo o preventivo, entonces la auditora
interna de SGSI mejorar su seguridad.

6.8. Revisin del SGSI por la direccin

Este paso es muy importante, ya que la direccin tambin debe formar parte en el proyecto,
para lo cual se realizan reuniones planificadas para dar puntos de vista y recomendaciones. La
revisin por parte de la direccin esta desarrolladamente con ese objetivo, ya que el estndar
requiere que la direccin examine todos los hechos importantes que se van encontrando en el
transcurso del tiempo. Al momento que se ha realizado ste paso, entonces se decidirn las
mejoras que se implementarn.

6.9. Mejora de SGSI

Mediante la mejora continua del SGSI, se evitarn que se produzcan errores y para ello se
desarrollarn medidas preventivas, que representan una forma de corregir las cosas antes que
se generen problemas. Similares a las medidas preventivas existen las medidas correctivas que
corrigen un problema cuando ste ya sucedi

9
 6.10. Anexo A. Resumen de controles

Para este caso, el anexo que se va a cumplir, es el anexo A. Este anexo es, probablemente, el
anexo ms nombrado de todas las normas de gestin El objetivo del anexo A contiene los
siguientes puntos:

Poltica de la seguridad
Gestin de activos
Seguridad relacionada con el personal
Seguridad fsica y de entorno
Control de Acceso
Estrategias de Solucin

Como podemos observar en los puntos, el anexo A, no solamente se centra en las tecnologas
de la informacin; tambin incluye seguridad fsica, proteccin legal, gestin de recursos, etc.

6.11. Bibliografa.

Aqu se citan todas las referencias visitadas para consultas o copias ya sean: libros, revistas,
pginas web, etc.

La Norma ISO 27001 implementa un modelo plan-do-check-act o tambin llamado ciclo de

Demming para establecer, implementar, monitorear, revisar y mantener un SGSI.

7. METODOLOGIA PDCA

Para el desarrollo y mantenimiento del SGSI se adopta la metodologa PDCA:

- Plan: (Establecer el SGSI): Implica, establecer a poltica SGSI, sus objetivos, procesos,
procedimientos relevantes para la administracin de riesgos y mejoras para la seguridad
de la informacin, entregando resultados acordes a las polticas y objetivos de toda la
organizacin.

- Do (Implementar y operar el SGSI): Representa la forma en que se debe operar e

implementar la poltica, controles, procesos y procedimientos.

- Check (Monitorizar y revisar el SGSI): Analizar y medir donde sea aplicable, los procesos
ejecutados con relacin a la poltica del SGSI, evaluar objetivos, experiencias e informar
los resultados a la administracin para su revisin.

- Act (Mantener y mejorar el SGSI): Realizar las acciones preventivas y correctivas,

basados en las auditoras internas y revisiones del SGSI o cualquier otra informacin
relevante para permitir la continua mejora del SGSI

10
8. DOMINIOS Y CONTROLES

El concepto de control dentro de la norma agrupa todo el conjunto de acciones, documentos,

procedimientos y medidas tcnicas adoptadas para garantizar que cada amenaza, identificada y
valorada con un cierto riesgo, sea minimizada.

Se definen 114 controles dentro de las 14 reas o dominios.

Poltica de seguridad: Aportar las directrices y el soporte para la seguridad de la

informacin de acuerdo con los requerimientos de la organizacin, y con la legislacin
vigente.

Polticas para la seguridad de la informacin: Se debera definir un conjunto de

polticas para la seguridad de la informacin, aprobado por la direccin,
publicado y comunicado a los empleados, as como a todas las partes externas
relevantes.

Revisin de las polticas para la seguridad de la informacin: Las polticas para

la seguridad de la informacin se deberan planificar y revisar con regularidad

Organizacin de la seguridad de la informacin: Definir la estructura de la seguridad de

la informacin dentro de la organizacin, as como asegurar el nivel de seguridad de la
informacin para las situaciones en las que terceras organizaciones accedan a la
informacin.

Asignacin de responsabilidades para la SI: Se deberan definir y asignar

claramente todas las responsabilidades para la seguridad de la informacin.

Segregacin de tareas: Se deberan segregar tareas y las reas de

responsabilidad ante posibles conflictos de inters con el fin de reducir las
oportunidades de una modificacin no autorizada o no intencionada.

Contacto con las autoridades: Se deberan mantener los contactos apropiados

con las autoridades pertinentes.

11
 Contacto con grupos de inters especial: Se debera mantener el contacto con
grupos o foros de seguridad especializados y asociaciones profesionales.

Seguridad de la informacin en la gestin de proyectos: Se debera contemplar

la seguridad de la informacin en la gestin de proyectos e independientemente
del tipo de proyecto a desarrollar por la organizacin.

Poltica de uso de dispositivos para movilidad: Se debera establecer una poltica

formal y se deberan adoptar las medidas de seguridad adecuadas para la
proteccin contra los riesgos derivados del uso de los recursos de informtica
mvil y las telecomunicaciones.

Teletrabajo: Se debera desarrollar e implantar una poltica y medidas de

seguridad de apoyo para proteger a la informacin accedida, procesada o
almacenada en ubicaciones destinadas al teletrabajo.

Seguridad de recursos humanos: El objetivo del presente dominio es la necesidad de

educar e informar al personal desde su ingreso y en forma continua, cualquiera sea su
situacin de actividad, acerca de las medidas de seguridad que afectan al desarrollo de
sus funciones y de las expectativas depositadas en ellos en materia de seguridad y
asuntos de confidencialidad.
Investigacin de antecedentes: Se deberan realizar revisiones de verificacin
de antecedentes de los candidatos al empleo en concordancia con las
regulaciones, tica y leyes relevantes

Trminos y condiciones de contratacin: Como parte de su obligacin

contractual, empleados, contratistas y terceros deberan aceptar y firmar los
trminos y condiciones del contrato de empleo, el cual establecer sus
obligaciones y las obligaciones de la organizacin para la seguridad de
informacin.

Gestion de activos: El objetivo del presente dominio es que la organizacin tenga

conocimiento preciso sobre los activos que posee como parte importante de la
administracin de riesgos.

Inventario de activos: Todos los activos deberan estar claramente identificados,

confeccionando y manteniendo un inventario con los ms importantes.

Propiedad de los activos: Toda la informacin y activos del inventario asociados

a los recursos para el tratamiento de la informacin deberan pertenecer a una
parte designada de la Organizacin.

Uso aceptable de los activos: Se deberan identificar, documentar e implantar

regulaciones para el uso adecuado de la informacin y los activos asociados a
recursos de tratamiento de la informacin.

12
 Devolucin de activos: Todos los empleados y usuarios de terceras partes
deberan devolver todos los activos de la organizacin que estn en su
posesin/responsabilidad una vez finalizado el acuerdo, contrato de prestacin
de servicios o actividades relacionadas con su contrato de empleo.

Control de accesos: Prevenir accesos no autorizados, daos o interferencias en la

organizacin o en los servicios de la misma.
Poltica de control de accesos: Se debera establecer, documentar y revisar una
poltica de control de accesos en base a las necesidades de seguridad y de
negocio de la Organizacin.

Control de acceso a las redes y servicios asociados: Se debera proveer a los

usuarios de los accesos a redes y los servicios de red para los que han sido
expresamente autorizados a utilizar.

Gestin de altas/bajas en el registro de usuarios: Debera existir un

procedimiento formal de alta y baja de usuarios con objeto de habilitar la
asignacin de derechos de acceso.

Gestin de los derechos de acceso asignados a usuarios: Se debera de implantar

un proceso formal de aprovisionamiento de accesos a los usuarios para asignar
o revocar derechos de acceso a todos los tipos de usuarios y para todos los
sistemas y servicios.

Gestin de los derechos de acceso con privilegios especiales: La asignacin y uso

de derechos de acceso con privilegios especiales debera ser restringido y
controlado.

Gestin de informacin confidencial de autenticacin de usuarios: La asignacin

de informacin confidencial para la autenticacin debera ser controlada
mediante un proceso de gestin controlado.

Cifrado: El objetivo del presente dominio es el uso de sistemas y tcnicas criptogrficas

para la proteccin de la informacin en base al anlisis de riesgo efectuado, con el fin
de asegurar una adecuada proteccin de su confidencialidad e integridad.

Poltica de uso de los controles criptogrficos: Se debera desarrollar e

implementar una poltica que regule el uso de controles criptogrficos para la
proteccin de la informacin.

Gestin de claves: Se debera desarrollar e implementar una poltica sobre el

uso, la proteccin y el ciclo de vida de las claves criptogrficas a travs de todo
su ciclo de vida.

13
 Seguridad fsica y Ambiental: El objetivo es minimizar los riesgos de daos e
interferencias a la informacin y a las operaciones de la organizacin.
Permetro de seguridad fsica: Se deberan definir y utilizar permetros de
seguridad para la proteccin de las reas que contienen informacin y las
instalaciones de procesamiento de informacin sensible o crtica.

Controles fsicos de entrada: Las reas seguras deberan estar protegidas

mediante controles de entrada adecuados para garantizar que solo el personal
autorizado dispone de permiso de acceso.

Seguridad de oficinas, despachos y recursos: Se debera disear y aplicar un

sistema de seguridad fsica a las oficinas, salas e instalaciones de la organizacin.

Proteccin contra las amenazas externas y ambientales: Se debera disear y

aplicar una proteccin fsica contra desastres naturales, ataques maliciosos o
accidentes.

El trabajo en reas seguras: Se deberan disear y aplicar procedimientos para el

desarrollo de trabajos y actividades en reas seguras.

reas de acceso pblico, carga y descarga: Se deberan controlar puntos de

acceso a la organizacin como las reas de entrega y carga/descarga (entre
otros) para evitar el ingreso de personas no autorizadas a las dependencias
aislando estos puntos, en la medida de lo posible, de las instalaciones de
procesamiento de informacin.

Seguridad en la operativa: El objetivo es controlar la existencia de los procedimientos

de operaciones y el desarrollo y mantenimiento de documentacin actualizada
relacionada.
Documentacin de procedimientos de operacin: Se deberan documentar los
procedimientos operativos y dejar a disposicin de todos los usuarios que los
necesiten.

Gestin de cambios: Se deberan controlar los cambios que afectan a la

seguridad de la informacin en la organizacin y procesos de negocio, las
instalaciones y sistemas de procesamiento de informacin.

Gestin de capacidades: Se debera monitorear y ajustar el uso de los recursos

junto a proyecciones necesarias de requisitos de capacidad en el futuro con el
objetivo de garantizar el rendimiento adecuado en los sistemas.

Separacin de entornos de desarrollo, prueba y produccin: Los entornos de

desarrollo, pruebas y operacionales deberan permanecer separados para
reducir los riesgos de acceso o de cambios no autorizados en el entorno
operacional.

14
 Seguridad en telecomunicaciones: El objetivo es asegurar la proteccin de la
informacin que se comunica por redes telemticas y la proteccin de la infraestructura
de soporte.

Controles de red: Se deberan administrar y controlar las redes para proteger la

informacin en sistemas y aplicaciones.

Mecanismos de seguridad asociados a servicios en red: Se deberan identificar e

incluir en los acuerdos de servicio (SLA) los mecanismos de seguridad, los niveles
de servicio y los requisitos de administracin de todos los servicios de red,
independientemente de si estos servicios se entregan de manera interna o
estn externalizados.

Segregacin de redes: Se deberan segregar las redes en funcin de los grupos

de servicios, usuarios y sistemas de informacin.

Adquisicin, desarrollo y mantenimiento de los sistemas de informacin: El objetivo

es asegurar la inclusin de controles de seguridad y validacin de datos en la adquisicin
y el desarrollo de los sistemas de informacin.

Anlisis y especificacin de los requisitos de seguridad: Los requisitos

relacionados con la seguridad de la informacin se deberan incluir en los
requisitos para los nuevos sistemas o en las mejoras a los sistemas de
informacin ya existentes.

Seguridad de las comunicaciones en servicios accesibles por redes pblicas: La

informacin de los servicios de aplicacin que pasan a travs de redes pblicas
se deberan proteger contra actividades fraudulentas, de disputa de contratos
y/o de modificacin no autorizada.

Proteccin de las transacciones por redes telemticas: La informacin en

transacciones de servicios de aplicacin se debera proteger para evitar la
transmisin y enrutamiento incorrecto y la alteracin, divulgacin y/o
duplicacin no autorizada de mensajes o su reproduccin.

Relaciones con suministradores: El objetivo es implementar y mantener el nivel

apropiado de seguridad de la informacin y la entrega de los servicios contratados en
lnea con los acuerdos de entrega de servicios de terceros.

Poltica de seguridad de la informacin para suministradores: Se deberan

acordar y documentar adecuadamente los requisitos de seguridad de la

15
 informacin requeridos por los activos de la organizacin con el objetivo de
mitigar los riesgos asociados al acceso por parte de proveedores y terceras
personas.

Tratamiento del riesgo dentro de acuerdos de suministradores: Se deberan

establecer y acordar todos los requisitos de seguridad de la informacin
pertinentes a cada proveedor que puede acceder, procesar, almacenar,
comunicar o proporcionar componentes de infraestructura de TI que dan
soporte a la informacin de la organizacin.

Cadena de suministro en tecnologas de la informacin y comunicaciones: Los

acuerdos con los proveedores deberan incluir los requisitos para abordar los
riesgos de seguridad de la informacin asociados con la cadena de suministro
de los servicios y productos de tecnologa de informacin y comunicaciones.

Gestion de incidentes: Con este control se busca evitar los incumplimientos de cualquier
ley civil o penal, requisito reglamentario, regulacin u obligacin contractual, y de todo
requisito de seguridad.

Responsabilidades y procedimientos: Se deberan establecer las

responsabilidades y procedimientos de gestin para garantizar una respuesta
rpida, eficaz y ordenada a los incidentes de seguridad de la informacin.

Notificacin de los eventos de seguridad de la informacin: Los eventos de

seguridad de la informacin se deberan informar lo antes posible utilizando los
canales de administracin adecuados.

Notificacin de puntos dbiles de la seguridad: Se debera requerir anotar e

informar sobre cualquier debilidad sospechosa en la seguridad de la
informacin en los sistemas o servicios tanto a los empleados como a
contratistas que utilizan los sistemas y servicios de informacin de la
organizacin.

Valoracin de eventos de seguridad de la informacin y toma de decisiones: Se

deberan evaluar los eventos de seguridad de la informacin y decidir su
clasificacin como incidentes.

Respuesta a los incidentes de seguridad: Se debera responder ante los

incidentes de seguridad de la informacin en atencin a los procedimientos
documentados.

Aprendizaje de los incidentes de seguridad de la informacin: Se debera utilizar

el conocimiento obtenido del anlisis y la resolucin de incidentes de seguridad
de la informacin para reducir la probabilidad y/o impacto de incidentes en el
futuro.

16
 Recopilacin de evidencias: La organizacin debera definir y aplicar los
procedimientos necesarios para la identificacin, recopilacin, adquisicin y
preservacin de la informacin que puede servir de evidencia.

Gestion en la continuidad de negocio: El objetivo es preservar la seguridad de la

informacin durante las fases de activacin, de desarrollo de procesos, procedimientos
y planes para la continuidad de negocio y de vuelta a la normalidad.

Planificacin de la continuidad de la seguridad de la informacin: La organizacin

debera determinar los requisitos para la seguridad de la informacin y su
gestin durante situaciones adversas como situaciones de crisis o de desastre.

Implantacin de la continuidad de la seguridad de la informacin: La

organizacin debera establecer, documentar, implementar y mantener los
procesos, procedimientos y controles para garantizar el mantenimiento del
nivel necesario de seguridad de la informacin durante situaciones adversas.

Verificacin, revisin y evaluacin de la continuidad de la seguridad de la

informacin: La organizacin debera verificar regularmente los controles de
continuidad de seguridad de la informacin establecidos e implementados para
poder garantizar su validez y eficacia ante situaciones adversas.

Cumplimiento: Con este control se busca evitar los incumplimientos de cualquier ley
civil o penal, requisito reglamentario, regulacin u obligacin contractual, y de todo
requisito de seguridad.

Identificacin de la legislacin aplicable: Se deberan identificar, documentar y

mantener al da de manera explcita para cada sistema de informacin y para la
organizacin todos los requisitos estatutarios, normativos y contractuales
legislativos junto al enfoque de la organizacin para cumplir con estos
requisitos.

Derechos de propiedad intelectual (DPI): Se deberan implementar

procedimientos adecuados para garantizar el cumplimiento con los requisitos
legislativos, normativos y contractuales relacionados con los derechos de
propiedad intelectual y utilizar productos software originales.

Proteccin de los registros de la organizacin: Los registros se deberan proteger

contra prdidas, destruccin, falsificacin, accesos y publicacin no autorizados
de acuerdo con los requisitos legislativos, normativos, contractuales y
comerciales.

Proteccin de datos y privacidad de la informacin personal: Se debera

garantizar la privacidad y la proteccin de la informacin personal identificable

17
 segn requiere la legislacin y las normativas pertinentes aplicables que
correspondan.

Regulacin de los controles criptogrficos: Se deberan utilizar controles de

cifrado de la informacin en cumplimiento con todos los acuerdos, la legislacin
y las normativas pertinentes.

9. NTP 17799

El 23 de julio del 2004 la Presidencia del Consejo de Ministros (PCM) a travs de la ONGEI,
dispone el uso obligatorio de la Norma Tcnica Peruana NTP-ISO/IEC 17799:2004 EDI Tecnologa
de la Informacin: Cdigo de buenas prcticas para la gestin de la seguridad de la informacin
en entidades del Sistema Nacional de Informtica. Dicha norma fue actualizada el 25 de agosto
del 2007 con la Norma Tcnica Peruana NTP - ISO/IEC 17799:2007 EDI

La NTP-ISO 17799 es una compilacin de recomendaciones para las prcticas exitosas de

seguridad, que toda organizacin puede aplicar independientemente de su tamao o sector.
Esta norma tcnica se caracteriza por su flexibilidad, pues no induce a las organizaciones a
cumplirla al pie de la letra sino les permite encontrar soluciones de seguridad de acuerdo a sus
necesidades, seala el especialista Max Lzaro, de la Oficina Nacional de Gobierno Electrnico e
Informtica (ONGEI).

Las recomendaciones de la NTP-ISO 17799, aade el experto, son neutrales en cuanto a la

tecnologa. La norma discute la necesidad de contar con Firewalls, pero no profundiza sobre los
tipos de Firewalls a aplicar y cmo se utilizan. En este sentido La Norma Tcnica Peruana ISO-
17799, fue emitida para ser considerada en la implementacin de estrategias y planes de
seguridad de la informacin de las entidades pblicas.

De acuerdo con la ONGEI, se entiende por poltica de seguridad al conjunto de requisitos

definidos por los responsables directos o indirectos de un sistema que indica en trminos
generales qu est permitido y qu no lo est en el rea de seguridad durante la operacin
general de dicho sistema.

As, podemos decir que la poltica de seguridad se refiere al por qu una organizacin protege
la informacin. En tanto, los estndares de seguridad son aquello que la organizacin quiere
hacer para implementar y administrar la seguridad de la informacin. Y los procedimientos de
seguridad se refieren a cmo la organizacin obtendr los requerimientos de seguridad.

Al implementar la seguridad de la informacin en una organizacin pblica, se debe considerar

en primer trmino que la ISO 17799 no es una norma tecnolgica. Redactada de forma flexible,
se adapta a cualquier implantacin en todo tipo de organizaciones sin importar su tamao o
sector de negocio.

18
 CASO APLICATIVO
DOMINIO 10: CIFRADO.

10.1 Controles criptogrficos.

10.1.2 Gestin de claves.

Ataque informtico, Adobe, afecta a 38 millones de usuarios.

Unos hackers consiguieron entrar a la base de datos de Adobe, se especula que haban robado
las credenciales de un gran nmero de usuarios registrados en esta compaa. Robaron,
nombres de usuarios y contraseas para acceder a la plataforma, robando tambin tarjetas de
crdito y dbito. Adobe en un principio dijo que el nmero de afectados es de 2,8 millones de
clientes, pero segn investigaciones los afectados ascienden a ms de 38 millones de clientes.

Los programas ms afectados por el ataque fueron los lectores de PDF Adobe Reader y Acrobat
Reader, pero tambin los hacker robaron cdigos de la plataforma de edicin Adobe Photoshop.
Para que el ataque no sea de mayores magnitudes envi mensajes de advertencia a sus clientes
para tener cuidado y recetar sus contraseas para impedir que roben su informacin personal.

El hack, sin embargo, no slo afect a los usuarios ya que tambin se liber el cdigo fuente de
algunas aplicaciones de la compaa. Por el momento, slo se sabe que Acrobat, ColdFusion y
ColdFusion Builder fueron los productos afectados, tal vez ms adelante sepamos de algunos
ms. Esto representa un verdadero problema para Adobe, ya que el uso inadecuado de esos
productos en la web puede propiciarse gracias a la obtencin del cdigo fuente. Es ms podra
hasta generarse una copia "pirata" de cada una de las aplicaciones involucradas.

Adobe no ha dicho cmo se encriptaron los datos de las cuentas, pero ya ha notificado a todos
los usuarios y an est en proceso de investigacin.

19
 CONCLUSIN
La creacin de normas en cualquier rea siempre ser de vital importancia pues ayuda a seguir
una lnea la cual proporciona las herramientas necesarias para que la gestin de recursos sea la
ms ptima y eficiente y as lograr los objetivos que quien hace uso de stas se ha fijado.
Hablando esencialmente en cuanto a gobierno de TI, estas normas llegan como herramienta
para que la gestin de seguridad y otros aspectos sean realizados de la manera ms correcta.

En conclusin, la ISO 27000 permite a las organizaciones presentar y certificar un nivel de calidad
ante sus usuarios y el pblico en general. Aunque en un principio fue de inters para las grandes
empresas, las norma ISO 27000 est siendo considerada tambin por medianas empresas en el
mundo. Adems, las normas sirven para tener una gua de buenas prcticas que pueden ser de
utilidad, incluso si la organizacin no desea o puede certificar la misma.

20
 BIBLIOGRAFIA

Ruiz Larrocha, Elena. (2010). Metodologa que Integra Seguridad en ITIL

Evolucionada y Orientada a la Normalizacin. Tesis de Doctorado en Ingeniera
Informtica. Escuela Tcnica Superior de Ingeniera Informtica.
Cadme Ruiz, Christian. (2010). Auditoria de seguridad informtica ISO 27001 para
la empresa de alimentos Italimentos CIA. LTDA. Tesis de Licenciatura en Ingenieria de
Sistemas. Universidad Politecnica Selesiana.
Rodriguez Rico, Juan (2009). Gestion de la Seguridad [diapositiva] Colombia, 28
diapositivas

21