BS7799 ISO 17799

Oscar Bize V.
obize@deloitte.com

9-2772134
1

Agenda
Objetivo de la Norma

Descripcin de sus Controles

Historia
Las normas BS 7799 Parte 1 y BS 7799 Parte 2
Estndar Internacional ISO/IEC 17799

2
Prohibida su reproduccin

Objetivos de la Norma
Establecer los controles mnimos a adoptar por una
organizacin, de modo que le permitan garantizar un posicin
mnima de resguardo de los activos de informacin

3
Prohibida su reproduccin

Controles
BS7799 aplica sus recomendaciones va 127 controles,
divididos en 10 grupos.
Se reconoce que no todos los controles sern aplicables a
todas las organizaciones, y la seleccin de controles
apropiados debe ser un producto entregable del anlisis del
riesgo
La aplicacin de controles se alcanza por medio de polticas y
procedimientos escritos.

4
Prohibida su reproduccin

Controles de la BS7799
1.- Poltica de seguridad
2.- Seguridad Organizacional
3.- Clasificacin y control del activo
4.- Seguridad del personal

5.- Seguridad fsica y del medio ambiente

6.- Administracin de comunicaciones y operaciones
7.- Control de acceso
8.- Desarrollo y mantencin de sistemas
9.- Administracin de la continuidad del negocio

10.- Conformidad
5
Prohibida su reproduccin

1.-Poltica de Seguridad
Objetivo:
Proveer direccin y soporte a la administracin para la seguridad de la
informacin.

DEBE ser aprobada por la Administracin, publicada y

comunicada a todos los empleados
DEBE ser revisada regularmente

6
Prohibida su reproduccin

1.-Poltica de Seguridad
Debe incluir, entre otros:

Definicin de seguridad de la informacin

Declaracin de intencin de la administracin por apoyar las metas y los principios de la
seguridad de la informacin
La asignacin de responsabilidades para todo aspecto de la implantacin
Una explicacin especfica y general de propiedad, principios, estndares y requisitos de
conformidad
Una explicacin del proceso para informar sospechas de incidentes de seguridad.
Un proceso definido para revisar y mantener el documento de la poltica
Medios para determinar la efectividad de la poltica que incluya costos y cambios
tecnolgico.
Nombramiento de un dueo de la poltica

7
Prohibida su reproduccin

2.- Seguridad Organizacional

Objetivos:

Manejar la seguridad de la informacin dentro de la compaa

Mantener la seguridad de las instalaciones de procesamiento de
informacin organizacional y los activos de informacin accesados por
terceros
Mantener la seguridad de la informacin cuando la responsabilidad
para el procesamiento de la informacin se ha entregado en
outsourcing a otra organizacin

El propsito es asegurarse de que existan los roles y los

procesos dentro de la organizacin para implantar la poltica de
seguridad.

8
Prohibida su reproduccin

2.- Seguridad Organizacional

Satisfacer los objetivos, requiere, por ej.:
Establecer adecuados foros de seguridad
Adopcin de polticas y discusin de problemas de seguridad a nivel del directorio
Identificacin de un encargado de seguridad
Revisiones independientes de la seguridad que consideran las implicaciones de la seguridad
cuando terceros tienen acceso a los activos de la informacin y direccin de clusulas de
seguridad en contratos con terceros.
Asignacin de responsabilidades de la proteccin de activos individuales y de procesos
especficos de seguridad.
Especificacin de requerimientos de seguridad en la firma de contratos de outsourcing con
terceras empresas.

9
Prohibida su reproduccin

3.-Clasificacin y Control Activo

Objetivos:
Mantener una proteccin apropiada de los activos de la compaa.
Garantizar que los activos de informacin reciben un nivel apropiado
de proteccin.

Satisfacer los objetivos, requiere:

Un registro o inventario de los activos de la empresa
Una completa clasificacin y marcado de la informacin
Un dueo sealado y responsable para cada activo
Un conjunto de permisos de acceso por activo de dato.
Procesos de administracin para mantener y hacer cumplir los
permisos

10
Prohibida su reproduccin

4.-Seguridad del personal

Objetivos:
Reducir el riesgo de error humano, robo, fraude o mal uso de las
instalaciones
Garantizar que los usuarios estn conscientes de las preocupaciones
y amenazas de seguridad de la informacin. Y asegurar que los
usuarios se encuentren equipados para soportar polticas corporativas
de seguridad en el curso de su trabajo normal,
Minimizar el dao de incidentes de seguridad y malfuncionamientos y
aprender de ellos.

11
Prohibida su reproduccin

4.-Seguridad del personal

En general, se requiere:
Definicin de responsabilidades y roles de seguridad en la descripcin
de cargo.
Verificacin de antecedentes antes de la contratacin.
Un contrato de empleo apropiado para un ambiente donde la
seguridad de la informacin es un tema importante (acuerdo de nodivulgacin)
Un contrato que precise las polticas para la seguridad de la
informacin y su responsabilidad.
Permanente entrenamiento de los usuarios en los trminos de
seguridad relevantes para su entorno de trabajo.

12
Prohibida su reproduccin

4.-Seguridad del personal

Frente a incidentes:
Informes de incidentes de seguridad
Informes de vulnerabilidades de seguridad detectadas
Informes de malfuncionamiento de software
Obtencin de antecedentes y aprendizaje frente a incidentes
Procesos disciplinarios para el personal involucrado

13
Prohibida su reproduccin

5.-Seguridad fsica y ambiental

Objetivos:
Prevenir accesos no autorizados o daos a las dependencias del
negocio
Prevenir la prdida, dao o compromiso de activos e interrupcin a las
actividades del negocio.
Prevenir el robo de informacin.

14
Prohibida su reproduccin

5.-Seguridad fsica y ambiental

Los principales tems cubiertos en esta seccin son:
La necesidad de establecer reas seguras con controles fsicos de
entrada.
Dotar de controles adicionales y guas para el trabajo en zonas de
mayor proteccin.
Las reas de carga y despacho deben ser controladas y no ser
adyacentes a reas de procesamiento de informacin.

15
Prohibida su reproduccin

5.-Seguridad fsica y ambiental

La necesidad de proteger fsicamente equipamiento de hardware para
prevenir su hurto.
La necesidad de asegurar suministro elctrico y dar mantencin
adecuada a los equipos.
La seguridad del equipo trasladado o eliminado.
El establecimiento de controles generales, tales como polticas de
escritorios limpios y protectores de pantalla

16
Prohibida su reproduccin

6.-Adm. comunic. y operaciones

Objetivos:
Garantizar la correcta y segura operacin de las instalaciones de
procesamiento de informacin
Minimizar el riesgo de fallas en los sistemas
Proteger la integridad del software y la informacin
Mantener la integridad y disponibilidad del procesamiento de la
informacin y comunicaciones
Garantizar los salvaguardas de informacin en redes y la proteccin
de la infraestructura de soporte
Prevenir el dao a los activos e interrupciones de las actividades del
negocio
Prevenir la prdida, modificacin o mal uso de la informacin
intercambiada entre organizaciones
17
Prohibida su reproduccin

6.-Adm. comunic. y operaciones

Los principales tems cubiertos en esta seccin son:
Procedimientos documentados
Control de cambios en sistemas e instalaciones
Procedimientos de manejo de incidentes
Segregacin de privilegios
Separacin de ambientes de desarrollo y produccin
Anlisis de riesgo en servicios externos
Capacity Planning
Criterios de aceptacin de nuevos sistemas o actualizaciones
Controles contra malware
Poltica de respaldos
Generacin de Logs
Reporte y correccin de fallas

18
Prohibida su reproduccin

6.-Adm. comunic. y operaciones

Proteccin de redes
Manejo de medios removibles, eliminables
Manejo de informacin almacenada
Proteccin de la documentacin de sistemas
Mecanismos formales de intercambio de informacin electrnica o
manual
Manejo de datos en trnsito
Poltica y controles correo electrnico
Procedimientos para la proteccin de intercambios de informacin a
travs de voz, fax y video
Proteccin a comercio electrnico (no-repudiable, integridad,
confidencialidad)

19
Prohibida su reproduccin

7.-Control de acceso
Objetivos:
Controlar el acceso a la informacin
Prevenir el acceso no autorizado a los sistemas de informacin
Garantizar la proteccin de los servicios en red
Prevenir el acceso no autorizado a computadores
Detectar actividades no autorizadas
Garantizar la seguridad de la informacin cuando se usan facilidades
de computacin mvil y teletrabajo

20
Prohibida su reproduccin

7.-Control de acceso
Los tems cubiertos incluyen:
Requerimiento del negocio definidos y documentados para el control
de acceso
Administracin del acceso de usuarios, privilegios, passwords
Responsabilidades del usuario: manejo de password, estacin de
trabajo
Control de acceso a la red
Control de acceso a los sistemas operativos
Control de acceso a las aplicaciones
Monitoreo del acceso y medicin del uso de sistemas
Computacin mvil y teletrabajo

21
Prohibida su reproduccin

8.-Desarrollo y Mant.de sistemas

Objetivos:
Garantizar que se aplique la seguridad a los sistemas de informacin
Prevenir la prdida, modificacin o mal uso de los datos de usuarios
en sistemas
Proteger la confidencialidad, la autenticidad y la integridad de la
informacin.
Garantizar que los proyectos de TI y las actividades de soporte se
desarrollan de manera segura.
Mantener la seguridad de datos y del software de sistema

22
Prohibida su reproduccin

8.-Desarrollo y Mant.de sistemas

Las reas cubiertas incluyen:
Requerimientos de seguridad en los sistemas
Validacin de datos de entrada y salida, control de procesamiento
interno, contenido de los mensajes
Uso de criptografa, firma digital
Seguridad en los archivos del sistema
Seguridad en los procesos de desarrollo y soporte: control de
cambios, pruebas previas a los cambios, prevenir troyanos
Controles a los sistemas desarrollados por terceros

23
Prohibida su reproduccin

9.-Adm. continuidad del negocio

Objetivo:
Mitigar las interrupciones a las actividades y a los procesos crticos del
negocio ocasionadas por los efectos de desastres o fallas mayores.

24
Prohibida su reproduccin

9.-Adm. continuidad del negocio

Las reas cubiertas incluyen:
Procesos de administracin de la continuidad del negocio
Anlisis de impacto y continuidad del negocio
Planes de continuidad escritos e implantados
Pruebas y mantencin de los planes de continuidad

25
Prohibida su reproduccin

10.- Conformidad
Objetivos:
Evitar la violacin de cualquier ley civil o criminal, obligaciones
contractuales o regulatorias y de cualquier requerimiento de seguridad
Garantizar la conformidad de sistemas con estndares y politicas de
seguridad organizacional
Maximizar la efectividad y minimizar la interferencia a/de los procesos
de auditora de sistemas

26
Prohibida su reproduccin

10.- Conformidad
En general se recomienda:
Identificar legislacin aplicable
Proteger Derechos de Propiedad Intelectual
Resguardar registros esenciales de prdida, destruccin o falsificacin
Proteger informacin personal
Prevenir mal uso de sistemas
Uso de criptografa de acuerdo a la legislacin local
Definir cmo y qu evidencia se puede recoger
Revisar concordancia entre procedimientos y polticas de seguridad
Proteger las herramientas de auditora de sistemas

27
Prohibida su reproduccin

Historia BS 7799 / ISO 17799

28

Historia BS 7799
BS 7799-1 (1995) (1999)
Cdigo del ejercicio para la administracin de seguridad de la
informacin
Introduccin a la prctica en Seguridad de la Informacin
No es una norma de certificacin

BS 7799-2 (1998) (1999) (2002)

ISMS: Information Security Management Systems
La parte 2 especifica los requisitos para establecer, implantar y
documentar Sistemas de Administracin de Seguridad de la
Informacin (ISMS) y constituir las bases para la cuantificacin
de ISMS.

29
Prohibida su reproduccin

ISO/IEC 17799:2000
Primera edicin Diciembre de 2000

"Tecnologa de la Informacin - Cdigo de prctica para la

administracin de seguridad de la informacin."
El Estndar Internacional ISO/IEC 17799 fue preparado
originalmente por la institucin British Standards, como BS
7799, y luego fue adoptado, bajo un procedimiento especial de
"fast-track", con la aprobacin en paralelo de los cuerpos
nacionales de ISO e IEC.

30
Prohibida su reproduccin

ISO/IEC 17799:2000
Objetivos:
Entregar recomendaciones para la administracin de la seguridad de
la informacin para ser usada por los responsables de iniciar,
implantar o mantener la seguridad en su organizacin.
Proveer una base comn para el desarrollo de estndares de
seguridad organizacional y una efectiva prctica de administracin de
la seguridad.
Proveer confianza en el trfico inter-organizacional

31
Prohibida su reproduccin

Links de Inters
International Organization for Standardization (ISO)
http://www.iso.ch

British Standards Institution (BSI)

http://www.bsi-global.com

BSI-Business Information
http://www.c-cure.org/

National Institute of Standards and Technology (NIST)

http://csrc.nist.gov/

32
Prohibida su reproduccin

Preguntas?

33
Prohibida su reproduccin

BS7799 ISO 17799

Oscar Bize V.
Obize@deloitte.com

9-2772134
34

Abril 2013