ISO 27002 (ISO/IEC 17799)

Cdigo de buenas prcticas para la

gestin de la seguridad de la
informacin

Es un estndar para la seguridad de la

informacin publicado por primera vez como
ISO/IEC 17799:2000 por la International
Organization for Standardization y por
la Comisin Electrotcnica Internacional en el
ao 2000, con el ttulo de Information
technology - Security techniques - Code of
practice for information security management

Tras un periodo de revisin y actualizacin de

los contenidos del estndar, se public en el
ao 2005 el documento actualizado
denominado ISO/IEC 17799:2005.
El estndar ISO/IEC 17799 tiene su origen en el
British Standard BS 7799-1 que fue publicado
por primera vez en 1995.

Directrices del estndar

ISO 27002 proporciona recomendaciones de las
mejores prcticas en la gestin de la seguridad
de la informacin a todos los interesados y
responsables en iniciar, implantar o mantener
sistemas de gestin de la seguridad de la
informacin.

Directrices del estndar

La seguridad de la informacin se define en el
estndar como "la preservacin de la
confidencialidad (asegurando que slo quienes
estn autorizados pueden acceder a la
informacin), integridad (asegurando que la
informacin y sus mtodos de proceso son
exactos y completos) y disponibilidad
(asegurando que los usuarios autorizados tienen
acceso a la informacin y a sus activos asociados
cuando lo requieran)".

La versin de 2005 del estndar incluye las

siguientes once secciones principales:

Poltica de Seguridad de la Informacin.

Organizacin de la Seguridad de la Informacin.
Gestin de Activos de Informacin.
Seguridad de los Recursos Humanos.
Seguridad Fsica y Ambiental.
Gestin de las Comunicaciones y Operaciones.
Control de Accesos.
Adquisicin, Desarrollo y Mantenimiento de Sistemas de
Informacin.
Gestin de Incidentes en la Seguridad de la Informacin.
Gestin de Continuidad del Negocio.
Cumplimiento.

POLTICA DE SEGURIDAD
Dirigir y dar soporte a la gestin de la seguridad
de la informacin.
La direccin debe definir una poltica que
refleje las lneas directrices de la organizacin en
materia de seguridad, aprobarla y publicitarla de
la forma adecuada a todo el personal implicado
en la seguridad de la informacin.
La poltica se constituye en la base de todo el
sistema de seguridad de la informacin.
La direccin debe apoyar visiblemente la
seguridad de la informacin en la compaa.

ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD

Gestionar la seguridad de la informacin dentro de la
organizacin.
Mantener la seguridad de los recursos de tratamiento de la
informacin y de los activos de informacin de la organizacin
que son accedidos por terceros.
Mantener la seguridad de la informacin cuando la
responsabilidad de su tratamiento se ha externalizado a otra
organizacin.
Debe disearse una estructura organizativa dentro de la
compaa que defina las responsabilidades que en materia de
seguridad tiene cada usuario o rea de trabajo relacionada
con los sistemas de informacin de cualquier forma.
Dicha estructura debe poseer un enfoque multidisciplinar:
los problemas de seguridad no son exclusivamente tcnicos.

CLASIFICACIN Y CONTROL DE ACTIVOS

Mantener una proteccin adecuada sobre los
activos de la organizacin.
Asegurar un nivel de proteccin adecuado a los
activos de informacin.

Debe definirse una clasificacin de los activos

relacionados con los sistemas de informacin,
manteniendo un inventario actualizado que
registre estos datos, y proporcionando a cada
activo el nivel de proteccin adecuado a su
criticidad en la organizacin.

SEGURIDAD LIGADA AL PERSONAL

Reducir los riesgos de errores humanos, robos,
fraudes o mal uso de las instalaciones y los
servicios.
Asegurar que los usuarios son conscientes de las
amenazas y riesgos en el mbito de la seguridad de
la informacin, y que estn preparados para
sostener la poltica de seguridad de la organizacin
en el curso normal de su trabajo.

Minimizar los daos provocados por incidencias de

seguridad y por el mal funcionamiento,
controlndolos y aprendiendo de ellos.

SEGURIDAD LIGADA AL PERSONAL (II)

Las implicaciones del factor humano en la
seguridad de la informacin son muy elevadas.
Todo el personal, tanto interno como externo
a la organizacin, debe conocer tanto las lneas
generales de la poltica de seguridad corporativa
como las implicaciones de su trabajo en el
mantenimiento de la seguridad global.
Diferentes relaciones con los sistemas de
informacin: operador, administrador, guardia
de seguridad, personal de servicios, etc.
Procesos de notificacin de incidencias claros,
giles y conocidos por todos

SEGURIDAD FSICA Y DEL ENTORNO

Evitar accesos no autorizados, daos e interferencias
contra los locales y la informacin de la organizacin.
Evitar prdidas, daos o comprometer los activos as
como la interrupcin de las actividades de la
organizacin.
Prevenir las exposiciones a riesgo o robos de informacin
y de recursos de tratamiento de informacin.
Las reas de trabajo de la organizacin y sus activos
deben ser clasificadas y protegidas en funcin de su
criticidad, siempre de una forma adecuada y frente a
cualquier riesgo factible de ndole fsica (robo,
inundacin, incendio...).

GESTIN DE COMUNICACIONES Y OPERACIONES

Asegurar la operacin correcta y segura de los recursos de
tratamiento de informacin.
Minimizar el riesgo de fallos en los sistemas.
Proteger la integridad del software y de la informacin.

Mantener la integridad y la disponibilidad de los servicios de

tratamiento de informacin y comunicacin.
Asegurar la salvaguarda de la informacin en las redes y la
proteccin de su infraestructura de apoyo.
Evitar daos a los activos e interrupciones de actividades de la
organizacin.

GESTIN DE COMUNICACIONES Y OPERACIONES

Prevenir la prdida, modificacin o mal uso de la informacin
intercambiada entre organizaciones.
Se debe garantizar la seguridad de las comunicaciones y de
la operacin de los sistemas crticos para el negocio.

CONTROL DE ACCESOS
Controlar los accesos a la informacin.
Evitar accesos no autorizados a los sistemas de informacin.
Evitar el acceso de usuarios no autorizados.
Proteccin de los servicios en red.
Evitar accesos no autorizados a ordenadores.
Evitar el acceso no autorizado a la informacin contenida en
los sistemas.
Detectar actividades no autorizadas.
Garantizar la seguridad de la informacin cuando se usan
dispositivos de informtica mvil y teletrabajo.
Se deben establecer los controles de acceso adecuados para
proteger los sistemas de informacin crticos para el negocio,
a diferentes niveles:
sistema operativo, aplicaciones, redes, etc.

DESARROLLO Y MANTENIMIENTO DE SISTEMAS

Asegurar que la seguridad est incluida dentro de los sistemas de
informacin.
Evitar prdidas, modificaciones o mal uso de los datos de usuario
en las aplicaciones.
Proteger la confidencialidad, autenticidad e integridad de la
informacin.
Asegurar que los proyectos de Tecnologa de la Informacin y las
actividades complementarias son llevadas a cabo de una forma
segura.
Mantener la seguridad del software y la informacin de la
aplicacin del sistema.
Debe contemplarse la seguridad de la informacin en todas las
etapas del ciclo de vida del software en una organizacin:
especificacin de requisitos, desarrollo, explotacin, mantenimiento...

GESTIN DE CONTINUIDAD DEL NEGOCIO

Reaccionar a la interrupcin de actividades del
negocio y proteger sus procesos crticos frente
grandes fallos o desastres.
Todas las situaciones que puedan provocar la
interrupcin de las actividades del negocio deben
ser prevenidas y contrarrestadas mediante los
planes de contingencia adecuados.
Los planes de contingencia deben ser probados y
revisados peridicamente.
Se deben definir equipos de recuperacin ante
contingencias, en los que se identifiquen
claramente las funciones y responsabilidades de
cada miembro en caso de desastre.

CONFORMIDAD
Evitar el incumplimiento de cualquier ley, estatuto, regulacin u
obligacin contractual y de cualquier requerimiento de seguridad.
Garantizar la alineacin de los sistemas con la poltica de
seguridad de la organizacin y con la normativa derivada de la
misma.
Maximizar la efectividad y minimizar la interferencia de o desde el
proceso de auditora de sistemas.
Se debe identificar convenientemente la legislacin aplicable a los
sistemas de informacin corporativos (en nuestro caso, LOPD, LPI,
LSSI...), integrndola en el sistema de seguridad de la informacin de la
compaa y garantizando su cumplimiento.

Se debe definir un plan de auditora interna y ser ejecutado

convenientemente, para garantizar la deteccin de desviaciones con
respecto a la poltica de seguridad de la informacin.

AUDITORIA
Conociendo el nivel de cumplimiento actual a
travs de una auditora, es posible determinar el
nivel mnimo aceptable y el nivel objetivo en la
organizacin:
Nivel mnimo aceptable. Estado con las
mnimas garantas de seguridad necesarias para
trabajar con la informacin corporativa.
Nivel objetivo. Estado de seguridad de
referencia para la organizacin, con un alto
grado de cumplimiento de la ISO 27000.

A partir del nivel mnimo aceptable y el nivel

objetivo, es posible definir un plan de trabajo
para alcanzar ambos a partir del estado actual.
Nivel mnimo aceptable. Implantacin de los
controles tcnicos ms urgentes, a muy corto
plazo.
Nivel objetivo. Se desarrolla en el tiempo
dentro del Plan Director de Seguridad
corporativo, y es el paso previo a la certificacin.

Dentro de cada seccin, se especifican los

objetivos de los distintos controles para la
seguridad de la informacin.
Para cada uno de los controles se indica
asimismo una gua para su implantacin.
El nmero total de controles suma 133 entre
todas las secciones aunque cada organizacin
debe considerar previamente cuntos sern
realmente los aplicables segn sus propias
necesidades.

Esta norma es certificable y especifica los

requisitos necesarios para establecer, implantar,
mantener y mejorar un Sistema de Gestin de la
Seguridad de la Informacin segn el famoso
Crculo de Deming: PDCA - acrnimo
dePlan, Do, Check, Act (Planificar, Hacer,
Verificar, Actuar).

Muchas gracias por su atencin!!

Fuentes:
Wikipedia
Wikimedia