ISO SERIE 17799,27000

PROYECTO DE REDES

ALUMNA:

DIANA YARIHUAMAN INGA

UNIVERSIDAD NACIONAL DEL CALLAO

2017
 ndice

Introduccin

1. Marco terico de ISO serie 27000, ISO 17799

2. Introduccin a ISO serie 27000, ISO 17799

3. Historia y evolucin de la ISO serie 27000, ISO 17799

4. Descripcin general de ISO serie 27000, ISO 17799

5. Comparativo entre ISO serie 27000, ISO 17799 y COBIT.

Resumen del trabajo.

Conclusiones y observaciones.

Bibliografa.
 Introduccin

Con este trabajo de compilacin voy a tratar de explicar de una forma muy
integral y completa las normas establecidas en los estndares ISO serie 27000
e ISO 17799, explicando cmo son sus marcos de trabajo, sus puntos a evaluar
y como estos van ligados estos a unos buenos procesos dentro de la
organizacin en trminos de tecnologa, informacin y sistemas, ofreciendo y
garantizando un buen marco de referencia para ordenar y asegurar que nuestra
empresa est trabajando bajo unas buenas prcticas que otras empresas ya han
utilizado y les han funcionado de una excelente forma, adicional a la explicacin
y argumentacin que cada una de estas normas, incluye realizaremos al final un
paralelo entre las buenas prcticas determinadas en los estndares ISO serie
27000 e ISO 17799 y los establecidos por COBIT en su ltima edicin no con el
fin de indicar cul de las opciones es la mejor sino con el fin de establecer que
en temas de buenas prcticas a nivel informtico y tecnolgico hay muchas
opciones y que muchas de esas opciones se estn convirtiendo en un
requerimiento a la hora de tratar de salir a otros mercados y que por este motivo
debemos estar preparados para establecer estos buenos lineamientos en
nuestra empresa para garantizar que el manejo de la informacin est siendo
eficaz y eficiente.
 Marco Terico

Realizar una argumentacin lo ms completa posible de todas las normas

establecidas dentro de la serie ISO 27000 pasando por obviamente una
explicacin de esta serie 27000 hasta la norma 27799, donde argumentaremos
que trata de controlar cada una de ellas con el fin de describir por que estos
modelos y estos estndares establecen un marco de buenas prcticas a seguir
y a trabajar en nuestra organizacin para garantizar que la informacin si sea
manejada de la forma correcta y as atacar los baches que se detecten en el
proceso de mejora, adicional integraremos a esta explicacin a la norma 17799
que tambin ha sido conocida como una ms de la seria 27000, mas
puntualmente como la norma 27002 ya que estara involucrada con todo lo
relacionado con la seguridad de la informacin.

Al tener conocimiento de cmo estos estndares ayudan a dar solucin a los

baches en la administracin, gestin y control de la informacin brindando puntos
de control que debemos establecer en nuestra empresa para poder certificar el
proceso que queramos certificar, vamos a realizar un paralelo con las buenas
prcticas de control para temas de tecnologa, informacin y otros puntos
relacionados con TI, dadas por COBIT con el fin de demostrar los diferentes
caminos y cules de ellos se pueden ajustar segn nuestros objetivos en el
momento de tomar en cuenta un proceso de mejora o de certificacin en buenas
prcticas para el tema integral de TI en nuestra organizacin .
Introduccin a ISO serie 27000 e ISO 17799

ISO 27000: Garantizar la Seguridad de la Informacin

ISO 27000 es un conjunto de estndares desarrollados o en fase de

desarrollo por ISO International Organization for Standardization) e IEC
(International ElectrotechnicalCommission), que proporcionan un marco de
gestin de la seguridad de la informacin utilizable por cualquier tipo de
organizacin, pblica o privada, grande o pequea. Es un estndar ISO que
proporciona un modelo para establecer, implementar, utilizar, monitorizar,
revisar, mantener y mejorar un Sistema de Gestin de Seguridad de la
informacin (SGSI). Se basa en un ciclo de vida PDCA de mejora continua, al
igual que otras normas de sistemas de gestin (ISO 9001para calidad, ISO
14001 para medio ambiente, etc.).
Es un estndar certificable, es decir, cualquier organizacin que tenga
implantado un SGSI segn este modelo puede solicitar una auditora externa
por parte de una entidad acreditada y tras superar con xito la misma, recibir la
certificacin en ISO 27001

Historia ISO 27000.

Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI

(British
Standards Institution, la organizacin britnica equivalente a AENOR en
Espaa) es responsable de la publicacin de importantes normas como:

1979 Publicacin BS 5750 - ahora ISO 9001

1992 Publicacin BS 7750 - ahora ISO 14001
1996 Publicacin BS 8800 - ahora OHSAS 18001

La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de
proporcionar a cualquier empresa -britnica o no- un conjunto de buenas
prcticas para la gestin de la seguridad de su informacin.
La primera parte de la norma (BS 7799-1) es una gua de buenas prcticas,
para la que no se establece un esquema de certificacin. Es la segunda parte
(BS 7799-2), publicada por primera vez en 1998, la que establece los requisitos
de un sistema de seguridad de la informacin (SGSI) para ser certificable por
una entidad independiente. Las dos partes de la norma BS 7799 se revisaron
en 1999 y la primera parte se adopt por ISO, sin cambios sustanciales, como
ISO 17799 en el ao 2000.
En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de
sistemas de gestin.W27000.ES
En 2005, con ms de 1700 empresas certificadas en BS7799-2, este esquema
se public por ISO como estndar ISO 27001, al tiempo que se revis y
actualiz ISO17799. Esta ltima norma se renombra como ISO 27002:2005 el 1
de Julio de 2007, manteniendo el contenido as como el ao de publicacin
formal de la revisin.
Familias ISO 27000

A semejanza de otras familias de normas ISO, la 27000 est formada por:

ISO 27000: Contendr trminos y definiciones que se emplean en toda

la serie 27000. La aplicacin de cualquier estndar necesita de un
vocabulario claramente definido.
ISO 27001. Es la norma principal de la serie y contiene los requisitos del
Sistema de Gestin de Seguridad de la Informacin. En su Anexo A,
enumera en forma de resumen los objetivos de control y controles que
desarrolla la ISO 27002:2005 para que sean seleccionados por las
organizaciones en el desarrollo de sus SGSI.
ISO 27002: Desde el 1 de Julio de 2007. Es una gua de buenas
prcticas que describe los objetivos de control y controles
recomendables en cuanto a Seguridad de la Informacin. No es
certificable.
ISO 27003: Consistir en una gua de implementacin de SGSI e
informacin acerca del uso del modelo PDCA y de los requerimientos de
sus diferentes fases.
ISO 27004: Especificar las mtricas y las tcnicas de medida aplicables
para determinar la eficacia de un SGSI y de los controles relacionados.
ISO 27005: Consistir en una gua de tcnicas para la gestin del riesgo
de la Seguridad de la Informacin y servir, por tanto, de apoyo a la ISO
27001 y a la implantacin de un SGSI.
ISO 27006: Especifica los requisitos para la acreditacin de entidades de
auditora y certificacin de Sistemas de Gestin de Seguridad de la
Informacin.
ISO 27007: Consistir en una gua de auditora de un SGSI.
ISO 27011: Consistir en una gua de gestin de seguridad de la
informacin especfica para telecomunicaciones.
ISO 27031: Consistir en una gua de continuidad de negocio en cuanto
a tecnologas de la informacin y comunicaciones.
ISO 27032: Consistir en una gua relativa a la ciberseguridad.
ISO 27033: Es una norma consistente en 7 partes: gestin de seguridad
de redes, arquitectura de seguridad de redes, escenarios de redes de
referencia, aseguramiento de las comunicaciones entre redes mediante
gateways, acceso remoto, aseguramiento de comunicaciones en redes
mediante VPNs y diseo e implementacin de seguridad en redes.
ISO 27034: Consistir en una gua de seguridad en aplicaciones.
ISO 27799: Es un estndar de gestin de seguridad de la informacin en
el sector.
Procesos de la ISO 27000 e ISO 17799

ISO/IEC 17799

Denominada tambin como ISO 27002; es un estndar para la seguridad de la

informacin publicado por primera vez como ISO/IEC 17799:2000 por
la International Organization for Standardization y por la Comisin Electrotcnica
Internacional en el ao 2000, ISO/IEC 17799 proporciona recomendaciones de
las mejores prcticas en la gestin de la seguridad de la informacin a todos los
interesados y responsables en iniciar, implantar o mantener sistemas de gestin
de la seguridad de la informacin. La seguridad de la informacin se define en el
estndar como la preservacin de la confidencialidad (asegurando que slo
quienes estn autorizados pueden acceder a la informacin), integridad
(asegurando que la informacin y sus mtodos de proceso son exactos y
completos) y disponibilidad (asegurando que los usuarios autorizados tienen
acceso a la informacin y a sus activos asociados cuando lo requieran)

Historia de ISO 17799

En 1995 el British Standard Institute publica la norma BS 7799, un cdigo de

buenas prcticas para la gestin de la seguridad de la informacin. En 1998,
tambin el BSI publica la norma BS 7799-2, especificaciones para los sistemas
de gestin de la seguridad de la informacin; se revisa en 2002.

Tras una revisin de ambas partes de BS 7799 (1999), la primera es adoptada

como norma ISO en 2000 y denominada ISO/IEC 17799:
 Conjunto completo de controles que conforman las buenas prcticas de
seguridad de la informacin.
Aplicable por toda organizacin, con independencia de su tamao.
Flexible e independiente de cualquier solucin de seguridad concreta:
recomendaciones neutrales con respecto a la tecnologa.

En 2002 la norma ISO se adopta como UNE sin apenas modificacin (UNE
17799), y en 2004 se establece la norma UNE 71502, basada en BS7799-2 (no
existe equivalente ISO).

Normas anteriores a la ISO 17799

Multitud de estndares aplicables a diferentes niveles:

1. TCSEC (Trusted Computer Security, militar, US, 1985).

2. ITSEC (Information Technology Security, europeo, 1991).
3. Common Criteria (internacional, 1986-1988).
4. *7799 (britnico + internacional, 2000)

CARACTERISTICAS DE ISO 17799

Las principales secciones de esta norma son:

1. Poltica de Seguridad de la Informacin.

2. Organizacin de la Seguridad de la Informacin.
 3. Gestin de Activos de Informacin.
4. Seguridad de los Recursos Humanos.
5. Seguridad Fsica y Ambiental.
6. Gestin de las Comunicaciones y Operaciones.
7. Control de Accesos.
8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin.
9. Gestin de Incidentes en la Seguridad de la Informacin.
10. Gestin de Continuidad del Negocio.
11. Cumplimiento.

De estos quince dominios se derivan 36 objetivos de control (resultados que se

esperan alcanzar mediante la implementacin de controles) y 127 controles
(prcticas, procedimientos o mecanismos que reducen el nivel de riesgo).

La norma ISO/IEC 27001 (Information technology - Security techniques -

Information security management systems - Requirements) s es certificable y
especifica los requisitos necesarios para establecer, implantar, mantener y
mejorar un Sistema de Gestin de la Seguridad de la Informacin.

ISO 17799 define la informacin como un activo que posee valor para la
Organizacin y requiere por tanto de una proteccin adecuada. El objetivo de la
seguridad de la informacin es proteger adecuadamente este activo para
asegurar la continuidad del negocio, minimizar los daos a la organizacin y
maximizar el retorno de las inversiones y las oportunidades de negocio.
POLTICA DE SEGURIDAD:

Dirigir y dar soporte a la gestin de la seguridad de la informacin.

La alta direccin debe definir una poltica que refleje las lneas directrices de la
organizacin en materia de seguridad, aprobarla y publicitarla de la forma
adecuada a todo el personal implicado en la seguridad de la informacin.

La poltica se constituye en la base de todo el sistema de seguridad de la

informacin.

La alta direccin debe apoyar visiblemente la seguridad de la informacin en la

compaa.

ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD

Gestionar la seguridad de la informacin dentro de la organizacin.

 Mantener la seguridad de los recursos de tratamiento de la informacin y
de los activos de informacin de la organizacin que son accedidos por
terceros.
Mantener la seguridad de la informacin cuando la responsabilidad de su
tratamiento se ha externalizado a otra organizacin.

Debe disearse una estructura organizativa dentro de la compaa que defina

las responsabilidades que en materia de seguridad tiene cada usuario o rea de
trabajo relacionada con los sistemas de informacin de cualquier forma.

Dicha estructura debe poseer un enfoque multidisciplinar: los problemas de

seguridad no son exclusivamente tcnicos.

CLASIFICACIN Y CONTROL DE ACTIVOS

Mantener una proteccin adecuada sobre los activos de la organizacin.

Asegurar un nivel de proteccin adecuado a los activos de informacin.

Debe definirse una clasificacin de los activos relacionados con los sistemas de
informacin, manteniendo un inventario actualizado que registre estos datos, y
proporcionando a cada activo el nivel de proteccin adecuado a su criticidad en
la organizacin.

SEGURIDAD LIGADA AL PERSONAL

Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las
instalaciones y los servicios.
Asegurar que los usuarios son conscientes de las amenazas y riesgos en
el mbito de la seguridad de la informacin, y que estn preparados para
sostener la poltica de seguridad de la organizacin en el curso normal de
su trabajo.
Minimizar los daos provocados por incidencias de seguridad y por el mal
funcionamiento, controlndolos y aprendiendo de ellos
Las implicaciones del factor humano en la seguridad de la informacin son muy
elevadas.

Todo el personal, tanto interno como externo a la organizacin, debe conocer

tanto las lneas generales de la poltica de seguridad corporativa como las
implicaciones de su trabajo en el mantenimiento de la seguridad global.

Diferentes relaciones con los sistemas de informacin: operador, administrador,

guardia de seguridad, personal de servicios, etc.

Procesos de notificacin de incidencias claros, giles y conocidos por todos.

SEGURIDAD FSICA Y DEL ENTORNO

Evitar accesos no autorizados, daos e interferencias contra los locales y

la informacin de la organizacin.
Evitar prdidas, daos o comprometer los activos as como la interrupcin
de las actividades de la organizacin.
Prevenir las exposiciones a riesgo o robos de informacin y de recursos
de tratamiento de informacin.

Las reas de trabajo de la organizacin y sus activos deben ser clasificadas y

protegidas en funcin de su criticidad, siempre de una forma adecuada y frente
a cualquier riesgo factible de ndole fsica (robo, inundacin, incendio...).

GESTIN DE COMUNICACIONES Y OPERACIONES

Asegurar la operacin correcta y segura de los recursos de tratamiento de

informacin.
Minimizar el riesgo de fallos en los sistemas.
Proteger la integridad del software y de la informacin.
Mantener la integridad y la disponibilidad de los servicios de tratamiento
de informacin y comunicacin.
Asegurar la salvaguarda de la informacin en las redes y la proteccin de
su infraestructura de apoyo.
 Evitar daos a los activos e interrupciones de actividades de la
organizacin.
Prevenir la prdida, modificacin o mal uso de la informacin
intercambiada entre organizaciones.

Se debe garantizar la seguridad de las comunicaciones y de la operacin de los

sistemas crticos para el negocio.

CONTROL DE ACCESOS

Controlar los accesos a la informacin.

Evitar accesos no autorizados a los sistemas de informacin.
Evitar el acceso de usuarios no autorizados.
Proteccin de los servicios en red.
Evitar accesos no autorizados a ordenadores.
Evitar el acceso no autorizado a la informacin contenida en los sistemas.
Detectar actividades no autorizadas.
Garantizar la seguridad de la informacin cuando se usan dispositivos de
informtica mvil y teletrabajo.

Se deben establecer los controles de acceso adecuados para proteger los

sistemas de informacin crticos para el negocio, a diferentes niveles: sistema
operativo, aplicaciones, redes, etc.

DESARROLLO Y MANTENIMIENTO DE SISTEMAS

Asegurar que la seguridad est incluida dentro de los sistemas de

informacin.
Evitar prdidas, modificaciones o mal uso de los datos de usuario en las
aplicaciones.
Proteger la confidencialidad, autenticidad e integridad de la informacin.
Asegurar que los proyectos de Tecnologa de la Informacin y las
actividades complementarias son llevadas a cabo de una forma segura.
Mantener la seguridad del software y la informacin de la aplicacin del
sistema.
Debe contemplarse la seguridad de la informacin en todas las etapas del ciclo
de vida del software en una organizacin: especificacin de requisitos,
desarrollo, explotacin, mantenimiento...

GESTIN DE CONTINUIDAD DEL NEGOCIO

Reaccionar a la interrupcin de actividades del negocio y proteger sus

procesos crticos frente grandes fallos o desastres.

Todas las situaciones que puedan provocar la interrupcin de las actividades del
negocio deben ser prevenidas y contrarrestadas mediante los planes de
contingencia adecuados.

Los planes de contingencia deben ser probados y revisados peridicamente.

Se deben definir equipos de recuperacin ante contingencias, en los que se

identifiquen claramente las funciones y responsabilidades de cada miembro en
caso de desastre.

CONFORMIDAD

Evitar el incumplimiento de cualquier ley, estatuto, regulacin u obligacin

contractual y de cualquier requerimiento de seguridad.
Garantizar la alineacin de los sistemas con la poltica de seguridad de la
organizacin y con la normativa derivada de la misma.
Maximizar la efectividad y minimizar la interferencia de o desde el proceso
de auditora de sistemas.

Se debe identificar convenientemente la legislacin aplicable a los sistemas de

informacin corporativos (en nuestro caso, LOPD, LPI, LSSI...), integrndola en
el sistema de seguridad de la informacin de la compaa y garantizando su
cumplimiento.

Se debe definir un plan de auditora interna y ser ejecutado convenientemente,

para garantizar la deteccin de desviaciones con respecto a la poltica de
seguridad de la informacin.

En Auditoria:
Somos seguros? Muy seguros? Poco seguros? Relativamente seguros?...

Trabajo de auditora ISO 17799: valoracin del nivel de adecuacin,

implantacin y gestin de cada control de la norma en la organizacin:

Seguridad lgica.
Seguridad fsica.
Seguridad organizativa.
Seguridad legal.

Referencia de la seguridad de la informacin estndar y aceptada

internacionalmente.

Una vez conocemos el estado actual de la seguridad de la informacin en la

organizacin, podemos planificar correctamente su mejora o su mantenimiento.

Una auditora ISO 17799 proporciona informacin precisa acerca del nivel de
cumplimiento de la norma a diferentes niveles: global, por dominios, por objetivos
y por controles.

COMPARATIVO GRAFICO
ENTRE ISO 27000 E ISO
17799
Comparativo de estas normas ISO con COBIT.

Para realizar un comparativo entre ambos estndares de buenas prcticas para

TI podemos citar la siguiente imagen donde est basada la diferencia por lo
diferentes puntos que tienen sus marcos de trabajo:
Realizando una diferencia entre ambos estndares debemos aclarar los
objetivos de ambos estndares para all fundamentar la diferencia entre los
estndares; de la siguiente forma el objetivo de ISO es proporcionar informacin
a las partes responsables para implementar la seguridad de la informacin dentro
de una organizacin, puede verse como una mejor practica para desarrollar y
mantener estndares de seguridad y prcticas de gestin de una organizacin
para mejorar la confianza sobre la seguridad de la informacin en las relaciones
inter organizacionales, ISO define 133 estrategias de controles de seguridad bajo
11 ttulos haciendo hincapi en la gestin de riesgos y deja claro que no tiene
que implementar toda la gua solo lo importante.
Y el objetivo es investigar, desarrollar, publicitar y promocionar un marco de
trabajo de control de gobierno de TI autoritario, actualizado y aceptado
internacionalmente que se adopte por las empresas y se emplee en el da a da
por los gerentes de negocio, profesionales de TI y profesionales de
aseguramiento.
COBIT est de pie para el Control del objetivo sobre la informacin y la
tecnologa relacionada. COBIT expedido por ISACA (Sistema de Informacin de
la norma de control), una organizacin sin fines de lucro para el Gobierno de
TI. La principal funcin de COBIT es ayudar a la empresa, mapeo de sus
procesos de TI a las prcticas de mejor estndar de ISACA. COBIT general
elegido por la empresa que la informacin de auditora del sistema de realizar,
ya sea relacionado con la auditora financiera o generales de auditora de TI.
ISO 27000 es mucho ms diferente entre COBIT e ITIL, ISO27001, porque es
un estndar de seguridad, por lo que tiene, pero ms profundo dominio ms
pequeo en comparacin con COBIT e ITIL.

REA COBIT ITIL ISO27001

 Asignacin de TI
Mapeo de procesos Informacin Marco de
Funcin Gestin de Nivel de
de TI Seguridad
Servicio
4 Proceso y de
Espacio 9 Proceso 10 de dominio
dominio 34
Emisor ISACA OGC ISO Junta
La informacin de Gestionar de nivel Cumplimiento con el
Aplicacin
auditora del sistema de servicio estndar de seguridad
Firma de
Consultora empresa,
Contabilidad, Consultora
Consultor empresa de seguridad,
Consultora empresa
Consultor de la Red
Empresa
 Resumen del trabajo.

ISO serie 27000 e ISO 17799

ISO 27000: Garantizar la Seguridad de la Informacin

ISO 27000 es un conjunto de estndares desarrollados o en fase de
desarrollo por ISO International Organization for Standardization) e IEC
(International ElectrotechnicalCommission), que proporcionan un marco de
gestin de la seguridad de la informacin utilizable por cualquier tipo de
organizacin, pblica o privada, grande o pequea. Es un estndar ISO que
proporciona un modelo para establecer, implementar, utilizar, monitorizar,
revisar, mantener y mejorar un Sistema de Gestin de Seguridad de la
informacin (SGSI). Se basa en un ciclo de vida PDCA de mejora continua, al
igual que otras normas de sistemas de gestin (ISO 9001para calidad, ISO
14001 para medio ambiente, etc.).

Familias ISO 27000

A semejanza de otras familias de normas ISO, la 27000 est formada por:

ISO 27000: Contendr trminos y definiciones que se emplean en toda

la serie 27000. La aplicacin de cualquier estndar necesita de un
vocabulario claramente definido.
ISO 27001. Es la norma principal de la serie y contiene los requisitos del
Sistema de Gestin de Seguridad de la Informacin. En su Anexo A,
enumera en forma de resumen los objetivos de control y controles que
desarrolla la ISO 27002:2005 para que sean seleccionados por las
organizaciones en el desarrollo de sus SGSI.
ISO 27002: Desde el 1 de Julio de 2007. Es una gua de buenas
prcticas que describe los objetivos de control y controles
 recomendables en cuanto a Seguridad de la Informacin. No es
certificable.
ISO 27003: Consistir en una gua de implementacin de SGSI e
informacin acerca del uso del modelo PDCA y de los requerimientos de
sus diferentes fases.
ISO 27004: Especificar las mtricas y las tcnicas de medida aplicables
para determinar la eficacia de un SGSI y de los controles relacionados.
ISO 27005: Consistir en una gua de tcnicas para la gestin del riesgo
de la Seguridad de la Informacin y servir, por tanto, de apoyo a la ISO
27001 y a la implantacin de un SGSI.
ISO 27006: Especifica los requisitos para la acreditacin de entidades de
auditora y certificacin de Sistemas de Gestin de Seguridad de la
Informacin.
ISO 27007: Consistir en una gua de auditora de un SGSI.
ISO 27011: Consistir en una gua de gestin de seguridad de la
informacin especfica para telecomunicaciones.
ISO 27031: Consistir en una gua de continuidad de negocio en cuanto
a tecnologas de la informacin y comunicaciones.
ISO 27032: Consistir en una gua relativa a la ciberseguridad.
ISO 27033: Es una norma consistente en 7 partes: gestin de seguridad
de redes, arquitectura de seguridad de redes, escenarios de redes de
referencia, aseguramiento de las comunicaciones entre redes mediante
gateways, acceso remoto, aseguramiento de comunicaciones en redes
mediante VPNs y diseo e implementacin de seguridad en redes.
ISO 27034: Consistir en una gua de seguridad en aplicaciones.
ISO 27799: Es un estndar de gestin de seguridad de la informacin en
el sector.

Tras una revisin de ambas partes de BS 7799 (1999), la primera es adoptada

como norma ISO en 2000 y denominada ISO/IEC 17799:

Conjunto completo de controles que conforman las buenas prcticas de

seguridad de la informacin.
Aplicable por toda organizacin, con independencia de su tamao.
Flexible e independiente de cualquier solucin de seguridad concreta:
recomendaciones neutrales con respecto a la tecnologa.

En 2002 la norma ISO se adopta como UNE sin apenas modificacin (UNE
17799), y en 2004 se establece la norma UNE 71502, basada en BS7799-2 (no
existe equivalente ISO).
CARACTERISTICAS DE ISO 17799
Las principales secciones de esta norma son:

1. Poltica de Seguridad de la Informacin.

2. Organizacin de la Seguridad de la Informacin.
 3. Gestin de Activos de Informacin.
4. Seguridad de los Recursos Humanos.
5. Seguridad Fsica y Ambiental.
6. Gestin de las Comunicaciones y Operaciones.
7. Control de Accesos.
8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin.
9. Gestin de Incidentes en la Seguridad de la Informacin.
10. Gestin de Continuidad del Negocio.
11. Cumplimiento.
Comparativo de estas normas ISO con COBIT.

Y el objetivo es investigar, desarrollar, publicitar y promocionar un marco de

trabajo de control de gobierno de TI autoritario, actualizado y aceptado
internacionalmente que se adopte por las empresas y se emplee en el da a da
por los gerentes de negocio, profesionales de TI y profesionales de
aseguramiento.
COBIT est de pie para el Control del objetivo sobre la informacin y la
tecnologa relacionada. COBIT expedido por ISACA (Sistema de Informacin de
la norma de control), una organizacin sin fines de lucro para el Gobierno de
TI. La principal funcin de COBIT es ayudar a la empresa, mapeo de sus
procesos de TI a las prcticas de mejor estndar de ISACA. COBIT general
elegido por la empresa que la informacin de auditora del sistema de realizar,
ya sea relacionado con la auditora financiera o generales de auditora de TI.
ISO 27000 es mucho ms diferente entre COBIT e ITIL, ISO27001, porque es
un estndar de seguridad, por lo que tiene, pero ms profundo dominio ms
pequeo en comparacin con COBIT e ITIL.

REA COBIT ITIL ISO27000

Asignacin de TI
Mapeo de procesos Informacin Marco de
Funcin Gestin de Nivel de
de TI Seguridad
Servicio
4 Proceso y de
Espacio 9 Proceso 10 de dominio
dominio 34
Emisor ISACA OGC ISO Junta
La informacin de Gestionar de nivel Cumplimiento con el
Aplicacin
auditora del sistema de servicio estndar de seguridad
Firma de
Consultora empresa,
Contabilidad, Consultora
Consultor empresa de seguridad,
Consultora empresa
Consultor de la Red
Empresa
 Conclusiones y observaciones.

Se describi en tres estndares internacionales como las buenas prcticas en

administracin, gestin y procesamiento de TI hacen que la informacin sea
relevante para la informacin y all se le da el verdadero valor que tiene, donde
el procesamiento efectivo de esta hace que la empresa tenga un valor agregado
a los procesos de empresa, todos los estndares explicados en este documento
muestran que en verdad es necesario manipular la informacin en la empresa
de una forma que sea eficaz y eficiente y que para eso estos estndares ya tiene
controles y lineamientos que han sido utilizados exitosamente en otras
organizacin y que por este motivo no es necesario crearlos sino aplicarlos de
una forma correcta.
 Bibliografa.

http://www.noweco.com/risk/riske13.htm

http://es.wikipedia.org/wiki/ISO/IEC_17799

http://cibsi05.inf.utfsm.cl/presentaciones/empresas/Neosecure.pdf

http://www.shutdown.es/ISO17799.pdf

http://www.iso27000.es/herramientas.html

http://www.scribd.com/doc/6285687/ISO-90012000-ISO-27000

http://www.derkeiler.com/Mailing-Lists/securityfocus/security-basics/2008-
02/msg00487.html

http://www.slideshare.net/rsoriano/cobit-itil-iso-27000-marcos-de-gobierno

http://www.securityprocedure.com/comparison-between-cobit-itil-and-iso-27001