DEFINICIÓN ISO/IEC 17799 es un estándar internacional publicado por: la Organización Internacional de Estándares la Comisión Internacional Electrotécnica con el fin de proveer un esquema estándar y un conjunto de recomendaciones que sirvan de guía a los responsables de la iniciación, implementación, mantenimiento y mejora de la gestión de la seguridad de la información

Es la normativa técnica de seguridad de la información más reconocida a nivel internacional. Su objetivo principal es proteger adecuadamente los activos de información de una organización

PUBLICACIÓN DE LA NORMA EN DIVERSOS PAÍSES En España “Código de buenas prácticas para la Gestión de la Seguridad de la Información” En Chile "Norma técnica sobre seguridad y confidencialidad del documento electrónico".

En Bolivia “NB ISO/IEC 17799:2005.” En Perú la ISO/IEC 17799:2000 es de uso obligatorio en todas las instituciones públicas desde agosto del 2004

NORMA TECNICA PERUANA Con fecha 23 de julio del 2004 la PCM a través de la ONGEI, dispone el uso obligatorio de la Norma Técnica Peruana “NTP – ISO/IEC 17799:2004 EDI. Se Actualizó el 25 de Agosto del 2007 con la Norma Técnica Peruana “NTP – ISO/IEC 17799:2007 EDI.

Marco de las recomendaciones Las recomendaciones de la NTP-ISO 17799 son neutrales en cuanto a la tecnología. La norma discute la necesidad de contar con Firewalls, pero no profundiza sobre los tipos de Firewalls y cómo se utilizan. La NTP-ISO 17799 es una compilación de recomendaciones para las prácticas exitosas de seguridad, que toda organización puede aplicar independientemente de su tamaño o sector. La NTP fue redactada para que fuera flexible y no induce a las organizaciones que la cumplan al pie de la letra, se deja a estas dar una solución de seguridad de acuerdo a sus necesidades.

Acciones de la ONGEI Actualmente la ONGEI apoya a las entidades públicas en los siguientes principales servicios: Análisis de vulnerabilidades de los servidores Web de las Entidades Publicas. Boletines de Seguridad de la información Boletines de Alertas de Antivirus. Presentaciones técnicas sobre seguridad. Consultorías y apoyo en recomendaciones técnicas.

En este sentido La Norma Técnica Peruana ISO– 17799, se emite para ser considerada en la implementación de estrategias y planes de seguridad de la información de las Entidades Públicas. La NTP NO exige la certificación, pero si la consideración y evaluación de los principales dominios de acuerdo a la realidad de cada organización.

¿Cómo establecer los requerimientos de seguridad? Se identifican las amenazas a los activos Evaluar los riesgos que enfrenta la organización Se evalúan las vulnerabilidades y probabilidades de ocurrencia Se estima el impacto potencial

La organización Tener en cuenta los requisitos legales, normativos, reglamentarios y contractuales que deben cumplir: Sus socios comerciales Los contratistas Los prestadores de servicios Establecer un conjunto específico de principios, objetivos y requisitos para el procesamiento de la información

Dominios a considerar dentro de NTP

Política de seguridad de la información La gerencia debería establecer de forma clara las líneas de la política de actuación y manifestar su apoyo y compromiso a la seguridad de la información, publicando y manteniendo una política de seguridad en toda la organización

Documento de política de seguridad de la información Aprobar, publicar y comunicar a todos los empleados un documento de política de seguridad de la información El documento debería contener

una definición de seguridad de la información y sus objetivos globales gerencia como soporte de los objetivos y principios de la seguridad de la información Un marco para colocar los objetivos de control y mandos, evaluación de riesgo y gestión del riesgo. explicación de las políticas, principios, normas y requisitos importantes para la organización

Revisión y evaluación La política de seguridad debe ser revisada en intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continuo, adecuación y efectividad.

La política debería tener un propietario que sea responsable del desarrollo, revisión y evaluación de la política de seguridad La revisión debe incluir oportunidades de evaluación para mejorar la política de seguridad de información

ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD Organización interna organizar foros de gestión adecuados con las gerencias para aprobar la política de seguridad de la información asignar roles de seguridad y coordinar la implantación de la seguridad en toda la organización.

acceso dentro de la organización a un equipo de consultores especializados en seguridad de la información contactos con especialistas externos en seguridad para mantenerse al día en las tendencias de la industria, la evolución de las normas y los métodos de evaluación

Comité de gestión de seguridad de la información La gerencia debe apoyar activamente en la seguridad demostrando compromiso, asignaciones explicitas y reconocimiento de las responsabilidades

Este comité debería realizar las siguientes funciones: a) asegurar que las metas de la seguridad de información sean identificadas, relacionarlas con las exigencias organizacionales y que sean integradas en procesos relevantes b) formular, revisar y aprobar la política de seguridad de información c) revisión de la efectividad en la implementación de la política de información

Coordinación de la seguridad de la información La información de las actividades de seguridad deben ser coordinadas por representantes de diferentes partes de la organización con roles relevantes y funciones de trabajo.

la coordinación de la seguridad de información debe implicar la cooperación y la colaboración de gerentes, usuarios, administradores, diseñadores de la aplicación, personal de auditoria y seguridad, y habilidades especiales en áreas como seguros, trámites legales, recursos humanos, tecnología de la información o gestión del riesgo.

Asignación de responsabilidades sobre seguridad de la información Esta asignación, debería completarse, dónde sea necesario, con una guía más detallada para ubicaciones, sistemas o servicios específicos. Deberían definirse claramente las responsabilidades locales para activos físicos y de información individualizada y los procesos de seguridad como, por ejemplo, el plan de continuidad del negocio.

Es esencial que se establezcan claramente las áreas de las que cada directivo es responsable; en particular deberían establecerse las siguientes: a) deberían identificarse claramente los activos y los procesos de seguridad asociados con cada sistema específico; b) debería nombrarse al responsable de cada activo o proceso de seguridad, y deberían documentarse los detalles de esta responsabilidad c) deberían definirse y documentarse claramente los niveles de autorización

Proceso de autorización de recursos para el tratamiento de la información deberían tener la aprobación adecuada de la gerencia de usuario, autorizando su propósito y uso. También debería obtenerse la aprobación del directivo responsable del mantenimiento del entorno de seguridad del sistema de información local, asegurando que cumple con todas las políticas y requisitos de seguridad correspondientes

dónde sea necesario, se debería comprobar que el hardware y el software son compatibles con los demás dispositivos del sistema debería autorizarse y evaluarse el uso de medios informáticos personales, como laptops o aparatos móviles, para el tratamiento de la información de la organización así como los controles necesarios, ya que pueden introducir nuevas vulnerabilidades.

Acuerdos de confidencialidad Confidencialidad o acuerdos de no divulgación deben anexar los requerimientos para proteger información confidencial usando términos ejecutables legales. Para identificar requerimientos de confidencialidad o acuerdos de no divulgación, se deben considerar los siguientes elementos:

a) una definición de la información a ser protegida; b) duración esperada del acuerdo, incluyendo casos donde la confidencialidad pueda necesitar ser mantenida indefinidamente; c) acciones requeridas cuando un acuerdo sea finalizado; d) responsabilidades y acciones de los signatarios para evitar acceso desautorizado a la información

Contacto con autoridades Las organizaciones deben de tener procedimientos instalados que especifiquen cuando y porque autoridades deben ser contactadas y como los incidentes identificados en la seguridad de información deben ser reportados de una manera oportuna si se sospecha que las leyes han sido rotas.

Contacto con grupos de interés especial Deben mantenerse contactos apropiados con grupos de interés especial u otros especialistas en foros de seguridad y asociaciones profesionales

a) mejorar el conocimiento sobre mejores prácticas y estar actualizado con información relevante de seguridad b) asegurar que el entendimiento del ambiente de seguridad de información es actual y completo c) recibir alertas de detección temprana, advertencias y parches que para los ataques y a las vulnerabilidades

d) ganar acceso a consejos especializados de seguridad de información; e) compartir e intercambiar información sobre nuevas tecnologías, productos, amenazas o vulnerabilidades; f) proveer puntos de enlaces convenientes cuando se trata con información de incidentes de seguridad

Revisión independiente de la seguridad de la información. El alcance de la organización para gestionar la seguridad de información y su implementación (objetivos de control, controles, políticas, procesos y procedimientos para seguridad de información) deben ser revisados independientemente en intervalos planificados o cuando cambios significativos a la puesta en marcha de la seguridad ocurran.

Esta revisión debe ser llevada a cabo por individuos independientemente del área bajo revisión. Los individuos que llevan a cabo estas revisiones deben de tener las habilidades y la experiencia apropiada. Los resultados de la revisión independiente deben ser registrados y reportados a la gerencia que inicio la revisión. Estos registros deben mantenerse.

CONTACTO CON AUTORIDADES Las organizaciones deben de tener procedimientos que especifiquen cuando y porque autoridades deben ser contactadas y como los incidentes identificados en la seguridad de información deben ser reportados.

Los contactos con cuerpos regulatorios son útiles para anticiparse y prepararse a próximos cambios en la ley o en las regulaciones, que deben ser seguidos por la organización. Contactos con otras autoridades incluyen utilidades, servicios de emergencia, seguridad y salud.

CONTACTO CON GRUPOS DE INTERÉS ESPECIAL Los contactos con grupos de interés especial u otros especialistas en foros de seguridad y asociaciones profesionales deben ser considerados debido a que: a) Mejorar el conocimiento sobre mejores prácticas y estar actualizado. b) Ganar acceso a consejos especializados de seguridad de información. c) Compartir e intercambiar información sobre nuevas tecnologías, productos, amenazas o vulnerabilidades.

REVISIÓN INDEPENDIENTE DE LA SEGURIDAD DE LA INFORMACIÓN Esta revisión independiente es necesaria para asegurar la continua conveniencia, suficiencia y eficacia del alcance de la organización hacia la gestión de información de seguridad.

Las técnicas de revisión pueden incluir entrevistas a la gerencia, comprobación de expedientes o revisión de los documentos de la política de seguridad. Los resultados de la revisión independiente deben ser registrados y reportados a la gerencia que inicio la revisión.

SEGURIDAD EN LOS ACCESOS DE TERCERAS PARTES

Los acuerdos que permiten el acceso de terceros a recursos de tratamiento de información de la organización deberían estar basados en un contrato formal que contenga todos los requisitos de seguridad que cumplan las políticas y normas de seguridad de la organización.

IDENTIFICACIÓN DE RIESGOS POR EL ACCESO DE TERCEROS La identificación de los riesgos relacionados con el acceso a terceros debe de tomar en cuenta los siguientes puntos: a) El tipo de acceso que terceros tendrán a la información y a las instalaciones del procesamiento de información.

b) Los controles necesarios para proteger la información que no debe ser accesible a terceros. e) Requisitos legales y regulatorios u otras obligaciones contractuales relevantes a terceros que deben ser tomadas en cuenta.

REQUISITOS DE SEGURIDAD CUANDO SE TRATA CON CLIENTES Los siguientes términos deben ser considerados para ser anexados a la seguridad antes de dar a los clientes acceso a los activos de seguridad: Protección de activos. La descripción del servicio o producto disponible. Acuerdos sobre control de accesos.

d) Arreglos para reportar, notificar e investigar inexactitudes de información (como detalles personales), incidentes y aberturas en la seguridad de información. e) Las respectivas responsabilidades de la organización y de los clientes.

f) Las responsabilidades en materia de legislación. g) Los derechos de propiedad intelectual, protección contra copias y protección en tareas de colaboración.

OUTSOURCING El objetivo de un contrato Outsourcing es mantener la Seguridad de la Información, cuando la responsabilidad de su tratamiento sea externalizado a otra organización.

El acuerdo debe asegurar que no exista desentendimiento entre la organización y las terceras partes.

Términos que se deben considerar en el acuerdo : a) Los controles que aseguren la protección del activo. b) Responsabilidades con respecto a la instalación y el mantenimiento del hardware y software

c) Una clara estructura y formatos de reportes. d) El derecho para auditar responsabilidades definidas en el acuerdo, para que dichas auditorias sean llevadas a cabo por terceros y para enumerar los derechos estatutarios de los auditores.

e) Definir las responsabilidades de las partes del acuerdo. f) Responsabilidades con respecto a temas legales.

g) Derechos de propiedad intelectual y de asignación de copyright y protección de cualquier otro trabajo de colaboración. En el caso de que las terceras partes sean incapaces de suministrar sus servicios, necesitan ser considerados en el acuerdo con el fin de evitar cualquier retraso en hallar servicios de reemplazo.

GRACIAS POR SU ATENCIÓN