Datasec - IT Security & Control

ISO 27001- ISO 17799 Imprimir
La norma ISO 17799 representa una compilación de las mejores prácticas para la gestion de la seguridad de la informacion que toda organización deberia aplicar independientemente de su tamaño o sector...

La norma ISO 17799 representa una compilación de las mejores prácticas para la gestion de la seguridad de la informacion que toda organización deberia aplicar independientemente de su tamaño o sector. La norma técnica fue redactada intencionalmente para que fuera flexible y aplicable en cualquier escenario. Las recomendaciones de la norma técnica ISO 17799 son neutrales en cuanto a soluciones especificas de tecnología y nos ayudan a evaluar y entender las medidas de seguridad existentes. Así por ejemplo, la norma propone la necesidad de contar con cortafuegos, pero no profundiza sobre los tres tipos de cortafuegos y cómo se utilizan, lo que conlleva a que algunos detractores, que confunden lo que debe ser una vision estrategica con la tambien necesaria pero diferente vision operacional, digan que ISO 17799 es muy general.  La flexibilidad e imprecisión de ISO 17799 es intencional por cuanto es difícil contar con una norma que funcione en una variedad de entornos de tecnología de la información y que sea capaz de desarrollarse con el cambiante mundo de la TI. ISO 17799 ofrece un conjunto de mejores practicas para la proteccion de la informacion que representa un importante activo para el negocio de toda organización. Los diez dominios en que se divide la norma ISO 17799 son :

  1. Política de seguridad: Se necesita una política que refleje las expectativas de la organización en materia de seguridad a fin de suministrar administración con dirección y soporte. La política también se puede utilizar como base para el estudio y evaluación en curso.
      
  2. Organización de la seguridad: Sugiere diseñar una estructura de administración dentro la organización que establezca la responsabilidad de los grupos en ciertas áreas de la seguridad y un proceso para el manejo de respuesta a incidentes. 
      
  3. Control y clasificación de los recursos de información: Necesita un inventario de los recursos de información de la organización y con base en este conocimiento, debe asegurar que se brinde un nivel adecuado de protección. 
      
  4. Seguridad del personal: Establece la necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad. También determina cómo incide el papel que desempeñan los empleados en materia de seguridad en el funcionamiento general de la compañía. Se debe tener implementar un plan para reportar los incidentes. 
      
  5. Seguridad física y ambiental: Responde a la necesidad de proteger las áreas, el equipo y los controles generales. 
      
  6. Manejo de las comunicaciones y las operaciones: Los objetivos de esta sección son:
    • Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información.
    • Minimizar el riesgo de falla de los sistemas.
    • Proteger la integridad del software y la información. 
    • Conservar la integridad y disponibilidad del procesamiento y la comunicación de la información. 
    • Garantizar la protección de la información en las redes y de la infraestructura de soporte. 
    • Evitar daños a los recursos de información e interrupciones en las actividades de la compañía. 
    • Evitar la pérdida, modificación o uso indebido de la información que intercambian las organizaciones. 
        
  7. Control de acceso: Establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicación para proteger contra los abusos internos e intrusos externos. 
      
  8. Desarrollo y mantenimiento de los sistemas: Recuerda que en toda labor de la tecnología de la información, se debe implementar y mantener la seguridad mediante el uso de controles de seguridad en todas las etapas del proceso. 
      
  9. Manejo de la continuidad de la empresa: Aconseja estar preparado para contrarrestar las interrupciones en las actividades de la empresa y para proteger los procesos importantes de la empresa en caso de una falla grave o desastre. 
      
  10. Cumplimiento o Conformidad: Imparte instrucciones a las organizaciones para que verifiquen si el cumplimiento con la norma técnica ISO 17799 concuerda con otros requisitos jurídicos, como la Directiva de la Unión Europea que concierne la Privacidad, la Ley de Responsabilidad y Transferibilidad del Seguro Médico (HIPAA por su sigla en Inglés) y la Ley Gramm-Leach-Billey (GLBA por su sigla en inglés). Esta sección también requiere una revisión a las políticas de seguridad, al cumplimiento y consideraciones técnicas que se deben hacer en relación con el proceso de auditoria del sistema a fin de garantizar que las empresas obtengan el máximo beneficio.