[TYPE THE COMPANY NAME] [Type the document title] [Type the document subtitle] .. 13 Cambios De La Norma..............27002 Contenido Glosario ....................................................................................................... ..................... 5 Definición ISO 17799 .................................. 13 ISO/IEC 27002 ............................ 14 Certificaciones Actuales Que Poseen Las Empresas De Software Dominicanas ................. 10 Proceso de Implementación........................................................................................................ 12 ¿Cómo se las organizaciones se benefician? ................................................................................................................................................................................... 10 Bajo la norma ISO....................................................... 6 Resumen de los Controles ISO 17799 ................................................................................................... 5 Normas ISO 17799 ............................. ........................................................................Desventajas ............ 10 Las mejores prácticas se mencionan: .................................................................................................................................................................................................................................................. 12 Antecedentes sobre el Proyecto ISO 17799 ..................................................................... 15 Certificaciones que desean obtener las empresas de software dominicanas ................................................... 15 Referencias....................... 14 Certificación ISO/IEC 27001..............................ISO 17799 ................................................................................................................ 17 2 ........................................................... 13 ¿Cómo se las organizaciones se benefician? ............................................................................................................................................................................................ 7 ISO 17799 – Normativa ............................................ 13 Empresas Certificados BS 7799-2 / ISO/IEC 27001 ...........................Estándar |SEGURIDAD DE LA INFORMACIÓN ............................................................. ................................ 11 Implementación bajo la norma ISO. ................ 11 Ventajas ...................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................... 4 Seguridad Informatica........................................................................................................................................................................................................................ 8 Secciones:..................................................... 7 Recomendaciones........................ 8 ¿Qué es la ISO17799? ................................................. 4 ¿Qué es la Seguridad de la Información? ................................................................... 3 Seguridad .................................................................................................................................................................................. Colección de sugerencias específicas del sistema de las mejores prácticas. debe ser corto. No son necesarios. Una serie de pasos para realizar una tarea 3 . Reglas generales que todos deben seguir.ISO 17799 . claro. Directrices.27002 Glosario Política. pero se recomienda encarecidamente Procedimientos. Estándar. Colección de sistema de los requisitos específicos que deben cumplirse. 4 . etc. consiste en asegurar (mediante controles de protección. procesos) de una organización sean utilizados de la manera que se decidió. Confidencialidad: Característica o atributo de la información por el que la misma sólo puede ser revelada a los usuarios autorizados en tiempo y forma determinados. esto es. datos.) que los recursos de los sistemas de información (Equipos tecnológicos.27002 Seguridad Disponibilidad: se refiere a la seguridad que la información pueda ser recuperada en el momento que se necesite. pérdida o destrucción. Seguridad Informatica “La seguridad informática. ya sea de forma accidental o fraudulenta. integridad y disponibilidad. mala operación accidental o situaciones fortuitas o de fuerza mayor Integridad: Garantía de la exactitud de la información frente a la alteración. técnicas.ISO 17799 . bien sea por ataque doloso. métodos. evitar su pérdida o bloqueo. a fin de prevenir amenazas accidentales y deliberadas que pudieran resultar en una pérdida de confidencialidad. software. Protección de la Información .Las políticas.La precisión y la exhaustividad de la información y sólo se modifica por los sujetos autorizados Disponibilidad .Asegurar la continuidad de negocio. los requisitos legales Formularios de Información . Define la información como un activo que posee valor para la organización y requiere una protección adecuada.27002 ¿Qué es la Seguridad de la Información? La información es un activo – Valor. procedimientos. 5 . Definición ISO 17799 Es un estándar internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar. y HW / SW. prácticas.personas autorizadas se conceden evaluar a la información.Papel Electrónico. (SLA) Controles de Seguridad de la Información . minimizar los daños. estructura organizacional. que hablo.La información no es revelada a los sujetos no autorizados Integridad . y etc. implantar o mantener la seguridad de una organización.ISO 17799 . Preservación de la información Confidencialidad . 27002 Normas ISO 17799 6 .ISO 17799 . Para poner en práctica los principios de control de acceso. ISO 17799 – Normativa .27002 Resumen de los Controles ISO 17799 ISO17799 Área Política de seguridad. Gestión de comunicaciones y operaciones. 9. Para garantizar el cumplimiento normativo. Conformidad. Seguridad física y ambiental. Activo de control y de clasificación. 4. Control de Acceso Desarrollo de Sistemas y Mantenimiento Gestión de la Continuidad. Para desarrollar y crear las estructuras y procesos para la gestión de la seguridad. 8. 6.ISO 17799 . 1. Seguridad de la organización. Para garantizar la exactitud de las operaciones y seguridad de redes / comunicaciones.Estándar |SEGURIDAD DE LA INFORMACIÓN 1. 3. Propósito Para establecer una visión para la seguridad y dirigir los recursos corporativos. Personal de seguridad. Para reducir el error humano el mal uso y abuso por parte de personal. 7.Cumplimiento 7 . 2. 5. Para garantizar la continuidad de las empresas en caso de fallas mayores o desastres. Para garantizar que la seguridad se considera en conjunto con el desarrollo de sistemas. Para identificar y clasificar los activos de priorizar adecuadamente la importancia y garantizar la protección. Política de Seguridad Organización de Seguridad Clasificación y Control de Activos Aspectos humanos de la seguridad Seguridad Física y Ambiental Gestión de Comunicaciones y Operaciones Sistema de Control de Accesos Desarrollo y Mantenimiento de Sistemas Plan de Continuidad del Negocio 10. Para asegurar la defensa del perímetro y físicamente garantizar la protección de los activos. herramientas. métodos. fraude. Clasificación y control de activos. Integrar los procedimientos de operación de la infraestructura tecnológica y de controles de seguridad documentados. Es un “paso” para establecer un SGSI (Sistema de Gestión de Seguridad de Información). Deberá mantenerse la protección adecuada de los activos corporativos y garantizar que los activos informáticos reciban un nivel adecuado de protección 4. Organización de la Seguridad de la Información Gestionar (administrar y mantener) la seguridad de la información: Recursos. Proporciona las directivas y el soporte de la dirección general de la empresa para la seguridad de la información. abuso de la información.ISO 17799 . 4.27002 Recomendaciones. robo. Mantener la seguridad de la información de los servicios de procesamiento de información de la organización a los cuales tiene acceso externos o que son procesados o usados por éstas. Previene el acceso no autorizado a las instalaciones para evitar pérdida. robo. activos. o Controles: procedimientos. Reducir el riesgo de error humano. Gestión de Comunicaciones y Operaciones. Permite la implantación y evaluación de las medidas de seguridad en TI. Políticas de seguridad. tercerización. Seguridad física y ambiental. Son 11 dominios para derivar los: o Objetivos de Control: Resultados a alcanzar. 2. Secciones: 1. 3. Seguridad del personal. sistemas y equipos. etc. daño de los bienes o interrupción de las actividades productivas Normas ISO 17799 6. que van desde el control de cambios en la configuración de los 8 . Para realizar la Gestión de Seguridad de la Información. Asegurarse que el personal esté consciente de las amenazas a la información y sus implicaciones. 11. Adquisición. Gestión de incidentes de la seguridad de información Reporte de los eventos y debilidades de la seguridad de la información. Sistemas de control de acceso. Control del acceso a la información. Plan de continuidad del negocio. manejo de incidentes. Seguridad en los procesos de desarrollo y mantenimiento 9. impide los accesos no autorizados a las computadoras. salvaguarda la información cuando se utiliza cómputo móvil o remoto. aplicaciones de negocios. en el caso se presenten fallas importantes o desastres en los sistemas de información. El objetivo es estar preparado para evitar las interrupciones de las actividades críticas del negocio. gestión de la seguridad de las redes. previene los accesos no autorizados a sistemas de información (Sistemas operativos. Desarrollo y Mantenimiento de sistemas. abusos y modificaciones de los datos. Garantiza que la seguridad del sistema esté construida dentro de la aplicación para prevenir pérdidas. hasta el control de código malicioso.ISO 17799 . detecta actividades no autorizadas. incluido el hardware y software 7. de las políticas y las normas de seguridad y cumplimiento técnico. Respaldo de información. etc) Garantiza la protección de servicios de red. gestionando los incidentes y mejoras en la seguridad de la información 10. 8. intercambio de información y monitoreo Evita al máximo el riesgo de fallas en el sistema. 9 . Cumplimiento Legal. administración de aceptación de sistemas. asegurando la recuperación oportuna. si es necesario usando controles criptográficos. así como las consideraciones de la auditoría de sistemas de información. Cumplimiento de los requisitos legales.27002 equipos. ISO 17799 .27002 ¿Qué es la ISO17799? Es un conjunto completo de controles que incluye las mejores prácticas en: En La Seguridad De La Información Los Controles Basados En Políticas Medibles Certificables Gestión De Riesgos Basado En Reconocidos Internacionalmente Bajo la norma ISO Las mediciones basadas en los requisitos legales son: Protección y confidencialidad de los datos personales Protección de la información interna Protección de los derechos de propiedad intelectual Las mejores prácticas se mencionan: Información de la política de seguridad La asignación de la responsabilidad de seguridad de la información Problema escalada Negocios de gestión de continuidad 10 . Conocimiento exhaustivo de los requisitos de seguridad. 11 . La implementación considera los aspectos culturales de la organización. Implementación bajo la norma ISO. Un sistema completo y equilibrado para la medición del desempeño está disponible.27002 Proceso de Implementación. Abierto de apoyo y el compromiso de la alta dirección son obligatorios. Los usuarios son capacitados en forma adecuada. evaluación y gestión del riesgo es necesario. Cuando se implementa un sistema de gestión de seguridad de la información de varios factores críticos de éxito se deben considerar: La política de seguridad. La política de seguridad y medidas de seguridad se comunican a terceros contratados.ISO 17799 . que apoya el mejoramiento continuo de dar retroalimentación. incluidos los miembros de la administración. Comercialización eficaz de los objetivos de seguridad a todo el personal. sus objetivos y actividades reflejan los objetivos de negocio. ISO 17799 . 12 . etc. relaciones postventas. Además de otro sin número de efectos colaterales. Conseguir una forma de acceso a los evitando a sus intermediarios actuales. Una mayor tecnificación de la empresa. Vender y prestar servicios.La lucha contra los incendios Mantenga su trabajo. como asesoramiento. Cumplimiento con disposiciones legales. Establecer empresas virtuales o virtualizar las existentes.Desventajas Adquirir un canal de comunicación y publicidad de alcance masivo. Procedimientos en lnea con disposiciones de tipo gubernamental. Antecedentes sobre el Proyecto ISO 17799 Gestión de aplicaciones web en la producción Tradicionales de las organizaciones de TI no están familiarizados con la aplicación web de gestión de seguridad Cuentas. Sustituir las actuales mercancías por su equivalente digital. director de TI (EDP) Aplicaciones de Internet 20 años de edad política de los procedimientos / no se aplican Las ventajas de aplicar la norma ISO 17799 Mayor seguridad Mayor tiempo de actividad ROI . (Reconocimiento Internacional) Mejor protección a la confidencialidad. Mitigar riesgo a diferentes ataques Rápida y eficiente forma de recuperarse ante posibles amenazas. Nuevas y más estrechas relaciones entre cliente y proveedor.27002 Ventajas . integridad y disponibilidad de la información. de gestión de seguridad. 13 .Técnicas de seguridad . BRA ISO / IEC 27002:2005 se ha desarrollado a partir de BS7799. Código de buenas prácticas para la gestión de seguridad de la información ISO/IEC 27002 ISO / IEC 27002 es un estándar de seguridad de la información publicada por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC).27002 ¿Cómo se las organizaciones se benefician? Normalización . BS 7799-1:1999. el código de prácticas para la seguridad de la información sistemas de gestión BS 7799-2:1998.Código de buenas prácticas para la gestión de seguridad de la información. publicado a mediados de la década de 1990.eficiencia y automatización ventaja competitiva Gestión de riesgos . titulada Tecnología de la información . BS 7799-2:1999 Muchos países adoptaron BS 7799 En diciembre de 2000.no de seguridad para el bien de la seguridad Costo-efectividad Pasar de reactiva a proactiva Marco de referencia aceptado para la política ¿Cómo se las organizaciones se benefician? 1) 2) 3) 4) 5) Driver para la mejora de procesos Cumplir con los requisitos de socio de negocios mantener el cumplimiento regulatorio Medir la efectividad de los esfuerzos de seguridad de la información (ROI!) Cambios De La Norma Varias organizaciones británicas también participó BS 7799:1995.ISO 17799 . La norma británica fue adoptada por la norma ISO / IEC como ISO / IEC 17799:2000. seguridad de la información de gestión. ISO / IEC 17799:2000. las especificaciones para los sistemas de gestión de seguridad Revisión. 415 Reino Unido 11en Brasil. 1800 en Japón. Es razonable considerar un crecimiento equiparable al de normas ISO ya existentes. Implica la misma certificación. Empresas Certificados BS 7799-2 / ISO/IEC 27001 2800 Empresas Certificadas a nivel mundial. 14 . por parte de organismos locales a nivel mundial.ISO 17799 . ISO / IEC 27002 proporciona recomendaciones de mejores prácticas en la gestión de seguridad de la información para su utilización por los responsables de iniciar. Seguridad de la información se define en el estándar en el contexto de la tríada de la CIA: La preservación de la confidencialidad (asegurando que la información es accesible sólo para aquellos autorizados a tener acceso).27002 revisada en 2005. integridad (protección de la exactitud e integridad de la información y los métodos de procesamiento) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y los activos asociados cuando sea necesario). implementar o mantener la seguridad de la información Sistemas de Gestión de la Información (ISMS). y pasa a ser (pero por lo demás sin cambios) en 2007 para alinearse con la otra la norma ISO / IEC 27000 de la serie de normas. Certificación ISO/IEC 27001. 3 en Argentina. 30 0.70 0. Certificaciones que desean obtener las empresas de software dominicanas 0. 15 .50 40% 0.60 50% 0.50 0.40 0.40 0.ISO 17799 .80 0.27002 Certificaciones Actuales Que Poseen Las Empresas De Software Dominicanas 0.00 Norma ISO 9001:2000 Norma ISO/IEC 27001 CMMI Ninguna 10% 10% 10% 70% Un 70% de las empresas no se ha certificado ni evaluado en alguna norma o modelo.30 0.60 0.20 0.70 60% 0. mientras que el 30% por ciento restante se divide equitativamente entre la norma ISO 9001:2000.10 0.00 Norma ISO 9001: 2008 Norma ISO/IEC 27001 CMMI Ninguna Todas las empresas aspiran a obtener alguna certificación o evaluación.20 0. ISO / IEC 27001 y CMMI.10 0% 0. 27002 16 .ISO 17799 . pdf 17 .the-hamster. Ed Tittel OWASP ISO 17799 Project http://www.ITIL.entry http://17799-news.org/Content/ContentGroups/Research1/Deliverables/AligningCOB IT.cfm?Section=Home&Template=/ContentManageme nt/ContentDisplay.com/papers/iso17799scope.org/Template.17799.com/blog/cns!7EE40084F422EFB2!142.com/issue10-news11.live.pdf http://www.cfm&ContentID=26409 http://rickyboeykens.ISO 17799 .27002 Referencias ISO/IEC 17799:2000(E) CISSP:Certified Information Systems Security Professional Study Guide.isaca.htm http://www.spaces.isaca.