Introducción
Alcance
Introducción
ISO (
Internacional) forman el sistema especializado para la estandarización mundial. Los
organismos internacionales miembros de ISO e IEC participan en el desarrollo de Estándares
Internacionales a través de los comités establecidos por la organización respectiva para lidiar
con áreas particulares de la actividad técnica. En el campo de la tecnología de la información. ISO e IEC han establecido un comité técnico conjunto, ISO/IEC JTC 1.
Los Estándares Internacionales son diseñados en concordancia con las reglas dadas en las
Directivas ISO/IEC, Parte 2.
Los anteproyectos de los Estándares Internacionales adoptados por el comité técnico son
presentados a los organismos nacionales para su votación. La publicación de un Estándar
Internacional requiere de la aprobación de por lo menos 75% de los organismos nacionales
que emiten un voto.
ISO/IEC 17799 fue preparado por el Comité Técnico Conjunto ISO/IEC JTC 1, Tecnología de
la información, Subcomité SC 27, Técnicas de seguridad TI.
El ISO/IEC JTC 1/SC 27 viene desarrollando una familia de Estándares Internacionales para el
Sistema de Gestión de Seguridad de
Internacionales sobre requerimientos gestión del riesgo, métrica y medición, y el lineamiento
de implementación del sistema de gestión de seguridad de la información.
A partir del 2007, se propone incorporar una edición nueva del ISO/IEC 17799 en este nuevo
esquema de numeración con el nombre ISO/IEC 27002.
La información es un activo que, como otros activos comerciales importantes, es esencial para
el negocio de una organización y en consecuencia necesita ser protegido adecuadamente.
Esto es especialmente importante en el ambiente comercial cada vez más interconectado.
Como resultado de esta creciente interconectividad, la información ahora está expuesta a un
número cada vez mayor y una variedad más amplia de amenazas y vulnerabilidades (ver
también los Lineamientos OECD de
La información puede existir en muchas formas. Puede estar impresa o escrita en un papel,
almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos,
mostrada en películas o hablada en una conversación. Cualquiera que sea la forma que tome
la información, o medio por el cual sea almacenada o compartida, siempre debiera estar
apropiadamente protegida.
La seguridad de la información es la protección de la información de un rango amplio de
amenazas para poder asegurar la continuidad del negocio, minimizar el riesgo comercial y
maximizar el retorno de las inversiones y las oportunidades comerciales.
La seguridad de la información se logra implementando un adecuado conjunto de controles;
incluyendo políticas, procesos, procedimientos, estructuras organizacionales y funciones de
software y hardware. Se necesitan establecer, implementar, monitorear, revisar y mejorar
estos controles cuando sea necesario para asegurar que se cumplan los objetivos de
seguridad y comerciales específicos.
Alcance:
Este Estándar Internacional establece los lineamientos y principios generales para iniciar,
implementar, mantener y mejorar la gestión de la seguridad de la información en una
organización. Los objetivos delineados en este Estándar Internacional proporcionan un
lineamiento general sobre los objetivos de gestión de seguridad de la información
generalmente aceptados.
Los objetivos de control y los controles de este Estándar Internacional son diseñados para ser
implementados para satisfacer los requerimientos identificados por una evaluación del riesgo.
Este Estándar Internacional puede servir como un lineamiento práctico para desarrollar
estándares de seguridad organizacional y prácticas de gestión de seguridad efectivas y para
ayudar a elaborar la confianza en las actividades inter-organizacionales.
Términos y definiciones:
Activo: Cualquier cosa que tenga valor para la organización
Control: Medios para manejar el riesgo; incluyendo políticas, procedimientos, lineamientos, prácticas o estructuras organizacionales, las cuales pueden ser administrativas, técnicas, de gestión o de naturaleza legal.
Lineamiento: Una descripción que aclara qué se debiera hacer y cómo, para lograr los objetivos establecidos en las políticas
Medios de procesamiento de la información: Cualquier sistema, servicio o infraestructura de procesamiento de la información, o los locales físicos que los alojan
Seguridad de la información: Preservación de confidencialidad, integración y disponibilidad de la información; además, también puede involucrar otras propiedades como autenticidad, responsabilidad, norepudiación y confiabilidad
Evento de seguridad de la información: Cualquier evento de seguridad de la información es una ocurrencia identificada del estado de un sistema, servicio o red indicando una posible falla en la política de seguridad de la información o falla en las salvaguardas, o una situación previamente desconocida que puede ser relevante para la seguridad.
Incidente de seguridad de la información: Un incidente de seguridad de la información es indicado por un solo evento o una serie de eventos inesperados de seguridad de la información que tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información.
Política: Intención y dirección general expresada formalmente por la gerencia
Riesgo: Combinación de la probabilidad de un evento y su ocurrencia
Análisis del riesgo: Uso sistemático de la información para identificar las fuentes y calcular el riesgo
Análisis del riesgo: Proceso general del análisis del riesgo y la evaluación del riesgo
Evaluación del riesgo: Proceso de comparar el riesgo estimado con un criterio de riesgo dado para determinar la importancia del riesgo.
Gestión del riesgo: Actividades coordinadas para dirigir y controlar una organización con relación al riesgo. NOTA. La gestión del riesgo normalmente incluye la evaluación del riesgo, tratamiento del riesgo, aceptación del riesgo y comunicación del riesgo.
Tratamiento del riesgo: Proceso de selección e implementación de medidas para modificar el riesgo.
Tercera persona: Esa persona u organismo que es reconocido como independiente de las partes involucradas, con relación al ítem en cuestión.
Amenaza : Una causa potencial de un incidente no-deseado, el cual puede resultar en daño a un sistema u organización
Vulnerabilidad: La debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas.
Estructura de este estándar
Este estándar contiene 11 cláusulas de control de seguridad conteniendo colectivamente un
total de 39 categorías de seguridad principales y una cláusula introductoria que presenta la
evaluación y tratamiento del riesgo.
a) Política de Seguridad (1);
b) Organización de
c) Gestión de Activos (2);
d) Seguridad de Recursos Humanos (3);
e) Seguridad Física y Ambiental (2);
f) Gestión de Comunicaciones y Operaciones (10);
g) Control de Acceso (7);
h) Adquisición, Desarrollo y Mantenimiento de Sistemas de Información (6);
i) Gestión de Incidentes de Seguridad de
j) Gestión de
k) Conformidad (3).
Evaluación de los riesgos de seguridad
Las evaluaciones del riesgo debieran identificar, cuantificar y priorizar los riesgos en
comparación con el criterio para la aceptación del riesgo y los objetivos relevantes para la
organización. Los resultados debieran guiar y determinar la acción de gestión apropiada y las
prioridades para manejar los riesgos de la seguridad de la información y para implementar los
controles seleccionados para protegerse contra estos riesgos. Es posible que el proceso de
evaluación de riesgos y la selección de controles se deba realizar un número de veces para
abarcar las diferentes partes de la organización o sistemas de información individuales.
La evaluación del riesgo debiera incluir el enfoque sistemático de calcular la magnitud de los
riesgos (análisis del riesgo) y el proceso de comparar los riesgos estimados con un criterio de
riesgo para determinar la importancia de los riesgos (evaluación del riesgo).
Tratamiento de los riesgos de seguridad
Antes de considerar el tratamiento del riesgo, la organización debiera decidir el criterio para
determinar si se pueden aceptar los riesgos, o no. Los riesgos pueden ser aceptados si, por
ejemplo, se ha evaluado que el riesgo es bajo o que el costo del tratamiento no es efectivo en
costo para la organización. Estas decisiones debieran ser registradas.
Para cada uno de los riesgos definidos después de una evaluación del riesgo se necesita
tomar una decisión de tratamiento del riesgo. Las opciones posibles para el tratamiento del
riesgo incluyen:
a) aplicar los controles apropiados para reducir los riesgos;
b) aceptar los riesgos consciente y objetivamente, siempre que cumplan claramente
con la política y el criterio de aceptación de la organización de la organización;
c) evitar los riesgos no permitiendo acciones que podrían causar que el riesgo ocurra;
d) transferir los riesgos asociados a otros grupos; por ejemplo, aseguradores o
proveedores.
Política de seguridad de la información
Objetivo: Proporcionar a la gerencia la dirección y soporte para la seguridad de la
información en concordancia con los requerimientos comerciales y las leyes y regulaciones
relevantes.
La gerencia debiera establecer claramente la dirección de la política en línea con los
objetivos comerciales y demostrar su apoyo, y su compromiso con, la seguridad de la
información, a través de la emisión y mantenimiento de una política de seguridad de la
información en toda la organización.
Lineamiento de implementación
El documento de la política de seguridad de la información debiera enunciar el compromiso de
la gerencia y establecer el enfoque de la organización para manejar la seguridad de la
información. El documento de la política debiera contener enunciados relacionados con:
a) una definición de seguridad de la información, sus objetivos y alcance generales y la
importancia de la seguridad como un mecanismo facilitador para intercambiar
información (ver introducción);
b) un enunciado de la intención de la gerencia, fundamentando sus objetivos y los
principios de la seguridad de la información en línea con la estrategia y los objetivos
comerciales;
c) un marco referencial para establecer los objetivos de control y los controles,
incluyendo la estructura de la evaluación del riesgo y la gestión de riesgo;
Organización de la seguridad de la información
Organización interna: Objetivo: Manejar la seguridad de la información dentro de la organización. Se debiera establecer un marco referencial gerencial para iniciar y controlar la
implementación de la seguridad de la información dentro de la organización.
La gerencia debiera aprobar la política de seguridad de la información, asignar los roles de
seguridad y coordinar y revisar la implementación de la seguridad en toda la organización.
Si fuese necesario, se debiera establecer una fuente de consultoría sobre seguridad de la
información y debiera estar disponible dentro de la organización. Se debieran desarrollar
contactos con los especialistas o grupos de seguridad externos, incluyendo las autoridades
relevantes, para mantenerse actualizado con relación a las tendencias industriales,
monitorear los estándares y evaluar los métodos y proporcionar vínculos adecuados para el
manejo de los incidentes de seguridad de la información. Se debiera fomentar un enfoque
multi-disciplinario para la seguridad de la información.
Coordinación de la seguridad de la información
Típicamente, la coordinación de la seguridad de la información debiera involucrar la
cooperación y colaboración de los gerentes, usuarios, administradores, diseñadores de
aplicación, auditores y personal de seguridad, y capacidades especializadas en áreas como
seguros, temas legales, recursos humanos, TI o gestión del riesgo. Esta actividad debiera:
a) asegurar que las actividades de seguridad sean ejecutadas en conformidad con la
política de seguridad de la información;
b) identificar cómo manejar las no-conformidades;
c) aprobar las metodologías y procesos para la seguridad de la información; por
ejemplo, la evaluación del riesgo, la clasificación de la información;
d) identificar cambios significativos en las amenazas y la exposición de la información
y los medios de procesamiento de la información ante amenazas.
Acuerdos de confidencialidad
Se debieran identificar y revisar regularmente que los requerimientos de confidencialidad o
acuerdos de no-divulgación reflejan las necesidades de la organización para proteger la
información.
Los acuerdos de confidencialidad o no-divulgación debieran tener en cuenta el requerimiento
de proteger la información confidencial utilizando términos legalmente ejecutables. Para
identificar los requerimientos de los acuerdos de confidencialidad o no-divulgación, se
debieran considerar los siguientes elementos:
a) una definición de la información a protegerse (por ejemplo, información
confidencial);
b) duración esperada de un acuerdo, incluyendo casos donde se podría necesitar
mantener la confidencialidad indefinidamente;
c) acciones requeridas cuando se termina un acuerdo;
d) responsabilidades y acciones de los firmantes para evitar la divulgación de
información no autorizada (tal como “sólo lo que necesita saber”);
Contacto con las autoridades
Se debieran mantener los contactos apropiados con las autoridades relevantes.
Lineamiento de implementación
Las organizaciones debieran contar con procedimientos que especifiquen cuándo y cuáles
autoridades (por ejemplo, policía, departamento de bomberos, autoridades supervisoras)
contactar, y cómo se debieran reportar los incidentes de seguridad de la información
identificados de una manera oportuna si se sospecha que se han incumplido las leyes.
Revisión independiente de la seguridad de la información
Se debiera revisar el enfoque de la organización para manejar la seguridad de la información y
su implementación (es decir; objetivos de control, controles, políticas, procesos y
procedimientos para la seguridad de la información) de manera independiente a intervalos
planeados, o cuando ocurran cambios significativos en la implementación de la seguridad.
Lineamiento de implementación
La gerencia debiera iniciar la revisión independiente. Esta revisión independiente es necesaria
para asegurar la continua idoneidad, eficiencia y efectividad del enfoque de la organización
para manejar la seguridad de la información. La revisión debiera incluir las oportunidades de
evaluación para el mejoramiento y la necesidad de cambios en el enfoque por seguridad,
incluyendo políticas y objetivos de control.
Grupos o personas externas
Objetivo: Mantener la seguridad de la información y los medios de procesamiento de
información de la organización que son ingresados, procesados, comunicados a, o
manejados por, grupos externos.
La seguridad de la información y los medios de procesamiento de la información de la
organización no debieran ser reducidos por la introducción de productos y servicios de
grupos externos.
Se debiera controlar cualquier acceso a los medios de procesamiento de información de la
organización y el procesamiento y comunicación de la información realizado por grupos
externos.
Identificación de los riesgos relacionados con los grupos externos
Se debieran identificar los riesgos para la información y los medios de procesamiento de la
información de la organización a raíz de procesos comerciales que involucran a grupos
externos y se debieran implementar controles apropiados antes de otorgarles acceso.
Estos abarcan diferentes acuerdos con grupos externos; por ejemplo,
incluyendo:
a) proveedores de servicio; tal como ISPs, proveedores de redes, servicios telefónicos,
servicios de mantenimiento y soporte;
b) servicios de seguridad manejados;
c) clientes;
d) abastecimiento externo de medios y/o operaciones; por ejemplo, sistemas TI,
servicios de recolección de data, operaciones de centros de llamadas;
e) gerencia y consultores comerciales, y auditores;
f) diseñadores y proveedores; por ejemplo, productos de software y sistemas TI.
Tratamiento de la seguridad cuando se lidia con clientes
Se debieran tratar todos los requerimientos de seguridad identificados antes de proporcionar a
los clientes acceso a la información o activos de la organización.
Lineamiento de implementación
Se debieran considerar los siguientes términos de seguridad antes de proporcionar a los
clientes acceso a cualquier activo de la organización (dependiendo del tipo y extensión de
acceso dado, tal vez no se apliquen todos ellos):
a) protección de activos, incluyendo:
1) procedimientos para proteger los activos de la organización, incluyendo
información y software, y el manejo de las vulnerabilidades conocidas;
2) procedimientos para determinar si algún activo está comprometido; por
ejemplo, cuando ha ocurrido una pérdida o modificación de data;
3) integridad;
4) restricciones sobre el copiado y divulgación de información;
b) descripción del producto o servicio a ser provisto;
c) las diferentes razones, requerimientos y beneficios para el acceso del cliente;
d) política de control de acceso, abarcando
1) métodos de acceso permitidos, y el control y uso de identificadores singulares
como IDs del usuario y claves secretas;
2) un proceso de autorización para el acceso y privilegios del usuario;
3) un enunciado que establezca que está prohibido todo acceso que no esté
explícitamente autorizado;
4) un proceso para revocar los derechos de acceso o interrumpir la conexión
entre los sistemas;
e) acuerdos para el reporte, notificación e investigación de las inexactitudes de la
información (por ejemplo, de detalles personales), incidentes de seguridad de
información y fallas en la seguridad;
f) una descripción de cada servicio que debiera estar disponible
Tratamiento de la seguridad en acuerdos con terceros
Control
Los acuerdos o contratos con terceros que involucran el acceso, procesamiento, comunicación
o manejo de la información o medios de procesamiento de información de la compañía, o
agregan producto o servicios a los medios de procesamiento de información debieran abarcar
todos los requerimientos de seguridad relevantes.
Lineamiento de implementación
El acuerdo debiera asegurar que no existan malos entendidos entre la organización y la otra
parte. Las organizaciones debieran estar satisfechas con relación a la indemnización de las
otras partes.
Gestión de activos
Responsabilidad por los activos:
Objetivo: Lograr y mantener una apropiada protección de los activos organizacionales.
Todos los activos debieran ser inventariados y contar con un propietario nombrado.
Los propietarios debieran identificar todos los activos y se debiera asignar la responsabilidad
por el mantenimiento de los controles apropiados. La implementación de controles
específicos puede ser delegada por el propietario conforme sea apropiado, pero el
propietario sigue siendo responsable por la protección apropiada de los activos.
Inventario de los activos
Control
Se debieran identificar todos los activos y se debiera elaborar y mantener un inventario de
todos los activos importantes.
Lineamiento de implementación
Una organización debiera identificar todos los activos y documentar la importancia de estos
activos. El inventario de los activos debiera incluir toda la información necesaria para poder
recuperarse de un desastre; incluyendo el tipo de activo, formato, ubicación, información de
respaldo, información de licencias y un valor comercial. El inventario no debiera duplicar
innecesariamente otros inventarios, pero se debiera asegurar que el contenido esté alineado.
Los inventarios de los activos ayudan a asegurar que se realice una protección efectiva de los
activos, y también puede requerir de otros propósitos comerciales; como planes de salud y
seguridad, seguros o razones financieras (gestión de activos). El proceso de compilar un
inventario de activos es un pre-requisito importante de la gestión del riesgo
Propiedad de los activos
Control
Toda la información y los activos asociados con los medios de procesamiento de información
debieran ser propiedad2 de una parte designada de la organización.
Lineamiento de implementación
El propietario del activo debiera ser responsable de:
a) asegurar que la información y los activos asociados con los medios de procesamiento
de la información sean clasificados apropiadamente;
b) definir y revisar periódicamente las restricciones y clasificaciones de acceso, tomando
en cuenta las políticas de control de acceso aplicables.
La propiedad puede ser asignada a:
a) un proceso comercial;
b) un conjunto de actividades definido;
c) una aplicación; o
d) un conjunto de data definido.
El término “propietario” identifica una persona o entidad que
cuenta con la responsabilidad gerencial aprobada de controlar la
producción, desarrollo, mantenimiento, uso y seguridad de los
activos. El término “propietario” no significa que la persona en
realidad tenga algún derecho de propiedad sobre el activo.
Uso aceptable de los activos
Control
Se debieran identificar, documentar e implementar reglas para el uso aceptable de la
información y los activos asociados con los medios del procesamiento de la información.
Lineamiento de implementación
Todos los empleados, contratistas y terceros debieran seguir las reglas para el uso aceptable
de la información y los activos asociados con los medios del procesamiento de la información,
incluyendo:
a) reglas para la utilización del correo electrónico e Internet (ver 10.8);
b) lineamientos para el uso de dispositivos móviles, especialmente para el uso fuera
del local de la organización (ver 11.7.1).
La gerencia relevante debiera proporcionar reglas o lineamientos específicos. Los empleados,
contratistas y terceros que usan o tienen acceso a los activos de la organización debieran
estar al tanto de los límites existentes para su uso de la información y los activos asociados
con los medios y recursos del procesamiento de la información de la organización. Ellos
debieran ser responsables por el uso que le den a cualquier recurso de procesamiento de
información, y de cualquier uso realizado bajo su responsabilidad.
Clasificación de la información
Objetivo: Asegurar que la información reciba un nivel de protección apropiado.
La información debiera ser clasificada para indicar la necesidad, prioridades y grado de
protección esperado cuando se maneja la información.
La información tiene diversos grados de confidencialidad e importancia. Algunos ítems
pueden requerir un nivel de protección adicional o manejo especial. Se debiera utilizar un
esquema de clasificación de información para definir un conjunto apropiado de niveles de
protección y comunicar la necesidad de medidas de uso especiales.
Lineamientos de clasificación
Control
Se debiera clasificar la información en términos de su valor, requerimientos legales,
sensibilidad y grado crítico para la organización.
Lineamiento de implementación
Las clasificaciones y los controles de protección asociados para la información debieran tomar
en cuenta las necesidades comerciales de intercambiar o restringir información y los impactos
comerciales asociados con dichas necesidades.
Los lineamientos de clasificación debieran incluir protocolos para la clasificación inicial y la reclasificación
a lo largo del tiempo; en concordancia con alguna política pre-determinada de
control de acceso
Debiera ser responsabilidad del propietario del activo definir la clasificación de un
activo, revisarla periódicamente y asegurarse que se mantenga actualizada y en el nivel
apropiado.
Se puede evaluar el nivel de protección analizando la confidencialidad, integridad y
disponibilidad, y cualquier otro requerimiento para la información considerada.
Con frecuencia, la información deja de ser sensible o crítica después de cierto período de
tiempo, por ejemplo, cuando la información se ha hecho pública. Se debieran tomar en cuenta
estos aspectos, ya que la sobre-clasificación puede llevar a la implementación de controles
innecesarios resultando en un gasto adicional.
