Documentacion ISO 17799
13
12/4/2010 Sergio Paños Hernández | 3º HND in Computing SERWEB SOLUTIONS ESTÁNDAR INTERNACIONAL ISO/IEC 17799 TÉCNICAS DE SEGURIDAD – CÓDIGO PARA LA PRÁCTICA DE LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN.
-
Upload
sergio-panos-hernandez -
Category
Documents
-
view
4.375 -
download
6
Transcript of Documentacion ISO 17799
12/4/2010
Sergio Paños Hernández | 3º HND in Computing
SERWEB
SOLUTIONS
ESTÁNDAR INTERNACIONAL ISO/IEC 17799
TÉCNICAS DE SEGURIDAD – CÓDIGO PARA LA PRÁCTICA DE
LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN.
2
Contenido 1.- INTRODUCCIÓN. ....................................................................................................................... 3
1.1.- Glosario: ............................................................................................................................ 3
1.2.- Problemática de seguridad y orígenes de ISO 17799. ...................................................... 3
Los orígenes de ISO 17799: ....................................................................................................... 4
1.3.- Definición de ISO 17799. ................................................................................................... 4
2.- ESTRUCTURA DE LA NORMA: ................................................................................................... 5
2.1.- Dominios de control y objetivos. ...................................................................................... 5
1.- Política de seguridad. ....................................................................................................... 6
2.- Aspectos organizativos para la seguridad. ....................................................................... 6
3.- Clasificación y control de activos. .................................................................................... 6
4.- Seguridad ligada al personal. ........................................................................................... 7
5.- Seguridad física y del entorno. ......................................................................................... 7
6.- Gestión de comunicaciones y operaciones. ..................................................................... 7
7.- Control de accesos. .......................................................................................................... 7
8.- Desarrollo y mantenimiento de sistemas. ....................................................................... 8
9.- Gestión de continuidad del negocio. ............................................................................... 8
10.- Conformidad con la legislación. ..................................................................................... 8
3.- APLICACIÓN DE LA NORMA ISO 17799. ................................................................................... 9
3.1- Auditoría. ........................................................................................................................... 9
3.2.- Consultoría. ....................................................................................................................... 9
3.3.- Implantación. .................................................................................................................... 9
Ejemplo de implantación: ....................................................................................................... 10
4.- VENTAJAS. .............................................................................................................................. 10
5.- SGSI EN ESPAÑA: UNE 71502:2004. ....................................................................................... 10
Marco general del SGSI: .......................................................................................................... 11
Implantación del SGSI: ............................................................................................................ 12
Explotación del SGSI: ............................................................................................................... 12
Revisión del SGSI: .................................................................................................................... 12
Proceso de mejora: ................................................................................................................. 13
6.- CONCLUSIONES. ..................................................................................................................... 13
BIBLIOGRAFÍA: ............................................................................................................................. 13
3
1.- INTRODUCCIÓN.
1.1.- Glosario: Activo: Recurso del sistema de información o relacionado con éste, necesario para que la
organización funcione correctamente y alcance los objetivos propuestos por su dirección.
Amenaza: Evento que puede desencadenar un incidente en la organización, produciendo daños o
pérdidas materiales o inmateriales en sus activos.
Riesgo: Posibilidad de que una amenaza se materialice.
Impacto: Consecuencia sobre un activo de la materialización de una amenaza.
Control: Práctica, procedimiento o mecanismo que reduce el nivel de riesgo.
BSI: Instituto Británico de Normas Técnicas
ISO: Organización de Regulación Internacional de Normas Técnicas.
AENOR: Asociación Española de Normalización y Certificación. Organismo certificador
español.
1.2.- Problemática de seguridad y orígenes de ISO 17799. La problemática de la seguridad en los sistemas de información surge del acelerado desarrollo
e implantación de este tipo de tecnologías, denominadas comúnmente TICs. La rápida
implantación que ha tenido Internet en nuestras vidas ha conllevado que cantidades enormes
de información (en muchos casos confidencial) estén a disposición de cualquiera.
Esta escasa seguridad que hubo en los orígenes del boom de Internet hizo saltar la alarma, de
tal forma que la seguridad de la información empezó a tomarse en serio, tanto en el ámbito
empresarial, como comercial y por supuesto jurídico-legal.
Pero esta seguridad no afecta sólo al tráfico que circula por la red. Debe entenderse la
seguridad como algo integral. Debe abordar problemas desde tráfico en red, hasta seguridad
física de servidores y bases de datos de información.
Los gerentes de seguridad de la información han esperado mucho tiempo a que alguien
tomara el liderazgo para producir un conjunto de normas de seguridad de la información que
estuviera sujeto a auditoría y fuera reconocido globalmente. Se cree que un código de normas
de la seguridad apoyaría los esfuerzos de los gerentes de tecnología de la información en el
sentido que facilitaría la toma de decisión de compra, incrementaría la cooperación entre los
múltiples departamentos por ser la seguridad el interés común y ayudaría a consolidar la
seguridad como prioridad empresarial.
Desde su publicación por parte de la Organización Internacional de Normas en diciembre de
2000, ISO 17799 surge como la norma técnica de seguridad de la información reconocida a
nivel mundial. ISO 17799 se define como "un completo conjunto de controles que incluye las
prácticas exitosas de seguridad de la información".
4
Los orígenes de ISO 17799: Durante más de un siglo, el Instituto Británico de Normas Técnicas (BSI) y la Organización
Internacional de Normas Técnicas (ISO) han brindado parámetros globales a las normas
técnicas de operación, fabricación y desempeño. Solo faltaba que BSI e ISO propusieran una
norma técnica para la seguridad de la información.
Finalmente en 1995, el BSI publicó la primera norma técnica de seguridad, BS 7799, la cual fue
redactada con el fin de abarcar los asuntos de seguridad relacionados con el ecommerce.
Tras 1995, problemas como el Y2K (año 2000 o efecto 2000 )y la Unidad Monetaria Europea
(EMU por su sigla en inglés) prevalecieron sobre otros. Para empeorar las cosas, la norma BS
7799 se consideraba inflexible y no tuvo gran acogida. No se presentó la norma técnica en un
momento oportuno y los problemas de seguridad no despertaron mucho interés en ese
entonces. La escasa implantación de accesos a Internet entre la población tampoco mejoraba
esta situación.
Cuatro años después en mayo de 1999, el BSI intentó de nuevo publicar su segunda versión de
la norma BS 7799, la que fue una revisión más amplia de la primera publicación.
Esta edición sufrió muchas mejoras y perfeccionamientos desde la versión de 1995. En este
momento la ISO se percató de estos cambios y comenzó a trabajar en la revisión de la norma
técnica BS 7799.
En diciembre de 2000, la Organización Internacional de Normas Técnicas (ISO) adoptó y
publicó la primera parte de su norma BS 7799 bajo el nombre de ISO 17799.
Alrededor de la misma época, se adoptó un medio formal de acreditación y certificación para
cumplir con la norma técnica. Los problemas Y2K y EMU y otros similares se habían
solucionado o reducido en 2000 y la calidad total de la norma técnica había mejorado
considerablemente. La adopción por parte de ISO de los criterios de la norma técnica BS 7799
recibió gran aceptación por parte del sector internacional y fue en este momento en el que el
grupo de normas técnicas de seguridad tuvo amplio reconocimiento.
1.3.- Definición de ISO 17799. ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de
la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la
seguridad de una organización.
ISO 17799 define la información como un activo que posee valor para la organización
y requiere por tanto de una protección adecuada. El objetivo de la seguridad de la información
es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar
los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de
negocio.
La seguridad de la información se define como la preservación de:
5
– Confidencialidad: Aseguramiento de que la información es accesible sólo para aquellos
autorizados a tener acceso.
– Integridad: Garantía de la exactitud y completitud de la información y de los métodos de su
procesamiento.
– Disponibilidad: Aseguramiento de que los usuarios autorizados tienen acceso cuando lo
requieran a la información y sus activos asociados.
El objetivo de la norma ISO 17799 es proporcionar una base común para desarrollar normas de
seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la seguridad.
La adaptación española de la norma se denomina UNE 71502, que será explicada
posteriormente.
La norma ISO 17799 no incluye la segunda parte de BS 7799, que se refiere a la
implementación. ISO 17799 hoy en día es una compilación de recomendaciones para las
prácticas exitosas de seguridad que toda organización puede aplicar independientemente de
su tamaño o sector. La norma técnica fue redactada intencionalmente para que fuera flexible y
nunca indujo a las personas que la cumplían para que prefirieran una solución de seguridad
específica. Las recomendaciones de la norma técnica ISO 17799 son neutrales en cuanto a la
tecnología y no ayudan a evaluar y entender las medidas de seguridad existentes. Así, la norma
discute la necesidad de contar con cortafuegos, pero no profundiza sobre los tres tipos de
cortafuegos y cómo se utilizan, lo que conlleva a que algunos detractores de la norma digan
que ISO 17799 es muy general y que tiene una estructura muy imprecisa y sin valor real.
La flexibilidad e imprecisión de ISO 17799 es intencional por cuanto es difícil contar con una
norma que funcione en una variedad de entornos de tecnología de la información y que sea
capaz de desarrollarse con el cambiante mundo de la tecnología. ISO 17799 simplemente
ofrece un conjunto de reglas a un sector donde no existían.
2.- ESTRUCTURA DE LA NORMA:
2.1.- Dominios de control y objetivos. La norma UNE-ISO/IEC 17799 establece diez dominios de control que cubren por completo la
Gestión de la Seguridad de la Información:
1. Política de seguridad.
2. Aspectos organizativos para la seguridad.
3. Clasificación y control de activos.
4. Seguridad ligada al personal.
5. Seguridad física y del entorno.
6. Gestión de comunicaciones y operaciones.
7. Control de accesos.
8. Desarrollo y mantenimiento de sistemas.
9. Gestión de continuidad del negocio.
10. Conformidad con la legislación.
6
De estos diez dominios se derivan 36 objetivos de control (resultados que se esperan alcanzar
mediante la implementación de controles) y 127 controles (prácticas, procedimientos o
mecanismos que reducen el nivel de riesgo).
A continuación se comentan los detalles de cada dominio de control:
1.- Política de seguridad.
Su objetivo principal es dirigir y dar soporte a la gestión de la seguridad de la información. La
alta dirección debe definir una política que refleje las líneas directrices de la organización en
materia de seguridad, aprobarla y publicitarla de la forma adecuada a todo el personal
implicado en la seguridad de la información.
La política se constituye en la base de todo el sistema de seguridad de la información.
La alta dirección debe apoyar visiblemente la seguridad de la información en la compañía.
2.- Aspectos organizativos para la seguridad.
Gestionan la seguridad de la información dentro de la organización. Mantienen la seguridad de
los recursos de tratamiento de la información y de los activos de información de la
organización que son accedidos por terceros. Mantienen también la seguridad de la
información cuando la responsabilidad de su tratamiento se ha externalizado a otra
organización.
Debe diseñarse una estructura organizativa dentro de la compañía que defina las
responsabilidades que en materia de seguridad tiene cada usuario o área de trabajo
relacionada con los sistemas de información de cualquier forma. Dicha estructura debe poseer
un enfoque multidisciplinar: los problemas de seguridad no son exclusivamente técnicos.
3.- Clasificación y control de activos.
Mantener una protección adecuada sobre los activos de la organización. Asegurar un nivel de
protección adecuado a los activos de información. Debe definirse una clasificación de los
7
activos relacionados con los sistemas de información, manteniendo un inventario actualizado
que registre estos datos, y proporcionando a cada activo el nivel de protección adecuado a su
criticidad en la organización.
4.- Seguridad ligada al personal.
Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y los
servicios. Asegurar que los usuarios son conscientes de las amenazas y riesgos en el ámbito de
la seguridad de la información, y que están preparados para sostener la política de seguridad
de la organización en el curso normal de su trabajo. Minimizar los daños provocados por
incidencias de seguridad y por el mal funcionamiento, controlándolos y aprendiendo de ellos.
Las implicaciones del factor humano en la seguridad de la información son muy elevadas.
Todo el personal, tanto interno como externo a la organización, debe conocer tanto las líneas
generales de la política de seguridad corporativa como las implicaciones de su trabajo en el
mantenimiento de la seguridad global.
Debe haber diferentes relaciones con los sistemas de información: operador, administrador,
guardia de seguridad, personal de servicios, etc, y procesos de notificación de incidencias
claros, ágiles y conocidos por todos.
5.- Seguridad física y del entorno.
Evitar accesos no autorizados, daños e interferencias contra los locales y la información de la
organización. Evitar pérdidas, daños o comprometer los activos así como la interrupción de las
actividades de la organización. Prevenir las exposiciones a riesgo o robos de información y de
recursos de tratamiento de información.
Las áreas de trabajo de la organización y sus activos deben ser clasificadas y protegidas en
función de su criticidad, siempre de una forma adecuada y frente a cualquier riesgo factible
de índole física (robo, inundación, incendio...).
6.- Gestión de comunicaciones y operaciones.
Asegurar la operación correcta y segura de los recursos de tratamiento de información.
Minimizar el riesgo de fallos en los sistemas. Proteger la integridad del software y de la
información. Mantener la integridad y la disponibilidad de los servicios de tratamiento de
información y comunicación. Asegurar la salvaguarda de la información en las redes y la
protección de su infraestructura de apoyo. Evitar daños a los activos e interrupciones de
actividades de la organización. Prevenir la pérdida, modificación o mal uso de la información
intercambiada entre organizaciones.
Se debe garantizar la seguridad de las comunicaciones y de la operación de los sistemas
críticos para el negocio.
7.- Control de accesos.
Controlar los accesos a la información, evitar accesos no autorizados a los sistemas de
información, evitar el acceso de usuarios no autorizados, proteger los servicios en red. Evitar
accesos no autorizados a ordenadores, el acceso no autorizado a la información contenida en
8
los sistemas. Detectar actividades no autorizadas. Garantizar la seguridad de la información
cuando se usan dispositivos de informática móvil y tele-trabajo.
Se deben establecer los controles de acceso adecuados para proteger los sistemas de
información críticos para el negocio, a diferentes niveles: sistema operativo, aplicaciones,
redes, etc.
8.- Desarrollo y mantenimiento de sistemas.
Asegurar que la seguridad está incluida dentro de los sistemas de información.
Evitar pérdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones.
Proteger la confidencialidad, autenticidad e integridad de la información. Asegurar que los
proyectos de Tecnología de la Información y las actividades complementarias son llevadas a
cabo de una forma segura. Mantener la seguridad del software y la información de la
aplicación del sistema.
Debe contemplarse la seguridad de la información en todas las etapas del ciclo de vida del
software en una organización: especificación de requisitos, desarrollo, explotación,
mantenimiento...
9.- Gestión de continuidad del negocio.
Reaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente
grandes fallos o desastres. Todas las situaciones que puedan provocar la interrupción de las
actividades del negocio deben ser prevenidas y contrarrestadas mediante los planes de
contingencia adecuados.
Los planes de contingencia deben ser probados y revisados periódicamente.
Se deben definir equipos de recuperación ante contingencias, en los que se identifiquen
claramente las funciones y responsabilidades de cada miembro en caso de desastre.
10.- Conformidad con la legislación.
Evitar el incumplimiento de cualquier ley, estatuto, regulación u obligación contractual y de
cualquier requerimiento de seguridad. Garantizar la alineación de los sistemas con la política
de seguridad de la organización y con la normativa derivada de la misma. Maximizar la
efectividad y minimizar la interferencia de o desde el proceso de auditoría de sistemas.
Se debe identificar convenientemente la legislación aplicable a los sistemas de información
corporativos (en nuestro caso, LOPD, LPI, LSSI...), integrándola en el sistema de seguridad de la
información de la compañía y garantizando su cumplimiento.
Se debe definir un plan de auditoría interna y ser ejecutado convenientemente, para
garantizar la detección de desviaciones con respecto a la política de seguridad de la
información.
Niveles de seguridad:
Lógica: Confidencialidad, integridad y disponibilidad del software y datos de un SGI.
Organizativa: Relativa a la prevención, detección y corrección de riesgos.
9
Física: Protección de elementos físicos de las instalaciones: servidores, PCs…
Legal: Cumplimiento de la legislación vigente. En España: LOPD (Ley Orgánica de
Protección de Datos).
3.- APLICACIÓN DE LA NORMA ISO 17799.
3.1- Auditoría. Un trabajo de auditoría ISO 17799 consiste en la valoración del nivel de adecuación,
implantación y gestión de cada control de la norma en la organización. Valora la seguridad
desde 4 puntos de vista:
– Seguridad lógica.
– Seguridad física.
– Seguridad organizativa.
– Seguridad legal.
Se trata de una referencia de la seguridad de la información estándar y aceptada
internacionalmente. Una vez conocemos el estado actual de la seguridad de la información en
la organización, podemos planificar correctamente su mejora o su mantenimiento. Una
auditoría ISO 17799 proporciona información precisa acerca del nivel de cumplimiento de la
norma a diferentes niveles: global, por dominios, por objetivos y por controles.
3.2.- Consultoría. Conociendo el nivel de cumplimiento actual, es posible determinar el nivel mínimo aceptable y
el nivel objetivo en la organización:
– Nivel mínimo aceptable. Estado con
las mínimas garantías de seguridad
necesarias para trabajar con la
información corporativa.
– Nivel objetivo. Estado de seguridad
de referencia para la organización, con
un alto grado de cumplimiento ISO
17799.
– A partir del nivel mínimo aceptable y
el nivel objetivo, podemos definir un
plan de trabajo para alcanzar ambos a
partir del estado actual.
– Nivel mínimo aceptable. Implantación de los controles técnicos más urgentes, a muy
corto plazo.
– Nivel objetivo. Se desarrolla en el tiempo dentro del Plan Director de
– Seguridad corporativo, y es el paso previo a la certificación UNE 71502.
3.3.- Implantación. ISO 17799 no es una norma tecnológica.
10
– Ha sido redactada de forma flexible e independiente de cualquier solución de
seguridad específica.
– Proporciona buenas prácticas neutrales con respecto a la tecnología y a las soluciones
disponibles en el mercado.
Estas características posibilitan su implantación en todo tipo de organizaciones, sin importar su
tamaño o sector de negocio, pero al mismo tiempo son un argumento para los detractores de
la norma. ¿Cómo traducir especificaciones de alto nivel a soluciones concretas, para poder
implantar ISO 17799? Con un trabajo de consultoría, interna o externa.
Ejemplo de implantación: En este ejemplo se muestra un sencillo caso concreto de implantación de la norma, para
implantarse en una determinada empresa u organización.
– Dominio de control: Gestión de comunicaciones y operaciones
o Objetivo de control: proteger la integridad del software y de la información.
– Control: Controles contra software malicioso.
“Se deberían implantar controles para detectar el software malicioso y prevenirse
contra él, junto a procedimientos adecuados para concienciar a los usuarios”.
Tras un trabajo de consultoría se establecerían las siguientes conclusiones:
– Normativa de uso de software: definición y publicitación en la Intranet.
– Filtrado de contenidos: X - Content Filtering v3.4.
– Antivirus de correo: Y – Antivirus v2.0.
– Antivirus personal: Z - Antivirus v4.5.
4.- VENTAJAS. La adopción de la norma ISO 17799 proporciona diferentes ventajas a cualquier organización:
– Aumento de la seguridad efectiva de los sistemas de información.
– Correcta planificación y gestión de la seguridad.
– Garantías de continuidad del negocio.
– Alianzas comerciales y e-commerce más seguras.
– Mejora contínua a través del proceso de auditoría interna.
– Incremento de los niveles de confianza de nuestros clientes y partners.
– Aumento del valor comercial y mejora de la imagen de la organización.
– Auditorías de seguridad más precisas y fiables.
– Menor Responsabilidad Civil.
5.- SGSI EN ESPAÑA: UNE 71502:2004. Marco general del SGSI:
11
La organización debe establecer y mantener un SGSI documentado. Este debe identificar los
activos a proteger, el enfoque de la gestión de riesgo adoptado por la organización, los objetivos
y controles, así como el grado de protección requerido.
Proceso de certificación:
El proceso de certificación del SGSI conforme a la Norma UNE 71502:2004 se basa en la
implantación de los controles descritos en la Norma UNE-ISO/IEC 17799. El organismo
certificador español que debe expedir el certificado es AENOR.
Para los procesos de certificación en las empresas de mayor tamaño, la Norma recomienda
emplear una metodología como MAGERIT, Metodología de Análisis y Gestión de Riesgos de
los Sistemas de Información de las Administraciones Públicas.
El proceso de certificación consta de las siguientes fases:
• Solicitud de la certificación: cumplimentar cuestionario (Empresa).
• Análisis de la documentación: Informe de deficiencias de la documentación AENOR).
• Visita previa para analizar el SGSI: Informe de la visita previa (AENOR).
• Auditoría del SGSI:
Informe de disconformidades (AENOR).
Plan de acciones correctivas (Empresa).
Evaluación y decisión: Auditoría extraordinaria, en caso de no cumplimiento de los
requisitos de certificación (Empresa).
• Emisión del certificado.
• Auditorías de seguimiento anuales.
• Auditoría de renovación al tercer año.
Marco general del SGSI: Un SGSI debe identificar fundamentalmente los activos a proteger, el enfoque de la gestión del
riesgo adoptado por la Organización, los objetivos, los controles y el grado de protección
requerido. El marco general del SGSI parte de la fase de planificación y diseño, consistente en
la identificación y documentación del alcance y objetivos del SGSI, para lo cual se deben
abordar los siguientes aspectos:
– Definir la política de seguridad.
– Definir el alcance del SGSI en función de las características de la Organización.
– Realizar un análisis de riesgos adecuado a los activos de la Organización utilizando para
ello una metodología (la Norma recomienda MAGERIT o la incluida en la anterior
Norma UNE 71501).
– Seleccionar de la Norma UNE-ISO/IEC 17799 los controles adecuados, así como otros
específicos para cada Organización, necesarios los objetivos a cubrir y documentarlos.
La siguiente fase consiste en la selección de controles a implantar, utilizando para ello la
relación incluida en la Norma UNE ISO/IEC 17799, excluyendo aquéllos que no sean de
aplicación por las características de la organización. Finalmente, el SGSI se debe documentar
incluyendo las acciones realizadas para la planificación y diseño del sistema, un resumen
ejecutivo conteniendo la política de seguridad, los objetivos a cubrir y los controles
implantados, los procedimientos adoptados para implantar los controles, los procedimientos de
gestión y operación del SGSI y el documento de selección de controles.
12
Toda esta documentación debe estar convenientemente controlada mediante los procedimientos
necesarios para garantizar que esté disponible, sea comprensible y pueda ser revisada cuando se
necesite. Asimismo, ha de ser mantenida bajo control de versiones y retirada cuando quede
obsoleta. Asimismo, la Organización debe disponer de procedimientos para identificar,
mantener, conservar y destruir los registros que evidencien el cumplimiento del SGSI
implantado con la Norma UNE 71502.
La responsabilidad de la Dirección resulta fundamental en el proceso y se basa en su
compromiso con la implantación del SGSI y con la política de seguridad de la Organización.
La Norma UNE 71502 adopta el modelo de mejora continua “Plan-Do-Check-Act” (PDCA),
permitiendo a cada Organización utilizar los instrumentos que considere oportunos.
Modelo PDCA:
Implantación del SGSI: La correcta implantación del SGSI se basa en la implantación efectiva en la Organización de
aquellos controles que resulten eficaces para la misma. Para ello, es preciso controlar la
función que realizan, seleccionando, en la fase de diseño, indicadores de la eficacia de cada
control, una vez implantado.
Con ello se determinará el grado de implantación de los controles seleccionados, valorando su
eficacia frente a los riesgos detectados en la fase de análisis.
Explotación del SGSI: Para una correcta explotación del SGSI, la Organización debe proporcionar los recursos
necesarios, a lo largo de todo el proceso, desde su implantación y aplicación, hasta su
mantenimiento, revisión y mejora. En concreto, los recursos humanos asignados deben asumir
las responsabilidades definidas en el SGSI, para lo cual han de estar capacitados y deben recibir
la adecuada formación.
Revisión del SGSI: La Dirección debe revisar de forma planificada el SGSI, para asegurarse de su conveniencia,
adecuación y eficacia. Debe asimismo identificar las oportunidades de mejora y los cambios
necesarios en el SGSI, incluyendo la revisión de la política y los objetivos de la seguridad.
13
Para ello, el SGSI debe contener procedimientos documentados para identificar
vulnerabilidades no contempladas en el análisis de riesgos, herramientas para mejorar la
eficacia del SGSI y cambios en la Organización que afecten al SGSI, manteniendo registros de
las revisiones efectuadas por la Dirección. Dichos procedimientos han de ser modificados para
adaptarlos al SGSI cuando cambien factores internos o externos, como son los requisitos y
procesos de negocio, el entorno legislativo o los niveles de riesgo aceptables.
La Dirección debe asimismo asegurarse de que se realizan auditorías periódicas del SGSI para
determinar si el sistema cumple la política y requisitos de seguridad definidos por la
Organización y las especificaciones de la presente Norma, y si se ha implantado, se ejecuta y se
mantiene eficazmente.
Proceso de mejora: La Dirección debe asegurar que se emprenden acciones para detectar las inconformidades y
sus posibles causas, verificando y auditando dichas acciones.
El proceso de mejora continua de la eficacia del SGSI debe realizarse mediante el uso de la
política de seguridad, la revisión de los objetivos de seguridad, el uso de los indicadores de
eficacia de los procesos que intervienen en el SGSI, el análisis de los resultados de las
auditorías, la aplicación de las acciones correctivas y preventivas y la revisión continua de la
Dirección.
Las acciones correctivas y preventivas son fundamentales para eliminar las causas de las
inconformidades en la aplicación y explotación del SGSI y evitar que sucedan de nuevo.
Para ello, se debe establecer un procedimiento que facilite identificar las inconformidades al
SGSI y determinar sus causas, evaluar la aplicación de las acciones necesarias e implantarlas,
registrar los resultados obtenidos y revisarlos, usando el proceso de mejora continúa.
6.- CONCLUSIONES. - ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la
gestión de la seguridad de la información, adoptada en España como norma UNE-
ISO/IEC 17799 (UNE 71502).
- La norma se estructura en diez dominios de control que cubren por completo todos
los aspectos relativos a la seguridad de la información.
- Implantar ISO 17799 requiere de un trabajo de consultoría que adapte los
requerimientos de la norma a las necesidades de cada organización concreta.
- La adopción de ISO 17799 presenta diferentes ventajas para la organización, entre
ellas el primer paso para la certificación según UNE 71502.
- La seguridad TOTAL no existe.
BIBLIOGRAFÍA: - Norma UNE 71502: 2004 (AENOR)
- http://www.symantec.com/region/mx/enterprisesecurity/
