NORMAS S.I.

NORMAS INTERNACIONALES
BS7799 /ISO 17799
BS 7799 es una norma que presenta los requisitos para un Sistema Administrativo de
Seguridad de la Informacin. Ayudar a identificar, administrar y minimizar la gama de
amenazas a las cuales est expuesta regularmente la informacin.
ISO 17799 y BS7799 son polticas de la seguridad y procedimientos de los estndares.
El estndar era conocido inicialmente como BS llamado estndar britnico 7799,
desarrollado por la institucin britnica de los estndares. Ms adelante, se convirti
en el estndar del IEC 17799 de la ISO cuando fue adoptado por el comit tcnico del
IEC de la ISO para el uso internacional.
Llaman IEC JTC 1 de la ISO y es actualmente responsable tal comit de toda la
informacin con respecto a estndares de la tecnologa, y el BS7799 se refiere
especficamente al estndar de la gerencia de la seguridad de la informacin aprobado
formalmente durante el ao 2000. Este estndar define un sistema de prcticas de
gerencia recomendadas de la seguridad de la informacin, aunque es probablemente
mejor decir que el estndar es un sistema de recomendaciones, pues el IEC de la ISO
recomienda que consideras cada sugerencia como intentas mejorar tu programa de la
seguridad de la informacin, y no ver cada sugerencia como obligacin inflexible de
seguir.
Dependiendo de las necesidades de la seguridad de la informacin se puede aceptar o
no aceptar los estndares BS7799. As pues, si una recomendacin particular ayuda a
tratar cualquier materia de seguridad importante entonces aceptarla, si no, no hacen
caso de ella. ISO17799 y BS7799 incluyen un acercamiento abierto la mayor parte de
a las ediciones comunes de la informacin relacionadas con los archivos electrnicos,
los ficheros de datos y los archivos del software, y los documentos de papel. La
informacin se relacion con las notas escritas mano, materiales impresos y las
fotografas, las grabaciones, las grabaciones video y las grabaciones audio,
comunicaciones generales incluyendo conversaciones, conversaciones de telfono,
conversaciones de telfono de la clula y conversaciones cara a cara, as como
mensajes tales como mensajes del email, envan por telefax los mensajes, mensajes
inmediatos, mensajes video, mensajes fsicos, entre muchos otros artculos se
consideran como definicin del trmino informacin.

Puesto que la informacin tiene valor y es por lo tanto un activo, necesita ser justa
protegido como cualquier otro activo corporativo. La informacin se debe proteger
apenas como la infraestructura que apoya esta informacin, incluyendo todas las
redes, sistemas, y funciones que permitan que una organizacin maneje y controle sus
activos de la informacin. BS7799 explica lo que se puede hacer para proteger los
activos de la informacin de una organizacin.
Hoy, las organizaciones se hacen frente con una amplia gama de las amenazas de la
seguridad, de la falta de equipo a los errores humanos, fraude, vandalismo, hurto,
sabotaje, inundacin, fuego, y el terrorismo uniforme en muchos pases, que es
manera la informacin necesita ser protegido. BS7799 sugiere centrarse tu atencin
en tres puntos principales para garantizar tu seguridad de la informacin, que son
integridad, secreto y disponibilidad. La integridad refiere a la necesidad de proteger lo
completo y la exactitud de la informacin as como los mtodos usados para
procesarla. Confidencial refiere al aseguramiento que la informacin se puede
alcanzar solamente por la gente que tiene la autorizacin de hacer tan. Y la
disponibilidad refiere a la garanta que las que se han autorizado para utilizar la
informacin tienen acceso a ella y a todos los activos asociados cuando estn
necesitadas.
Para identificar los riesgos y necesidades de la seguridad de la informacin, se puede
necesitar realizar un gravamen de riesgo. La mejor manera de determinar verdad esta
informacin es estudiar cualquier requisito legal as como la determinacin de cules
son los propios requisitos desarrollar o mejorar el propio programa de la seguridad de
la informacin. B17799 intenta simplemente ayudar a los que investiguen mejoren sus
requisitos de la seguridad de la informacin para la seguridad total.
ISO/IEC 17799
Aplica invariablemente a organizaciones pequeas, medianas y multinacionales.
ISO/IEC 17799 comprende de clusulas enfocadas a prcticas y mtodos
fundamentales de seguridad contempornea contemplando avances tecnolgicos.
La norma ISO 17799, al definirse como una gua en la implementacin del sistema de
administracin de la seguridad de la informacin, se orienta a preservar los siguientes
principios de la seguridad informtica:
Confidencialidad. Asegurar que nicamente personal autorizado tenga acceso a la
informacin.

Integridad. Garantizar que la informacin no ser alterada, eliminada o destruida por

entidades no autorizadas.
Disponibilidad. Asegurar que los usuarios autorizados tendrn acceso a la
informacin cuando la requieran.
Estos principios en la proteccin de los activos de informacin constituyen las normas
bsicas deseables en cualquier organizacin, sean instituciones de gobierno,
educativas e investigacin; no obstante, dependiendo de la naturaleza y metas de las
organizaciones, stas mostrarn especial nfasis en algn dominio o rea del estndar
ISO 17799.
El objetivo de la seguridad de los datos es asegurar la continuidad de las operaciones
de la organizacin, reducir al mnimo los daos causados por una contingencia, as
como optimizar la inversin en tecnologas de seguridad.
Como todo buen estndar, el ISO 17799 da la pauta en la definicin sobre cules
metodologas, normas o estndares tcnicos pueden ser aplicados en el sistema de
administracin de la seguridad de la informacin, se puede entender que estos
estndares son auxiliares y sern aplicados en algn momento al implementar el
mismo.
La aplicacin de un marco de referencia de seguridad basado en el ISO 17799
proporciona beneficios a toda organizacin que lo implemente, al garantizar la
existencia de una serie de procesos que permiten evaluar, mantener y administrar la
seguridad de la informacin.
Las polticas, estndares locales y los procedimientos se encuentran adaptados a las
necesidades de la organizacin debido a que el proceso mismo de su elaboracin
integra mecanismos de control y por ltimo, la certificacin permite a las
organizaciones demostrar el estado de la seguridad de la informacin, situacin que
resulta muy importante en aquellos convenios o contratos con terceras organizaciones
que establecen como requisito contractual la certificacin BS7799.
ISO 27001
ISO 27001 es una norma internacional emitida por la Organizacin Internacional de
Normalizacin (ISO) y describe cmo gestionar la seguridad de la informacin en una
empresa. La revisin ms reciente de esta norma fue publicada en 2013 y ahora su
nombre completo es ISO/IEC 27001:2013. La primera revisin se public en 2005 y
fue desarrollada en base a la norma britnica BS 7799-2.

ISO 27001 puede ser implementada en cualquier tipo de organizacin, con o sin fines
de lucro, privada o pblica, pequea o grande. Est redactada por los mejores
especialistas del mundo en el tema y proporciona una metodologa para implementar
la gestin de la seguridad de la informacin en una organizacin. Tambin permite que
una empresa sea certificada; esto significa que una entidad de certificacin
independiente confirma que la seguridad de la informacin ha sido implementada en
esa organizacin en cumplimiento con la norma ISO 27001.
Cmo funciona la ISO 27001?
El eje central de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad
de la informacin en una empresa. Esto lo hace investigando cules son los
potenciales problemas que podran afectar la informacin (es decir, la evaluacin de
riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas
se produzcan (es decir, mitigacin o tratamiento del riesgo).
Por lo tanto, la filosofa principal de la norma ISO 27001 se basa en la gestin de
riesgos: investigar dnde estn los riesgos y luego tratarlos sistemticamente.
Las medidas de seguridad (o controles) que se van a implementar se presentan, por lo
general, bajo la forma de polticas, procedimientos e implementacin tcnica (por
ejemplo, software y equipos). Sin embargo, en la mayora de los casos, las empresas
ya tienen todo el hardware y software pero utilizan de una forma no segura; por lo
tanto, la mayor parte de la implementacin de ISO 27001 estar relacionada con
determinar las reglas organizacionales (por ejemplo, redaccin de documentos)
necesarias para prevenir violaciones de la seguridad.
Como este tipo de implementacin demandar la gestin de mltiples polticas,
procedimientos, personas, bienes, etc., ISO 27001 ha detallado cmo amalgamar
todos estos elementos dentro del sistema de gestin de seguridad de la informacin
(SGSI).
Por eso, la gestin de la seguridad de la informacin no se acota solamente a la
seguridad de TI (por ejemplo, cortafuegos, anti-virus, etc.), sino que tambin tiene que
ver con la gestin de procesos, de los recursos humanos, con la proteccin jurdica, la
proteccin fsica, etc.
Por qu ISO 27001 es importante para su empresa?
Hay 4 ventajas comerciales esenciales que una empresa puede obtener con la
implementacin de esta norma para la seguridad de la informacin:

Cumplir con los requerimientos legales cada vez hay ms y ms leyes, normativas y
requerimientos contractuales relacionados con la seguridad de la informacin. La
buena noticia es que la mayora de ellos se pueden resolver implementando ISO
27001 ya que esta norma le proporciona una metodologa perfecta para cumplir con
todos ellos.
Obtener una ventaja comercial si su empresa obtiene la certificacin y sus
competidores no, es posible que usted obtenga una ventaja sobre ellos ante los ojos
de los clientes a los que les interesa mantener en forma segura su informacin.
Menores costos la filosofa principal de ISO 27001 es evitar que se produzcan
incidentes de seguridad, y cada incidente, ya sea grande o pequeo, cuesta dinero;
por lo tanto, evitndolos su empresa va a ahorrar mucho dinero. Y lo mejor de todo es
que la inversin en ISO 27001 es mucho menor que el ahorro que obtendr.
Una mejor organizacin en general, las empresas de rpido crecimiento no tienen
tiempo para hacer una pausa y definir sus procesos y procedimientos; como
consecuencia, muchas veces los empleados no saben qu hay que hacer, cundo y
quin debe hacerlo. La implementacin de ISO 27001 ayuda a resolver este tipo de
situaciones ya que alienta a las empresas a escribir sus principales procesos (incluso
los que no estn relacionados con la seguridad), lo que les permite reducir el tiempo
perdido de sus empleados.
Cmo implementar ISO 27001?
Para implementar la norma ISO 27001 en una empresa, usted tiene que seguir estos
16 pasos:
1) Obtener el apoyo de la direccin
2) Utilizar una metodologa para gestin de proyectos
3) Definir el alcance del SGSI
4) Redactar una poltica de alto nivel sobre seguridad de la informacin
5) Definir la metodologa de evaluacin de riesgos
6) Realizar la evaluacin y el tratamiento de riesgos
7) Redactar la Declaracin de aplicabilidad
8) Redactar el Plan de tratamiento de riesgos
9) Definir la forma de medir la efectividad de sus controles y de su SGSI

10) Implementar todos los controles y procedimientos necesarios

11) Implementar programas de capacitacin y concienciacin
12) Realizar todas las operaciones diarias establecidas en la documentacin de su
SGSI
13) Monitorear y medir su SGSI
14) Realizar la auditora interna
15) Realizar la revisin por parte de la direccin
16) Implementar medidas correctivas

Cmo obtener la certificacin?

Existen dos tipos de certificados ISO 27001: (a) para las organizaciones y (b) para las
personas. Las organizaciones pueden obtener la certificacin para demostrar que
cumplen con todos los puntos obligatorios de la norma; las personas pueden hacer el
curso y aprobar el examen para obtener el certificado.
Para obtener la certificacin como organizacin, se debe implementar la norma tal
como se explic en las secciones anteriores y luego se debe aprobar la auditora que
realiza la entidad de certificacin. La auditora de certificacin se realiza siguiendo
estos pasos:
1 Paso de la auditora (revisin de documentacin): los auditores revisarn toda la
documentacin.
2 Paso de la auditora (auditora principal): los auditores realizarn la auditora in situ
para comprobar si todas las actividades de una empresa cumplen con ISO 27001 y
con la documentacin del SGSI.
Visitas de supervisin: despus de que se emiti el certificado, y durante su vigencia
de 3 aos, los auditores verificarn si la empresa mantiene su SGSI.