ISO 17799
Introducción
Surgida de la norma británica BS 7799, la norma ISO 17799 ofrece instrucciones y recomendaciones para la administración de la seguridad.
La norma 17799 también ofrece una estructura para identificar e implementar soluciones para los siguientes riesgos:
Política de seguridad: escribir y comunicar la política de seguridad de la compañía
Organización de seguridad: definir los roles y las responsabilidades.
Monitorear a los socios y a las empresas tercerizadas
Clasificación y control de activos: llevar un inventario de los bienes de la compañía y definir cuán críticos son así como sus riesgos asociados.
Seguridad del personal: contratación, capacitación y aumento de concientización relacionadas a la seguridad.
Seguridad física y del entorno: área de seguridad, inventarios del equipamiento de seguridad.
Comunicación / Administración de operaciones: procedimientos en caso de accidente, plan de recuperación, definición de niveles de servicio y tiempo de recuperación, protección contra programas ilegales, etc.
Control de acceso: establecimiento de controles de acceso a diferentes niveles (sistemas, redes, edificios, etc.)
Desarrollo y mantenimiento del sistema: consideración de la seguridad en sistemas desde el diseño hasta el mantenimiento.
Plan de continuidad empresarial: definición de necesidades en términos de disponibilidad, recuperación de tiempo y establecimiento de ejercicios de emergencia.
Contratación: respeto por la propiedad intelectual, las leyes y las reglamentaciones de la compañía.
Objetivo
Proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y relaciones de confianza entre las empresas.
Ventajas
· Aumento de la seguridad efectiva de los sistemas de información
· Correcta planificación y gestión de la seguridad
· Garantías de continuidad del negocio
· Mejora continua a través del proceso de auditoría interna
· Incremento de los niveles de confianza de los clientes y socios de negocios
· Aumento del valor comercial y mejora de la imagen de la organización
· Auditorias de seguridad más precisas y fiables
· Menor responsabilidad civil
Estructura de la norma
Establece diez dominios de control que cubren por completo la Gestión de la Seguridad de la información:
· Política de seguridad
· Aspectos organizativos para la seguridad
· Clasificación y control de activos
· Seguridad ligada al personal
· Seguridad física y del entorno
· Gestión de comunicaciones y operaciones
· Control de accesos
· Desarrollo y mantenimiento de sistemas
· Gestión de continuidad del negocio
· Conformidad con la legislación
Conclusión
· ISO 17799 norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información.
L La norma se estructura en once dominios de control que cubren por completo todos los aspectos relativos a la seguridad de la información.
Implantar ISO 17799 puede requerir de un trabajo de consultoría, que adapte los requerimientos de la norma a las necesidades de cada organización.
La adaptación presenta múltiples ventajas para la organización, entre ellas el primer paso para una certificación ISO 27001, pero ni la adaptación de ISO 17799, ni la certificación garantizan la inmunidad de la organización frente a problemas de seguridad.
Hay que hacer análisis de los riesgos y monitorear continuamente la situación.
Hay que prepararse para entender la norma y avanzar en el seguimiento de las recomendaciones establecida.
No hay comentarios:
Publicar un comentario