NTP-ISO/IEC 17799: Norma Técnica Peruana
Sistema de Seguridad de la Información
La norma técnica peruana NTP-ISO/IEC 17799 ofrece todas las recomendaciones necesarias para poder gestionar un Sistema de Seguridad de la Información (SSI), al igual que la norma internacional ISO 27001, ofreciendo los requisitos necesarios para que los responsables del área en concreto puedan iniciar, implantar, mantener y mejorar la seguridad en las organizaciones.
La norma ISO/IEC 17799 persigue que se proporcione una base común con la que poder llevar a cabo normas de seguridad dentro de las empresas y convertirse en una práctica eficaz de gestión de la seguridad.
La norma técnica peruana ISO/IEC 17799 es una guía práctica que desarrolla los estándares organizacionales de la seguridad y genera prácticas efectivas durante la gestión de la Seguridad de la Información. Además, incrementa la confianza a la hora de establecer relaciones entre diferentes organizaciones. Todas las recomendaciones que genera esta norma tienen que ser utilizadas de acuerdo con la legislación aplicable a esta materia.
La información es un activo que tiene un elevado valor para las empresas, lo que requiere que se genere una protección adecuada. Hay que tener en cuenta el aumento en la seguridad dentro de las organizaciones. El resultado de este creciente aumento es que la información se encuentra más expuesta a un alto número de amenazas y vulnerabilidades.
La información es adoptada de varías formas diferentes. Puede encontrarse en formato papel, almacenada electrónicamente, enviada por correo electrónico, en formato vídeo o a través de una conversación hablada personalmente. Es por todo esto, que la información tiene que estar debidamente protegida, sea cual sea el formato en la que no la encontremos.
El Sistema de Seguridad de la Información (SSI) ayuda a proteger la información de un amplio rango de amenazas diferentes con el que asegurar la continuidad del negocio, disminuir los daños generados en la organización y maximizar el retorno de la inversiones y las oportunidades de negocio.
El Sistema de Seguridad de la Información se consigue implementando un conjunto adecuado de controles, que puede ser políticas de seguridad, procedimientos, estructuras organizativas y funciones de software y hardware. Los controles necesarios son establecidos, implementados, monitoreados, revisados y mejorados en lo que sea necesario, con lo que se asegura que se cumplan todos los objetivos específicos de seguridad y negocios de la organización.
Esta norma ISO/IEC 17799 cuenta con unos términos específicos, los cuales es necesario conocer para poder entender lo que expone la norma, durante este post vamos a ver todos los términos y a definirlos para su mejor comprensión:
Activo: es algo que tenga un gran valor para la organización.
Control: es la herramienta de gestión del riesgo, en el que se incluyen las políticas, las pautas, las estructuras organizacionales, que sean de naturaleza administrativa, técnica o legal.
Pauta: describe de forma clara lo que se debe hacer y cómo se debe hacer, persiguiendo el fin de alcanzar todos los objetivos planteados en la política de seguridad.
Instalaciones de proceso de información: Sistemas de información, servicio o infraestructuras en las que se localice de forma física.
Seguridad de la Información: es la preservación de la confidencialidad, la integridad y la disponibilidad de la información, además de otras muchas propiedades como puede ser la autenticidad, la falta de rechazo, la contabilidad y la confiabilidad que puede ser considera también.
Evento de Seguridad de la Información: es una ocurrencia que se encuentra identificada por un sistema, servicio o red en el que se indica una posible fisura en la política de seguridad de información o algún posible fallo en las situaciones relevantes para la seguridad.
Incidente de Seguridad de la Información: se encuentra indicado por diferentes eventos que no son esperados o no deseados, y que tienen una gran probabilidad de poner en un compromiso las operaciones de negocios y las amenazas de Seguridad de la Información.
Política de Seguridad: es un documento en el que se expresa los objetivos que tiene una organización a la hora de implementa un Sistema de Seguridad de la Información. Se encuentra firmada por la gerencia de la empresa y tiene que estar disponible para todo el mundo que desee verla.
Riesgo: es la combinación de probabilidad de que ocurra un incidente y las consecuencias de éste.
Análisis del riesgo: utilización sistemática de la información para identificar todas las fuentes que puedan generar algún riesgo.
Evaluación del riesgo: es el proceso general de análisis y evaluación de riesgo.
Valoración del riesgo: es el proceso mediante el cual se compara el riego estimado con el riesgo dado.
Gestión del riesgo: son actividades coordinadas para dirigir y controlar una organización considerando el riesgo que puede producir.
Tratamiento del riesgo: es el proceso por el que se selecciona e implementa las medidas para modificar el riesgo.
Terceros: es la persona que se reconoce por ser independiente por las partes involucradas concerniente al tema en cuestión.
Amenaza: causa potencial de un incidente no deseado lo que puede resultar dañando al sistema o a la organización.
Vulnerabilidad: es la debilidad presentada por un activo o grupo de activos que pueden ser explotados por una o más amenazas.
Software para ISO 27001
El Software ISO-27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.