La NTP-ISO/IEC 17799 establece recomendaciones para la gestión de la seguridad de la información en entidades del gobierno peruano. La norma cubre 10 dominios como políticas de seguridad, organización, clasificación de activos, seguridad física y del personal. El documento evalúa la implementación de la norma en un ministerio, identificando carencias como falta de políticas formales, controles de acceso débiles y ausencia de planes de continuidad. La norma busca estandarizar prácticas de seguridad

1. Generando Políticas de Seguridad Informática

2. Historia de ISO 17799

3. ¿Qué busca esta Norma?Esta Norma es de uso obligatorio para todas las entidades del sector gobierno que a su vez conforman el Sistema Nacional de Informática.Para esta NTP la informaciónde las organizaciones representa el activo mas Importante, la cual se encuentra en forma impresa, digital, verbal.

4. Base legal 2004Mediante la Resolución Ministerial Nº 224- 2004-PCM del 23 de julio de 2004 se aprobó el uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC 17799:2004 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de la información, 1º Edición”, en todas las Entidades integrantes del Sistema Nacional de Informática.

5. Base legal 2007El 22 de Agosto del 2007, se actualiza la presente Norma, bajo RESOLUCIÓN MINISTERIAL Nº 246-2007-PCM Norma Técnica Peruana “NTP-ISO/ IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de la información. 2a. Edición” bajo el mismo ámbito de aplicación de la versión anterior.

6. Las 10 secciones de ISO 17799

7. NTP 17799 DOMINIO(Secciones) OBJETIVOCONTROLESGuía de Implementación

8. Ejemplo de ImplementaciónDominio de control :Gestión de Comunicaciones y Operación.Objetivo de control :Proteger la integridad del software y de la Información.Control :Controles contra Software maliciosoGuía de Implementación :Normativa de uso de Software Definición, Publicación.Filtrado de contenidos WebAntivirus de CorreoAntivirus Personal

9. Ejemplo MINISTERIO XYZEvaluación con Norma NTP 17799Elaboración de las Políticas

10. 1 Política de SeguridadObjetivo de ControlDirigir y Dar Soporte a la gestión de la Seguridad de la información.Control :Dirección : Política y Apoyo visible.Política : Sistema de seguridad de la información.

11. 1 Política de SeguridadNo se tenía identificado un documento de Política de Seguridad que sea de conocimiento del personal, sin embargo se contaba con dos Directivas aprobadas y dos en proceso de aprobación

12. Política de Seguridad

13. 2 Organización de la SeguridadObjetivo de ControlGestionar la seguridad de la información dentro de la organización.Control :Mantener la seguridad de los recursos.Mantener la seguridad de la información.

14. 2 Organización de la SeguridadNo existe un comité de Gestión de Seguridad de Información, sin embargo se habían establecido algunas responsabilidades en cuanto a seguridad de la información.En Informática se encontró un documento con el contenido de la norma y algunas recomendaciones realizadas en base a esta norma, las cuales no se habían tomado en cuenta.Existía un practicante como encargado de Seguridad de Redes, que no desarrollaba labores netamente de un Oficial de Seguridad porque no tenía la documentación ni los procedimientos formalmente definidos.

15. 3 Clasificación y Control de ActivosObjetivo de ControlMantener una protección adecuada sobre los activos de la Organización.Asegurar un nivel adecuado de protección a los activos de Información.

16. 3 Clasificación y Control de ActivosSe cuenta con un inventario de activos fijos los que son controlados por el área de Control Patrimonial. Todas las áreas deberían contar con una clasificación de los activos más importantes (información, hardware, software, servicios y otros) de acuerdo a criticidad y/o confiabilidad y el uso de un procedimiento de clasificación de la información.

17. 4 Seguridad en el PersonalObjetivo de ControlReducir los riesgos de errores humanos.Asegurar que los usuarios son conscientesMinimizar los daños.

18. 4 Seguridad del PersonalNo se realizan charlas, capacitaciones y entrenamiento en temas de seguridad de información. No se consigna una cláusula de Confidencialidad en los contratos, específicamente lo relacionado con el procesamiento y seguridad de la información, sólo se describe sus Términos de Referencia.

19. 5 Seguridad física y del entornoObjetivo de ControlEvitar accesos no autorizados.Evitar pérdidas.Prevenir la exposición a riesgos o pérdida de información.

20. 5 Seguridad física y del entornoSe cuenta con un buen control de ingreso a las instalaciones como revisión de paquetes, registro de equipos tanto al ingreso como a la salida así como también en el ingreso a las oficinas, pues se cuenta con un vigilante en cada puerta. Sin embargo el tema de la Seguridad física al ingreso y salida de las instalaciones, es realizado por un Service.

21. 6 Gestión Comunicaciones y OperacionesObjetivo de ControlSe debe garantizar la seguridad de las comunicaciones y de la operación de los sistemas críticos del negocio.Asegurar la operación correcta y segura de los recursos de información.Gestión de seguridad en redes, Monitoreo y SLA con terceros.Proteger la integridad del software y de la información, contra software malicioso.

22. 6 Gestión Comunicaciones y OperacionesExisten algunos manuales y procedimientos de operación pero no están actualizados.Los procedimientos de monitoreo de servicios realizados por terceros no se encuentran formalizados.Adicionalmente se tiene directivas aprobadas sobre el respaldo de información, que se encuentran publicadas en la Web, pero, no son conocidas por los usuarios, falta de difusión a toda la organización.Los Log de auditoría deshabilitados, ante algún problema no se podría obtener las pistas de auditoria para evaluar y deslindar responsabilidades ante falla de los sistemas.

23. 7 Control de AccesosObjetivo de ControlSe deben establecer los controles de acceso adecuados para proteger los sistemas de información críticos para el negocio, a diferentes niveles, sistema operativo, aplicaciones, redes, etc.Control : Los usuarios deberán seguir buenas practicas de seguridad para la selección y uso de sus contraseñas.

24. 7 Control de AccesosCarencia de un procedimiento formal para la gestión de cuentas de usuarios en los diferentes sistemas. No existen los controles adecuados para asegurar que los usuarios sigan las buenas prácticas de seguridad para la selección y uso de sus contraseñas. Falta de una política de escritorio limpio para papeles y medios removibles de almacenamiento, así como una política de pantalla limpia para instalaciones de procesamiento de información.

25. Uso adecuado de las claves de acceso

26. 8 Adquisición, Desarrollo y Mantenimiento de SistemasObjetivo de ControlDebe contemplarse la seguridad de la información en todas las etapas del ciclo de vida del software.

27. 8 Adquisición, Desarrollo y Mantenimiento de SistemasLos requerimientos de mantenimiento de sistemas no son comunicados por un canal formal. No se encontró estándares específicos ni metodologías para la adquisición, desarrollo y mantenimientos de sistemas.

28. Políticas y Normas para la utilización de software.

29. 9 Gestión de Continuidad del NegocioObjetivo de ControlReaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente a a grandes fallos o desastres.Control :Continuidad del negocio y evaluación de riesgos.

30. 9 Gestión de Continuidad del NegocioSe cuenta con un documento de contingencias, no ha sido aprobado, no está alineado a la seguridad de información a nivel de toda la organización.Además no se han realizado pruebas ni actualización del mismo, por consiguiente el personal de la organización, no tiene conocimiento de este dominio. La Organización no tiene un plan de continuidad de negocio

31. 10 CumplimientoObjetivo de ControlSe debe identificar convenientemente la legislación aplicable a los sistemas de información de la organización.Control :Continuidad del negocio y evaluación de riesgos.

32. 10 CumplimientoLos requerimientos legales (estatuto, norma o contratos) para el uso de sistemas de información y que son relevantes para la organización no están explícitamente definidos, documentados ni difundidos.

33. CONCLUSIONESEsta Norma Técnica Peruana establece recomendaciones para realizar la gestión de la seguridad de la información que pueden utilizarse por los responsables de iniciar, implantar o mantener la seguridad en una organización. Persigue proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la seguridad, así como proporcionar confianza en las relaciones entre organizaciones.