Norma Técnica Peruana 17799

¿Qué contiene la Norma Técnica Peruana 17799?

Puesta en marcha de manera obligatoria por la PCM a través de la ONGEI el 23 de julio del 2004 y actualizada el 25 de agosto del 2007.

La cual indica las buenas prácticas para la gestión de la seguridad de la información en entidades del sistema nacional de informática. Además está conformada por 11 dominios de control de un plan de seguridad que detallaremos: 

1.    Política de seguridad: Se necesita una política que refleje las expectativas de la organización en materia de seguridad, a fin de suministrar administración con dirección y soporte. La política también se puede utilizar como base para el estudio y evaluación en curso.

2.    Aspectos organizativos para la seguridad: Sugiere diseñar una estructura de administración, dentro de la organización, que establezca la responsabilidad de los grupos en ciertas áreas de la seguridad y un proceso para el manejo de respuestas a incidentes.

3.    Clasificación y Control de Activos: Inventario de los recursos de información de la organización y con base en este conocimiento, debe asegurar que se brinde un nivel adecuado de protección.

4.    Seguridad de Recursos Humanos: Necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de  confidencialidad. Implementa un plan para reportar los incidentes.

5.    Seguridad física y del Entorno: Responde a la necesidad de proteger las áreas, el equipo y los controles generales.

6.    Gestión de Comunicaciones y Operaciones: Los objetivos de esta sección son:

Ë Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información.

Ë Minimizar el riesgo de falla de los sistemas.

Ë Proteger la integridad del software y la información.

Ë Conservar la integridad y disponibilidad del procesamiento y la comunicación de la información.

Ë Garantizar la protección de la información en las redes y de la infraestructura de soporte.

Ë Evitar daños a los recursos de información e interrupciones en las actividades de la institución.

Ë Evitar la pérdida, modificación o uso indebido de la información que intercambian las organizaciones.

7.    Control de accesos: Establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicación como protección contra los abusos internos e intrusos externos.

8.    Adquisición, Desarrollo y Mantenimiento de los sistemas: Recuerda que en toda labor de la tecnología de la información, se debe implementar y mantener la, seguridad mediante el uso de controles de seguridad en todas las etapas del proceso.

9.    Gestión de Incidentes de la Seguridad de la información: Asegurar que los eventos y debilidades en la seguridad de la información sean comunicados de manera que permitan una acción correctiva a tiempo.

10.    Gestión de Continuidad del Negocio: Aconseja estar preparado para contrarrestar las interrupciones en las actividades de la organización y para proteger los procesos importantes de la organización en caso de una falla grave o desastre.

11. Cumplimiento: Evitar brechas de cualquier ley civil o criminal, estatutos, obligaciones regulatorias o contractuales y de cualquier requerimiento de seguridad.