Los Dominios de la NTP ISO 17799-2007

Ing° Cronwell Mairena Rojas

Que es la ONGEI

• Oficina que depende directamente del Despacho de la Presidencia del Consejo de Ministros, encargada de liderar el Sistema Nacional de Informática, así como de las diversas actividades y proyectos que en materia de Gobierno Electrónico realiza el Estado.

• Entre sus actividades permanentes están la normatividad informática, seguridad de la información, desarrollo de proyectos emblemáticos en TICs, asesoría informática a todas las instituciones públicas del Estado, capacitación y difusión en temas de Gobierno Electrónico, y apoyo a la modernización y descentralización del Estado.

Gobierno Electrónico

• El Gobierno Electrónico, según la ONU, es el uso de las TICs (Tecnologías de la Información) por parte del Estado, para brindar los servicios e información ofrecidos a los ciudadanos, aumentar la eficiencia y eficacia de la gestión pública e incrementar sustantivamente la transparencia del sector público y la participación ciudadana.

Acciones de la ONGEI

• El gobierno peruano ha emitido desde el año 2002 diferentes normas referidas a seguridad de la información, entre las cuales podemos resaltar las siguientes:– “Modificación de las normas y procedimientos técnicos

sobre contenidos de las páginas web”.– “Normas técnicas para el almacenamiento y respaldo de la

información procesada por las entidades de la administración pública”.

– Directiva sobre "Normas para el uso del servicio de correo electrónico en las entidades de la administración pública”

Base Legal 2007

• El 22 de Agosto del 2007, se actualiza la presente Norma, bajo RESOLUCIÓN MINISTERIAL Nº 246-2007-PCM Norma Técnica Peruana “NTP-ISO/ IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de la información. 2a. Edición” bajo el mismo ámbito de aplicación de la versión anterior.

Que busca esta Norma

• Esta Norma es de uso obligatorio para todas las entidades del sector gobierno que a su vez conforman el Sistema Nacional de Informática.

• Para esta NTP la información de las organizaciones representa el activo mas importante, la cual se encuentra en forma impresa, digital, verbal.

Apoyo en Seguridad de la Información

• Actualmente la ONGEI apoya a las entidades públicas en los siguientes principales servicios:– Análisis de vulnerabilidades de los servidores Web

de las Entidades Publicas.– Boletines de Seguridad de la información– Boletines de Alertas de Antivirus.– Presentaciones técnicas sobre seguridad.– Consultorías y apoyo en recomendaciones

técnicas.

Análisis de Vulnerabilidades

Cortafuego o Firewall

• Un cortafuego firewall en (idioma inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.

• Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.

Políticas de Seguridad para el Sector Público

• Con fecha 23 de julio del 2004 la PCM a través de la ONGEI, dispone el uso obligatorio de la Norma Técnica Peruana “NTP – ISO/IEC 17799:2004 EDI.

• Tecnología de la Información: Código de Buenas Prácticas para la Gestión de la Seguridad de la Información” en entidades del Sistema Nacional de Informática.

• Se Actualizó el 25 de Agosto del 2007 con la Norma Técnica Peruana “NTP – ISO/IEC 17799:2007 EDI.

Marco de las Recomendaciones

• La NTP-ISO 17799 es una compilación de recomendaciones para las prácticas exitosas de seguridad, que toda organización puede aplicar independientemente de su tamaño o sector.

• Las recomendaciones de la NTP-ISO 17799 son neutrales en cuanto a la tecnología.

• La norma discute la necesidad de contar con Firewalls, pero no profundiza sobre los tipos de Firewalls y cómo se utilizan.

Los 11 dominios de la Norma

1. Política de seguridad2. Aspectos organizativos para la seguridad3. Clasificación y Control de Activos4. Seguridad de Recursos Humanos5. Seguridad física y del Entorno6. Gestión de Comunicaciones y Operaciones7. Control de accesos8. Adquisición, Desarrollo y Mantenimiento de los sistemas9. Gestión de Incidentes de la Seguridad de la Información10. Gestión de Continuidad del Negocio11. Cumplimiento

Los 11 dominios de la Norma

Los 11 dominios de la Norma

Beneficios de la Norma ISO 17799

• Una organización que adopte la Norma Técnica Peruana ISO 17799 tiene mayores ventajas frente a los que no la adopten:– Mayor seguridad en la organización.– Planeación y manejo de la seguridad más efectivos.– Alianzas comerciales y e-commerce más seguras.– Mayor confianza en el cliente.– Auditorías de seguridad más precisas y confiables.– Menor Responsabilidad civil

Implementando Seguridadde la Información

• La seguridad en Internet ha sido siempre considerada como un problema de ingeniería, y las organizaciones tratan de resolverlo utilizando tecnología.

• Este enfoque es incorrecto: la tecnología está fallando y la situación está empeorando.

• Lo que realmente necesitamos son mejores modelos de procesos, no mejor tecnología.

Alcances de la Seguridad