ISO 17 799

En diciembre del 2000, la organizacin ISO incorpora la primera parte de la norma BS 7799,
rebautizada como ISO 17799, la cual se presenta bajo la forma de notas de orientacin y
recomendaciones en el rea de Seguridad de una Compaa. stas han sido reunidas a posteriori
de las consultas realizadas a las empresas ms importantes.
La norma es

Una gua de recomendaciones estructuradas, reconocida internacionalmente, dedicada

a la seguridad de la informacin.

Un proceso conciso para evaluar, establecer, mantener y administrar la seguridad de la

informacin.

El resultado de un consorcio de empresas para responder a las necesidades de la

industria.

Un proceso equilibrado entre la seguridad fsica, tcnica, procedimientos y la seguridad

del personal.

La norma no es

Un estndar tcnico.

Una norma tecnolgica u orientada al producto.

Una metodologa de evaluacin de equipamiento como los criterios comunes (CC / ISO
15408). Sin embargo, es complementaria y puede aprovechar los niveles de
aseguramiento de evaluacin encontrado en los Criterios Comunes (EAL).

ISO 17799 no es un sistema que permite una certificacin de la seguridad.

ISO 17799 no detalla ninguna obligacin en cuanto al mtodo de evaluacin del riesgo,
basta con elegir el que responde a las necesidades.

Cmo est estructurada la norma ISO 17 799?

La norma contiene 10 dominios especficos que son los siguientes:
1. Poltica de seguridad: proporcionar directivas y consejos de gestin para mejorar la seguridad
de los datos.
2. Seguridad de la organizacin: facilitar la gestin de la seguridad de la informacin en el seno
de la organizacin. ISO/CEI 17799 (1 parte)

3. Clasificacin y control de los activos: catalogar los activos y protegerlos eficazmente.

4. Seguridad del personal: reducir los riesgos de error humano, robo, fraude y utilizacin abusiva
de los equipamientos.
5. Seguridad fsica y medioambiental: impedir la violacin, el deterioro y la perturbacin de las
instalaciones y datos industriales.
6. Gestin de las telecomunicaciones y operaciones: garantizar un funcionamiento seguro y
adecuado de los dispositivos de tratamiento de la informacin.
7. Control de accesos: controlar el acceso a los datos.
8. Desarrollo y mantenimiento de los sistemas: garantizar que la seguridad est incorporada a
los sistemas de informacin.
9. Gestin de la continuidad de las operaciones de la empresa: reducir los efectos de las
interrupciones de actividad y proteger los procesos esenciales de la empresa contra las averas y
los siniestros mayores.
10. Conformidad: prevenir los incumplimientos de las leyes penales o civiles, de las obligaciones
reglamentarias o contractuales y las exigencias de seguridad.

Cumplimiento con la norma ISO 17799

Para cumplir con la norma debemos de enfocarnos sobre la situacion actual de la
empresa, la cual es la siguiente.
Crawford en Mxico cuenta con una oficina, la cual opera de la siguiente manera, es un
despacho donde se atienden y venden seguros, la oficina cuenta con una planta en un
edificio.
Desde el punto de vista organizacional se puede concluir que es un nodo de atencin y
ventas.
En base a la iso antes de proponer como se cumplirian, analisemos la situacion de la
empresa en cada aspecto de los lineamientos.

Respecto al primer lineamiento

En este punto de la poltica de seguridad en materia de TI, es prcticamente nula en la
organizacin, existe un handbook que se usa en otras sedes, sin embargo est an en traduccin

para amrica latina, y eso supone una complicacin para que los empleados sigan las mismas
sugerencias que impone la organizacin en Mxico.
Respecto al segundo lineamiento
Actualmente la seguridad de la informacin en la organizacin no est al nivel que requiere, sin
embargo dada la pequea cantidad de empleados que hay en la sede en mxico, no totalmente
viable empezar a realizar un proceso de gestin ms riguroso sin demasiadas complicaciones.
Respecto al tercer lineamiento
En trminos generales la clasificacin de activos para su proteccin eficaz no supone un gran
reto, sin embargo no hay una actual intencin de realizar la tarea de control relacionado con
seguridad informtico.
Respecto al cuarto lineamiento.
No existe una capacitacin y concientizacin respecto al uso de los equipos. No existe una
politica de uso de ellos. El personal que opera con los equipos no se apegan a un reglamento de
uso y restricciones. Asi mismo la informacin de los equipos est al alcance de quien llegue a
interactuar con ellos. La implementacin de este punto es crtica e importante. Aunque
representa un reto ya que partimos de nada, representa un nivel de dificultad medio, ya que
primero se tienen que establecer las polticas, luego un reglamento, y finalmente la
concientizacin de las partes involucradas adems de asignar responsabilidades por el uso
indebido.
Respecto al quinto lineamiento
Tomando en cuenta los activos de TI tenemos en este aspecto altibajos, primeramente los
puntos a nuestro favor. Como la compaa cuenta con su propia planta los activos fsicos
cuentan con sus espacios asignados. Realmente en ese aspecto los riesgos son mnimos.
El problema surge es el siguiente, los actores de cada rea no tienen definidas bien sus
funciones y restricciones, cualquier persona dentro del mbito de la empresa puede acceder a
las reas donde estn los activos, pueden interactuar con los activos fsicos sin ninguna
restriccion asi ocasionando daos conscientes o a drede en ellos.
Respecto al sexto lineamiento
Tomando en cuenta lo de telecomunicaciones y operaciones, realmente no ha presentado
problemas de gravedad, pero entorpecen el ritmo de trabajo. No se ha presentado prdida o
dao a la informacin, llegados a este punto podramos concluir que realmente la rea de
sistemas no se ha enfocado aun en la seguridad de la informacin ni en proteger sus procesos.

Realmente para llegar a cubrir este punto se tendra que partir una propuesta que parta desde
cero. El alcance de este proyecto sera el de hacer consciente al rea de sistemas de lo
importante que es atender los riesgos que han dejado a la deriva.
Respecto al sptimo lineamiento
No existen medidas ni un marco de trabajo, realmente todos tienen acceso a los datos, el hecho
de que nadie acceda aun de manera fsica, organizacional, es el hecho de que desconocen la
importancia de su informacin, y las consecuencias que tendria si la informacin es filtrada,
cambiada o destruida.
Este punto se pueden llegar a cubrir con la capacitacin y concientizacin hacia los responsables
directos e indirectos que tratan con la informacin.
Para lograr la capacitacin es necesario definir los accesos y los actores los tienen. Asignar
responsabilidades en cada mbito de la empresa, y apegarse a un marco de reglas de acceso a la
informacin.
Respecto al octavo lineamiento.
No existe garanta de que los sistemas de informacin sean seguros, sus procesos en cuanto a
sistemas, su implementacin es la siguiente: trabajan con una red de equipos virtualizados,
todos los procesos se llevan acabo en este ambiente. Realmente es muy fcil vulnerar la
seguridad, con que alguien destruya las virtualizaciones obtendremos consecuencias
catastrficas.
Este lineamiento es de los ms difciles de cumplir ya que dentro de la propuesta para atender
los riesgos que conlleva trabajar de esta manera implica cambiar las tecnologas y los procesos.
Es de los ms difciles de implementar para cumplir la norma pero no atenderlo pone en riesgo
activos crticos de la empresa.
Respecto al noveno lineamiento
Como se puede concluir, los problemas se van acarreando desde el primer lineamiento, es fcil
interrumpir las operaciones de la empresa, con tirar un servidor virtual, este ni siquiera necesita
ser tirado, con que en el arranque de la virtualizacin exista un fallo y no se inicialice el servidor,
se perderian varias horas de trabajo. Los procesos que dependen de este se verian paralizados.
En el aspecto fisico se ha hablado que no existe un periodo de mantenimiento y renovacin de
equipos, esto puede estancar los procesos hasta que se reparen los activos fisicos.
La magnitud del riesgo depende de que proceso se vea afectado, el de una area, el de una
oficina, el de una persona o el de una tarea en especfico.

Este punto se cubre primero estudiando que tan capacitada esta el area de sistemas para
atender estos riesgos, capacitandolos, o tambien contratar a un tercero que se encargue de
todo esto.
Respecto al decimo lineamiento.
Para cumplir este lineamiento se tienen que cubrir primero con ciertos lineamientos anteriores,
uno de ellos sera el septimo, ya que con el incumplimiento de este se podran violar varias
normas de uso indebido de la informacin, divulgacin de informacin sensible y confidencial.
Incumplir los lineamientos del primero al cuarto, tambin nos impide cumplir con el dcimo ya
que los problemas que surgen de su incumplimiento hace que se pueda incurrir penalmente en
la proteccin de la informacin de los clientes y de los trabajadores.

Se pueden cumplir los 10 puntos de la iso 17 799?

Analizando la situacin de la empresa, es posible, pero es un trabajo riguroso, y que requiere
muchos cambios dentro de la organizacin. Se puede concluir que su actor encargado de TI no
cuenta con los conocimientos y capacidades para alinearse a la seguridad de los sistemas de
informacin, puede gestionarlos de manera operativa para que los procesos se lleven dia a dia,
pero no esta conciente de los riesgos que existen dentro de la empresa.
La norma se puede cumplir, pero estamos hablando desde 0, no hay un punto de partida donde
se estn cumpliendo algunos lineamientos. Estamos hablando de hacer consciente a la empresa
el peso que tiene su informacin, la importancia del sistema que la gobierna y hacerles saber
que los riesgos de sistemas causarian la prdida de sus objetivos y los llevara a escenarios de
prdidas monetarias, de confianza y problemas legales.

2. Realizar el anlisis y evaluacin de riesgos

Anlisis de riesgos
Identificacin de objetivos y procesos de la empresa.
Identificacin de los activos.
Hardware.
Equipos de trabajo por persona:

Costo de adquisicin: 21,899.00 pesos.

Nmero de equipos adquiridos 11.

5 en rea de finanzas
1 en rea de sistemas
4 en rea de ajustes.
1 en el area de abogados.

Laptop thinkpad lenovo t440p:

Procesador

Intel Core i5-4200U

Sistema operativo

Windows 8 64-bit

Pantalla

14.0 HD (1366 x 768)

Peso

Desde 1,8 kg

Grficos

Intel HD Graphics 4400

Memoria

Mximo de memoria compatible hasta 8GB (1DIMM) en modelos i3 & i5 o hasta 8GB
(1 DIMM) + 4GB de memoria integrada en modelos con i7 model.

Puertos I/O
(Entrada/Salida)

Cmara Web

Almacenamiento

Mini Display Port c/ Audio

VGA
2 x USB 3.0 (1 x siempre encendido)
Lector de tarjetas SD
RJ45 nativo (de tamao completo)
Lector de tarjetas Smart Card (opcional)

Tecnologa de seguimiento de rostro 720p HD, sensibilidad a la baja luminosidad

Disco duro de 500GB 7200 rpm

SSD 128 GB SATA3

Audio

Audio Dolby de avanzada v2

Teclado

Teclado de precisin ThinkPad (con retroiluminacin opcional)

Batera

Interna de 3 Celdas (23.5 Wh) con 3 Celdas 68 (23.5 Wh) o Batera trasera de 6

Celdas 68++ (72 Wh)

Duracin de la
batera

Hasta 17+ horas con bateras de 3 celdas + 6 celdas (72Wh) - (la verdadera
duracin de la batera depende del uso)

Ethernet

Ethernet Intel 10/1000 Gigabyte

Conexin LAN
inalmbrica

Intel Dual Band Wireless-AC 7260 (2x2, 802.11ac/a/b/g/n) con Bluetooth

4.0
Intel Dual Band Wireless-N 7260 (2x2, 802.11abgn) con Bluetooth 4.0

WWAN
INALMBRICA

Banda ancha mvil integrada (Ericsson N5321)

Dimensiones (A x
A x P)

339 mm x 21 mm x 232,5 mm

Navegacin

TrackPoint y TouchPad de cristal con 5 botones

Bluetooth

S, 4.0 (incluido con mdulo WiFi)

Servidor
Procesador

Familia de productos de procesadores Intel

Xeon E5-2600 v4 Interconexin interna Intel
QuickPath Interconnect (QPI): 6,4 GT/s; 8,0
GT/s; 9,6 GT/s memoria cach de 2,5 MB por
ncleo;

Chipset

Chipset Intel serie C610

Memoria

64 GB DDR4

E/S

Opciones de adaptador de red

selecto de Dell (NDC):
NDC blade KR Broadcom 57810S-k
de dos puertos y 10 Gb
NDC blade convergente KR Broadcom
57840 de cuatro puertos
NDC blade KR Intel X520-k de dos
puertos y 10 Gb
NDC QLogic QMD8262-k de dos
puertos y 10 Gb
Canal de fibra:

Emulex LPe1205-M (FC8)

Emulex LPm16002B-D (FC16)
QLogic QME2572 (FC8)
QLogic QME2662 (FC16)
Adaptadores de 1 Gb/10 Gb:
KR Broadcom 57810S-k de dos
puertos y 10 Gb
CNA Brocade BR1741M-k de dos
puertos y 10 Gb
Broadcom 5719 de cuatro puertos y 1
Gb
Intel Ethernet X520-K de dos puertos
y 10 Gb
Intel I350 de cuatro puertos y 1 Gb
CNA KR QLogic QME8262-k de dos
puertos y 10 Gb
InfiniBand:
FDR10 Mellanox ConnectX-3 de
dos puertos
FDR Mellanox ConnectX-3 de dos
puertos
QDR Mellanox ConnectX-3 de dos
puertos
Blade KR Mellanox ConnectX-3 de
dos puertos y 10 GbE

Tarjeta de video

Matrox G200 integrado con iDRAC8

Almacenamiento

10 TB.

Router :Cisco Ethernet 2921

Precio: $51,559.00

Estndares de red

IEEE 802.1Q, IEEE 802.1ag, IEEE 802.3, IEEE 802.3ah, IEEE 802.3u

CONDICIONES AMBIENTALES
Intervalo de humedad
relativa para
funcionamiento
Altitud de funcionamiento

10 - 85%

0 - 3000 m

Intervalo de temperatura
de almacenaje
Intervalo de humedad
relativa durante
almacenaje
Altitud no operativa
Intervalo de temperatura
operativa

-40 - 70 C
5 - 95%

0 - 4570 m
0 - 40 C

CONTROL DE ENERGA
Frecuencia de entrada AC
Voltaje de entrada AC
Corriente de entrada
Consumo energtico
Alimentacin

47/63 Hz
100-240 V
3,4
320 W
Corriente alterna, DC, PoE

PESO Y DIMENSIONES
Peso
Profundidad
Ancho
Altura

13,2 kg
469,9 mm
438,2 mm
88,9 mm

PUERTOS E INTERFACES
Cantidad de puertos USB
Jack de entrada CD
Versin USB
Ethernet LAN (RJ-45)
cantidad de puertos
Puerto - RS-232
Conexin WAN

2
Si
2.0
3
1
Ethernet (RJ-45)

APROBACIONES
REGULADORAS
Certificacin

Seguridad

47 CFR 15, ICES-003 A, EN55022 A, CISPR22 A, AS/NZS 3548 A,

VCCI V-3, CNS 13438, EN 300-386, EN 61000, EN 55024, CISPR
24, EN50082-1
UL 60950-1, CAN/CSA C22.2 No. 60950-1, EN 60950-1, AS/NZS
60950-1, IEC 60950-1

CARACTERSTICAS DE DSL
DSL conexin

No

PROTOCOLOS
Protocolos soportados

Protocolo de routing

IPv4, IPv6, OSPF, EIGRP, BGP, IS-IS, IGMPv3, PIM SM, PIM SSM,
DDVMRP, IPSec, GRE, BVD, IPv4-to-IPv6 Multicast, MPLS,
L2TPv3, 802.1ag, 802.3ah, L2/L3 VPN
BGP, EIGRP, IGRP, IS-IS, MPLS, OSPF

CARACTERSTICAS DE LAN
ETHERNET
Tecnologa de cableado
Ethernet LAN, velocidad
de transferencia de datos
Ethernet

10/100/1000Base-T(X)
10,100,1000 Mbit/s
Si

CARACTERSTICAS DE
ADMINISTRACIN
Administacin basada en
web
Calidad de servicio (QoS)
soporte

Si
Si

REDES MVILES
Red de datos

No

DISEO
Montaje en rack
Indicadores LED
Color del producto
Factor de forma

Si
Si
Negro, Plata
2U

DESEMPEO
Memoria Flash
Tarjetas de memoria
compatibles
Memoria interna
Soporta expansin de
mdulo
Procesador incorporado

256 MB
CF
512 MB
Si
Si