Seguridad y auditoria informatica, iso 17799

SEGURIDAD Y AUDITORIA INFORMATICA, ISO 17799

¿Qué es la norma ISO 17799?

ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización.

Objetivo de la norma ISO 17799

El objetivo de la norma ISO 17799 es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y relaciones de confianza entre las empresas.

Ventajas de la adopción de la norma ISO 17799

• Aumento de la seguridad efectiva de los sistemas de información.

• Correcta planificación y gestión de la seguridad.• Garantías de continuidad del negocio.• Mejora continua a través del proceso de auditoría

interna.• Incremento de los niveles de confianza de los clientes y

socios de negocios.• Aumento del valor comercial y mejora de la imagen de

la organización.

Orientación de la norma ISO 17799?

• La norma ISO 17799 no es una norma tecnológica.• La seguridad de la información es un asunto que

compete a la alta gerencia no al área tecnológica, por lo cual es un asunto empresarial.

• La gente toma decisiones de seguridad basados en los riesgos percibidos no en los riesgos reales, por lo cual el análisis de riesgos es fundamental para los negocios

Conclusiones

• ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información.

• La norma se estructura en once dominios de control que cubren por completo todos los aspectos relativos a la seguridad de la información.

• Implantar ISO 17799 puede requerir de un trabajo de consultoría que adapte los requerimientos de la norma a las necesidades de cada organización.

• La adopción de ISO 17799 presenta múltiples ventajas para la organización, entre ellas el primer paso para una certificación ISO 27001, pero ni la adopción de ISO 17799, ni la certificación garantizan la inmunidad de la organización frente a problemas de seguridad.

• Hay que hacer análisis periódicos de los Riesgos y monitorear continuamente la situación

• La seguridad no es un tema de un día ni un tema exclusivo del departamento de TI

• Hay que prepararse para entender la norma y avanzar en el seguimiento de las recomendaciones establecidas.

Seguridad informática

• La segurida informática es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta (incluyendo la información contenida). Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software, bases de datos, archivos y todo lo que la organización valore (activo) y signifique un riesgo si ésta llega a manos de otras personas. Este tipo de información se conoce como información privilegiada o confidencial.

Objetivos de la Seguridad InformáticaLa seguridad informática está concebida para proteger los activos informáticos, entre los que se encuentran:

La información contenidaSe ha convertido en uno de los elementos más importantes dentro de una organización. La seguridad informática debe ser administrada según los criterios establecidos por los administradores y supervisores, evitando que usuarios externos y no autorizados puedan acceder a ella sin autorización. De lo contrario la organización corre el riesgo de que la información sea utilizada maliciosamente para obtener ventajas de ella o que sea manipulada, ocasionando lecturas erradas o incompletas de la misma.

La infraestructura computacional

Una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización. La función de la seguridad informática en esta área es velar que los equipos funcionen adecuadamente y prever en caso de falla planes de robos, incendios, boicot, desastres naturales, fallas en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.

Los usuarios

Son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información. La seguridad informática debe establecer normas que minimicen los riesgos a la información o infraestructura informática. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informática minimizando el impacto en el desempeño de los funcionarios y de la organización en general y como principal contribuyente al uso de programas realizados por programadores.

Las Amenazas

Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento (o transmisión) de la información se consideran seguras, todavía deben ser tenidos en cuenta las circunstancias "no informáticas" que pueden afectar a los datos, las cuales son a menudo imprevisibles o inevitables, de modo que la única protección posible es la redundancia (en el caso de los datos) y la descentralización -por ejemplo mediante estructura de redes- (en el caso de las comunicaciones).

Estos fenómenos pueden ser causados por:

• El usuario: causa del mayor problema ligado a la seguridad de un sistema informático (porque no le importa, no se da cuenta o a propósito).

• Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado (por inatención o maldad) en el ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica o un programa espía o Spyware.

• Un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido (cracker, defacer, script kiddie o Script boy, viruxer, etc.).

• Un siniestro (robo, incendio, inundación): una mala manipulación o una mal intención derivan a la pérdida del material o de los archivos.

• El personal interno de Sistemas. Las pujas de poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informática.

Auditoria Informática

La auditoría informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.

Los objetivos de la auditoría Informática son:

• El control de la función informática• El análisis de la eficiencia de los Sistemas Informáticos• La verificación del cumplimiento de la Normativa en este

ámbito• La revisión de la eficaz gestión de los recursos

informáticos.La auditoría informática sirve para mejorar ciertas características en la empresa como:

• Desempeño• Fiabilidad• Eficacia• Rentabilidad• Seguridad• Privacidad

Generalmente se puede desarrollar en alguna o combinación de las siguientes áreas:

• Gobierno corporativo.• Administración del Ciclo de vida de los sistemas.• Servicios de Entrega y Soporte.• Protección y Seguridad.• Planes de continuidad y Recuperación de desastres.

La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, COSO e ITIL.

Actualmente la certificación de ISACA para ser CISA Certified Information Systems Auditor es una de las más reconocidas y avaladas por los estándares internacionales ya que el proceso de selección consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificación

Tipos de auditoría InformáticaDentro de la auditoría informática destacan los siguientes tipos (entre otros):

• Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas, etc.

• Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.

• Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.

• Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.

• Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.

• Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.

• Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.

• Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación.

• Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.