Embed Size (px)
DESCRIPTION
Â
Citation preview
Trabajo Final
Seguridad Informática
Asignatura
Sistemas de Información Empresarail
Profesor Responsable
Cristian Salazar
Alumna
Romina González Cerpa
Valdivia, 8 de julio de 2014
Universidad Austral de Chile Facultad de Ciencias Económicas y Administrativas Instituto de Administración
Seguridad Informática
El presente informe tiene por objetivo esclarecer qué es la seguridad informática,
que función cumple y para qué se utiliza.
Si se analiza este tema, sin tener previa información, es posible asociarlo al riesgo
que se está expuesto al utilizar las tecnologías de información, que considerando el
contexto en el que nos encontramos, un mundo globalizado en el cual estamos conectados
gracias a los avances tecnológicos, las personas y organizaciones deben resguardarse ante
cualquier peligro.
Para comprender más sobre seguridad informática, se desarrollará este tema dando
a conocer qué es; los estándares existentes; las certificaciones que pueden obtener, y
finalmente la relación existente entre auditoría informática y seguridad informática.
1. Seguridad informática
En las organizaciones los sistemas de información se ven expuesto a diversas
amenazas, las cuales pueden ocasionar daños que desembocan en pérdidas. Intrusos
externos a la organización, accesos fraudulentos, accesos no autorizados, uso erróneo de
los sistemas por parte de los empleados o aparición de eventualidades destructivas, son
ejemplo de las distintas amenazas a las que se ven expuesto los sistemas, causando daños
que afecten la integridad de la información o de los sistemas, degraden la disponibilidad de
los servicios a los datos almacenados, o puedan estar relacionados con la confidencialidad
de la información pudiendo hasta inhabilitar la totalidad de los sistemas. (Galdámez, s/f)
Se refiere a las características y condiciones de sistemas de procesamiento de datos
y su almacenamiento, para garantizar su confidencialidad (acceso auténtico y controlado),
integridad (datos completos y no modificados) y disponibilidad (acceso garantizado).
Manejando el peligro, esto quiere decir: conocerlo, clasificarlo y protegerse contra daños.
Por lo tanto, la seguridad Informática sirve para la protección de la información, en
contra de amenazas o peligros, para evitar daños y para minimizar riesgos, relacionados con
ella. (Gestión de Riesgo en la Seguridad Informática, S/f)
2. Estándares existentes de seguridad informática
La normativa internacional de seguridad informática incluye distintos estándares,
los cuales se presentan a continuación. Las referencias de esta información se obtuvieron
desde Cobarrubias, 2013 y Seguridadinformaticaufps.
Estándar RFC2196: “Site Security Hanbook”. Manual de seguridad utilizado
como estándar para estableces políticas de seguridad. Este manual abarca
temas como:
Política de seguridad
Arquitectura de Red y Servicios
Servicios y Procedimientos de Seguridad
Gestión de Incidentes de Seguridad
Estándar IT Baseline Protection Manual: Propone de manera minuciosa
aspectos de seguridad en ámbitos relacionados con operaciones generales,
sean estos organizacionales, gestión humana, manejo de virus, entre otros.
De infraestructura como edificaciones, redes wifi. Sistemas (windows, unix).
Redes entre éstas cortafuegos, módems y finalmente aplicaciones tales
como correo electrónico, manejo de la web, bases de datos, entre otros.
BS 17799: Documento de referencia basado en las mejores prácticas de
seguridad de la información. Define un proceso para evaluar, implementar,
mantener y administrar la seguridad de la información. Este código tiene por
objetivo proporcionar una base común para desarrollar normas de seguridad
dentro de las organizaciones, un método de gestión eficaz de la seguridad y
sirve para establecer transacciones y relaciones de confianza entre las
empresas.
Alguno de los efectos que esta normativa tiene al aplicarla dentro de una
organización son:
o Aumento de la seguridad efectiva de los sistemas de información.
o Correcta planificación y gestión de la seguridad.
o Garantías de continuidad del negocio. Auditoría interna.
o Incremento de los niveles de confianza de los clientes y socios de
negocios.
o Aumento del valor comercial y mejora de la imagen de la
organización.
Serie ISO 27000: Conjunto de estándares que proporcionan un marco de
gestión de la seguridad de la información utilizable por cualquier tipo de
organización, considerando que la información es un activo imprescindible
para lograr el éxito y continuidad en el mercado de cualquier empresa.
o ISO 27001: Nuevo estándar oficial. Aceptado internacionalmente
para la administración de la seguridad de información aplicable para
todo tipo de organización. Esta certificación apoya a la organización a
gestionar y proteger sus valiosos activos de información. Es la única
norma internacional auditable que define los requisitos para un
sistema de gestión de la seguridad de la información. Se ha concebido
para garantizar la selección de controles de seguridad adecuados y
proporcionales.
Ayuda a proteger los activos de información y otorga confianza a
cualquiera de las partes interesada. La norma adopta un enfoque por
procesos para estableces, implementar, operar, supervisar, mantener
y mejorar un sistema de gestión de la seguridad de la información.
o ISO 27002: Estar conscientes y prevenir el riesgo es el objetivo de
estas normativas. Ésta en específico, proporciona una visión más
amplia de los problemas de seguridad relacionados tanto con su
información de negocio como con cualquier persona de su
organización.
Según ISO 27002, los profesionales certificados en seguridad de la
información son capaces de aportar: ayuda en certificación en el
estándar ISO2700; habilidades prácticas para ayudar a crear
conciencia en la organización sobre la seguridad; que la organización
se sienta más responsable de prevenir los riesgos; conseguir que la
cultura organizacional se oriente a garantizar la seguridad.
En general el estándar ISO Política de Seguridad de la Información.
Organización de la Seguridad de la Información.
Gestión de Activos de Información.
Seguridad de los Recursos Humanos.
Seguridad Física y Ambiental.
Gestión de las Comunicaciones y Operaciones.
Control de Accesos.
Adquisición, Desarrollo y Mantenimiento de Sistemas de
Información.
Gestión de Incidentes en la Seguridad de la Información.
Cumplimiento
Gestión de Continuidad del Negocio.
o ISO 20000: Corresponde al estándar reconocido internacionalmente
en gestión de servicios de tecnologías de la información.
3. Certificaciones que se pueden obtener en ISACA
ISACA, Information Systems Audit and Control Association según su sigla, es una
asociación internacional que apoya y patrocina el desarrollo de metodologías y
certificaciones para la realización de actividades auditoría y control en sistemas de
información. Es una fuente confiable de conocimiento, estándares, comunidad, y desarrollo
de carrera para los profesionales en gobierno, privacidad, riesgos, seguridad,
aseguramiento y auditoría de sistemas.
Esta organización ofrece cuatro certificaciones, las cuales son reconocidas a nivel
mundial para los profesionales de Auditoría, Seguridad, Gobierno y Riesgo de TI, para esto
ISACA lleva a cabo exámenes de certificación dos veces al año, en junio y diciembre,
teniendo como requisito para obtener la certificación:
Aprobar el examen
Experiencia relevante
Apegarte al código de ética ISACA
Apegarte al programa de educación profesional continua
Cumplimiento con los estándares de ISACA
a. Certified Information Systems Auditor: La certificación CISA es reconocida en
todo el mundo como aquella designación profesional relativa a los especialistas
en controles, monitoreo y evaluación (auditoría) de las plataforma tecnológicas
de una organización y sus sistemas de información.
b. Certified Information Security Manager La certificación CISM reconoce a las
personas que diseñan, construyen, evalúan y gestionan la seguridad de la
información de las empresas. CISM es la credencial líder que deben tener los
administradores de la seguridad de la información
c. Certified in the Governance of Enterprise IT: La certificación CGEIT reconoce a
una amplia gama de profesionales por su conocimiento y aplicación de los
principios y prácticas de gobierno de las tecnologías de la información.
d. Certified in Risk and Information Systems Control: La certificación CRISC
reconoce a los profesionales que tienen amplia experiencia en la gestión integral
de riesgos relativos a las tecnologías de la información. Asimismo, reconoce a
los profesionales especialistas en el diseño, implementación y evaluación de
controles para los sistemas de información.
Información expuesta por ISACA, sf.
4. Relación entre auditoría informática y seguridad informática según COBIT
“CobiT es un marco de referencia y un juego de herramientas de soporte que
permiten a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas
técnicos y riesgos de negocio, y comunicar ese nivel de control a los participantes. CobiT
permite el desarrollo de políticas claras y de buenas prácticas para el control de TI por parte
de las empresas. CobiT constantemente se actualiza y armoniza con otros estándares, por
lo tanto, CobiT se ha convertido en el integrador de las mejores prácticas de TI y el marco
de referencia general para el gobierno de TI que ayuda a comprender y administrar los
riesgos y beneficios asociados con TI. La estructura de procesos de CobiT y su enfoque de
alto nivel orientado al negocio brindan una visión completa de TI y de las decisiones a
tomar”. (BitCompany, 2012)
Auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para
determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de
los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los
recursos. De este modo la auditoría informática sustenta y confirma la consecución de los
objetivos tradicionales de la auditoría:
Objetivos de protección de activos e integridad de datos.
Objetivos de gestión que abarcan, no solamente los de protección de activos,
sino también los de eficacia y eficiencia. (Codejobs, s/f).
Por lo tanto la relación existente entre auditoría informática y seguridad informática es que
la auditoría detecta por medio de un análisis situaciones y circunstancias que amenazan a
los sistemas informáticos, mientras que la seguridad informática, resguarda a los sistemas
de las amenazas.
Conclusión
Por lo tanto tras comprender qué es la seguridad informática y entender la función
que cumple dentro del contexto en el que vivimos, resulta imprescindible para las
organizaciones implementar esta forma de resguardo, puesto que en sus sistemas de
información, reside una gran parte del activo de la empresa, el cual sin quererlo corre
riesgo, ya sea por personas malintencionadas,o sin darse cuenta, personas que por error o
descuido pueden cometer algún error que afecte a la empresa.
Fuentes bibliográficas
Galdámez. S/f. <<http://www.iti.es/media/about/docs/tic/01/2003-07-seguridad.pdf>>
Accesado 6 de Julio.
Cobarrubias. 2013. Estándares Internacionales de Seguridad Informática
<<http://www.slideshare.net/PedroCobarrubias/seguridad-informtica-26154937 >>
Accesado 6 de Julio.
BitCompany. 2012. CobiT: Un marco de referencia para la información y la tecnología
<<http://www.bitcompany.biz/que-es-cobit/#.U7nFlZR5NiM>> Accesado 6 de Julio.
Seguridadinformaticaufps. Normativa en la seguridad informática.
<<http://seguridadinformaticaufps.wikispaces.com/Normatividad+en+la+Seguridad+Infor
m%C3%A1tica >> Accesado 6 de Julio.
ISACA. (S/f). Certificaciones.
<<http://www.isaca.org/chapters10/Santiago/Certificaciones/Pages/Default.aspx>>
Accesado 6 de Julio
Codejobs. S/f. << http://www.codejobs.biz/es/blog/2013/02/25/que-es-una-auditoria-
informatica#sthash.ofCfByuN.QbisZBVf.dpbs>>. Accesado 6 de Julio.
Gestión de Riesgo en la Seguridad Informática. S/f. Definición de Seguridad Informática
<<http://protejete.wordpress.com/gdr_principal/definicion_si/>>
