Universidad Austral de Chile Facultad de Ciencias Econ贸micas y Administrativas Escuela Ingenier铆a Comercial
Trabajo Seguridad Inform谩tica
Asignatura Sistemas de Informaci贸n Empresarial Profesor Responsable Prof. Cristian Salazar. Alumno Camilo Saavedra Martino
Martes 1 de julio de 2014.
Introducción En la actualidad, la información es un activo muy preciado dentro de las empresas u organizaciones, son tan valorados como los activos tangibles, es por esto, que se debe tener sumo cuidado con el manejo y seguridad de esta. Debido a la modernización que existe actualmente, las tecnologías de la información son cada vez más utilizadas y por lo tanto, corren mayor riesgo a ser vulneradas, es por esto que se deben proteger, ya sea para uso personal o dentro de una empresa. En el siguiente informe se busca dar a conocer qué es la seguridad informática y cuáles son los componentes que esta tiene, se verán también las amenazas existentes y los estándares internacionales de seguridad informática. También se hará la diferenciación de este término con el de seguridad de la información, ya que muchos confunden el término, o simplemente no saben su diferencia.
¿Qué es la seguridad informática? La seguridad informática es el conjunto de normas, procedimientos y herramientas, que tienen como objetivo garantizar la disponibilidad, integridad, confidencialidad y buen uso de la información que reside en un sistema de información. Cada día son más y más las personas mal intencionadas que intentan tener acceso a los datos que tenemos en nuestros computadores. Es por esto, que el ingreso no autorizado a una red informática o los equipos en donde ellas se encuentran, pueden ocasionar graves problemas. Uno de las posibles consecuencias de uno de estos ingresos, es la pérdida de datos. Un hecho frecuente y ocasiona muchos trastornos, sobre todo si no estamos al día de las copias de seguridad; y aunque este no fuera el caso, muchas veces no se puede recuperar la totalidad de datos perdidos. Otro de los problemas más dañinos causados, es el robo de información sensible y confidencial. La divulgación de información que posee una empresa de sus clientes puede acarrear demandas millonarias contra esta. Con la constante evolución de los sistemas de información es necesario conocer qué recursos se necesitan para obtener seguridad para estos. El objetivo principal de la seguridad informática es que esta debe establecer normas que minimicen los riesgos a la información o infraestructura informática. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informática minimizando el impacto en el desempeño de los trabajadores y de la organización en general y como principal contribuyente al uso de programas realizados por programadores.
Diferencia entre seguridad informática y seguridad de la información Por una parte, la seguridad informática protege el sistema informático, tratando de asegurar la integridad y privacidad de la información que contiene. Por tanto, podríamos decir, que se trataría de implantar medidas técnicas que preservaran las infraestructuras tecnológicas y de comunicación que soportan la operación de una organización, es decir, los hardware y software empleados por la organización. La seguridad de la información va mucho más allá, puesto que intenta proveer de medidas de seguridad a otros medios donde se localice información como: impresos en papel, discos duros, e incluso medidas de seguridad respecto de las personas que la conocen. Está orientado no solo a preservar la información, sino además a la mejora de los procesos de negocio, añadiendo a las medidas técnicas, otras organizativas y legales, que permitan a la empresa asegurar con mayor solidez la confidencialidad, integridad y disponibilidad de su sistema de información. Por tanto mientras la seguridad de la información integra toda la información independientemente del medio en que este, la seguridad informática únicamente atiende a la protección de las instalaciones informáticas y de la información en medios digitales.
Amenazas Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir un daño (material o inmaterial) sobre los elementos de un sistema, en el caso de la Seguridad Informática, los Elementos de Información. Debido a que la Seguridad Informática tiene como propósitos de garantizas la confidencialidad, integridad, disponibilidad y autenticidad de los datos e informaciones, las amenazas y los consecuentes daños que puede causar un evento exitoso, también hay que ver en relación a la confidencialidad, integridad y autenticidad de los datos e informaciones. Desde el punto de vista de la entidad que maneja los datos, existen amenazas de origen externo como por ejemplo las agresiones técnicas, naturales o humanos, sino también amenazas de origen interno, como la negligencia del propio personal o las condiciones técnicas, procesos operativos internos (Nota: existen conceptos que defienden la opinión que amenazas siempre tienen carácter externo!) Generalmente se distingue y divide tres grupos:
Criminalidad: son todas las acciones, causado por la intervención humana, que violan la ley y que están penadas por esta. Con criminalidad política se entiende todas las acciones dirigido desde el gobierno hacia la sociedad civil.
Sucesos de origen físico: son todos los eventos naturales y técnicos, sino también eventos indirectamente causados por la intervención humana.
Negligencia y decisiones institucionales: son todas las acciones, decisiones u omisiones por parte de las personas que tienen poder e influencia sobre el sistema. Al mismo tiempo son las amenazas menos predecibles porque están directamente relacionado con el comportamiento humano. Existen amenazas que difícilmente se dejan eliminar (virus de computadora) y por eso es la tarea de la gestión de riesgo de preverlas, implementar medidas de protección para evitar o minimizar los daños en caso de que se realice una amenaza.
Principales amenazas de seguridad para 2014 según el ISF Las principales amenazas de seguridad que enfrentarán las empresas a nivel global en el 2014 incluyen las tendencias de traer su propio dispositivo (BYOD) al lugar de trabajo, la protección de los datos en la nube, el daño a la reputación de la marca, la privacidad y la regulación, los delitos cibernéticos y la continua expansión de la tecnología omnipresente. A medida que nos adentramos en 2014, los ataques continuarán siendo cada vez más innovadores y sofisticados. Por desgracia, si bien las organizaciones están desarrollando nuevos mecanismos de seguridad, los ciber delincuentes están cultivando nuevas técnicas para sortearlos. Las empresas de todos los tamaños deben prepararse para lo desconocido, para tener la flexibilidad necesaria para soportar eventos de seguridad inesperados de alto impacto. Las seis principales amenazas identificadas por el Foro de Seguridad de la Información (ISF), no son las únicas amenazas que surgirán en 2014. Tampoco son mutuamente excluyentes, y pueden combinarse para crear aún mayores perfiles de amenazas. 1. Tendencias de BYOD en el lugar de trabajo A medida que crece la tendencia de los empleados llevando dispositivos móviles a su lugar de trabajo, las empresas de todos los tamaños continúan viendo cómo se explotan los riesgos de seguridad de información. Estos riesgos se derivan tanto de las amenazas internas como de las externas, incluyendo la mala gestión del dispositivo en sí, la manipulación externa de las vulnerabilidades de software y el despliegue de aplicaciones de negocios mal evaluadas y poco fiables. 2. Protección de datos en la nube Si bien los beneficios de costo y eficiencia de los servicios de computación en la nube son claros, las organizaciones no pueden darse el lujo de retrasar tener el control de sus implicaciones para la seguridad de la información. Al mover sus datos sensibles a la nube, todas las organizaciones deben saber si la información que están guardando sobre una persona es información de identificación personal (PII), y por lo tanto necesita una protección adecuada.
La mayoría de los gobiernos ya han creado, o están en proceso de desarrollar, regulaciones que imponen condiciones a la protección y uso de la información de identificación personal, con sanciones para las empresas que no la protegen adecuadamente. Como resultado, las organizaciones necesitan tratar la privacidad tanto como una cuestión de cumplimiento, a la vez que como un riesgo de negocio para reducir las sanciones regulatorias y los impactos comerciales, como el daño a la reputación y la pérdida de clientes debido a violaciones a la privacidad. 3. Daño reputacional Los atacantes han vuelto más organizados, los ataques se han vuelto más sofisticados, y todas las amenazas son más peligrosas, y plantean más riesgos, para la reputación de una organización. Con la velocidad y la complejidad del panorama de amenazas, que cambia a diario, con demasiada frecuencia las empresas se están quedando atrás, a veces ante los daños a la reputación y financiera. Las organizaciones tienen que asegurarse de que están totalmente preparadas y comprometidas para hacer frente a estos retos constantes. 4. Privacidad y regulación Las regulaciones de los diferentes países imponen diferentes requisitos de si PII puede ser transferida a través de las fronteras. Algunos no tienen requisitos adicionales; otros tienen requisitos detallados. Para determinar qué transferencias transfronterizas se producirán con un sistema en particular basado en la nube, una organización necesita trabajar con su proveedor de nube para determinar donde se almacenará y procesará la información. 5. La ciberdelincuencia El ciberespacio es un coto de caza cada vez más atractivo para los criminales, activistas y terroristas motivados por ganar dinero, conseguir notoriedad, perturbar o incluso derribar a corporaciones y gobiernos a través de ataques en línea. Las organizaciones deben estar preparados para lo impredecible, por lo que deben tener la resiliencia para soportar eventos imprevistos de alto impacto. El cibercrimen, junto con el aumento de causas en línea (hacktivismo), el incremento en el costo del cumplimiento para hacer frente a los cada vez mayores requerimientos regulatorios, junto con los avances incesantes en tecnología en
un contexto de falta de inversión en los departamentos de seguridad, pueden combinarse para causar la amenaza perfecta. Las organizaciones que identifiquen aquello en lo que más se basa el negocio estarán en condiciones de cuantificar el caso de negocio para invertir en resiliencia, minimizando así el impacto de lo imprevisto. 6. El internet de las cosas La dependencia de las organizaciones en internet y la tecnología ha seguido creciendo en los últimos años. El auge de los objetos que se conectan a sí mismos a la internet está liberando una oleada de nuevas oportunidades para la recopilación de datos, el análisis predictivo y la automatización de las TI. A medida que aumenta el interés en el establecimiento de estándares de seguridad para el internet de las cosas (IoT), debería corresponder a las propias empresas seguir construyendo la seguridad a través de la comunicación y la interoperabilidad. Las amenazas a la seguridad de la IoT son amplias y potencialmente devastadoras, por lo que las organizaciones deben asegurarse de que la tecnología, tanto para los consumidores, como para las empresas se adhiere a los estándares más altos de seguridad y protección.
Estándares de seguridad informática Debido a que la información es un activo no menos importante que otros activos comerciales, es esencial para cualquier negocio u organización contar con las medidas adecuadas de protección de la información, especialmente en la actualidad, donde la información se difunde a través de miles y miles de redes interconectadas. Esto multiplica la cantidad de amenazas y vulnerabilidades a las que queda expuesta la información.
El estándar de seguridad ISO 17799/BS 17799 El estándar de seguridad ISO 17799 fue preparado por la British Standard Institution (con el nombre de BS 7799) y fue adoptado por el comité técnico de la ISO en diciembre del año 2000. Objetivo: Proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y relaciones de confianza entre las empresas. El estándar hace referencia a diez aspectos primordiales para la seguridad informática. Estos aspectos son: Planes de Contingencia, Control de Acceso a los sistemas, Mantenimiento y desarrollo de aplicaciones, Seguridad Física, Cumplimiento, Seguridad Personal, Seguridad de la Organización, Administración de Operaciones, Control y Clasificación de la Información y Políticas de Seguridad. Dentro de cada sección, se especifican los objetivos de los distintos controles para la seguridad de la información. Para cada uno de los controles se indica asimismo una guía para su implantación. El número total de controles suma 133 entre todas las secciones aunque cada organización debe considerar previamente cuántos serán realmente los aplicables según sus propias necesidades.
Serie ISO 27000 ISO/IEC 27000 es un conjunto de estándares desarrollados o en fase de desarrollo por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporciona un marco de gestión para la seguridad de la información utilizable por cualquier tipo
de organización, pública o privada, grande o pequeña. Hay una serie de normas que componen la serie ISO 27000, las cuales son ISO/IEC 27001, ISO/IEC 27002. ISO/IEC 27001: Ayuda a gestionar y proteger sus valiosos activos de información, es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales. La norma adopta un enfoque por procesos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un SGSI. ISO/IEC 27002: En vez de enfocarse en soluciones solamente técnicas, esta norma proporciona una visión más amplia de los problemas de seguridad relacionados tanto con su información de negocio como con cualquier persona de la organización. Los profesionales certificados por esta norma, ofrecen beneficios como aplicar habilidades prácticas para ayudar a concienciar a su organización sobre la seguridad, hacer que ésta se sienta más responsable de prevenir riesgos y conseguir que su cultura se oriente a garantizar dicha seguridad.
ISACA
Con más de 115,000 integrantes en 180 países, ISACA (www.isaca.org) ayuda a empresas y líderes de TI a construir confianza en y maximizar el valor de la información y de los sistemas de información. Fundada en 1969, ISACA es una fuente confiable de conocimiento, estándares, comunidad, y desarrollo de carrera para los profesionales en gobierno, privacidad, riesgos, seguridad, aseguramiento y auditoría de sistemas. ISACA ofrece el Cybersecurity Nexus™, un completo conjunto de recursos para los profesionales en ciberseguridad, y COBIT®, un marco de referencia de negocios que ayuda a las empresas a gobernar y gestionar su información y su tecnología. ISACA adicionalmente promueve el avance y certificación de habilidades y conocimientos críticos para el negocio, a través de las certificaciones globalmente respetadas: Certified Information Systems Auditor® (CISA®), Certified Information Security ManagerCertified in the Governance of Enterprise IT® (CGEIT®) y Certified in Risk and Information Systems Control™ (CRISC™). La asociación tiene más de 200 capítulos en todo el mundo.
Certificados que se pueden obtener en ISACA
Certificaciones CISA, CISM, CGEIT y CRISC ISACA ofrece cuatro certificaciones, las cuales son reconocidas a nivel mundial para los profesionales de Auditoría, Seguridad, Gobierno y Riesgo de TI, para esto ISACA lleva a cabo exámenes de certificación dos veces al año, en junio y diciembre. Los requisitos para certificarte son los siguientes:
Aprobar el examen
Experiencia relevante
Apegarte al código de ética ISACA
Apegarte al programa de educación profesional continua
Cumplimiento con los estándares de ISACA
Certified Information Systems Auditor (CISA) La certificación CISA es reconocida en todo el mundo como el logro reconocido de los expertos que controlan, monitorean y evalúan la plataforma tecnológica de una organización y sus sistemas de negocio.
Certified Information Security Manager (CISM) La certificación CISM reconoce a las personas que diseñan, construyen y gestionan la seguridad de la información de las empresas. CISM es la credencial líder que deben tener los administradores de la seguridad de la información.
Certified in the Governance of Enterprise IT (CGEIT) CGEIT reconoce a una amplia gama de profesionales por su conocimiento y aplicación de los principios y prácticas de gobierno empresarial de TI.
Certified in Risk and Information Systems Control (CRISC) Está diseñada para profesionales de TI que tienen amplia experiencia en la identificación de riesgos, su análisis y evaluación; respuesta al riesgo, monitoreo de riesgos; Diseño e implementación de controles de sistemas de información; y monitoreo y mantenimiento de los mismos.
Auditoría informática La Auditoría Informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. De este modo la auditoría informática sustenta y confirma la consecución de los objetivos tradicionales de la auditoría:
Objetivos de protección de activos e integridad de datos.
Objetivos de gestión que abarcan, no solamente los de protección de activos, sino también los de eficacia y eficiencia.
El auditor evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos informativos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo el uso del software. En muchos casos, ya no es posible verificar manualmente los procedimientos informatizados que resumen, calculan y clasifican datos, por lo que se deberá emplear software de auditoría y otras técnicas. El auditor es responsable de revisar e informar a la Dirección de la Organización sobre el diseño y el funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada. Se pueden establecer tres grupos de funciones a realizar por un auditor informático:
Participar en las revisiones durante y después del diseño, realización, implantación y explotación de aplicaciones informativas, así cómo en las fases análogas de realización de cambios importantes.
Revisar y juzgar los controles implantados en los sistemas informativos para verificar su adecuación a las órdenes e instrucciones de la Dirección, requisitos legales, protección de confidencialidad y cobertura ante errores y fraudes.
Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e información.
Conclusión Sin lugar a dudas la seguridad informática cada día está siendo más necesaria tanto en el ámbito personal como empresarial. La mala utilización de esta información o el hecho de que de algún modo sea vulnerado nuestro sistema de información, puede poner en riesgo no sólo a la persona o empresa afectada, si no que a todos los que están vinculados a ellos. Debido al proceso de globalización y el aumento de la “modernización” de las empresas y personas, se hacen necesarias nuevas herramientas con las cuales debemos contar para mantenernos protegidos. En este sentido, la seguridad informática cada día toma más fuerza y se hace indispensable, ya es conocido por todos que cada vez hay formas más sofisticadas de cometer ilícitos, siendo los ilícitos informáticos cada vez más comunes dentro de nuestra sociedad.
BibliografĂa http://searchdatacenter.techtarget.com/es/consejo/Principales-amenazas-de-seguridad-para2014-segun-el-ISF http://protejete.wordpress.com/ http://www.monografias.com/trabajos82/la-seguridad-informatica/la-seguridad-informatica.shtml http://www.audea.com/seguridad-de-la-informacion-vs-seguridad-informatica/ http://www.monografias.com/trabajos67/estandar-internacional/estandar-internacional2.shtml http://www.seguridadparatodos.es/2011/10/seguridad-informatica-o-seguridad-de-la.html http://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica http://www.isaca.org/chapters7/Monterrey/certification/Pages/default.aspx