La seguridad informática

Page 1

Universidad Austral de Chile Escuela de Ingeniería Comercial

Sistemas de información empresarial

“Seguridad informática”

Profesor Responsable: Cristian Salazar C. Integrantes: Cristóbal Kunstmann C. Valdivia – Chile

Contenido Introducción ........................................................................................................................................ 1 ¿Qué es la seguridad informática? ...................................................................................................... 2 Objetivos de la seguridad informática ................................................................................................ 3 Que debe proteger la seguridad informática ...................................................................................... 4 De que o quienes debe protegernos la seguridad informática........................................................... 5 La Auditoría Informática...................................................................................................................... 8 Tipos de Auditoría de Sistemas ......................................................................................................... 10 Normas y estándares......................................................................................................................... 11 Certificaciones CISA, CISM, CGEIT y CRISC ........................................................................................ 13 Conclusiones ..................................................................................................................................... 15 Bibliografía ........................................................................................................................................ 16

Introducción La información es cada día más valiosa y resguardarla es una tarea complicada, es por esto que en el presente trabajo se describirá que es la seguridad informática, cuáles son sus objetivos, que debe proteger y de qué y quienes debemos tener cuidado, además se describirá los distintos tipos de ataque, estándares y certificaciones, teniendo en cuanta que es y qué tipos de auditoria informática existen.

1

¿Qué es la seguridad informática? La seguridad informática es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. La seguridad informática comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la organización valore (activo) y signifique un riesgo si esta información confidencial llega a manos de otras personas, por lo tanto la seguridad informática se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable. Es importante diferenciar el concepto de seguridad de la información con la seguridad informática, ya que este último solo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.

2

Objetivos de la seguridad informática Los objetivos que busca la seguridad informática es un conjunto de procedimientos, estrategias y herramientas que permiten garantizar la integridad, la disponibilidad y la confiabilidad de la información de una organización, con el propósito de proteger la información, en contra de amenazas o peligros, para evitar daños y para minimizar riesgos, relacionados con ella. 

Integridad: Se refiere a la validez y consistencia de los elementos de información almacenados y procesador en un sistema informático. Las herramientas basadas en la integridad de seguridad informática deben asegurar que los procesos de actualización estén bien sincronizados y no se dupliquen, de forma que todos los elementos del sistema manipulen adecuadamente los mismos datos. Este principio es importante en sistemas descentralizados, es decir, aquellos en los que diferentes usuarios, computadores y procesos comparten la misma información.

Disponibilidad: Se refiere a la continuidad de acceso a los elementos de información almacenados y procesados en un sistema informático. Por lo tanto, las herramientas basadas en este principio de seguridad informática deber reforzar la permanencia del sistema informático, en condiciones de actividad adecuadas para que los usuarios accedan a los datos con la frecuencia y dedicación que requieran, este principio es importante en sistemas informáticos cuyos compromiso con el usuario, es prestar servicio permanente.

Confidencialidad: Se refiere a la privacidad de los elementos de información almacenados y procesados en un sistema informático, por lo tanto, las herramientas de seguridad informática deben proteger el sistema de irrupciones y accesos por parte de personas o programas no autorizados. Este principio es particularmente importante en sistemas distribuidos, es decir, aquellos en los que los usuarios, computadores y datos residen en localidades diferentes, pero están física y lógicamente interconectados.

3

Basado en lo anterior, la seguridad informática debe establecer normas que minimicen los riesgos a la información o infraestructura informática. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informática minimizando el impacto en el desempeño de los trabajadores y de la organización en general y como principal contribuyente al uso de programas realizados por programadores.

Que debe proteger la seguridad informática La seguridad informática está concebida para proteger los activos informáticos, entre los que se encuentran los siguientes: 

La infraestructura computacional: Es una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización. La función de la seguridad informática en esta área es velar que los equipos funcionen adecuadamente y anticiparse en caso de fallas, robos, incendios, boicot, desastres naturales, fallas en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.

Los usuarios: Son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información. Debe protegerse el sistema en general para que el uso por parte de ellos no pueda poner en entredicho la seguridad de la información y tampoco que la información que manejan o almacenan sea vulnerable.

La información: es el principal activo. Utiliza y reside en la infraestructura computacional y es utilizada por los usuarios.

4

De que o quienes debe protegernos la seguridad informática La seguridad informática debe protegernos de distintas amenazas estás pueden ser físicas o en forma de ataques informáticos. Los ataques se pueden dividir en 4 grupos: Interrupción: si hace que un objeto del sistema se pierda, quede inutilizado o no disponible. Interceptación: si un elemento no autorizado consigue un acceso a un determinado objeto del sistema. Modificación: si además de conseguir el acceso logra modificar el objeto del sistema. Fabricación: si se trata de una modificación destinada a conseguir un objeto similar al atacado de forma que sea difícil de distinguir entre el objeto original y el fabricado. Existen distintos elementos que pueden amenazar a un sistema de información, a continuación se detallan: 1. Personas

Las personas son la principal fuente de amenaza para un sistema, por lo que es donde más se invierte en recursos para controlar y contrarrestar sus efectos. Esta principalmente compuesto por personas mal malintencionadas o que incumplen las medidas de seguridad. Pueden subdividirse en:  Curiosos: Personas que entran a sistemas motivados por curiosidad o desafío personal.  Intrusos Remunerados: Atacante que penetra los sistemas a cambio de un pago, suele ser gente experimentada en el ámbito de penetrar sistemas.  Personal enterado: Personas que tiene acceso y conocen el sistema u organización.  Terroristas: gente con objetivos de causar daños o con fines proselitistas o religiosos.  Robo: Extraer información por medio de dispositivos electrónicos sin consentimiento de la organización.  Sabotaje: Dañar o reducir la funcionalidad del sistema de manera liberada.

5

 Fraude: Aprovecharse de la confianza brindad para beneficiarse con la información de la empresa.  Ingeniería Social: Obtener información confidencial a través de la manipulación de usuarios legítimos.

1. Hardware Amenaza por fallas físicas dentro de los dispositivos que hardware que conforman el equipo de una organización, pueden ser por defecto de fabricación o por un mal uso y descuido en el mantenimiento. Se subdivide en:  Mal diseño: Los componentes de hardware no son apropiados y no cumplen con los requerimientos necesarios para proporcionar seguridad.  Errores de fabricación: Cuando las piezas de hardware son adquiridas con desperfectos de fabricación.  Suministro de Energía: Daños en los dispositivos causados por variaciones en el voltaje.  Desgaste: el uso constante produce desgaste, aunque es normal se debe tomar en cuenta antes de que sea tarde.  Descuido y mal uso: los componentes deben ser usados dentro de los parámetros establecidos por los fabricantes, constantes revisiones y mantenimiento, además de llevar a cabo un apropiado almacenamiento del dispositivo.

2. Red de Datos Se presenta cuando la red de comunicación no está disponible para su uso, esto puede ser provocado por un ataque deliberado por parte de un intruso o un error físico o lógico del sistema mismo. Las dos principales amenazas que se presentan en una red de datos son, la no disponibilidad de la red, y la extracción lógica de información a través de ésta. Depende principalmente de la topología seleccionada, el sistema operativo, además de un mal cumplimiento de las normas en la instalación de la red.

6

3. Software Este tipo de amenazas incluyen posibles fallas dentro del software de un sistema operativo, puede provocar una amenaza directa contra un sistema. Los tipos de amenazas son:  Software de desarrollo: software creado con el fin de atacar a un sistema.  Software de aplicación: no es creado para realizar ataques, pero suele ser usado en contra de la organización de forma maliciosa.  Código Malicioso: Software que entra en un sistema de cómputo para afectarlo, incluye troyanos, bombas lógicas, virus, gusanos informáticos, etc.  Errores de programación y diseño: el software es creado para cumplir alguna función dentro de la organización que con errores de diseño puede causar pérdida o modificación de la información.

4. Desastres naturales Eventos que tienen su origen en las fuerzas de la naturaleza. Estos desastres no solo afectan a la información contenida en los sistemas, sino también representan una amenaza a la integridad del sistema completo (infraestructura, instalación, componentes, equipos, etc.). Entre los tipos de desastres se encuentran las inundaciones, terremotos, incendios, huracanes, tormentas eléctricas, etc.

7

La Auditoría Informática La auditoría informática consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.

Los objetivos de la auditoría Informática son:  El análisis de la eficiencia de los Sistemas Informáticos  La verificación del cumplimiento de la Normativa en este ámbito  La revisión de la eficaz gestión de los recursos informáticos. Sus beneficios son:  Mejora la imagen pública.  Confianza en los usuarios sobre la seguridad y control de los servicios de TI.  Optimiza las relaciones internas y del clima de trabajo.  Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros).  Genera un balance de los riesgos en TI.  Realiza un control de la inversión en un entorno de TI, a menudo impredecible.

8

Además de lo anterior la auditoría informática sirve para mejorar ciertas características en la empresa como:  Desempeño  Fiabilidad  Eficacia  Rentabilidad  Seguridad  Privacidad La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como el COBIT, COSO e ITIL. COBIT: Objetivos de Control para Información y Tecnologías Relacionadas es una guía de mejores prácticas presentado como framework, dirigida al control y supervisión de tecnología de la información (TI). Mantenido por ISACA (en inglés: Information Systems Audit and Control Association) y el IT Governance Institute (ITGI, en inglés: IT Governance Institute), tiene una serie de recursos que pueden servir de modelo de referencia para la gestión de TI, incluyendo un resumen ejecutivo, un framework, objetivos de control, mapas de auditoría, herramientas para su implementación y principalmente, una guía de técnicas de gestión.

9

Tipos de Auditoría de Sistemas Dentro de la auditoría informática destacan los siguientes tipos:  Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas, etc.  Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.  Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.  Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.  Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.  Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.  Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.  Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación.  Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes

10

Normas y estándares A continuación se darán a conocer algunas guías y documentos que ilustran cómo abordar la seguridad de una forma responsable, procedimental y orientada al cumplimiento de los estándares mínimos requeridos para la tecnología actual:  ISO 27001: Es un estándar para la seguridad de la información denominado ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) adoptado por ISO, basado en un estándar británico denominado BS 7799. Es certificable y su primera publicación fue en el año 2005. En éste se determinan los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) a través del ciclo de Deming-PHVA por medio de los procesos de planificar, hacer, verificar y actuar.  ISO 27002: Se trata de una guía de buenas prácticas a partir de objetivos de control y controles recomendables a nivel de seguridad de la información. A diferencia de ISO 27001, no es un estándar certificable. Cuenta con 39 objetivos de control y 133 controles agrupados en 11 dominios, abordando más controles y dominios que los establecidos en el estándar certificable ISO 27001. A través de este documento se puede identificar un marco de trabajo más amplio para una organización cuando se desea implementar políticas de seguridad, establecer un sistema de gestión de la seguridad de la información y con la madurez adecuada lograr la certificación ISO 27001 que evalúa menos dominios.  ISO 27005: Se trata de un estándar internacional denominado ISO 27005:2008, Information technology – Security Techniques – Information Security Risk Management. Fue creado en el año 2008 y provee pautas para la gestión del riesgo de seguridad de la información. Como procedimiento vital, al hablar de seguridad de la información aparece el análisis, evaluación y gestión de los riesgos, por ello este documento ilustra un marco de referencia para el tratamiento de las actividades antes mencionadas.

11

 COBIT: Este documento establece un marco de trabajo basado en dominios y procesos, a través del cual se ofrecen unas buenas prácticas enfocadas a optimizar la inversión de recursos en áreas de IT, brindando así calidad, gestión y correcta administración en los servicios prestados, abordando también, temas de seguridad asociados a los servicios.  ITIL: Este compendio de documentos, conocido como la Biblioteca de Infraestructura de Tecnologías de Información, aborda recursos orientados a la correcta gestión de los servicios de IT a través de un ciclo de vida de los servicios, evaluando inmerso en cada una de las fases del ciclo temas de seguridad, capacidad y continuidad.  NIST SP 800-30: Este documento contiene una guía desarrollada por el National Institute of Standards and Technology (NIST). “Risk Management Guide for Information Technology Systems – Recommendations of the National Institute of standards and Technology”. Este documento fue creado en el año 2002 y ofrece pautas para la gestión del riesgo buscando su evaluación, gestión, control y mitigación. A través de este documento, en conjunto con ISO 27005, es posible identificar y establecer métodos a través de los cuales gestionar los riesgos identificados en una organización, diseñar y aplicar controles para la correcta mitigación de estos.  BS 25999: Este estándar de origen británico, aborda los lineamientos que deben contemplarse para la administración de la continuidad del negocio. A través de 2 partes. La primera ofrece un marco de referencia para procesos, principios y terminología asociado a la continuidad del negocio. En la segunda, se encuentran los requerimientos para implementar, operar y mejorar un sistema de administración de la continuidad del negocio.

12

Certificaciones CISA, CISM, CGEIT y CRISC ISACA ofrece cuatro certificaciones, las cuales son reconocidas a nivel mundial para los profesionales de Auditoría, Seguridad, Gobierno y Riesgo de TI. Los requisitos para certificarte son los siguientes:  Aprobar el examen  Experiencia relevante  Apegarte al código de ética ISACA  Apegarte al programa de educación profesional continua  Cumplimiento con los estándares de ISACA Certified Information Systems Auditor (CISA) La certificación CISA es reconocida en todo el mundo como el logro reconocido de los expertos que controlan, monitorean y evalúan la plataforma tecnológica de una organización y sus sistemas de negocio.

Certified Information Security Manager (CISM) La certificación CISM reconoce a las personas que diseñan, construyen y gestionan la seguridad de la información de las empresas. CISM es la credencial líder que deben tener los administradores de la seguridad de la información.

Certified in the Governance of Enterprise IT (CGEIT) CGEIT reconoce a una amplia gama de profesionales por su conocimiento y aplicación de los principios y prácticas de gobierno empresarial de TI.

13

Certified in Risk and Information Systems Control (CRISC) CRISC está diseñada para profesionales de TI que tienen amplia experiencia en la identificación de riesgos, su análisis y evaluación; respuesta al riesgo, monitoreo de riesgos. Diseño e implementación de controles de sistemas de información; y monitoreo y mantenimiento de los mismos.

14

Conclusiones Hoy en día más que nunca las Tecnologías de la Información son muy importantes, esto debido a un mundo más globalizado y comunicado, es aquí donde la seguridad informática entra a protegen a un activo intangible que hoy más que nunca es muy apreciado la información, ya que la información es poder. Debido a lo anterior es que hay que estar preparado ante las distintas amenazas, fallas, ataques o mala utilización que puedan afectar nuestra información personal o empresarial.

15

BibliografĂ­a http://www.slideshare.net/EdgarLpezRomero/tipos-de-amenazas-en-seguridad-informtica# http://revista.seguridad.unam.mx/numero-11/buenas-pr%C3%A1cticasest%C3%A1ndares-y-normas http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica http://www.dma.eui.upm.es/conferencias/contenido/seguridad_infor.pdf http://www.iti.es/media/about/docs/tic/01/2003-07-seguridad.pdf http://catarina.udlap.mx/u_dl_a/tales/documentos/lis/jerez_l_ca/capitulo1.pdf http://www.monografias.com/trabajos82/la-seguridad-informatica/la-seguridadinformatica.shtml http://www.isaca.org/chapters7/Monterrey/certification/Pages/default.aspx http://www.codejobs.biz/es/blog/2013/02/25/que-es-una-auditoriainformatica#sthash.ofCfByuN.LmSTTrjs.dpbs http://www.seguridadparatodos.es/2011/10/seguridad-informatica-o-seguridad-de-la.html

16

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.