Universidad Austral de Chile Facultad de Ciencias Económicas y Administrativa Escuela Auditoría
Auditoría y Seguridad Informática Curso: Sistema Información Administrativa
Realizado por: Fabián Arévalo Ramos Profesor Cristian Salazar C. Valdivia, 7 de julio de 2014.
Introducción Los sistemas tecnológicos son cada vez más importantes en el desarrollo de cualquier empresa que se considera competitiva y es por esto que el impulso de la auditoría informática se basa en la gran importancia que hace ya varios años tienen las tecnologías de la información y como estás se transforman en uno de los activos más importantes y relevantes para lograr el éxito de una empresa, por ende, la Auditoría Informática esta dedicada a analizar, evaluar y verificar el correcto funcionamiento de los sistemas y las políticas de la empresa, desde los procedimientos básicos como el manejo de información de proyectos, procesos productivos, carteras de clientes, etc, hasta la seguridad y procesos informáticos de la empresa, en otras palabras, está no solo se dedica a evaluar los sistemas de computación sino que también verifica que todos los sistemas de información que se están ocupando sean confiables y seguros, de esta forma se mejorara la rentabilidad, seguridad y eficacia del sistema, lo cual ayudara a empresas e instituciones a desarrollar diversos procedimientos en forma optima y por sobretodo mejorara la confianza en la empresa por parte de los accionistas, como también sus clientes, proveedores y otros.
Auditoria Informática Para que se lleve a cabo la auditoría informática es necesario contar con profesionales altamente calificados, como lo son los auditores informáticos, el cual es importante que cuenten con una amplia experiencia en distintas ramas, ya sea como responsable de proyectos y experiencia en diversos software, por ejemplo el Software Meycor COBIT, que es uno de los software más utilizados, este crea y gestiona proyectos de auditoría dedicados a la tecnología de la información, respecto al nivel de seguridad, calidad, eficacia y eficiencia de está. Hoy en día en nuestro país y el mundo varias consultoras se dedican a verificar el correcto funcionamiento de los sistemas informáticos de las empresas, entre las cuales destacamos a: Deloitte, KPMG, Price WaterhouseCoopers y Ernst and Young.
Seguridad de la Información Otro punto importante y no menos relevante es la información confidencial, enfocada a proyectos, cartera de clientes, datos del personal, entre otras, que manejan las empresas, esta información clasificada permite a las empresas lograr sus objetivos y en muchos casos llegar hacer la numero uno en el rubro al que pertenece, es por esto, que nace el objetivo de la seguridad de la información, ya que en su función protegerá toda la infraestructura computacional que posee la empresa de todos aquellos virus y hacker que buscan introducirse dentro del computador y/o software para alterar el normal funcionamiento de cualquier computadora. Por lo general las empresas cuentan con una alta seguridad respecto de toda la información que manejan, tienen un departamento completo dedicado al mantenimiento y cuidado de los hardware y de la intranet con la que opera la entidad, revisando continuamente y cada cierto periodo de tiempo los computadores de los colaboradores, que estén libres de virus, malware, además, evaluando cada tipo de información con un nivel de seguridad y donde solo cierto tipo de personas puede acceder a un nivel determinado de información, estas políticas o protocolos dan un plus a todo este escudo protector de información, para que en lo ideal no se filtre ningún solo dato que pueda comprometer a la organización o comprometer a sus clientes, o incluso a sus colaboradores, y por supuesto, los intereses económicos y de imagen de la compañía.
En la última década, la seguridad y la información juegan un papel clave para mejorar los objetivos de negocio y crear una ventaja competitiva, esto porque muchas entidades ya lo están realizando, creando equipos de trabajo que puedan mejorar la seguridad informática y así no arriesgarse a que les puedan dañar o robar la información que poseen en diversos software, porque en caso que llegara a suceder la empresa podría encontrarse con graves peligros por la confidencialidad de la información que se puede perder. Cada vez más empresas de todo el mundo ahora consideran la información, como un activo vital para su negocio, fundamental para el éxito de las organizaciones en el actual mundo conectado y de complejo entorno empresarial, es por ello que cada empresa invierte en diversos sistemas de seguridad para la información que poseen.
Diferencia entre seguridad informática y seguridad de la información Por una parte, la seguridad informática protege el sistema informático, tratando de asegurar la integridad y privacidad de la información que contiene. Por tanto, podríamos decir, que se trataría de implantar medidas técnicas que preservaran las infraestructuras tecnológicas y de comunicación que soportan la operación de una organización, es decir, los hardware y software empleados por la organización. La seguridad de la información va mucho más allá, puesto que intenta proveer de medidas de seguridad a otros medios donde se localice información como: impresos en papel, discos duros, e incluso medidas de seguridad respecto de las personas que la conocen. Está orientado no solo a preservar la información, sino además a la mejora de los procesos de negocio, añadiendo a las medidas técnicas, otras organizativas y legales, que permitan a la empresa asegurar con mayor solidez la confidencialidad, integridad y disponibilidad de su sistema de información. Por tanto mientras la seguridad de la información integra toda la información independientemente del medio en que este, la seguridad informática únicamente atiende a la protección de las instalaciones informáticas y de la información en medios digitales.
Estándares de seguridad informática Debido a que la información es un activo igual de importante que otros activos comerciales, es esencial para cualquier negocio u organización contar con las medidas adecuadas de protección de la información, especialmente en la actualidad, donde la información se difunde a través de miles y miles de redes interconectadas. Esto multiplica la cantidad de amenazas y vulnerabilidades a las que queda expuesta la información. El estándar de seguridad ISO 17799/BS 17799 Proporciona una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y relaciones de confianza entre las empresas. Serie ISO 27000 Proporciona un marco de gestión para la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. Hay una serie de normas que componen la serie ISO 27000, las cuales son ISO/IEC 27001, ISO/IEC 27002. ISO/IEC 27001 Ayuda a gestionar y proteger valiosos activos de información, es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales. ISO/IEC 27002 En vez de enfocarse en soluciones solamente técnicas, esta norma proporciona una visión más amplia de los problemas de seguridad relacionados tanto con su información de negocio como con cualquier persona de la organización. Los profesionales certificados por esta norma, ofrecen beneficios como aplicar habilidades prácticas para ayudar a concientizar a su organización sobre la seguridad, hacer que ésta se sienta más responsable de prevenir riesgos y conseguir que su cultura se oriente a garantizar dicha seguridad.
ISACA ISACA
es
el
acrónimo
de Information
Systems
Audit
and
Control
Association (Asociación de auditoría y Control de Sistemas de Información), una asociación
internacional
que
apoya
y
patrocina
el
desarrollo
de metodologías y certificaciones para la realización de actividades auditoría y control en sistemas de información. Con más de 115,000 integrantes en 180 países, ISACA (www.isaca.org) ayuda a empresas y líderes de TI a construir confianza en y maximizar el valor de la información y de los sistemas de información. Fundada en 1969, ISACA es una fuente confiable de conocimiento, estándares, comunidad, y desarrollo de carrera para los profesionales en gobierno, privacidad, riesgos, seguridad, aseguramiento y auditoría de sistemas. ISACA ofrece el Cybersecurity Nexus™, un completo conjunto de recursos para los profesionales en ciberseguridad, y COBIT®, un marco de referencia de negocios que ayuda a las empresas a gobernar y gestionar su información y su tecnología. ISACA adicionalmente promueve el avance y certificación de habilidades y conocimientos críticos para el negocio, a través de las certificaciones globalmente respetadas.
Certificados que se pueden obtener en ISACA Certificaciones CISA, CISM, CGEIT y CRISC. ISACA ofrece cuatro certificaciones, las cuales son reconocidas a nivel mundial para los profesionales de Auditoría, Seguridad, Gobierno y Riesgo de TI, para esto ISACA lleva a cabo exámenes de certificación dos veces al año, en junio y diciembre. Los requisitos para certificarte son los siguientes: •
Aprobar el examen
•
Experiencia relevante
•
Apegarte al código de ética ISACA
•
Apegarte al programa de educación profesional continua
•
Cumplimiento con los estándares de ISACA
Certified Information Systems Auditor (CISA) La certificación CISA es reconocida en todo el mundo como el logro reconocido de los expertos que controlan, monitorean y evalúan la plataforma tecnológica de una organización y sus sistemas de negocio. Certified Information Security Manager (CISM) La certificación CISM reconoce a las personas que diseñan, construyen y gestionan la seguridad de la información de las empresas. CISM es la credencial líder que deben tener los administradores de la seguridad de la información. Certified in the Governance of Enterprise IT (CGEIT) CGEIT reconoce a una amplia gama de profesionales por su conocimiento y aplicación de los principios y prácticas de gobierno empresarial de TI. Certified in Risk and Information Systems Control (CRISC) Está diseñada para profesionales de TI que tienen amplia experiencia en la identificación de riesgos, su análisis y evaluación; respuesta al riesgo, monitoreo de riesgos; Diseño e implementación de controles de sistemas de información; y monitoreo y mantenimiento de los mismos.
Comentarios Para finalizar podemos decir que hoy en día la auditoría informática es indispensable en toda compañía debido al gran uso de recursos tecnológicos que la empresa utiliza en el desarrollo de los procesos productivos, administrativos, contables y financieros, es por esto que esta se debe encargar de controlar y verificar todos los procedimientos relacionados con los sistemas informáticos de dichos procesos, al mismo tiempo debe establecer diversos sistemas de seguridad para abordar aquellas amenazas que afecten a dichos sistemas. Una empresa que no utilice sistemas informáticos para el desarrollo de las diversas actividades, esta obsoleta y nunca podrá competir con aquellas que si los utilizan, los sistemas de información se convierten en una ventaja competitiva que ayuda a lograr los objetivos de manera eficiente, es por esto, que es necesario establecer mecanismo y procesos que verifiquen y controlen el correcto funcionamiento de los sistemas informáticos. Siempre es bueno reforzar los niveles de seguridad para que otras personas no puedan tener acceso a información que es personal y de vital importancia, ya sea para personas, empresas, gobiernos, etc.
Referencias Electrónicas •
http://windows.microsoft.com/es-CL/windows-vista/Tips-for-creating-a-strongpassword.
•
http://www.unirioja.es/servicios/si/seguridad/difusion/politica_contrasenas.pdf .
•
http://es.wikipedia.org/wiki/ISACA
•
http://es.slideshare.net/mmujica/estndares-de-seguridad-informtica
•
http://www.monografias.com/trabajos67/estandar-internacional/estandarinternacional2.shtml
•
http://www.seguridadparatodos.es/2011/10/seguridad-informatica-o-seguridad-dela.html