Universidad Austral de Chile Valdivia
Facultad Ciencias Económicas y Administrativas
Informe:
“Seguridad Informática”
Nombre: Asignatura: Fecha: Profesor:
María Alejandra Salazar C. Sistemas de Información Empresarial (ADMI 273) 07 de Julio, 2014 Cristian Salazar C.
INTRODUCCIÓN El 2 de Noviembre del año 1988, Robert Morris escribió un pequeño programa capaz de (usando algunas vulnerabilidades de UNIX), transmitirse de unos sistemas a otros a gran velocidad infectándolos a su paso. En unas horas, miles de equipos tenían sus CPUs al 100% sin solución de continuidad. Se trataba del primer Gusano (Worm) de la historia. En Junio del año 2005, un hacker logró un listado de 40 millones de tarjetas de crédito. Servired, Visa y 4B tuvieron que localizar y avisar urgentemente a más de 50.000 clientes en España del riesgo que corrían. Históricamente la seguridad no ha sido nunca vista como una parte más de las tecnologías de la información, sino como algo propio de pequeños círculos de amistades, curiosos o gurús. En las universidades no existían (en muchas aún hoy no existen) asignaturas relacionadas con la seguridad. En el mundo empresarial aun hoy existe esta tendencia en muchos casos. ¿Qué es el riesgo? Se define como: Riesgo=Vulnerabilidad*amenazas Cada vez es necesaria menos especialización y menos conocimiento técnico para llevar a cabo ataques, robar y/o modificar información o cometer fraudes. No sólo está disponible y al alcance de todos la información sobre los fallos y las vulnerabilidades sino que también lo están los “exploits” y las herramientas para llevar a cabo todo tipo de acciones.
1. ¿Qué
es
la
Seguridad Informática? Es un conjunto de normas, procedimientos
y
herramientas, su objetivo es
garantizar
la
disponibilidad, integridad, confidencialidad
y
buen
uso de la información que se encuentra en un sistema de información. Trata de minimizar riesgos asociados al acceso y utilización de determinado sistema de manera no autorizada y malintencionada. La seguridad informática se enfoca a la protección de la infraestructura computacional, la información y todo lo relacionado con la misma. Los aspectos a considerar son: conocer el peligro al cual nos vemos enfrentados, clasificarlo y protegerse de impactos o daños, de la mejor manera posible. La seguridad informática sirve para proteger la información, en contra de amenazas o peligros, para evitar daños y minimizar riesgos, en relación a ella. 1.1 Objetivos de la Seguridad Informática En muchas ocasiones, los sistemas de información incluyen todos los datos de una compañía, así como en el material y los recursos de software que le permiten a la compañía, almacenar y hacer circular dichos datos. Es por esto que, los sistemas de información son esenciales para las compañías y estos deben ser protegidos. La Seguridad Informática consiste en garantizar que el material y recursos de software de una organización, sean utilizados únicamente para los propósitos por los cuales fueron creados.
Es por lo anterior que se describen cinco objetivos principales: o
Integridad: para garantizar que los datos sean los que se supone que son. Determinar si se han alterado los datos durante una transmisión.
o
Confidencialidad: para asegurar que sólo las personas autorizadas tengan acceso a los recursos que se intercambian. Se debe hacer que la información sea ininteligible para aquellos que no están involucrados en la operación.
o
Disponibilidad: para garantizar el correcto funcionamiento de los sistemas de información. El objetivo de esto es garantizar el acceso a un servicio o a los recursos.
o
Evitar el rechazo: para garantizar de que no niegue una operación realizada. Ninguna de las partes involucradas, dentro de una organización, puede negar en el futuro una operación que haya realizado.
o
Autenticación: para asegurar que sólo las personas autorizadas tengan acceso a los recursos. Confirmación de la identidad de un usuario.
2. ¿Qué estándares de seguridad informática existen?
Internacionalmente, diferentes organizaciones han definido estándares y normas que apoyan en diferente medida el cumplimiento de los objetivos de la seguridad informática. Aquí se detallan los de mayor utilización a nivel mundial. 2.1. ISO 17.799
Es un estándar para la administración de la seguridad de la información, e implica la implementación de toda una estructura documental que debe contar con un fuerte apoyo de la alta dirección de cualquier organización. Este estándar fue publicado por la International Organization for Standardization (ISO) en diciembre de 2000 con el objeto de desarrollar un marco de seguridad sobre el cual trabajen las organizaciones. Esta norma internacional ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización. 2.2. COBIT
Acrónimo de “Control Objectives for Information and related Technology” (Objetivos de Control para la Información y Tecnologías Relacionadas), es un estándar desarrollado por la Information Systems Audit and Control Foundation (ISACA), la cual fue fundada en 1969 en EE.UU., y que se preocupa de temas como gobernabilidad, control, aseguramiento y auditorias para Tecnología Información y Comunicación. Actualmente tiene más de 60.000 miembros en alrededor de 100 países. Esta organización realiza eventos y conferencias, y desarrolla estándares en tecnologías de información de gobierno, aseguramiento y seguridad, siendo COBIT el más importante. En los últimos 5 años ha cobrado fuerza debido a que fue desarrollado en específico para el ámbito de las TIC. 2.3. ITIL
Su significado es “Information Technology Infrastructure Library”, ITIL es una norma de mejores prácticas para la administración de servicios de Tecnología de Información, desarrollada a finales del año 1980 por entidades públicas y privadas con el fin de considerar las mejores prácticas a nivel mundial. El organismo propietario de este marco de referencia de estándares es Office of Government Commerce,
una entidad independiente de la tesorería del gobierno británico. ITIL fue utilizado inicialmente como una guía para el gobierno de británico, pero es aplicable a cualquier tipo de organización.
2.4. LEY SOX
La Ley Sarbanes-Oxley (SOX), de EE.UU., nombrada así en referencia de sus creadores, obliga a las empresas públicas nacionales de dicho país, o extranjeras inscritas en la Securities and Exchange Comission a llevar un control y almacenamiento informático estricto de su actividad. La ley nace producto de grandes escándalos financieros ocurridos en compañías norteamericanas como Enron y Worldcom, durante el año 2002, en los cuales se comprobó que información financiera fue falsificada. Esta ha tenido un alto impacto a nivel mundial en empresas que transan sus valores en la bolsa de EE.UU. 2.5. COSO
La normativa COSO, está principalmente orientada al control de la administración financiera y contable de las organizaciones. Sin embargo, dada la
gran cercanía que hoy existe entre esta área y los sistemas de información computarizados, es que resulta importante entender
el alcance y uso de esta norma. El Informe COSO es un documento que contiene directivas e indicaciones para la implantación, gestión y control de un sistema de Control Interno, con alcances al área informática. 2.6. ISO Serie 27000
A semejanza de otras normas ISO, la 27000 es una serie de estándares, que incluye (o incluirá, pues algunas partes aún están en desarrollo), definiciones de vocabulario (ISO 27000), requisitos para sistemas de gestión de seguridad de la información (ISO 27001),
guía de buenas prácticas en objetivos de control y controles recomendables de seguridad de la información (ISO 27002), una guía de implementación de SGSI (Sistema de Gestión en Seguridad de la Información) junto a información de uso del esquema PDCA (Plan, Do, Check, Act) [6] (ISO 27003), especificación de métricas para determinar la eficacia de SGSI (ISO 27004), una guía de técnicas de gestión de riesgo (ISO 27005), especificación de requisitos para acreditación de entidades de auditoria y certificación de SGSI (ISO 27006), una guía de auditoria de SGSI (ISO 27007), una guía de gestión de seguridad de la información para telecomunicaciones (ISO 27011), una guía de continuidad de negocio en cuanto a TIC (ISO 27031), una guía de ciber-seguridad (ISO 27032), una guía de seguridad en redes (ISO 27033), una guía de seguridad en aplicaciones (ISO 27034), y una guía de seguridad de la información en el sector sanitario (ISO 27799).
3. ¿Cuáles son las certificaciones que se pueden obtener de ISACA?
La sigla ISACA significa “Information Systems Audit and Control Association”, en español: “Asociación de Auditoría y Control de Sistemas de Información”, es una asociación internacional, la cual apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades de auditoría y control en sistemas informáticos. Según lo señalado en la página isaca.org, ISACA fue fundada en el año 1969 por un pequeño grupo de individuos que reconoció la necesidad de una fuente centralizada de información y orientación en el creciente campo de los controles de auditoria para los sistemas informáticos. En el año 1976 paso a llamarse ISACA, nombre por el cual es conocida actualmente, y se estableció la primera certificación profesional de auditoría de sistemas de información (CISA).
Según lo indicado en la página web de ISACA, esta ofrece cuatro certificaciones, las cuales son reconocidas a nivel mundial para los profesionales de Auditoría, Seguridad, Gobierno y Riesgo de TI, para esto ISACA tiene que realizar exámenes de certificación dos veces al año (Junio y Diciembre). Los requisitos para alcanzar la certificación son: o Aprobar el examen o Experiencia relevante o Apegarte al código de ética ISACA o Apegarte al programa de educación profesional continua o Cumplimiento con los estándares de ISACA Las cuatro certificaciones son: 3.1.
CISA:
“Certified
Information
Systemas
Auditor”, es la
certificadora más importante de ISACA. Esta ha sido obtenida por más de 70.000 profesionales desde su creación y es un valor de mejora para los profesionales de auditoría, control, aseguramiento y seguridad. 3.2.
CISM:
“Certified
Information
Security
Manager”,
es
la única certificadora enfocada en la Gestión de Seguridad de los Sistemas de Información que ha sido obtenida por más de 10.000 profesionales. A diferencia de otras certificaciones de seguridad, CISM es para personas que gestionan, diseñan, supervisan y evalúan el programa de seguridad de la información de una empresa. 3.3.
CGEIT: “Certified in the Governance of Enterprise IT”, está destinada a reconocer una amplia gama de profesionales por su conocimiento y aplicación de los principios y prácticas de gobierno de Tecnología de Información. Está diseñado para
profesionales
con
responsabilidades
de
gestión,
asesoramiento,
o
aseguramiento definidas por una "práctica laboral" consistente en tareas y conocimiento relacionadas con el Gobierno de las TI. Obtener esta designación
permitirá a los profesionales responder a la demanda creciente del negocio de un programa integral de Gobierno de TI que define las responsabilidades y la rendición de cuentas en toda la empresa. 3.4.
CRISC: “Certified in Risk and Information Systems
Control”,
está
destinada
a
aquellos
profesionales que identifican y gestionan los riesgos a través del desarrollo, implementación y mantenimiento de los controles de los Sistemas de la Información. Estos profesionales ayudan a las empresas a cumplir con los objetivos de negocio tales como operaciones efectivas y eficientes, informes financieros confiables, y cumplimiento con requerimientos regulatorios. 4. ¿Cuál es la relación entre auditoría informática y seguridad informática? Una auditoría se realiza con base a un patrón o conjunto de directrices o buenas prácticas sugeridas. Existen estándares orientados a servir como base para auditorías de informática. Uno de ellos es COBIT (Objetivos de Control de la Tecnologías de la Información), dentro de los objetivos definidos como parámetro, se encuentra el "Garantizar la Seguridad de los Sistemas". La seguridad informática hace referencia al área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado, como es la información contenida o circulante. Señalado lo anterior, la relación existente entre ambas, es que para que ocurra de manera fidedigna y eficiente la seguridad informática, debe realizarse auditorías constantemente para evaluar, primero la información que se quiere asegurar, y segundo si está siendo eficaz el método, certificación que se contrató para resguardar toda la información importante dentro de una empresa.
REFERENCIAS http://www.dma.eui.upm.es/conferencias/contenido/seguridad_infor.pdf http://protejete.wordpress.com/gdr_principal/definicion_si/ http://ceur-ws.org/Vol-488/paper13.pdf http://www.isacavalencia.org/index.php?option=com_content&view=article&id=287&Itemid=195 http://www.isaca.org/spanish/Pages/default.aspx http://es.kioskea.net/contents/622-introduccion-a-la-seguridad-informatica http://www.iti.es/media/about/docs/tic/01/2003-07-seguridad.pdf