Seguridad informática

Page 1

Universidad Austral de Chile Facultad de Ciencias Econรณmicas y Administrativas Instituto de Administraciรณn

Trabajo Final

Seguridad Informรกtica Asignatura

Sistemas de Informaciรณn Empresarail Profesor Responsable

Cristian Salazar Alumna

Romina Gonzรกlez Cerpa

Valdivia, 8 de julio de 2014

Seguridad Informática

El presente informe tiene por objetivo esclarecer qué es la seguridad informática, que función cumple y para qué se utiliza. Si se analiza este tema, sin tener previa información, es posible asociarlo al riesgo que se está expuesto al utilizar las tecnologías de información, que considerando el contexto en el que nos encontramos, un mundo globalizado en el cual estamos conectados gracias a los avances tecnológicos, las personas y organizaciones deben resguardarse ante cualquier peligro. Para comprender más sobre seguridad informática, se desarrollará este tema dando a conocer qué es; los estándares existentes; las certificaciones que pueden obtener, y finalmente la relación existente entre auditoría informática y seguridad informática.

1. Seguridad informática En las organizaciones los sistemas de información se ven expuesto a diversas amenazas, las cuales pueden ocasionar daños que desembocan en pérdidas. Intrusos externos a la organización, accesos fraudulentos, accesos no autorizados, uso erróneo de los sistemas por parte de los empleados o aparición de eventualidades destructivas, son ejemplo de las distintas amenazas a las que se ven expuesto los sistemas, causando daños que afecten la integridad de la información o de los sistemas, degraden la disponibilidad de los servicios a los datos almacenados, o puedan estar relacionados con la confidencialidad de la información pudiendo hasta inhabilitar la totalidad de los sistemas. (Galdámez, s/f) Se refiere a las características y condiciones de sistemas de procesamiento de datos y su almacenamiento, para garantizar su confidencialidad (acceso auténtico y controlado), integridad (datos completos y no modificados) y disponibilidad (acceso garantizado). Manejando el peligro, esto quiere decir: conocerlo, clasificarlo y protegerse contra daños. Por lo tanto, la seguridad Informática sirve para la protección de la información, en contra de amenazas o peligros, para evitar daños y para minimizar riesgos, relacionados con ella. (Gestión de Riesgo en la Seguridad Informática, S/f) 2. Estándares existentes de seguridad informática La normativa internacional de seguridad informática incluye distintos estándares, los cuales se presentan a continuación. Las referencias de esta información se obtuvieron desde Cobarrubias, 2013 y Seguridadinformaticaufps. 

Estándar RFC2196: “Site Security Hanbook”. Manual de seguridad utilizado como estándar para estableces políticas de seguridad. Este manual abarca temas como:  Política de seguridad  Arquitectura de Red y Servicios  Servicios y Procedimientos de Seguridad

 Gestión de Incidentes de Seguridad 

Estándar IT Baseline Protection Manual: Propone de manera minuciosa aspectos de seguridad en ámbitos relacionados con operaciones generales, sean estos organizacionales, gestión humana, manejo de virus, entre otros. De infraestructura como edificaciones, redes wifi. Sistemas (windows, unix). Redes entre éstas cortafuegos, módems y finalmente aplicaciones tales como correo electrónico, manejo de la web, bases de datos, entre otros.

BS 17799: Documento de referencia basado en las mejores prácticas de seguridad de la información. Define un proceso para evaluar, implementar, mantener y administrar la seguridad de la información. Este código tiene por objetivo proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y sirve para establecer transacciones y relaciones de confianza entre las empresas. Alguno de los efectos que esta normativa tiene al aplicarla dentro de una organización son: o Aumento de la seguridad efectiva de los sistemas de información. o Correcta planificación y gestión de la seguridad. o Garantías de continuidad del negocio. Auditoría interna. o Incremento de los niveles de confianza de los clientes y socios de negocios. o Aumento del valor comercial y mejora de la imagen de la organización.

 Serie ISO 27000: Conjunto de estándares que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, considerando que la información es un activo imprescindible para lograr el éxito y continuidad en el mercado de cualquier empresa.

o ISO 27001: Nuevo estándar oficial. Aceptado internacionalmente para la administración de la seguridad de información aplicable para todo tipo de organización. Esta certificación apoya a la organización a gestionar y proteger sus valiosos activos de información. Es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información. Se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales. Ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesada. La norma adopta un enfoque por procesos para estableces, implementar, operar, supervisar, mantener y mejorar un sistema de gestión de la seguridad de la información. o ISO 27002: Estar conscientes y prevenir el riesgo es el objetivo de estas normativas. Ésta en específico, proporciona una visión más amplia de los problemas de seguridad relacionados tanto con su información de negocio como con cualquier persona de su organización. Según ISO 27002, los profesionales certificados en seguridad de la información son capaces de aportar: ayuda en certificación en el estándar ISO2700; habilidades prácticas para ayudar a crear conciencia en la organización sobre la seguridad; que la organización se sienta más responsable de prevenir los riesgos; conseguir que la cultura organizacional se oriente a garantizar la seguridad. En general el estándar ISO Política de Seguridad de la Información.  Organización de la Seguridad de la Información.  Gestión de Activos de Información.  Seguridad de los Recursos Humanos.  Seguridad Física y Ambiental.  Gestión de las Comunicaciones y Operaciones.

 Control de Accesos.  Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.  Gestión de Incidentes en la Seguridad de la Información.  Cumplimiento  Gestión de Continuidad del Negocio.

o ISO 20000: Corresponde al estándar reconocido internacionalmente en gestión de servicios de tecnologías de la información.

3. Certificaciones que se pueden obtener en ISACA ISACA, Information Systems Audit and Control Association según su sigla, es una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades auditoría y control en sistemas de información. Es una fuente confiable de conocimiento, estándares, comunidad, y desarrollo de carrera para los profesionales en gobierno, privacidad, riesgos, seguridad, aseguramiento y auditoría de sistemas. Esta organización ofrece cuatro certificaciones, las cuales son reconocidas a nivel mundial para los profesionales de Auditoría, Seguridad, Gobierno y Riesgo de TI, para esto ISACA lleva a cabo exámenes de certificación dos veces al año, en junio y diciembre, teniendo como requisito para obtener la certificación: 

Aprobar el examen

Experiencia relevante

Apegarte al código de ética ISACA

Apegarte al programa de educación profesional continua

Cumplimiento con los estándares de ISACA

a.

Certified Information Systems Auditor: La certificación CISA es reconocida en todo el mundo como aquella designación profesional relativa a los especialistas en controles, monitoreo y evaluación (auditoría) de las plataforma tecnológicas de una organización y sus sistemas de información.

b.

Certified Information Security Manager La certificación CISM reconoce a las personas que diseñan, construyen, evalúan y gestionan la seguridad de la información de las empresas. CISM es la credencial líder que deben tener los administradores de la seguridad de la información

c.

Certified in the Governance of Enterprise IT: La certificación CGEIT reconoce a una amplia gama de profesionales por su conocimiento y aplicación de los principios y prácticas de gobierno de las tecnologías de la información.

d.

Certified in Risk and Information Systems Control: La certificación CRISC reconoce a los profesionales que tienen amplia experiencia en la gestión integral de riesgos relativos a las tecnologías de la información. Asimismo, reconoce a los profesionales especialistas en el diseño, implementación y evaluación de controles para los sistemas de información.

Información expuesta por ISACA, sf.

4. Relación entre auditoría informática y seguridad informática según COBIT “CobiT es un marco de referencia y un juego de herramientas de soporte que permiten a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas técnicos y riesgos de negocio, y comunicar ese nivel de control a los participantes. CobiT permite el desarrollo de políticas claras y de buenas prácticas para el control de TI por parte de las empresas. CobiT constantemente se actualiza y armoniza con otros estándares, por lo tanto, CobiT se ha convertido en el integrador de las mejores prácticas de TI y el marco de referencia general para el gobierno de TI que ayuda a comprender y administrar los

riesgos y beneficios asociados con TI. La estructura de procesos de CobiT y su enfoque de alto nivel orientado al negocio brindan una visión completa de TI y de las decisiones a tomar”. (BitCompany, 2012) Auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. De este modo la auditoría informática sustenta y confirma la consecución de los objetivos tradicionales de la auditoría: 

Objetivos de protección de activos e integridad de datos.

Objetivos de gestión que abarcan, no solamente los de protección de activos, sino también los de eficacia y eficiencia. (Codejobs, s/f).

Por lo tanto la relación existente entre auditoría informática y seguridad informática es que la auditoría detecta por medio de un análisis situaciones y circunstancias que amenazan a los sistemas informáticos, mientras que la seguridad informática, resguarda a los sistemas de las amenazas.

Conclusión Por lo tanto tras comprender qué es la seguridad informática y entender la función que cumple dentro del contexto en el que vivimos, resulta imprescindible para las organizaciones implementar esta forma de resguardo, puesto que en sus sistemas de información, reside una gran parte del activo de la empresa, el cual sin quererlo corre riesgo, ya sea por personas malintencionadas,o sin darse cuenta, personas que por error o descuido pueden cometer algún error que afecte a la empresa.

Fuentes bibliográficas

Galdámez. S/f. <<http://www.iti.es/media/about/docs/tic/01/2003-07-seguridad.pdf>> Accesado 6 de Julio. Cobarrubias. 2013. Estándares Internacionales de Seguridad Informática <<http://www.slideshare.net/PedroCobarrubias/seguridad-informtica-26154937 >> Accesado 6 de Julio. BitCompany. 2012. CobiT: Un marco de referencia para la información y la tecnología <<http://www.bitcompany.biz/que-es-cobit/#.U7nFlZR5NiM>> Accesado 6 de Julio. Seguridadinformaticaufps. Normativa en la seguridad informática. <<http://seguridadinformaticaufps.wikispaces.com/Normatividad+en+la+Seguridad+Infor m%C3%A1tica >> Accesado 6 de Julio. ISACA. (S/f). Certificaciones. <<http://www.isaca.org/chapters10/Santiago/Certificaciones/Pages/Default.aspx>> Accesado 6 de Julio Codejobs. S/f. << http://www.codejobs.biz/es/blog/2013/02/25/que-es-una-auditoriainformatica#sthash.ofCfByuN.QbisZBVf.dpbs>>. Accesado 6 de Julio. Gestión de Riesgo en la Seguridad Informática. S/f. Definición de Seguridad Informática <<http://protejete.wordpress.com/gdr_principal/definicion_si/>>

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.