2012 UNIVERSIDAD AUSTRAL DE CHILE Facultad De Ciencias Económicas y Administrativas Instituto de Administración
LA AUDITORÍA Y SEGURIDAD INFORMÁTICA
Integrantes: Yolanda Molina Silvana Palma Makarena Pinchulef Profesor: Cristian Salazar Asignatura: Sistema de Información Administrativa
Valdivia, 29 de mayo Es loable el
intercomunicación, tanto personal, como
hecho de que
corporativa, ya que, la existencia de una
el
hombre
mayor accesibilidad en la difusión de la
años
información contribuye a la eficiencia y
desde remotos
eficacia de los sistemas comunicativos de
venga
toda organización. Hoy en día, existe una gran variedad de redes sociales capaces de comunicar a todo el mundo con todo el
desarrollando distintas capacidades de
mundo.
comunicación, desde la escritura sumeria en el año 5000 ac., los jeroglíficos egipcios, la invención del papel,
los
pergaminos griegos creados con el fin de almacenar información, hasta invenciones de este siglo como por ejemplo, el televisor, los primeros computadores, y el surgimiento y la masificación de internet.
Sin embargo, durante las últimas décadas, la tecnología de la información y la comunicación ha ido avanzando a pasos agigantados, sin lugar a dudas, ésta ha contribuido al aumento de la capacidad de
S
fiable; no obstante, resulta difícil controlar
desafía el peligro de
tal cantidad propagada de información en
informática” o hackers.
hurto, “piratería
el universo de la red navegable (Internet), al
“escaparse
dicha
Si bien, la auditoría informática,
encontrarse de cara a la
surgió para aminorar el riesgo del uso de
necesidad antes mencionada, sabiendo que
información inoporunta y poco honesta,
la informática es importante para una
aún en la actualidad existen empresas que
empresa ya que ésta ayuda a la toma de
pasan por alto la existencia de este riesgo
decisiones, es que nace la auditoría
y no dan lugar a ella, enfrentando el
informática, que tiene como objetivo
peligro de la inseguridad informática. Para
fundamental a través de un proceso
esto nace la seguridad informática.
situación, y
de
las
manos”
Sin embargo, en la otra cara de la
sistemático, verificar y a su vez controlar
moneda, a medida que avanza la tecnología
las políticas previas establecidas dentro de
de la comunicación, también avanza
una organización para que exista un uso
consigo la necesidad de la vigilancia o
oportuno y eficiente de la tecnología de la
supervisión de los flujos de información
información
que difunden o utilizan las empresas y todo
también proteger y a su vez
tipo de organización, para filtrar aquella
resguardar
información que resulte
poco
empleada, la
como
información
empresarial que día a día
información estén o no estén relacionadas
vez sus pertenencias por más que cambien
con la tecnología de la información.
el lugar de estacionamiento, ya que siguen
Existe un aspecto en el que algunas
Es innegable que la seguridad
dejando sus pertenencias en el asiento
empresas pueden estar
informática
es
delantero del vehículo. Pues en el caso de
fallando, el proteger la
imprescindible para toda
la seguridad informática es igual, en toda
información no implica
organización,
empresa y organización el jefe o director
solamente
como
de
sus
información con claves seguras, puedes
ordenadores o servidores,
pertenencias en el asiento
exigir a los subordinados que firmen
esto es necesario pero no
delantero de su vehículo, es
declaraciones en las que legalmente se
es suficiente, ya que,
muy probable que se lo
hacen responsables en caso de pérdida o
en
los
ejemplo,
poner una
seguridad
tener
por
persona
deja
si
una
empresa
puede
proteger
la
también la información se divulga en
roben, por tanto, para disminuir
hurto,
escritorios, teléfonos, o hasta en la
ese riesgo se deben crear reglas
nada de ello
memoria de los empleados, es decir, la
que
asegurara
o
seguridad informática contempla toda la
pertenencias
certifica
la
organización, y de suma importancia la
prohibidas dejarlas en el asiento
seguridad de la
gestión de recursos humanos, seguridad
delantero del vehículo, pero si
información si
física, protección legal, es decir, que el
esas reglas no son comunicadas
no
les
sistema toma en cuenta todos los riesgos
simplemente la mayoría seguirá
comunicó
las
posibles
en la misma rutina, perdiendo una y otra
sobre
la
seguridad
de
la
establezcan
que
personales
las están
pero
reglas a sus subordinados. Así también la
gestión de un gerente en toda organización
Sistema de Gestión de Seguridad de la
organizaciones todo esto para estar en
a la hora de planificar, organizar, dirigir, y
Información (SGSI)”, sin embargo, la
concordancia
controlar, será eficiente y eficaz desde el
adopción de esta norma ha sido un proceso
protección de datos las serie de normas
momento
lento.
ISO esta siendo adaptado de forma lenta
en
que
comunique
a
sus
empleados las metas y objetivos que se
Las normas ISO 27000 en síntesis enfocan
en
de
por la pequeñas y medianas empresas esto
la
quizás se deba a que la adopción de estas
trazadas que se alineen consecuentemente
información y estas están siendo adaptadas
normas tienen a ser demasiado costosa y
con el logro de aquellas metas, de este
lentamente.
complejas para las pequeñas empresas.
modo toda la organización siga una mismo
herramienta
camino en función del cumplimiento de los
importante en la sociedad
objetivos estratégicos u organizacionales
actual es por ello que se
empresa
previamente establecidos.
debe
Información
información
de
principio
se
mantener
seguridad
el
desean alcanzar, así como las líneas
La
la
con
es
una
muy Binaria por ejemplo, es la
en
de
Tecnología y
de
Comunicaciones
confidencialidad ya que
(TIC) del GRUPO CGE, cuyo
Para aminorar ese peligro existen
existen muchos riesgos en
negocio
las normas ISO 27000, que contemplan un
tiempo real si esta es
servicios de telecomunicaciones,
marco para mejorar la calidad de los
divulgada, puesto que la
informática
sistemas de gestión de la información de
discreción de las información permite
desarrollar sistemas y soluciones web;
seguridad, y nacen con el objetivo de
mantener la privacidad de las personas, es
diseñar portales web e intranet; entregar
"establecer,
por ello que las informaciones
son
soporte y mantención a la plataforma
consideradas un activo dentro de las
tecnológica y brindar asesoría para la
implementar,
operar,
supervisar, revisar, mantener y mejorar un
consiste e
en
“proveer
infraestructura;
implementación de soluciones móviles y
respondieron,
200
más atractivas y competitivas, como
logísticas”; cuyos proyectos de ejecución
empleados, y por lo tanto pertenecían a la
también más confiables y seguras ante los
de software más destacados durante el año
categoría de las PYME.
clientes. Por lo tanto, si algunas empresas
2011,
se
encuentra
de
La encuesta arrojó que el 80 %de
han logrado percibir esta norma como una
y
las organizaciones buscaron la certificación
ventaja competitiva, ¿por qué no pueden
Cumplimiento, el inicio del proyecto
ISO 27001 como un medio de obtener
hacerlo también las demás?, ¿a qué
ISO27000, es decir, Binaria es una de las
ventajas competitivas, un 28 % dijo haber
empresa no le gusta la idea de parecer más
pocas empresas en Chile que presta este
sido obligados a obtener la certificación,
atractiva
servicio, y sabiendo aún que existen pocos
como condición de la licitación para los
proveedores,
expertos informáticos en seguridad de la
negocios, y en un 16 % de los casos adujo
general?, por tanto, debiera hacerse más
información que tengan basta experiencia
que la certificación fue un requisito
énfasis en este punto “Las normas ISO
con ISO27000, razón por la cual se puede
obligatorio exigido por parte de los
27000
explicar que exista un escaso número de
clientes. La mayoría de las empresas que
competitiva”.
empresas que conocen o adoptan esta
hasta esa fecha habían adoptado la norma,
norma.
concordaban que la seguridad de la
de
creación
menos
del
Departamento
la
tenían
Seguridad
Una encuesta realizada en 2007, por la Certificación
información es de vital importancia, ya
Europa arrojó como
que, al estar protegida la información de
resultado que el 50 por ciento de las
ellas, surgen nuevas oportunidades de
organizaciones
negocio, lo que hace a las organizaciones
certificadas
que
ante
sus
clientes
como
inversionistas, y
fuente
sociedad
de
en
ventaja
En relación a lo anterior, es muy
firewalls, intrusion detection, intrusion
realizar
importante que todas las empresas sepan
prevention,
descubrimiento continuo o acciones para
que
encryption laptop y encryption backup
mejorar esa seguridad.
tape.
•
la
información
es
un
activo
trascendental para el éxito y la continuidad
encryption
database,
comités
de
dirección
con
crear un sistema de gestión de
en el mercado de cualquier organización.
incidencias
La protección de dicha información y de
continuas por parte de los usuarios y los
los sistemas que la procesan es un objetivo
incidentes
de primer nivel para la organización.
reportados y analizados.
Es por este motivo que las empresas
•
que de
recoja seguridad
notificaciones deben
ser
saber que la seguridad absoluta no
que han ido integrando e implementando
existe, por lo que se trata de reducir el
esta norma 27000, ya que necesitan
riesgo, también no hay que confundir que
resguardar la información que entra y se
la seguridad no es un producto sino un
elabora dentro de la empresa, es por ello
proceso.
que para llevar a cabo esto requieren de
Por otra parte también deben tener
usos de herramientas de seguridad en las
en cuenta que existen múltiples factores
tecnologías que poseen.
que las organizaciones deben captar al momento de utilizar y estas son las
Herramientas más utilizadas Las mas conocidas son Maliciouscode
detection
tools,
application-level
siguientes: •
Que
•
seguridad es una actividad continua y el programa de protección requiere el soporte de la organización para tener éxito. •
los
empleados
tomen
conciencia por la seguridad y que su Principal objetivo sea conseguir eso,
hay que tener en cuenta que la
por ultimo que esta seguridad debe
ser inherente a los procesos de informática y del negocio.
revisados, aumenta la confianza de los Pero por otro lado se debe también
clientes y socios estratégicos por la
considerar los riesgos que las empresas se
garantía de calidad y confidencialidad
exponen a un Exceso de tiempos y de
comercial, las auditorias externas,
costos en la implantación, temor ante el
ayudan constantemente a identificar las
cambio, diferencias en los comités de
debilidades del sistema y las áreas a
dirección,
corregir,
realizar
un
calendario
de
entrega
la
posibilidad
que
de
revisiones que no se puedan cumplir y falta
integrarse con otros sistemas de gestión
de comunicación de los progresos al
como por ejemplo ISO 9001, ISO 14001,
personal de la organización.
OHSAS 18001, crea una imagen de
Así también al implantar esta
empresa a nivel internacional y elemento
seguridad de información dentro de la
diferenciador de la competencia, otorga
Debido al avance de la tecnología y
empresas,
y
confianza y reglas claras para las personas
el acceso que existe hoy en día de la
una
de la organización, también se reduce los
Internet y al comercio electrónico es mas
metodología de gestión de la seguridad
costos y se observan una mejora de los
fácil obtener información de distinta
clara y estructurada, reduce el riesgo de
procesos y servicio y finalmente existe un
índole, por esto que las organizaciones han
pérdida, robo o corrupción de información,
aumento de la motivación y en la
puesto mas énfasis como se menciona
los clientes tienen acceso a la información
satisfacción del personal de la misma.
anteriormente en la privatización de su
se
beneficiados
por
ven al
favorecidos establecer
a través medidas de seguridad, los riesgos
información ya que esta es crucial para
y
ellas y por esto las empresas deben estar
sus
controles
son
continuamente
concientes de que su información este
asegurada debidamente, aquí es donde
misma va innovando y adaptándose a los
conectan para sus sistemas esto podría
juega un papel relevante el concepto de
cambios, la TI es una herramienta positiva
representar una amenaza, si esto es visto
tecnología de la información TI pero ¿que
para la empresa puesto que distribuye y
desde un punto externo, en este sentido
significa
mejora
información
podría ocurrir que los socios potenciales o
información? Esta corresponde a los
permitiendo que se los miembros de la
comerciales encasillen a la empresa como
métodos o herramientas que son utilizados
organización
poco segura en protección de información,
para
sentido de la información.
en
retener
si
tecnología
distribuir
información, la TI esta
o
de
la
manipular
el
flujo estén
de
la
interconectados
en
por esto la empresa para asegurar la
generalmente
seguridad de su información, implementa
asociada a las tecnologías aplicadas a
Las empresas deben asegurar su TI
políticas como por ejemplo establece reglas
tomar decisiones un ejemplo claro es la
en su propio entorno, pero no siempre
y obligaciones en conjunto, que deben
computadora, todo este sistema permite
tienen el control total de los sistemas
cumplir los usuarios de la información por
obtener la información en línea a partir del
ejemplo: control en el acceso a los datos,
momento en que es generada y de calidad,
identificación de los usuarios entre otras.
esto ha facilitado la forma de trabajar para las organizaciones y no solo este punto
Una vez que a empresa cuenta con
sino también la forma en como las
un sistema de TI segura podrá adaptarse de
organizaciones compiten, el buen uso de
la mejor forma al comercio electrónico
esta tecnología puede hacer la diferencia
¿que es el comercio electrónico? el
entre la empresa y sus competidores y esto
comercio electrónico corresponde a un
dependerá en la forma en como la empresa
informáticos con los que cuentan
y
conjunto
de
redes
mundiales
de
información que permiten acercar mas a las personas
hacia
comunicaciones
la lo
innovación que
fomenta
en la
competitividad, el empleo, la calidad de vida de los países, estas redes mundiales de la
información
rompen
fronteras,
permitiendo llevar a cabo fines comerciales o sociales . Todo esto permite una apertura de los mercados
permitiendo
crecimiento de las economías.
un
rápido
Makarena Pinchulef Trecanao
Yolanda Molina Gonzรกlez
Silvana Palma Ojeda.