1. Seguridad Informática
Felipe Beningno Zamora Cuevas
Profesor:Cristian Salazar
Asignatura: Sistemas deInformación Empresarial
Valdivia, 10 de julio del 2014
UNIVERSIDAD AUSTRAL DE CHILE
FACULTAD DE CIENCIAS ECONÒMICAS Y ADMINISTRATIVAS
INSTITUTO DE ADMINISTRACIÓN
2. Contenido
Introducción ............................................................................................................................. 3
¿Qué es la seguridadinformática?.............................................................................................. 3
Estándares de seguridadinformática internacionales.................................................................. 4
Auditoría Informática y Seguridad Informática............................................................................ 5
Certificaciones disponibles en ISACA........................................................................................... 5
COBIT....................................................................................................................................... 6
Conclusión................................................................................................................................ 6
Bibliografía................................................................................................................................ 7
3. Introducción
Cuandose está frente a un computadorpoca concienciase tiene de losprocesosy las normas que
hay detrásde aparato que usamoso del programacon el que interactuamos,cuandoingresamosa
lapáginade nuestro bancooarevisarlascalificacionesenelportal de información de launiversidad.
En este trabajoindagaremossobre laseguridadinformáticaylasnormasde estandarizaciónque se
han generadoaraíz del análisis de estadisciplinayasu vezcomolosauditores informáticos apoyan
este proceso con la evaluación de las vulnerabilidades de los sistemas ocupados por distintas
organizaciones. Por medio de una revisión bibliográfica se logrará dar un marco para el
conocimiento de estas tareas que hay detrás de los sistemas de información, los estándares
internacionales,lascertificacionesylaempresa líderenel otorgamientode ésta,aunque loprimero
será conocer de qué estamos hablando cuando hablamos de seguridad informática.
¿Qué es la seguridad informática?
La seguridad informática es la disciplina que se enfoca en la protección de la infraestructura
computacional y especialmente en la información contenida en ella. Es decir que los sistemas de
información,tantohardware comosoftware ylocontenidoenellos actúenconel finque se lesfue
dado y a su vez el acceso, y modificación, a la información ahí contenida sea posible para las
personasque tienenlaautorizacióncorrespondiente. Esportantoladisciplinaencargadade diseñar
las normas,procedimientos,métodosytécnicasdestinadosaconseguirunsistemade información
seguro y confiable.
La ISO/IEC 27001, que fue aprobado y publicado en octubre de 2005 por la International
OrganizationforStandardization(ISO) yporla comisiónInternational Electrotechnical Commission
(IEC) nos proporcionalasiguiente definición: “Laseguridadinformáticaconsiste enlaimplantación
de un conjunto de medidas técnicas destinadas a preservar la confidencialidad, la integridady la
disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la
autenticidad, la responsabilidad, la fiabilidad y el no repudio.” De esta podemos extraer las
principalesbases de laseguridadinformáticalaconfidencialidad,la integridad y la disponibilidad.
Confidencialidad: se refiere al acceso a la información solo mediante autorización y de
formacontroladayportantose buscaprevenirladivulgaciónno autorizadade información.
Integridad: se refiere a modificación de la información solo mediante autorización y por
tanto se busca prevenir modificaciones no autorizadas de la información.
Disponibilidad: se refiere a que la información del sistema debe permanecer accesible
mediante autorización y por tanto se busca prevenir interrupciones no autorizadas o no
controladas de los recursos informáticos.
Se puede inferir de las bases de la seguridad informática que el concepto de amenaza está
constantemente presente y por tanto importante mencionar los distintos orígenes que pueden
tener estas para poder tener en cuenta las vulnerabilidades de los sistemas de información. Así
podemosverque las amenazasmás frecuentessonlasde origenhumanoya sean estasmaliciosas
o no maliciosas. Lasprimerasson las más conocidasy tomadasen cuenta ya que hay un ánimode
mal uso de la información o del sistema de información en cuestión, ya sea una amenaza interna
(unempleadode laempresapuedesacarpartidode lainformaciónque manejauobtenerpermisos
de acceso para ello) o externa (hacker, espionaje corporativo, entre otros).
4. Por otra parte las amenazas de origen humano no maliciosa es la perpetrada generalmente por
empleados ignorantes al ocupar el sistema. Además hay que tomar en cuenta las amenazas
naturales que van desde desastres naturales, hasta la humedad o temperatura a la que están
expuestaslossistemas(ygeneralmente afectanalaparte físicade estos). Vemosque todaaccióno
elementoque comprometael sistemaesunaamenazay por tanto esun factor crítico a la hora del
análisis de vulnerabilidad del sistema de información.
Estas amenazas afectan a los recursos que forman parte del sistema entre los que encontramos:
hardware, software y datos entre los más relevantes principalmente debido a la inversión que la
empresahace enellosy el valorque agregan tanto a los procesos genéricos comoa los productos
finales. De entre los mencionados los datos son los de mayor importancia principalmente por el
valor que agregan a toda la organización al ser fuentes de información, conocimiento y a su vez
costo de reposición.
Pararesguardarlasvulnerabilidadesde lossistemasde informaciónesquese hancreado estándares
de seguridad informática internacionales.
Estándares de seguridad informática internacionales
La primeraapariciónde estándares de seguridadinformáticadatade 1995 La normaBS 7799 de BSI
(BritishStandardInstitution) conobjetivo de proporcionara cualquierempresa,seabritánicaono,
unconjuntode buenasprácticasparalagestiónde laseguridadde suinformación.La primeraparte
de la norma (BS7799-1) fue una guía de buenasprácticas,para la que no se establecíaunesquema
de certificación. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que
estableció los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable
por una entidadindependiente yque luegofue adoptadaporlaISO (InternationalOrganizationfor
Standarization) e IEC (International Electrotechnical Commission). Si bien se adopta en primera
instanciaestasegundaparte como ISO17799 enel 2000 el 2005 se publicala que hastaahora está
vigente (y constante revisión).
Comoyase plateolaISO/IEC27000 estábasadaenlasegundamitaddelestándarbritánico(BS7799)
y encontramos en él controles, valoración de riesgos y el Sistema de gestión de seguridad de la
información(SGSI) Ademáscontiene el vocabulario, ypor tanto las definicionesde estos, a ocupar
en las normas siguientes.
La ISO/IEC 27001es la norma que contiene los requisitosde SGSI y por tanto la que permite la
acreditación del mismo por los evaluadores externos.
La ISO/IEC27002 esuna guía de buenas prácticasque describe losobjetivosde control y controles
recomendables en cuanto a seguridad de la información.
En la ISO/IEC 27003 encontramos información sobre el uso del modelo PDCA (mejoramiento
continuo de la calidad en cuatro pasos; planificar, hacer, verificar y actuar).
La ISO/IEC 27004 especifica las métricas y técnicas de medida para determinar la eficiencia de un
sistema de gestión de seguridad de información y de controles relacionados.
La ISO/IEC 27005 es una guía para la gestión del riesgo de la seguridad de la información. Apoyo
para la ISO 27001.
5. En la ISO/IEC 27006 encontramos los requisitosque deben cumplir las organizaciones encargadas
de emitir certificaciones.
La ISO/IEC 27007 es una guía para auditar los sistemas de gestión de seguridad de la información
conforme a la 27000.
La ISO/IEC 27011 es una guía de gestión de seguridad de la información específica para
telecomunicaciones.
La ISO/IEC 27031 es una guía de continuidad de negocio en lo relativo a tecnologías de la
información y comunicaciones.
La ISO/IEC 27032 es una guía sobre la ciberseguridad.
La ISO/IEC 27799 es una guía para implantar ISO/IEC 27002 específica para entornos médicos.
Auditoría Informática y Seguridad Informática
La auditoría Informática se preocupa del análisis de la eficiencia de los Sistemas Informáticos, la
verificación del cumplimiento de las normativas y la revisión de la eficaz gestión de los recursos
informáticosesportanto parte importante de laseguridad informáticayaque permite el control y
retroalimentación de las prácticas y las vulnerabilidades en los sistemas de información. Aquí se
agrupan en dos conceptos el tema de seguridad: física, todo lo relacionado a los aparatos,
instalaciones, soportes de datos, entre otros, y lógica, que tiene relación con el uso de softwares,
protección y utilización de datos entre otros.
Los auditorespermitenconocerel estadodelsistemade informaciónyportantocomola seguridad
informáticaainfluenciadoyapoyadoaesaempresa. Paraserauditorinformáticose debe certificar
poruna empresadedicadaylamásreconocidayavaladaesISACA. A suvezse hageneradounaguía
de mejores prácticaspresentadacomoframework dirigidaal control y supervisión de lasTI llamada
COBIT.
Certificaciones disponibles en ISACA
ISACA es reconocida por su proceso de selección por medio de un examen extenso y la necesidad
de mantenerse actualizado para no perder la certificación. Actualmente ofrece cuatro
certificaciones:
Certified Information Systems Auditor (CISA)
La certificaciónCISA esreconocidaentodoel mundocomoel logroreconocidode losexpertosque
controlan, monitorean y evalúan la plataforma tecnológica de una organización y sus sistemasde
negocio.
Certified Information Security Manager (CISM)
La certificaciónCISMreconoce a laspersonasque diseñan,construyenygestionanlaseguridadde
la informaciónde lasempresas.CISMeslacredencial líderque debentenerlosadministradoresde
la seguridad de la información.
6. Certified in the Governance of Enterprise IT (CGEIT)
CGEIT reconoce a una amplia gama de profesionales por su conocimiento y aplicación de los
principios y prácticas de gobierno empresarial de TI.
Certified in Risk and Information Systems Control (CRISC)
Esta certificación está diseñada para profesionales de TI que tienen amplia experiencia en la
identificaciónde riesgos,suanálisisyevaluación;respuestaal riesgo,monitoreode riesgos;diseño
e implementación de controles de sistemas de información; y monitoreo y mantenimiento de los
mismos.
COBIT
Es el acrónimo de Objetivos de Control para Información y Tecnologías Relacionadas en
inglés: Control Objectives for Information and related Technology. Es una guía de mejores
prácticas presentada en framework, creada por ISACA, que permite optimizar los servicios
el costede las TI y la tecnología; apoyar el cumplimiento de las leyes,reglamentos, acuerdos
contractuales y las políticas y la gestión de nuevas tecnologías de información. El hecho de
que se presente como framework permite la aplicación en distintas empresas sin importar
el tamaño ya que agrupa conceptos y modelos que deben ser rellenados por la información
de la organización a evaluar para generar mapas de procesos de las TI y proporciona un
lenguaje común para comunicar las metas y objetivos a los interesados.
Basado en un principio básico: “Los recursos de TI son manejados por procesos de TI para
lograr metas de TI que respondan a los requerimientos del negocio” alinea los
requerimientos a sus objetivos y ayuda a vigilar y controlar los costos asociados a TI
buscando el mayor rendimiento de TI.
Conclusión
La seguridad informática es de vital importancia cuando trabajamos con TI ya que las
amenazas son muchas y pueden minar las inversiones hechas como aumentar los costos por
los daños latentes si no se controlar de manera correcta. Para minimizar el riesgo las normas
de estandarización nos dan una mano en términos de poner de manifiesto las mejores
prácticas y a su vez potenciar la auditoría para fortalecer nuestros sistemas de información.
En el mundo interconectado en el que se desenvuelven las organizaciones es fundamental y
no se puede dejar a un lado las tecnologías de información y por tanto deben ser aprovechadas
en su medida alineadas con los objetivos de nuestra empresa. Para esto lo expuesto en este
texto apoya una visión más amplia sobre la utilización de estos y las oportunidades de sacar
el mejor provecho de ellas para que una amenaza se transforme en una fortaleza y no en una
debilidad.
7. Bibliografía
Borghello,Cristian.«Segu.Info.»s.f.http://www.segu-info.com.ar/tesis/(últimoacceso:juliode
2014).
Erb, Markus. Gestión de Riesgo de la Seguridad Informática. s.f.
http://protejete.wordpress.com/gdr_principal/definicion_si/(últimoacceso:juliode
2014).
InstitutoNacional de TecnologíasEducativasyFormacióndel Profesorado. Observatorio
Tecnológico. s.f.http://recursostic.educacion.es/observatorio/web/es/software/software-
general/1040-introduccion-a-la-seguridad-informatica(últimoacceso:juliode 2014).
ISACA.s.f.http://www.slideshare.net/rsoriano/cobit-para-que-sirve(últimoacceso:juniode
2014).
LopezNeira,Agustín,yJavierRuizSpohr. ISO27000.ES. s.f.
http://www.iso27000.es/iso27000.html#seccion1(últimoacceso:juliode 2014).
Wikipedia. Wikipedia. s.f.http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica(último
acceso:juliode 2014).