SlideShare una empresa de Scribd logo

Seguridad informática

Felipe Zamora
Felipe Zamora
1 de 7
Descargar para leer sin conexión
Seguridad Informática Felipe Beningno Zamora Cuevas Profesor:Cristian Salazar Asignatura: Sistemas deInformación Empresarial Valdivia, 10 de julio del 2014 UNIVERSIDAD AUSTRAL DE CHILE FACULTAD DE CIENCIAS ECONÒMICAS Y ADMINISTRATIVAS INSTITUTO DE ADMINISTRACIÓN
Contenido Introducción ............................................................................................................................. 3 ¿Qué es la seguridadinformática?.............................................................................................. 3 Estándares de seguridadinformática internacionales.................................................................. 4 Auditoría Informática y Seguridad Informática............................................................................ 5 Certificaciones disponibles en ISACA........................................................................................... 5 COBIT....................................................................................................................................... 6 Conclusión................................................................................................................................ 6 Bibliografía................................................................................................................................ 7
Introducción Cuandose está frente a un computadorpoca concienciase tiene de losprocesosy las normas que hay detrásde aparato que usamoso del programacon el que interactuamos,cuandoingresamosa lapáginade nuestro bancooarevisarlascalificacionesenelportal de información de launiversidad. En este trabajoindagaremossobre laseguridadinformáticaylasnormasde estandarizaciónque se han generadoaraíz del análisis de estadisciplinayasu vezcomolosauditores informáticos apoyan este proceso con la evaluación de las vulnerabilidades de los sistemas ocupados por distintas organizaciones. Por medio de una revisión bibliográfica se logrará dar un marco para el conocimiento de estas tareas que hay detrás de los sistemas de información, los estándares internacionales,lascertificacionesylaempresa líderenel otorgamientode ésta,aunque loprimero será conocer de qué estamos hablando cuando hablamos de seguridad informática. ¿Qué es la seguridad informática? La seguridad informática es la disciplina que se enfoca en la protección de la infraestructura computacional y especialmente en la información contenida en ella. Es decir que los sistemas de información,tantohardware comosoftware ylocontenidoenellos actúenconel finque se lesfue dado y a su vez el acceso, y modificación, a la información ahí contenida sea posible para las personasque tienenlaautorizacióncorrespondiente. Esportantoladisciplinaencargadade diseñar las normas,procedimientos,métodosytécnicasdestinadosaconseguirunsistemade información seguro y confiable. La ISO/IEC 27001, que fue aprobado y publicado en octubre de 2005 por la International OrganizationforStandardization(ISO) yporla comisiónInternational Electrotechnical Commission (IEC) nos proporcionalasiguiente definición: “Laseguridadinformáticaconsiste enlaimplantación de un conjunto de medidas técnicas destinadas a preservar la confidencialidad, la integridady la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio.” De esta podemos extraer las principalesbases de laseguridadinformáticalaconfidencialidad,la integridad y la disponibilidad.  Confidencialidad: se refiere al acceso a la información solo mediante autorización y de formacontroladayportantose buscaprevenirladivulgaciónno autorizadade información.  Integridad: se refiere a modificación de la información solo mediante autorización y por tanto se busca prevenir modificaciones no autorizadas de la información.  Disponibilidad: se refiere a que la información del sistema debe permanecer accesible mediante autorización y por tanto se busca prevenir interrupciones no autorizadas o no controladas de los recursos informáticos. Se puede inferir de las bases de la seguridad informática que el concepto de amenaza está constantemente presente y por tanto importante mencionar los distintos orígenes que pueden tener estas para poder tener en cuenta las vulnerabilidades de los sistemas de información. Así podemosverque las amenazasmás frecuentessonlasde origenhumanoya sean estasmaliciosas o no maliciosas. Lasprimerasson las más conocidasy tomadasen cuenta ya que hay un ánimode mal uso de la información o del sistema de información en cuestión, ya sea una amenaza interna (unempleadode laempresapuedesacarpartidode lainformaciónque manejauobtenerpermisos de acceso para ello) o externa (hacker, espionaje corporativo, entre otros).
Por otra parte las amenazas de origen humano no maliciosa es la perpetrada generalmente por empleados ignorantes al ocupar el sistema. Además hay que tomar en cuenta las amenazas naturales que van desde desastres naturales, hasta la humedad o temperatura a la que están expuestaslossistemas(ygeneralmente afectanalaparte físicade estos). Vemosque todaaccióno elementoque comprometael sistemaesunaamenazay por tanto esun factor crítico a la hora del análisis de vulnerabilidad del sistema de información. Estas amenazas afectan a los recursos que forman parte del sistema entre los que encontramos: hardware, software y datos entre los más relevantes principalmente debido a la inversión que la empresahace enellosy el valorque agregan tanto a los procesos genéricos comoa los productos finales. De entre los mencionados los datos son los de mayor importancia principalmente por el valor que agregan a toda la organización al ser fuentes de información, conocimiento y a su vez costo de reposición. Pararesguardarlasvulnerabilidadesde lossistemasde informaciónesquese hancreado estándares de seguridad informática internacionales. Estándares de seguridad informática internacionales La primeraapariciónde estándares de seguridadinformáticadatade 1995 La normaBS 7799 de BSI (BritishStandardInstitution) conobjetivo de proporcionara cualquierempresa,seabritánicaono, unconjuntode buenasprácticasparalagestiónde laseguridadde suinformación.La primeraparte de la norma (BS7799-1) fue una guía de buenasprácticas,para la que no se establecíaunesquema de certificación. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que estableció los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidadindependiente yque luegofue adoptadaporlaISO (InternationalOrganizationfor Standarization) e IEC (International Electrotechnical Commission). Si bien se adopta en primera instanciaestasegundaparte como ISO17799 enel 2000 el 2005 se publicala que hastaahora está vigente (y constante revisión). Comoyase plateolaISO/IEC27000 estábasadaenlasegundamitaddelestándarbritánico(BS7799) y encontramos en él controles, valoración de riesgos y el Sistema de gestión de seguridad de la información(SGSI) Ademáscontiene el vocabulario, ypor tanto las definicionesde estos, a ocupar en las normas siguientes. La ISO/IEC 27001es la norma que contiene los requisitosde SGSI y por tanto la que permite la acreditación del mismo por los evaluadores externos. La ISO/IEC27002 esuna guía de buenas prácticasque describe losobjetivosde control y controles recomendables en cuanto a seguridad de la información. En la ISO/IEC 27003 encontramos información sobre el uso del modelo PDCA (mejoramiento continuo de la calidad en cuatro pasos; planificar, hacer, verificar y actuar). La ISO/IEC 27004 especifica las métricas y técnicas de medida para determinar la eficiencia de un sistema de gestión de seguridad de información y de controles relacionados. La ISO/IEC 27005 es una guía para la gestión del riesgo de la seguridad de la información. Apoyo para la ISO 27001.
En la ISO/IEC 27006 encontramos los requisitosque deben cumplir las organizaciones encargadas de emitir certificaciones. La ISO/IEC 27007 es una guía para auditar los sistemas de gestión de seguridad de la información conforme a la 27000. La ISO/IEC 27011 es una guía de gestión de seguridad de la información específica para telecomunicaciones. La ISO/IEC 27031 es una guía de continuidad de negocio en lo relativo a tecnologías de la información y comunicaciones. La ISO/IEC 27032 es una guía sobre la ciberseguridad. La ISO/IEC 27799 es una guía para implantar ISO/IEC 27002 específica para entornos médicos. Auditoría Informática y Seguridad Informática La auditoría Informática se preocupa del análisis de la eficiencia de los Sistemas Informáticos, la verificación del cumplimiento de las normativas y la revisión de la eficaz gestión de los recursos informáticosesportanto parte importante de laseguridad informáticayaque permite el control y retroalimentación de las prácticas y las vulnerabilidades en los sistemas de información. Aquí se agrupan en dos conceptos el tema de seguridad: física, todo lo relacionado a los aparatos, instalaciones, soportes de datos, entre otros, y lógica, que tiene relación con el uso de softwares, protección y utilización de datos entre otros. Los auditorespermitenconocerel estadodelsistemade informaciónyportantocomola seguridad informáticaainfluenciadoyapoyadoaesaempresa. Paraserauditorinformáticose debe certificar poruna empresadedicadaylamásreconocidayavaladaesISACA. A suvezse hageneradounaguía de mejores prácticaspresentadacomoframework dirigidaal control y supervisión de lasTI llamada COBIT. Certificaciones disponibles en ISACA ISACA es reconocida por su proceso de selección por medio de un examen extenso y la necesidad de mantenerse actualizado para no perder la certificación. Actualmente ofrece cuatro certificaciones:  Certified Information Systems Auditor (CISA) La certificaciónCISA esreconocidaentodoel mundocomoel logroreconocidode losexpertosque controlan, monitorean y evalúan la plataforma tecnológica de una organización y sus sistemasde negocio.  Certified Information Security Manager (CISM) La certificaciónCISMreconoce a laspersonasque diseñan,construyenygestionanlaseguridadde la informaciónde lasempresas.CISMeslacredencial líderque debentenerlosadministradoresde la seguridad de la información.
 Certified in the Governance of Enterprise IT (CGEIT) CGEIT reconoce a una amplia gama de profesionales por su conocimiento y aplicación de los principios y prácticas de gobierno empresarial de TI.  Certified in Risk and Information Systems Control (CRISC) Esta certificación está diseñada para profesionales de TI que tienen amplia experiencia en la identificaciónde riesgos,suanálisisyevaluación;respuestaal riesgo,monitoreode riesgos;diseño e implementación de controles de sistemas de información; y monitoreo y mantenimiento de los mismos. COBIT Es el acrónimo de Objetivos de Control para Información y Tecnologías Relacionadas en inglés: Control Objectives for Information and related Technology. Es una guía de mejores prácticas presentada en framework, creada por ISACA, que permite optimizar los servicios el costede las TI y la tecnología; apoyar el cumplimiento de las leyes,reglamentos, acuerdos contractuales y las políticas y la gestión de nuevas tecnologías de información. El hecho de que se presente como framework permite la aplicación en distintas empresas sin importar el tamaño ya que agrupa conceptos y modelos que deben ser rellenados por la información de la organización a evaluar para generar mapas de procesos de las TI y proporciona un lenguaje común para comunicar las metas y objetivos a los interesados. Basado en un principio básico: “Los recursos de TI son manejados por procesos de TI para lograr metas de TI que respondan a los requerimientos del negocio” alinea los requerimientos a sus objetivos y ayuda a vigilar y controlar los costos asociados a TI buscando el mayor rendimiento de TI. Conclusión La seguridad informática es de vital importancia cuando trabajamos con TI ya que las amenazas son muchas y pueden minar las inversiones hechas como aumentar los costos por los daños latentes si no se controlar de manera correcta. Para minimizar el riesgo las normas de estandarización nos dan una mano en términos de poner de manifiesto las mejores prácticas y a su vez potenciar la auditoría para fortalecer nuestros sistemas de información. En el mundo interconectado en el que se desenvuelven las organizaciones es fundamental y no se puede dejar a un lado las tecnologías de información y por tanto deben ser aprovechadas en su medida alineadas con los objetivos de nuestra empresa. Para esto lo expuesto en este texto apoya una visión más amplia sobre la utilización de estos y las oportunidades de sacar el mejor provecho de ellas para que una amenaza se transforme en una fortaleza y no en una debilidad.
Bibliografía Borghello,Cristian.«Segu.Info.»s.f.http://www.segu-info.com.ar/tesis/(últimoacceso:juliode 2014). Erb, Markus. Gestión de Riesgo de la Seguridad Informática. s.f. http://protejete.wordpress.com/gdr_principal/definicion_si/(últimoacceso:juliode 2014). InstitutoNacional de TecnologíasEducativasyFormacióndel Profesorado. Observatorio Tecnológico. s.f.http://recursostic.educacion.es/observatorio/web/es/software/software- general/1040-introduccion-a-la-seguridad-informatica(últimoacceso:juliode 2014). ISACA.s.f.http://www.slideshare.net/rsoriano/cobit-para-que-sirve(últimoacceso:juniode 2014). LopezNeira,Agustín,yJavierRuizSpohr. ISO27000.ES. s.f. http://www.iso27000.es/iso27000.html#seccion1(últimoacceso:juliode 2014). Wikipedia. Wikipedia. s.f.http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica(último acceso:juliode 2014).

Recomendados

Esquema Nacional de Seguridad ENS - Ingertec
Esquema Nacional de Seguridad ENS - IngertecEsquema Nacional de Seguridad ENS - Ingertec
Esquema Nacional de Seguridad ENS - IngertecGrupo Ingertec
 
Seguridad informatica christian rojas
Seguridad informatica christian rojasSeguridad informatica christian rojas
Seguridad informatica christian rojasChristian Rojas Saavedra
 
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informaticaDC FCP
 
Superior
SuperiorSuperior
Superiorjuan cutiupala
 
ISO Danny Yunga
ISO Danny YungaISO Danny Yunga
ISO Danny Yungadanny yunga
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informáticaPaperComp
 
Manual politicas de seguridad
Manual politicas de seguridad Manual politicas de seguridad
Manual politicas de seguridad gchv
 
Ensayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicanoEnsayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicanoSole Leraguii
 

Recomendados

Esquema Nacional de Seguridad ENS - Ingertec
Esquema Nacional de Seguridad ENS - IngertecEsquema Nacional de Seguridad ENS - Ingertec
Esquema Nacional de Seguridad ENS - IngertecGrupo Ingertec
 
Seguridad informatica christian rojas
Seguridad informatica christian rojasSeguridad informatica christian rojas
Seguridad informatica christian rojasChristian Rojas Saavedra
 
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informaticaDC FCP
 
Superior
SuperiorSuperior
Superiorjuan cutiupala
 
ISO Danny Yunga
ISO Danny YungaISO Danny Yunga
ISO Danny Yungadanny yunga
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informáticaPaperComp
 
Manual politicas de seguridad
Manual politicas de seguridad Manual politicas de seguridad
Manual politicas de seguridad gchv
 
Ensayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicanoEnsayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicanoSole Leraguii
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosVidal Oved
 
Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaYamileth Miguel
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticosdianalloclla
 
Segunf ud1 2
Segunf ud1 2Segunf ud1 2
Segunf ud1 2macase
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishedu25
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Alexander Velasque Rimac
 
seguridad indutrial
seguridad indutrialseguridad indutrial
seguridad indutrialNanxy Sandoval
 
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA1426NA
 
Manual seguridad informatica
Manual seguridad informaticaManual seguridad informatica
Manual seguridad informaticaMaria de Jesus Reyes Betancourt
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanolDaniel Arevalo
 
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...edwin damian pavon
 
Sistemas de Gestión de Seguridad Informática.
Sistemas de Gestión de Seguridad Informática. Sistemas de Gestión de Seguridad Informática.
Sistemas de Gestión de Seguridad Informática. Eduardo Maradiaga
 
Medidas de Seguridad TI
Medidas de Seguridad TIMedidas de Seguridad TI
Medidas de Seguridad TIRocyLeon
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadjosue hercules ayala
 
Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionales
Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionalesCurso: Comunicación de datos y redes: 15 Buenas prácticas internacionales
Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionalesJack Daniel Cáceres Meza
 
Ficha esquematica de auditoria
Ficha esquematica de auditoriaFicha esquematica de auditoria
Ficha esquematica de auditoriarafael_isaac
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaOmar Rebollar Coatzin
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónDavid Eliseo Martinez Castellanos
 
Sistema de gestión de seguridad de la información Danny Calix
Sistema de gestión de seguridad de la información Danny CalixSistema de gestión de seguridad de la información Danny Calix
Sistema de gestión de seguridad de la información Danny CalixDanny Calix
 
guia definitiva_inteligencia_empresarial
guia definitiva_inteligencia_empresarialguia definitiva_inteligencia_empresarial
guia definitiva_inteligencia_empresarialFelipe Zamora
 
Financiamiento Universitario: AFI - AFD
Financiamiento Universitario: AFI - AFDFinanciamiento Universitario: AFI - AFD
Financiamiento Universitario: AFI - AFDFrancisco Caro Saavedra
 

Más contenido relacionado

La actualidad más candente

Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosVidal Oved
 
Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaYamileth Miguel
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticosdianalloclla
 
Segunf ud1 2
Segunf ud1 2Segunf ud1 2
Segunf ud1 2macase
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishedu25
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Alexander Velasque Rimac
 
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA1426NA
 
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...edwin damian pavon
 
Sistemas de Gestión de Seguridad Informática.
Sistemas de Gestión de Seguridad Informática. Sistemas de Gestión de Seguridad Informática.
Sistemas de Gestión de Seguridad Informática. Eduardo Maradiaga
 
Medidas de Seguridad TI
Medidas de Seguridad TIMedidas de Seguridad TI
Medidas de Seguridad TIRocyLeon
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadjosue hercules ayala
 
Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionales
Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionalesCurso: Comunicación de datos y redes: 15 Buenas prácticas internacionales
Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionalesJack Daniel Cáceres Meza
 
Ficha esquematica de auditoria
Ficha esquematica de auditoriaFicha esquematica de auditoria
Ficha esquematica de auditoriarafael_isaac
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónDavid Eliseo Martinez Castellanos
 
Sistema de gestión de seguridad de la información Danny Calix
Sistema de gestión de seguridad de la información Danny CalixSistema de gestión de seguridad de la información Danny Calix
Sistema de gestión de seguridad de la información Danny CalixDanny Calix
 

La actualidad más candente (20)

Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas Informaticos
 
Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad Informatica
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticos
 
Segunf ud1 2
Segunf ud1 2Segunf ud1 2
Segunf ud1 2
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanish
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011
 
Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)
 
seguridad indutrial
seguridad indutrialseguridad indutrial
seguridad indutrial
 
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA
 
Manual seguridad informatica
Manual seguridad informaticaManual seguridad informatica
Manual seguridad informatica
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanol
 
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
 
Sistemas de Gestión de Seguridad Informática.
Sistemas de Gestión de Seguridad Informática. Sistemas de Gestión de Seguridad Informática.
Sistemas de Gestión de Seguridad Informática.
 
Medidas de Seguridad TI
Medidas de Seguridad TIMedidas de Seguridad TI
Medidas de Seguridad TI
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
 
Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionales
Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionalesCurso: Comunicación de datos y redes: 15 Buenas prácticas internacionales
Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionales
 
Ficha esquematica de auditoria
Ficha esquematica de auditoriaFicha esquematica de auditoria
Ficha esquematica de auditoria
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la Información
 
Sistema de gestión de seguridad de la información Danny Calix
Sistema de gestión de seguridad de la información Danny CalixSistema de gestión de seguridad de la información Danny Calix
Sistema de gestión de seguridad de la información Danny Calix
 

Destacado

guia definitiva_inteligencia_empresarial
guia definitiva_inteligencia_empresarialguia definitiva_inteligencia_empresarial
guia definitiva_inteligencia_empresarialFelipe Zamora
 
como gestionar_talento_empresa
como gestionar_talento_empresacomo gestionar_talento_empresa
como gestionar_talento_empresaFelipe Zamora
 
Formato debate Feuach 2015
Formato debate Feuach 2015Formato debate Feuach 2015
Formato debate Feuach 2015Felipe Zamora
 
herramientas gestion_del_talento
herramientas gestion_del_talentoherramientas gestion_del_talento
herramientas gestion_del_talentoFelipe Zamora
 
Elecciones miraflores
Elecciones mirafloresElecciones miraflores
Elecciones mirafloresFelipe Zamora
 

Destacado (9)

guia definitiva_inteligencia_empresarial
guia definitiva_inteligencia_empresarialguia definitiva_inteligencia_empresarial
guia definitiva_inteligencia_empresarial
 
Financiamiento Universitario: AFI - AFD
Financiamiento Universitario: AFI - AFDFinanciamiento Universitario: AFI - AFD
Financiamiento Universitario: AFI - AFD
 
como gestionar_talento_empresa
como gestionar_talento_empresacomo gestionar_talento_empresa
como gestionar_talento_empresa
 
Formato debate Feuach 2015
Formato debate Feuach 2015Formato debate Feuach 2015
Formato debate Feuach 2015
 
Analisis Porter
Analisis PorterAnalisis Porter
Analisis Porter
 
herramientas gestion_del_talento
herramientas gestion_del_talentoherramientas gestion_del_talento
herramientas gestion_del_talento
 
Elecciones miraflores
Elecciones mirafloresElecciones miraflores
Elecciones miraflores
 
Elecciones teja
Elecciones tejaElecciones teja
Elecciones teja
 
AFD-AFI
AFD-AFIAFD-AFI
AFD-AFI
 

Similar a Seguridad informática

facebook completado
facebook completadofacebook completado
facebook completadomitzihermosa
 
Preguntas de Diagnostico Sobre Seguridad Informatica
Preguntas de Diagnostico Sobre Seguridad InformaticaPreguntas de Diagnostico Sobre Seguridad Informatica
Preguntas de Diagnostico Sobre Seguridad InformaticaPedro Cobarrubias
 
Preguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad InformaticaPreguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad InformaticaPedro Cobarrubias
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIUCC
 
Extraodinario de tics 1.0
Extraodinario de tics 1.0Extraodinario de tics 1.0
Extraodinario de tics 1.0rubiuis martin
 
Extraodinario de tics 1.0
Extraodinario de tics 1.0Extraodinario de tics 1.0
Extraodinario de tics 1.0Rubii11239
 
Extraodinario de tics 1.0
Extraodinario de tics 1.0Extraodinario de tics 1.0
Extraodinario de tics 1.0rubiuis martin
 
Extraodinario de tics 1.0
Extraodinario de tics 1.0Extraodinario de tics 1.0
Extraodinario de tics 1.0Rubii11239
 
Extraodinario de tics 1.0
Extraodinario de tics 1.0Extraodinario de tics 1.0
Extraodinario de tics 1.0rubiuis martin
 
Documentos final.11.7
Documentos final.11.7Documentos final.11.7
Documentos final.11.7Whitman Perez
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particularxavier cruz
 
Diapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaDiapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaPedro Cobarrubias
 
Diapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaDiapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaPedro Cobarrubias
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4mCarmen32
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
 

Similar a Seguridad informática (20)

Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
facebook completado
facebook completadofacebook completado
facebook completado
 
Preguntas de Diagnostico Sobre Seguridad Informatica
Preguntas de Diagnostico Sobre Seguridad InformaticaPreguntas de Diagnostico Sobre Seguridad Informatica
Preguntas de Diagnostico Sobre Seguridad Informatica
 
Preguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad InformaticaPreguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad Informatica
 
Plan de seguridad (1)
Plan de seguridad (1)Plan de seguridad (1)
Plan de seguridad (1)
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
 
Extraodinario de tics 1.0
Extraodinario de tics 1.0Extraodinario de tics 1.0
Extraodinario de tics 1.0
 
Extraodinario de tics 1.0
Extraodinario de tics 1.0Extraodinario de tics 1.0
Extraodinario de tics 1.0
 
Extraodinario de tics 1.0
Extraodinario de tics 1.0Extraodinario de tics 1.0
Extraodinario de tics 1.0
 
Extraodinario de tics 1.0
Extraodinario de tics 1.0Extraodinario de tics 1.0
Extraodinario de tics 1.0
 
Extraodinario de tics 1.0
Extraodinario de tics 1.0Extraodinario de tics 1.0
Extraodinario de tics 1.0
 
Documentos final.11.7
Documentos final.11.7Documentos final.11.7
Documentos final.11.7
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISO
 
Plan de seguridad
Plan de seguridad Plan de seguridad
Plan de seguridad
 
expo Isoeic27000
expo Isoeic27000expo Isoeic27000
expo Isoeic27000
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particular
 
Diapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaDiapositiva sobre seguridad informática
Diapositiva sobre seguridad informática
 
Diapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaDiapositiva sobre seguridad informática
Diapositiva sobre seguridad informática
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enrique
 

Más de Felipe Zamora

Resolución Semana Facultad
Resolución Semana FacultadResolución Semana Facultad
Resolución Semana FacultadFelipe Zamora
 
Compromiso de trabajo conjunto ingeniería comercial 2012
Compromiso de trabajo conjunto ingeniería comercial 2012Compromiso de trabajo conjunto ingeniería comercial 2012
Compromiso de trabajo conjunto ingeniería comercial 2012Felipe Zamora
 
Resumen jornadas de paro 1
Resumen jornadas de paro 1Resumen jornadas de paro 1
Resumen jornadas de paro 1Felipe Zamora
 
Declaración pública federación de estudiantes
Declaración pública federación de estudiantesDeclaración pública federación de estudiantes
Declaración pública federación de estudiantesFelipe Zamora
 
Declaración pública federación de estudiantes
Declaración pública federación de estudiantesDeclaración pública federación de estudiantes
Declaración pública federación de estudiantesFelipe Zamora
 
Análisis del proyecto curricular ingeniería comercial
Análisis del proyecto curricular ingeniería comercialAnálisis del proyecto curricular ingeniería comercial
Análisis del proyecto curricular ingeniería comercialFelipe Zamora
 
Proyecto curricular ic 2013
Proyecto curricular ic 2013Proyecto curricular ic 2013
Proyecto curricular ic 2013Felipe Zamora
 
Ci nº079 juan carlos miranda
Ci nº079 juan carlos mirandaCi nº079 juan carlos miranda
Ci nº079 juan carlos mirandaFelipe Zamora
 
Informe ingeniería comercial
Informe ingeniería comercialInforme ingeniería comercial
Informe ingeniería comercialFelipe Zamora
 
Resolución n°032 suspensión de actividades académicas (18 y 23 abril)
Resolución n°032 suspensión de actividades académicas (18 y 23 abril)Resolución n°032 suspensión de actividades académicas (18 y 23 abril)
Resolución n°032 suspensión de actividades académicas (18 y 23 abril)Felipe Zamora
 
Calendario academico-pregrado-2012
Calendario academico-pregrado-2012Calendario academico-pregrado-2012
Calendario academico-pregrado-2012Felipe Zamora
 

Más de Felipe Zamora (20)

Manual php5 basico
Manual php5 basicoManual php5 basico
Manual php5 basico
 
Cuenta pública
Cuenta públicaCuenta pública
Cuenta pública
 
Resolución Semana Facultad
Resolución Semana FacultadResolución Semana Facultad
Resolución Semana Facultad
 
Facea2012
Facea2012 Facea2012
Facea2012
 
Facea2012
Facea2012Facea2012
Facea2012
 
Proyecto n5 caico
Proyecto n5 caicoProyecto n5 caico
Proyecto n5 caico
 
Proyecto n3 caico
Proyecto n3 caicoProyecto n3 caico
Proyecto n3 caico
 
Compromiso de trabajo conjunto ingeniería comercial 2012
Compromiso de trabajo conjunto ingeniería comercial 2012Compromiso de trabajo conjunto ingeniería comercial 2012
Compromiso de trabajo conjunto ingeniería comercial 2012
 
Resumen jornadas de paro 1
Resumen jornadas de paro 1Resumen jornadas de paro 1
Resumen jornadas de paro 1
 
Comunicado oficial
Comunicado oficialComunicado oficial
Comunicado oficial
 
Declaración pública federación de estudiantes
Declaración pública federación de estudiantesDeclaración pública federación de estudiantes
Declaración pública federación de estudiantes
 
Declaración pública federación de estudiantes
Declaración pública federación de estudiantesDeclaración pública federación de estudiantes
Declaración pública federación de estudiantes
 
Análisis del proyecto curricular ingeniería comercial
Análisis del proyecto curricular ingeniería comercialAnálisis del proyecto curricular ingeniería comercial
Análisis del proyecto curricular ingeniería comercial
 
Proyecto curricular ic 2013
Proyecto curricular ic 2013Proyecto curricular ic 2013
Proyecto curricular ic 2013
 
Ci nº079 juan carlos miranda
Ci nº079 juan carlos mirandaCi nº079 juan carlos miranda
Ci nº079 juan carlos miranda
 
Informe ingeniería comercial
Informe ingeniería comercialInforme ingeniería comercial
Informe ingeniería comercial
 
Proyecto n2 caico
Proyecto n2 caicoProyecto n2 caico
Proyecto n2 caico
 
Resolución n°032 suspensión de actividades académicas (18 y 23 abril)
Resolución n°032 suspensión de actividades académicas (18 y 23 abril)Resolución n°032 suspensión de actividades académicas (18 y 23 abril)
Resolución n°032 suspensión de actividades académicas (18 y 23 abril)
 
Proyecto tipo
Proyecto tipoProyecto tipo
Proyecto tipo
 
Calendario academico-pregrado-2012
Calendario academico-pregrado-2012Calendario academico-pregrado-2012
Calendario academico-pregrado-2012
 

Seguridad informática

  • 1. Seguridad Informática Felipe Beningno Zamora Cuevas Profesor:Cristian Salazar Asignatura: Sistemas deInformación Empresarial Valdivia, 10 de julio del 2014 UNIVERSIDAD AUSTRAL DE CHILE FACULTAD DE CIENCIAS ECONÒMICAS Y ADMINISTRATIVAS INSTITUTO DE ADMINISTRACIÓN
  • 2. Contenido Introducción ............................................................................................................................. 3 ¿Qué es la seguridadinformática?.............................................................................................. 3 Estándares de seguridadinformática internacionales.................................................................. 4 Auditoría Informática y Seguridad Informática............................................................................ 5 Certificaciones disponibles en ISACA........................................................................................... 5 COBIT....................................................................................................................................... 6 Conclusión................................................................................................................................ 6 Bibliografía................................................................................................................................ 7
  • 3. Introducción Cuandose está frente a un computadorpoca concienciase tiene de losprocesosy las normas que hay detrásde aparato que usamoso del programacon el que interactuamos,cuandoingresamosa lapáginade nuestro bancooarevisarlascalificacionesenelportal de información de launiversidad. En este trabajoindagaremossobre laseguridadinformáticaylasnormasde estandarizaciónque se han generadoaraíz del análisis de estadisciplinayasu vezcomolosauditores informáticos apoyan este proceso con la evaluación de las vulnerabilidades de los sistemas ocupados por distintas organizaciones. Por medio de una revisión bibliográfica se logrará dar un marco para el conocimiento de estas tareas que hay detrás de los sistemas de información, los estándares internacionales,lascertificacionesylaempresa líderenel otorgamientode ésta,aunque loprimero será conocer de qué estamos hablando cuando hablamos de seguridad informática. ¿Qué es la seguridad informática? La seguridad informática es la disciplina que se enfoca en la protección de la infraestructura computacional y especialmente en la información contenida en ella. Es decir que los sistemas de información,tantohardware comosoftware ylocontenidoenellos actúenconel finque se lesfue dado y a su vez el acceso, y modificación, a la información ahí contenida sea posible para las personasque tienenlaautorizacióncorrespondiente. Esportantoladisciplinaencargadade diseñar las normas,procedimientos,métodosytécnicasdestinadosaconseguirunsistemade información seguro y confiable. La ISO/IEC 27001, que fue aprobado y publicado en octubre de 2005 por la International OrganizationforStandardization(ISO) yporla comisiónInternational Electrotechnical Commission (IEC) nos proporcionalasiguiente definición: “Laseguridadinformáticaconsiste enlaimplantación de un conjunto de medidas técnicas destinadas a preservar la confidencialidad, la integridady la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio.” De esta podemos extraer las principalesbases de laseguridadinformáticalaconfidencialidad,la integridad y la disponibilidad.  Confidencialidad: se refiere al acceso a la información solo mediante autorización y de formacontroladayportantose buscaprevenirladivulgaciónno autorizadade información.  Integridad: se refiere a modificación de la información solo mediante autorización y por tanto se busca prevenir modificaciones no autorizadas de la información.  Disponibilidad: se refiere a que la información del sistema debe permanecer accesible mediante autorización y por tanto se busca prevenir interrupciones no autorizadas o no controladas de los recursos informáticos. Se puede inferir de las bases de la seguridad informática que el concepto de amenaza está constantemente presente y por tanto importante mencionar los distintos orígenes que pueden tener estas para poder tener en cuenta las vulnerabilidades de los sistemas de información. Así podemosverque las amenazasmás frecuentessonlasde origenhumanoya sean estasmaliciosas o no maliciosas. Lasprimerasson las más conocidasy tomadasen cuenta ya que hay un ánimode mal uso de la información o del sistema de información en cuestión, ya sea una amenaza interna (unempleadode laempresapuedesacarpartidode lainformaciónque manejauobtenerpermisos de acceso para ello) o externa (hacker, espionaje corporativo, entre otros).
  • 4. Por otra parte las amenazas de origen humano no maliciosa es la perpetrada generalmente por empleados ignorantes al ocupar el sistema. Además hay que tomar en cuenta las amenazas naturales que van desde desastres naturales, hasta la humedad o temperatura a la que están expuestaslossistemas(ygeneralmente afectanalaparte físicade estos). Vemosque todaaccióno elementoque comprometael sistemaesunaamenazay por tanto esun factor crítico a la hora del análisis de vulnerabilidad del sistema de información. Estas amenazas afectan a los recursos que forman parte del sistema entre los que encontramos: hardware, software y datos entre los más relevantes principalmente debido a la inversión que la empresahace enellosy el valorque agregan tanto a los procesos genéricos comoa los productos finales. De entre los mencionados los datos son los de mayor importancia principalmente por el valor que agregan a toda la organización al ser fuentes de información, conocimiento y a su vez costo de reposición. Pararesguardarlasvulnerabilidadesde lossistemasde informaciónesquese hancreado estándares de seguridad informática internacionales. Estándares de seguridad informática internacionales La primeraapariciónde estándares de seguridadinformáticadatade 1995 La normaBS 7799 de BSI (BritishStandardInstitution) conobjetivo de proporcionara cualquierempresa,seabritánicaono, unconjuntode buenasprácticasparalagestiónde laseguridadde suinformación.La primeraparte de la norma (BS7799-1) fue una guía de buenasprácticas,para la que no se establecíaunesquema de certificación. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que estableció los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidadindependiente yque luegofue adoptadaporlaISO (InternationalOrganizationfor Standarization) e IEC (International Electrotechnical Commission). Si bien se adopta en primera instanciaestasegundaparte como ISO17799 enel 2000 el 2005 se publicala que hastaahora está vigente (y constante revisión). Comoyase plateolaISO/IEC27000 estábasadaenlasegundamitaddelestándarbritánico(BS7799) y encontramos en él controles, valoración de riesgos y el Sistema de gestión de seguridad de la información(SGSI) Ademáscontiene el vocabulario, ypor tanto las definicionesde estos, a ocupar en las normas siguientes. La ISO/IEC 27001es la norma que contiene los requisitosde SGSI y por tanto la que permite la acreditación del mismo por los evaluadores externos. La ISO/IEC27002 esuna guía de buenas prácticasque describe losobjetivosde control y controles recomendables en cuanto a seguridad de la información. En la ISO/IEC 27003 encontramos información sobre el uso del modelo PDCA (mejoramiento continuo de la calidad en cuatro pasos; planificar, hacer, verificar y actuar). La ISO/IEC 27004 especifica las métricas y técnicas de medida para determinar la eficiencia de un sistema de gestión de seguridad de información y de controles relacionados. La ISO/IEC 27005 es una guía para la gestión del riesgo de la seguridad de la información. Apoyo para la ISO 27001.
  • 5. En la ISO/IEC 27006 encontramos los requisitosque deben cumplir las organizaciones encargadas de emitir certificaciones. La ISO/IEC 27007 es una guía para auditar los sistemas de gestión de seguridad de la información conforme a la 27000. La ISO/IEC 27011 es una guía de gestión de seguridad de la información específica para telecomunicaciones. La ISO/IEC 27031 es una guía de continuidad de negocio en lo relativo a tecnologías de la información y comunicaciones. La ISO/IEC 27032 es una guía sobre la ciberseguridad. La ISO/IEC 27799 es una guía para implantar ISO/IEC 27002 específica para entornos médicos. Auditoría Informática y Seguridad Informática La auditoría Informática se preocupa del análisis de la eficiencia de los Sistemas Informáticos, la verificación del cumplimiento de las normativas y la revisión de la eficaz gestión de los recursos informáticosesportanto parte importante de laseguridad informáticayaque permite el control y retroalimentación de las prácticas y las vulnerabilidades en los sistemas de información. Aquí se agrupan en dos conceptos el tema de seguridad: física, todo lo relacionado a los aparatos, instalaciones, soportes de datos, entre otros, y lógica, que tiene relación con el uso de softwares, protección y utilización de datos entre otros. Los auditorespermitenconocerel estadodelsistemade informaciónyportantocomola seguridad informáticaainfluenciadoyapoyadoaesaempresa. Paraserauditorinformáticose debe certificar poruna empresadedicadaylamásreconocidayavaladaesISACA. A suvezse hageneradounaguía de mejores prácticaspresentadacomoframework dirigidaal control y supervisión de lasTI llamada COBIT. Certificaciones disponibles en ISACA ISACA es reconocida por su proceso de selección por medio de un examen extenso y la necesidad de mantenerse actualizado para no perder la certificación. Actualmente ofrece cuatro certificaciones:  Certified Information Systems Auditor (CISA) La certificaciónCISA esreconocidaentodoel mundocomoel logroreconocidode losexpertosque controlan, monitorean y evalúan la plataforma tecnológica de una organización y sus sistemasde negocio.  Certified Information Security Manager (CISM) La certificaciónCISMreconoce a laspersonasque diseñan,construyenygestionanlaseguridadde la informaciónde lasempresas.CISMeslacredencial líderque debentenerlosadministradoresde la seguridad de la información.
  • 6.  Certified in the Governance of Enterprise IT (CGEIT) CGEIT reconoce a una amplia gama de profesionales por su conocimiento y aplicación de los principios y prácticas de gobierno empresarial de TI.  Certified in Risk and Information Systems Control (CRISC) Esta certificación está diseñada para profesionales de TI que tienen amplia experiencia en la identificaciónde riesgos,suanálisisyevaluación;respuestaal riesgo,monitoreode riesgos;diseño e implementación de controles de sistemas de información; y monitoreo y mantenimiento de los mismos. COBIT Es el acrónimo de Objetivos de Control para Información y Tecnologías Relacionadas en inglés: Control Objectives for Information and related Technology. Es una guía de mejores prácticas presentada en framework, creada por ISACA, que permite optimizar los servicios el costede las TI y la tecnología; apoyar el cumplimiento de las leyes,reglamentos, acuerdos contractuales y las políticas y la gestión de nuevas tecnologías de información. El hecho de que se presente como framework permite la aplicación en distintas empresas sin importar el tamaño ya que agrupa conceptos y modelos que deben ser rellenados por la información de la organización a evaluar para generar mapas de procesos de las TI y proporciona un lenguaje común para comunicar las metas y objetivos a los interesados. Basado en un principio básico: “Los recursos de TI son manejados por procesos de TI para lograr metas de TI que respondan a los requerimientos del negocio” alinea los requerimientos a sus objetivos y ayuda a vigilar y controlar los costos asociados a TI buscando el mayor rendimiento de TI. Conclusión La seguridad informática es de vital importancia cuando trabajamos con TI ya que las amenazas son muchas y pueden minar las inversiones hechas como aumentar los costos por los daños latentes si no se controlar de manera correcta. Para minimizar el riesgo las normas de estandarización nos dan una mano en términos de poner de manifiesto las mejores prácticas y a su vez potenciar la auditoría para fortalecer nuestros sistemas de información. En el mundo interconectado en el que se desenvuelven las organizaciones es fundamental y no se puede dejar a un lado las tecnologías de información y por tanto deben ser aprovechadas en su medida alineadas con los objetivos de nuestra empresa. Para esto lo expuesto en este texto apoya una visión más amplia sobre la utilización de estos y las oportunidades de sacar el mejor provecho de ellas para que una amenaza se transforme en una fortaleza y no en una debilidad.
  • 7. Bibliografía Borghello,Cristian.«Segu.Info.»s.f.http://www.segu-info.com.ar/tesis/(últimoacceso:juliode 2014). Erb, Markus. Gestión de Riesgo de la Seguridad Informática. s.f. http://protejete.wordpress.com/gdr_principal/definicion_si/(últimoacceso:juliode 2014). InstitutoNacional de TecnologíasEducativasyFormacióndel Profesorado. Observatorio Tecnológico. s.f.http://recursostic.educacion.es/observatorio/web/es/software/software- general/1040-introduccion-a-la-seguridad-informatica(últimoacceso:juliode 2014). ISACA.s.f.http://www.slideshare.net/rsoriano/cobit-para-que-sirve(últimoacceso:juniode 2014). LopezNeira,Agustín,yJavierRuizSpohr. ISO27000.ES. s.f. http://www.iso27000.es/iso27000.html#seccion1(últimoacceso:juliode 2014). Wikipedia. Wikipedia. s.f.http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica(último acceso:juliode 2014).