SEGURIDAD Y AUDITORIA INFORMÁTICA, ISO 17799
¿Qué es la norma ISO 17799?
Ventajas de la adopción de la norma ISO 17799
Orientación de la norma ISO 17799?
Conclusiones
Seguridad informática
Objetivos de la Seguridad Informáticadde
1. SEGURIDAD Y AUDITORIA INFORMATICA,
ISO 17799
¿Qué es la norma ISO 17799?
ISO 17799 es una norma internacional que ofrece
recomendaciones para realizar la gestión de la
seguridad de la información dirigidas a los responsables
de iniciar, implantar o mantener la seguridad de una
organización.
2. Objetivo de la norma ISO 17799
El objetivo de la norma ISO 17799 es proporcionar una
base común para desarrollar normas de seguridad
dentro de las organizaciones, un método de gestión
eficaz de la seguridad y para establecer transacciones y
relaciones de confianza entre las empresas.
3. Ventajas de la adopción de la norma ISO 17799
• Aumento de la seguridad efectiva de los sistemas de
información.
• Correcta planificación y gestión de la seguridad.
• Garantías de continuidad del negocio.
• Mejora continua a través del proceso de auditoría
interna.
• Incremento de los niveles de confianza de los clientes y
socios de negocios.
• Aumento del valor comercial y mejora de la imagen de
la organización.
4. Orientación de la norma ISO 17799?
• La norma ISO 17799 no es una norma tecnológica.
• La seguridad de la información es un asunto que
compete a la alta gerencia no al área tecnológica, por lo
cual es un asunto empresarial.
• La gente toma decisiones de seguridad basados en los
riesgos percibidos no en los riesgos reales, por lo cual el
análisis de riesgos es fundamental para los negocios
5. Conclusiones
• ISO 17799 es una norma internacional que ofrece
recomendaciones para realizar la gestión de la
seguridad de la información.
• La norma se estructura en once dominios de control
que cubren por completo todos los aspectos relativos
a la seguridad de la información.
• Implantar ISO 17799 puede requerir de un trabajo de
consultoría que adapte los requerimientos de la
norma a las necesidades de cada organización.
6. • La adopción de ISO 17799 presenta múltiples ventajas
para la organización, entre ellas el primer paso para una
certificación ISO 27001, pero ni la adopción de ISO
17799, ni la certificación garantizan la inmunidad de la
organización frente a problemas de seguridad.
• Hay que hacer análisis periódicos de los Riesgos y
monitorear continuamente la situación
• La seguridad no es un tema de un día ni un tema
exclusivo del departamento de TI
• Hay que prepararse para entender la norma y avanzar
en el seguimiento de las recomendaciones establecidas.
7. Seguridad informática
• La segurida informática es el área de la informática que
se enfoca en la protección de la infraestructura
computacional y todo lo relacionado con esta
(incluyendo la información contenida). Para ello existen
una serie de estándares, protocolos, métodos, reglas,
herramientas y leyes concebidas para minimizar los
posibles riesgos a la infraestructura o a la información.
La seguridad informática comprende software, bases de
datos, archivos y todo lo que la organización valore
(activo) y signifique un riesgo si ésta llega a manos de
otras personas. Este tipo de información se conoce
como información privilegiada o confidencial.
8. Objetivos de la Seguridad Informática
La seguridad informática está concebida para proteger
los activos informáticos, entre los que se encuentran:
La información contenida
Se ha convertido en uno de los elementos más
importantes dentro de una organización. La seguridad
informática debe ser administrada según los criterios
establecidos por los administradores y supervisores,
evitando que usuarios externos y no autorizados puedan
acceder a ella sin autorización. De lo contrario la
organización corre el riesgo de que la información sea
utilizada maliciosamente para obtener ventajas de ella o
que sea manipulada, ocasionando lecturas erradas o
incompletas de la misma.
9. La infraestructura computacional
Una parte fundamental para el almacenamiento y
gestión de la información, así como para el
funcionamiento mismo de la organización. La función de
la seguridad informática en esta área es velar que los
equipos funcionen adecuadamente y prever en caso de
falla planes de robos, incendios, boicot, desastres
naturales, fallas en el suministro eléctrico y cualquier
otro factor que atente contra la infraestructura
informática.
10. Los usuarios
Son las personas que utilizan la estructura tecnológica,
zona de comunicaciones y que gestionan la información.
La seguridad informática debe establecer normas que
minimicen los riesgos a la información o infraestructura
informática. Estas normas incluyen horarios de
funcionamiento, restricciones a ciertos lugares,
autorizaciones, denegaciones, perfiles de usuario,
planes de emergencia, protocolos y todo lo necesario
que permita un buen nivel de seguridad informática
minimizando el impacto en el desempeño de los
funcionarios y de la organización en general y como
principal contribuyente al uso de programas realizados
por programadores.
11. Las Amenazas
Una vez que la programación y el funcionamiento de un
dispositivo de almacenamiento (o transmisión) de la
información se consideran seguras, todavía deben ser
tenidos en cuenta las circunstancias "no informáticas"
que pueden afectar a los datos, las cuales son a
menudo imprevisibles o inevitables, de modo que la
única protección posible es la redundancia (en el caso
de los datos) y la descentralización -por ejemplo
mediante estructura de redes- (en el caso de las
comunicaciones).
12. Estos fenómenos pueden ser causados por:
•
El usuario: causa del mayor problema ligado a la seguridad de un
sistema informático (porque no le importa, no se da cuenta o a
propósito).
• Programas maliciosos: programas destinados a perjudicar o a hacer
un uso ilícito de los recursos del sistema. Es instalado (por
inatención o maldad) en el ordenador abriendo una puerta a
intrusos o bien modificando los datos. Estos programas pueden ser
un virus informático, un gusano informático, un troyano, una bomba
lógica o un programa espía o Spyware.
•
•
Un intruso: persona que consigue acceder a los datos o programas
de los cuales no tiene acceso permitido (cracker, defacer, script
kiddie o Script boy, viruxer, etc.).
Un siniestro (robo, incendio, inundación): una mala manipulación o
una mal intención derivan a la pérdida del material o de los
archivos.
• El personal interno de Sistemas. Las pujas de poder que llevan a
disociaciones entre los sectores y soluciones incompatibles para la
seguridad informática.
13. Auditoria Informática
La auditoría informática es un proceso llevado a cabo
por profesionales especialmente capacitados para el
efecto, y que consiste en recoger, agrupar y evaluar
evidencias para determinar si un sistema de
información salvaguarda el activo empresarial, mantiene
la integridad de los datos, lleva a cabo eficazmente los
fines de la organización, utiliza eficientemente los
recursos, y cumple con las leyes y regulaciones
establecidas. Permiten detectar de forma sistemática el
uso de los recursos y los flujos de información dentro de
una organización y determinar qué información es crítica
para el cumplimiento de su misión y objetivos,
identificando necesidades, duplicidades, costes, valor y
barreras, que obstaculizan flujos de información
eficientes.
14. Los objetivos de la auditoría Informática son:
• El control de la función informática
• El análisis de la eficiencia de los Sistemas Informáticos
• La verificación del cumplimiento de la Normativa en este
ámbito
• La revisión de la eficaz gestión de los recursos
informáticos.
La auditoría informática sirve para mejorar ciertas
características en la empresa como:
• Desempeño
• Fiabilidad
• Eficacia
• Rentabilidad
• Seguridad
• Privacidad
15. Generalmente se puede desarrollar en alguna o
combinación de las siguientes áreas:
•
•
•
•
•
Gobierno corporativo.
Administración del Ciclo de vida de los sistemas.
Servicios de Entrega y Soporte.
Protección y Seguridad.
Planes de continuidad y Recuperación de desastres.
La necesidad de contar con lineamientos y herramientas
estándar para el ejercicio de la auditoría informática ha
promovido la creación y desarrollo de mejores prácticas
como COBIT, COSO e ITIL.
16. Actualmente la certificación de ISACA para ser
CISA Certified Information Systems Auditor es una de
las más reconocidas y avaladas por los estándares
internacionales ya que el proceso de selección consta
de un examen inicial bastante extenso y la necesidad de
mantenerse actualizado acumulando horas (puntos)
para no perder la certificación
Tipos de auditoría Informática
Dentro de la auditoría informática destacan los
siguientes tipos (entre otros):
• Auditoría de la gestión: la contratación de bienes y
servicios, documentación de los programas, etc.
• Auditoría legal del Reglamento de Protección de Datos:
Cumplimiento legal de las medidas de seguridad
exigidas por el Reglamento de desarrollo de la Ley
Orgánica de Protección de Datos.
17. • Auditoría de los datos: Clasificación de los datos,
estudio de las aplicaciones y análisis de los flujogramas.
• Auditoría de las bases de datos: Controles de acceso,
de actualización, de integridad y calidad de los datos.
• Auditoría de la seguridad: Referidos a datos e
información verificando disponibilidad, integridad,
confidencialidad, autenticación y no repudio.
• Auditoría de la seguridad física: Referido a la
ubicación de la organización, evitando ubicaciones de
riesgo, y en algunos casos no revelando la situación
física de esta. También está referida a las protecciones
externas (arcos de seguridad, CCTV, vigilantes, etc.) y
protecciones del entorno.
18. • Auditoría de la seguridad lógica: Comprende los
métodos de autenticación de los sistemas de
información.
• Auditoría de las comunicaciones. Se refiere a la
auditoria de los procesos de autenticación en los
sistemas de comunicación.
• Auditoría de la seguridad en producción: Frente a
errores, accidentes y fraudes.