1. Volumen 1, nº 1 Bucaramanga, Agosto 27, 2007
UNIVERSIDAD INDUSTRIAL DE SANTANDER
CENTRO DE INNOVACIÓN Y DESARROLLO PARA LA INVESTIGACIÓN EN INGENIERÍA DEL
SOFTWARE
¿QUÉ ES ISACA-UIS-CIDLIS?
Boletín del CIDLIS
Editor: Ricardo Llamosa-Villalba
Patrocinio de:
ISACA Campus Advocate
RICARDO LLAMOSA-VILLALBA
ITI Colombia
The campus Advocate for ISACA
CIDLIS - E3T - UIS
System Engineering, Telecommunications Ph.D., PMP IEEE Computer Society
by PMI, CSDP by IEEE IEEE Education Society
Puntos de interés IEEE Communication Society
especial:
• Boletín CIDLIS
• CIDLIS: Líder en In-
vestigación, Educa-
ción y Extensión
• ¿Qué ISACA?
• Seguridad TIC en
empresas: una nece-
sidad
• Eventos CISA.
• ¿Qué es COBIT?
• Capacitación
Contenido:
Boletín CIDLIS 1
CIDLIS: Líder en investigación y extensión
CIDLIS:Líder en Investi- 1
gación y extensión Exten-
¿Qué es ISACA? 2
El CIDLIS es un Centro de Investi- la especialización en Ingeniería ro de 2007 ha sido reconocido por
gación e Innovación que diseña y del Software para desarrollar su el Software Engineering Institute
Seguridad TIC en la Em- 3 desarrolla proyectos en ingeniería, en el nivel 2 del CMMI. Actual-
propia infraestructura. En 1997
presa: Una necesidad interventoría, consultoría, asesoría mente el CIDLIS – UIS desarro-
recibe el premio Centro de Exce-
y auditoría; enfocados en la gestión lla numerosos proyectos de inves-
lencia COLCIENCIAS. Actual-
Eventos CISA 3
de conocimiento y calidad, inge- tigación, educación y extensión.
mente está re-certificado ISO
niería de sistemas, ingeniería del Destaca sus actividades como
9001.2000 para Colombia, USA,
¿Qué es COBIT? 4 software y las tecnologías de infor- Campus Advocate de ISACA,
Europa y Brasil. Es así mismo un
mación y comunicación. Inició PMI y CSDP de la IEEE Compu-
Grupo de Categoría “A” Colcien-
actividades en 1991. En 1994 crea ter Society.
cias vigencia hasta 2009. En Ene-
Capacitación
2. ¿QUÉ ES ISACA-UIS-CIDLIS?
¿Qué es ISACA?
mundo – se caracterizan por su
ISACA® data de 1967, cuando en una variedad de tópicos
diversidad. Viven y trabajan en
un grupo de personas con traba- profesionales. La red de ISA-
más de 140 países y cubren una
jos similares - controles de audi- CA tiene capítulos en más de
variedad de puestos profesiona-
toría en los sistemas computari- 60 países. Su certificación Cer-
les relacionados con TI – audito-
zados - establecieron la necesi- tified Information Systems
res, consultores, educadores,
dad de disponer de una fuente Auditor (CISA) es reconocida
profesionales de seguridad, re-
centralizada de información y en forma global y ha sido obte-
guladores, directores ejecutivos
guía en dicho campo. En 1969, el nida por más de 50.000 profe-
de información y auditores in-
grupo se formalizó, con el nom- sionales. Su nueva certifica-
ternos. Trabajan en casi todas
bre de EDP (Asociación de Au- ción Certified Information
las categorías de industrias, in-
ditores de Procesamiento Elec- Security Manager (CISM) se
cluyendo finanzas y banca, con-
trónico de Datos). En 1976 la concentra exclusivamente en el
taduría pública, gobierno y sec-
asociación formó una fundación sector de gerencia de seguridad
tor público, servicios públicos y
de educación para ejecutar pro- de la información.
manufactura. Esta diversidad de
yectos de investigación y expan- ISACA posee un capítulo en
recursos permite que los miem-
dir los conocimientos en el cam- Bogotá y actualmente un pro-
bros aprendan unos de otros, e
po de gobernación y control de grama de Academic Advocate
intercambien puntos de vista
TI. Hoy, los miembros de ISA- en el CIDLIS de la UIS.
con divergencias significativas
CA – más de 65.000 en todo el
¿Qué es la Auditoría de Sistemas de Seguridad de Información?
•Identificación de sistemas y
La auditoría de seguridad in- guiendo siempre un proceso
formática o auditoría de segu- secuencial para que los admi- dispositivos
•Identificación de los siste-
nistradores mejoren la seguri-
ridad de sistemas de informa-
ción (SI) comprende el análisis y dad de sus sistemas aprendien- mas operativos instalados
•Análisis de servicios y apli-
gestión de sistemas para identifi- do de los errores cometidos con
car y posteriormente corregir las anterioridad. Las auditorías de caciones
•Detección, comprobación y
diversas vulnerabilidades que seguridad de SI permiten cono-
pudieran presentarse en una revi- cer en el momento de su reali- evaluación de vulnerabilida-
sión exhaustiva de las estaciones zación cuál es la situación des
de trabajo, redes de comunica- exacta de sus activos de infor- •Medidas específicas de co-
ciones o servidores de comunica- mación en cuanto a protección, rrección
ciones. Una vez obtenidos los control y medidas de seguri- •Recomendaciones sobre
resultados, se detallan, archivan dad. Los servicios de auditoría implantación de medidas
y reportan a los responsables constan de las siguientes fases: preventivas
•Enumeración de redes, topo-
quienes deberán establecer medi-
das preventivas de refuerzo, si- logías y protocolos
Tipos de auditoría
Los servicios de auditoría son: los sistemas, para comprobar el análisis postmortem.
• Seguridad Interna. En este tipo • Páginas Web. Entendida co-
nivel de resistencia a la intru-
sión no deseada. Es un comple- mo el análisis externo de la
de auditoría se contrasta el ni-
mento fundamental para la au-
vel de seguridad y privacidad web, comprobando vulnera-
de las redes locales y corporati- ditoría perimetral. bilidades como la inyección
• Forense. El análisis forense es
vas de carácter interno de código sql, Verificación
• Seguridad perimetral. En este una metodología de estudio de existencia y anulación de
ideal para el análisis posterior posibilidades de Cross Site
tipo de análisis, el perímetro de
de incidentes, mediante el cual Scripting (XSS), etc.
la red local o corporativa es
se trata de reconstruir cómo se • Aplicaciones. Análisis del
estudiado y se analiza el grado
ha penetrado en el sistema, a la código tanto de aplicaciones
de seguridad que ofrece en las
par que se valoran los daños
entradas exteriores páginas Web como de cual-
• Intrusión. El test de intrusión es ocasionados. Si los daños han quier tipo de aplicación, in-
un método de auditoría median- provocado la inoperabilidad del dependientemente del len-
sistema, el análisis se denomina guaje empleado
te el cual se intenta acceder a
Página 2
3. Volumen 1, nº 1
SEGURIDAD TIC EN LA EMPRESA: UNA NECESIDAD
La seguridad TIC en la empresa almacenamiento, la calidad de los conexio-
asocia al desarrollando ideas como nes, con
sistemas de seguridad.
la Triple S (Seguridad + Systems + un creci-
Storage), los negocios electrónicos, Un ejemplo del efecto de la tecnolo- miento del
la gestión de riesgos, la gestión uni- gía TIC lo constituye el saber que en 10,2% en
ficada de las amenazas para el aho- un mes un total de 7.334.939 líneas lo que va
rro de costes y mayor facilidad de de banda ancha han sido instaladas, de año.
administración, el control de Acceso siendo la densidad de 16,4 líneas por
y Gestión de identidades para ges- cada 100 habitantes, según los datos La moda-
tionar la complejidad organizacio- publicados por la Comisión del lidad de
nal, la gestión de riesgos relaciona- Mercado de las Telecomunicacio- acceso mayorista mediante bucle desagregado,
dos con el robo de datos, identidad nes, CMT. Lo que supone un au- es decir, mediante el alquiler a Telefónica del
y ataques financieros, las firmas mento de 105.930 líneas entre dos último tramo del par de cobre, suponía a finales
electrónicas, la gestión de identida- meses. El DSL continúa siendo la de mayo el 15,5% de las líneas de banda ancha,
des, la movilidad, la generación y tecnología de acceso preferida por con un total de 1.141.866 bucles. En concreto en
custodia de pruebas electrónicas. La los usuarios y en el mes de mayo se mayo se desagregaron un total de 31.353 bucles.
usabilidad, la protección de infor- dieron de alta 86.498 nuevas líneas, En cuanto al cable módem, mayo sumó 19.432
mación en servidores y entornos de hasta alcanzar un total de 5.778.462 nuevas líneas, hasta las 1.556.477 conexiones
Eventos CISA
CURSO CISA
“Invertir en la mejora de
Sede UIS - BUCARICA
competencias personales y
Noviembre de 2007
empresariales es
Informes: CIDLIS – UIS
preparase para no quedar
Tel. 6701062
fuera de mercado”
Bucaramanga
Gestión de Conocimiento.
Eventos Internacionales
Página 3
4. Red de Mejora de Procesos Software y de Sistemas de Colombia Software & Systems Process Improvement Net of Colombia
- RMPS Colombia — - SPIN Colombia -
Analizado el estado del sector de la Industria de Sistemas y de Software se
prevé que hay una necesidad por conocer sobre la relación que hay entre
ISO9000 y el modelo de CMMI para explicar el por qué el modelo de ma-
durez de procesos planteado en CMMI es benéfico para incrementar la
competitividad de las empresas. Y cómo las empresas que han acogido ese
modelo, han incrementado su penetración en el mercado en un 300%.
Carrera 19 No. 35 -02 Sede UIS - Bucarica
Teléfono: 6422809 Telefax: 6701062
Bucaramanga, Santander
nrllamos@cidlisuis.org
!Estamos en la Web
http://spincolombia.blogspot.com/
http://spincolombia.wikispaces.com/
Capacitación de Septiembre de 2007
MODELO DE MADUREZ DE CAPACIDAD INTEGRAL DE PROCESOS (MCIP)
¿QUÉ ES COBIT?
IT Governance Institute (ITGI) anunció COBIT 4.1, la nueva versión del marco mun-
hoy día la publicación de COBIT 4.1, dialmente aceptado, permite asegurar la ali- La nueva versión de COBIT 4.1 incluye
una nueva versión del marco para el neación de TI con los objetivos empresariales, la medición del desempeño, mejores
gobierno de TI de COBIT (Objetivos de el uso responsable de los recursos y la gestión objetivos de control y mejor alineación
Control para la Información y la Tecno- apropiada de los riesgos. Representa un per- con las metas de negocios y TI.
logía relacionada), que proporciona una feccionamiento del marco COBIT 4.0 y se
serie de prácticas autoritativas interna- puede utilizar para mejorar el trabajo realiza- quot;COBIT es el único marco de gestión
cionales, generalmente aceptadas, que do con las versiones anteriores de COBIT. que aborda el ciclo completo de vida de
ayudan a los directores, ejecutivos y la inversión en TI. Este marco apoya el
gerentes a aumentar el valor de TI y logro de los objetivos empresariales de
reducir los riesgos relacionados. TI, asegura la alineación de las tecnolo-
gías de información de la empresa y
De amplio uso como herramienta de mejora la eficiencia y eficacia de dichas
cumplimiento de Sarbanes-Oxley y de tecnologíasquot;, señaló Roger Debreceny,
muchas otras normas internacionales, presidente del comité directivo de CO-
COBIT precede a las leyes de control BIT de ITGI. quot;COBIT 4.1 se basa en la
que se están promulgando en todo el orientación práctica de directores de todo
mundo. Es el fruto de 15 años de inves- el mundo que utilizan el marco para me-
tigaciones y cooperación entre expertos jorar el gobierno de TI en sus organiza-
mundiales en TI y negocios, y constitu- ciones, por lo tanto, ha sido sometido a
ye un marco unificador internacional pruebas y validadoquot;.
que integra todas las principales normas
internacionales de tecnología de la in-
formación, entre ellas, ITIL, CMMI e
ISO17799. La nueva versión del marco
se puede descargar en forma gratuita en
el sitio de ITGI (http://www.itgi.org),
una organización independiente y sin
fines de lucro.