SlideShare una empresa de Scribd logo

Seguridad informatica christian rojas

Descargar como DOCX, PDF
Christian Rojas Saavedra
Christian Rojas Saavedra
Tecnología
1 de 11
Universidad Austral de Chile Facultad de Cs. Económicas y Administrativas. Escuela de Ingeniería Comercial. Seguridad Informática. Alumno: Christian Rojas Saavedra Profesor: Cristian Salazar Asignatura: Sistemas DeInformación Empresarial(ADMI273) 09 de Julio del 2014
ÍNDICE. INTRODUCCIÓN................................................................................................................... 3 ¿QUÉ ES LA SEGURIDAD INFORMÁTICA? ...................................................................... 4 Principios de Seguridad Informática: .................................................................................. 4 Factores de Riesgo:.............................................................................................................. 4 ¿QUÉ ESTÁNDARES DE SEGURIDAD INFORÁTICA EXCISTEN?.................................. 5 ISO-27.000........................................................................................................................... 5 Normativa Chilena............................................................................................................... 6 ¿CUÁLES SON LAS CERTIFICACIONES QUE UNO PUEDE OBTENER EN ISACA? ..... 6 Certified Information Systems Auditor (CISA).................................................................... 7 Certified Information Security Manager (CISM)................................................................. 7 Certified in the Governance of Enterprise IT (CGEIT). ...................................................... 8 Certified in Risk and Information Systems Control (CRISC).............................................. 8 ¿CUÁL ES LA RELACIÓNENTRE LA AUDITORÍA INFORMÁTICA YLA SEGURIDAD INFORMÁTICA? ................................................................................................................... 9 Auditoría Informática.......................................................................................................... 9 COBIT................................................................................................................................. 9 CONCLUSIÓN.......................................................................................................................10 BIBLIOGRAFÍA....................................................................................................................11
INTRODUCCIÓN. En este trabajo desarrollaremos el concepto de seguridad informática porque es un tema que involucra a muchas personas ya que hoy en día toda organización, empresa o persona haces uso de los diferentes sistemas de información permitiendo acceder a una infinidad de personas a estos, y ya que cada día más y más personas mal intencionadas intentan tener acceso a los datos de los diferentes ordenadores para hacer un uso malicioso de estos datos es que este tema toma una fuerte importancia. Empezaremos con explicar que es y definiendo el concepto, luego de esto los estándares que existen con respecto a este tema, con respecto a lo anterior también trataremos las diferentes certificaciones que se pueden obtener, posterior a esto explicaremos lo que es la auditoria informática y hablaremos un poco sobre COBIT.
¿QUÉ ES LA SEGURIDAD INFORMÁTICA? La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas, orientados a proveer condiciones seguras y confiables, para el procesamiento de datos en sistemas informáticos. Consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida, así como su modificación, sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización. Principios de Seguridad Informática: Para lograr sus objetivos la seguridad informática se fundamenta en tres principios, que debe cumplir todo sistema informático:  Confidencialidad: Se refiere a la privacidad de los elementos de información almacenados y procesados en un sistema informático, Basándose en este principio, las herramientas de seguridad informática deben proteger el sistema de invasiones y accesos por parte de personas o programas no autorizados. Este principio es particularmente importante en sistemas distribuidos, es decir, aquellos en los que los usuarios, computadores y datos residen en localidades diferentes, pero están física y lógicamente interconectados.  Integridad: Se refiere a la validez y consistencia de los elementos de información almacenados y procesador en un sistema informático. Basándose en este principio, las herramientas de seguridad informática deben asegurar que los procesos de actualización estén bien sincronizados y no se dupliquen, de forma que todos los elementos del sistema manipulen adecuadamente los mismos datos. Este principio es importante en sistemas descentralizados, es decir, aquellos en los que diferentes usuarios, computadores y procesos comparten la misma información.  Disponibilidad: Se refiere a la continuidad de acceso a los elementos de información almacenados y procesados en un sistema informático. Basándose en este principio, las herramientas de seguridad informática deber reforzar la permanencia del sistema informático, en condiciones de actividad adecuadas para que los usuarios accedan a los datos con la frecuencia y dedicación que requieran, este principio es importante en sistemas informáticos cuyos compromiso con el usuario, es prestar servicio permanente. Factores de Riesgo:  Ambientales/Físicos: Factores externos, lluvias, inundaciones, terremotos, tormentas, rayos, humedad, calor entre otros.  Tecnológicos: Fallas de hardware y/o software, fallas en el aire acondicionado, falla en el servicio eléctrico, ataque por virus informático, etc.  Humanos: Hurto, adulteración, fraude, modificación, revelación, pérdida, sabotaje, vandalismo, crackers, hackers, falsificación, robo de contraseñas, alteraciones etc.
¿QUÉ ESTÁNDARES DE SEGURIDAD INFORÁTICA EXCISTEN? ISO-27.000. Existe una serie o conjunto de estándares que fueron desarrollados (y siguen desarrollándose) por la International Organization for Standardization (ISO) e international Electrotechnical Commission (IEC) que nos dan a conocer un marco digestión acerca de la seguridad informática utilizada por cualquier organización, independiente de su tamaño o si es pública o privada.  El ISO-27000: Está basado en la segunda mitad de un estándar británico (BS7799) y se encuentra conformado por: -Controles -Valoración de Riesgo -Sistema de Gestión de Seguridad de la Información Aunque existen otras normas ISO, la 27000 es más que otra cosa, una serie de estándares de seguridad informática.  ISO/IEC 27000: Contiene términos y definiciones, prácticamente un vocabulario que se utiliza en toda la serie 27000. Para aplicar cualquier estándar, es necesario contar con un vocabulario definido, para evitar dobles interpretaciones en cuanto a conceptos técnicos y de gestión.  ISO/IEC 27001: Es la principal norma de requisitos del sistema para gestionar la seguridad de la información. Se origina en el estándar británico BS 7799 y es la norma con arreglo donde se certifican por auditores externos los sistemas de gestión de la seguridad de la información (SGSI) de las organizaciones.  ISO/IEC 27002: (Antigua ISO 17799), es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. Cuenta con 39 objetivos de control y 133 controles, agrupados en 11dominios y a pesar de no ser obligatoria la implementación de todos los controles, la organización debe dar buenos argumentos para no aplicar los controles.  ISO/IEC 27003: Contiene una guía de sistemas de gestión de seguridad de la información e información sobre el uso del modelo PDCA (mejoramiento continuo dela calidad en cuatro pasos; planificar, hacer, verificar y actuar).  ISO/IEC 27004: Especifica las métricas y técnicas de medida para aplicar en determinar la eficiencia de un sistema de gestión de seguridad de información y de controles relacionados (las métricas son para la fase “implementar” de PDCA).  ISO/IEC 27005: Es una guía para la gestión del riesgo de la seguridad de la información, es un apoyo para la ISO 27001.
 ISO/IEC 27006: Requisitos que deben cumplir las organizaciones encargadas de emitir certificaciones.  ISO/IEC 27007: Es una guía de cómo actuar para auditar los sistemas de gestión de seguridad de la información, todo esto conforme a las normas 27000.  ISO/IEC 27011: Es Una guía de gestión de seguridad de la información específica para telecomunicaciones, la cual se ha elaborado conjuntamente con la ITU (Unión Internacional de Telecomunicaciones)  ISO/IEC 27031: Es una guía de continuidad de negocio en lo relativo a tecnologías de la información y comunicaciones (TIC).  ISO/IEC 27032: Es una guía sobre la ciberseguridad y en aplicaciones.  ISO/IEC 27799: Es una guía para implantar ISO/IEC 27002 específica para entornos médicos. Normativa Chilena. En chile la ley que penaliza y regula sobre lo que es la seguridad informática es la ley 19.223. Esta ley fue creada el año 1993 y promulga lo siguiente:  Artículo 1°.- El que maliciosamente destruya o inutilice un sistema de tratamiento de información o sus partes o componentes, o impida, obstaculice o modifique su funcionamiento, sufrirá la pena de presidio menor en su grado medio a máximo. Si como consecuencia de estas conductas se afectaren los datos contenidos en el sistema, se aplicará la pena señalada en el inciso anterior, en su grado máximo.  Artículo 2°.- El que con el ánimo de apoderarse, usar o conocer indebidamente de la información contenida en un sistema de tratamiento de la misma, lo intercepte, interfiera o acceda a él, será castigado con presidio menor en su grado mínimo a medio.  Artículo 3°.- El que maliciosamente altere, dañe o destruya los datos contenidos en un sistema de tratamiento de información, será castigado con presidio menor en su grado medio.  Artículo 4°.- El que maliciosamente revele o difunda los datos contenidos en un sistema de información, sufrirá la pena de presidio menor en su grado medio. Si quien incurre en estas conductas es el responsable del sistema de información, la pena se aumentará en un grado. ¿CUÁLES SON LAS CERTIFICACIONES QUE UNO PUEDE OBTENER EN ISACA? ISACA es un líder mundialmente reconocido, proveedor de conocimiento, certificaciones, comunidad, apoyo y educación en seguridad y aseguramiento de sistemas de información, gobierno empresarial. Administración de TI así como riesgos y cumplimiento relacionados con TI.
ISACA ofrece cuatro certificaciones, las cuales son reconocidas a nivel mundial para los profesionales de Auditoría, Seguridad, Gobierno y Riesgo de TI, esas son - CISA. - CISM. - CGEIT. - CRISC. Certified Information Systems Auditor (CISA). CISA es reconocido mundialmente como el estándar de rendimiento en auditoría, control, seguimiento y evaluación de la tecnología de una organización de la información y sistemas de negocio. Para poder obtenerla los candidatos a la certificación CISA deben pasar un examen de acuerdo con el Código Profesional de Ética de ISACA, además de comprobar cinco años de experiencia en auditoría de sistemas, control interno y seguridad informática y tener un programa de educación continua. En caso de no cumplir con estos requisitos, existen algunas equivalencias definidas en la página de ISACA:  Un mínimo de un año de experiencia en sistemas de información o un año de experiencia en auditorías operacionales, pueden ser sustituidos por un año de experiencia auditoría de sistemas, control interno y seguridad informática.  60 a 120 horas de estudios profesionales pueden ser sustituidos por uno o dos años de experiencia respectivamente de auditoría de sistemas, control interno y seguridad informática.  2 años de instructor de tiempo completo en Universidad en campos relacionados (ejemplo: ciencias computacionales, contabilidad, auditoría de sistemas de información, pueden ser sustituidos por un año de experiencia de auditoría de sistemas de información, control interno y seguridad de informática. Certified Information Security Manager (CISM). La Certificación en Gestión de Seguridad de la Información es la certificación de ISACA introducida desde el año 2002 y dirigida específicamente a profesionales experimentados en la Seguridad de la Información. La certificación CISM está orientada a la gerencia de riesgos y gestión de seguridad de la información. Para conseguir la certificación, es necesario acreditar cinco años de ejercicio profesional y aprobar un examen, el mismo en todo el mundo, que se realiza anualmente en el mes de junio y diciembre. Para superar el examen se tiene que obtener una puntuación mínima del 75%. La inscripción al examen y la adquisición de los manuales se hace directamente en la web de ISACA internacional. Además, el director acreditado por el CISM
está obligado a realizar cada año un mínimo de horas de formación para mantenerse al día en un entorno tan cambiante. Si no se reporta esta información, se revoca la certificación de forma inmediata. Certified in the Governance of Enterprise IT (CGEIT). Permite a las empresas disponer de profesionales capaces de aplicar las mejores prácticas y obtener los mejores resultados en la gestión de los Sistemas de Información y Comunicaciones. Esta nueva certificación se basa en las cinco áreas del conocimiento del gobierno TI, así como también en las normas que respaldan el buen gobierno de las TI (COBIT e ITIL). El certificado está diseñado para profesionales que desempeñen su profesión en las áreas de Gestión, Asesoramiento o Auditoría del Gobierno de las TI. Certified in Risk and Information Systems Control (CRISC). Introducido en 2010, el Certificado en Sistemas de Información de Riesgos y Control (CRISC) es una nueva certificación ofrecida por ISACA y se basa en la propiedad intelectual de la asociación, investigación de mercado independiente y los aportes de expertos en la materia de todo el mundo. La certificación ha sido diseñada para profesionales de TI y de negocios que identifiquen y gestionen los riesgos mediante la elaboración, implementación y mantenimiento de sistemas adecuados de información de los controles. La designación CRISC está diseñado para: - Los profesionales de TI. - Profesionales de riesgo. - Análisis económico. - Los gerentes de proyecto. - Cumplimiento de los profesionales de la empresa. - CRISC Áreas de Enfoque. La designación CRISC se centra en:  Identificación, evaluación y la evaluación de respuestas a los riesgos.  Supervisión de riesgos.  El diseño de control y aplicación.  El seguimiento, control y mantenimiento.
¿CUÁL ES LA RELACIÓN ENTRE LA AUDITORÍA INFORMÁTICA Y LA SEGURIDAD INFORMÁTICA? Auditoría Informática. La auditoría informática es un proceso en que se recoge, se agrupa y se evalúan diferentes evidencias, con el fin de dilucidar si un sistema informático es seguro y salvaguarda los activos, mantiene de forma íntegra los datos, lleva a cabo de manera eficiente los fines de la organización y utiliza eficazmente los recursos. De este modo, la auditoria informática tiene los mismos objetivos que la auditoria tradicional. Existen tres grupos de funciones a desarrollar por un auditor informático: a) Formar parte de las revisiones durante y después del diseño, realización e implementación de aplicaciones informativas y en fases análogas de importantes cambios. b) Revisión de controles implantados en los sistemas informativos para revisar su adaptación a las órdenes de la dirección, requisitos legales, protección de confidencialidad y cobertura ante errores y fraudes. c) Revisar el nivel de eficiencia, utilidad, fiabilidad y seguridad de los equipos e información. COBIT. COBIT es un acrónimo para Control Objectives for Information and related Technology (Objetivos de Control para tecnología de la información y relacionada); desarrollada por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI). COBIT es una metodología aceptada mundialmente para el adecuado control de proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de rendimiento y resultados, factores críticos de éxito y modelos de madurez. Permite a las empresas aumentar su valor TIC y reducir los riesgos asociados a proyectos tecnológicos. Ello a partir de parámetros generalmente aplicables y aceptados, para mejorar las prácticas de planeación, control y seguridad de las Tecnologías de Información. COBIT contribuye a reducir las brechas existentes entre los objetivos de negocio, y los beneficios, riesgos, necesidades de control y aspectos técnicos propios de un proyecto TIC; proporcionando un Marco Referencial Lógico para su dirección efectiva.
CONCLUSIÓN. Como conclusión puedo decir que es muy importante considerar todo lo relacionado con la seguridad informática, ya que hoy en día todas las empresas tienen una gran cantidad de información importante en sus ordenadores y bases de datos, por esto es que es vital el resguardo de esta ya que es información muy importante y valiosa. Por lo anterior creo que las empresas deben considerar todo tipo de inversión en lo que es la seguridad informática para que las personas malintencionadas no puedan hacer uso malicioso de la información que hay en las bases de datos de la empresa y así pueda estar segura. Por esto las organizaciones no pueden permitirse considerar la seguridad como un proceso o un producto aislado de los demás. La seguridad tiene que formar parte de las organizaciones. Debido a las constantes amenazas en que se encuentran los sistemas, es necesario que los usuarios y las empresas enfoquen su atención en el grado de vulnerabilidad y en las herramientas de seguridad con las que cuentan para hacerle frente a posibles ataques informáticos que luego se pueden traducir en grandes pérdidas.
BIBLIOGRAFÍA.  http://web.uchile.cl/archivos/derecho/CEDI/Normativa/Ley%2019.223%20Tipifica %20Figuras%20Penales%20Relativas%20a%20la%20Inform%E1tica.pdf Accesado Julio 07  http://www.leychile.cl/Navegar?idNorma=30590 Accesado Julio 07  http://www.isaca.org/chapters7/Monterrey/certification/Pages/default.aspx Accesado Julio 08  http://protejete.wordpress.com/gdr_principal/definicion_si/ Accesado Julio 08

Recomendados

2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
DC FCP
 
Manual seguridad informatica
Manual seguridad informaticaManual seguridad informatica
Manual seguridad informatica
Eder Fernando Bolaño Rocha
 
Manual seguridad informatica
Manual seguridad informaticaManual seguridad informatica
Manual seguridad informatica
Maria de Jesus Reyes Betancourt
 
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOSPOLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
yulitza123
 
Politica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticosPolitica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticos
ydaleuporsiempre_16
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica
libra-0123
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.com
VanessaCobaxin
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticos
dianalloclla
 

Recomendados

2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
DC FCP
 
Manual seguridad informatica
Manual seguridad informaticaManual seguridad informatica
Manual seguridad informatica
Eder Fernando Bolaño Rocha
 
Manual seguridad informatica
Manual seguridad informaticaManual seguridad informatica
Manual seguridad informatica
Maria de Jesus Reyes Betancourt
 
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOSPOLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
yulitza123
 
Politica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticosPolitica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticos
ydaleuporsiempre_16
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica
libra-0123
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.com
VanessaCobaxin
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticos
dianalloclla
 
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
edwin damian pavon
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
Jose Manuel Acosta
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas Informaticos
Vidal Oved
 
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióNSeguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Jorge Skorey
 
Modulo III, parte 3
Modulo III, parte 3Modulo III, parte 3
Modulo III, parte 3
ANTONIO GARCÍA HERRÁIZ
 
Trabajo de elba yeny
Trabajo de elba yenyTrabajo de elba yeny
Trabajo de elba yeny
Beatriz Rangel Ruiz
 
Diseno controles aplicacion
Diseno controles aplicacionDiseno controles aplicacion
Diseno controles aplicacion
islenagarcia
 
Ut1 conceptos basicos
Ut1 conceptos basicosUt1 conceptos basicos
Ut1 conceptos basicos
Víctor Fernández López
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
Johan Retos
 
Agney palencia
Agney palenciaAgney palencia
Agney palencia
agneypalencia
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Camilo Quintana
 
Resumen cap. 1 sgsi
Resumen cap. 1 sgsiResumen cap. 1 sgsi
Resumen cap. 1 sgsi
Denis Rauda
 
Manual de seguridad informática
Manual de seguridad informáticaManual de seguridad informática
Manual de seguridad informática
Cristhian Mendoza
 
Norma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaNorma iso 27001 seguridad informatica
Norma iso 27001 seguridad informatica
Dubraska Gonzalez
 
Unidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaUnidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad Informática
DarbyPC
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informática
PaperComp
 
Segurida logica
Segurida logicaSegurida logica
Segurida logica
Rennytox Hernandez
 
Manualdepolticasdeseguridadinformtica 110713162548-phpapp02
Manualdepolticasdeseguridadinformtica 110713162548-phpapp02Manualdepolticasdeseguridadinformtica 110713162548-phpapp02
Manualdepolticasdeseguridadinformtica 110713162548-phpapp02
Urania Estrada Ruiz
 
Politicas de seguridad informatica itla (generales)
Politicas de seguridad informatica itla (generales)Politicas de seguridad informatica itla (generales)
Politicas de seguridad informatica itla (generales)
Instituto Tecnológico de Las Américas (ITLA)
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
Felipe Zamora
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Rodrigo Salazar Jimenez
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particular
xavier cruz
 

Más contenido relacionado

La actualidad más candente

Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
edwin damian pavon
 
Manual de seguridad informática
Manual de seguridad informáticaManual de seguridad informática
Manual de seguridad informática
Cristhian Mendoza
 

La actualidad más candente (19)

Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas Informaticos
 
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióNSeguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
 
Modulo III, parte 3
Modulo III, parte 3Modulo III, parte 3
Modulo III, parte 3
 
Trabajo de elba yeny
Trabajo de elba yenyTrabajo de elba yeny
Trabajo de elba yeny
 
Diseno controles aplicacion
Diseno controles aplicacionDiseno controles aplicacion
Diseno controles aplicacion
 
Ut1 conceptos basicos
Ut1 conceptos basicosUt1 conceptos basicos
Ut1 conceptos basicos
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 
Agney palencia
Agney palenciaAgney palencia
Agney palencia
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingencias
 
Resumen cap. 1 sgsi
Resumen cap. 1 sgsiResumen cap. 1 sgsi
Resumen cap. 1 sgsi
 
Manual de seguridad informática
Manual de seguridad informáticaManual de seguridad informática
Manual de seguridad informática
 
Norma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaNorma iso 27001 seguridad informatica
Norma iso 27001 seguridad informatica
 
Unidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaUnidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad Informática
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informática
 
Segurida logica
Segurida logicaSegurida logica
Segurida logica
 
Manualdepolticasdeseguridadinformtica 110713162548-phpapp02
Manualdepolticasdeseguridadinformtica 110713162548-phpapp02Manualdepolticasdeseguridadinformtica 110713162548-phpapp02
Manualdepolticasdeseguridadinformtica 110713162548-phpapp02
 
Politicas de seguridad informatica itla (generales)
Politicas de seguridad informatica itla (generales)Politicas de seguridad informatica itla (generales)
Politicas de seguridad informatica itla (generales)
 

Similar a Seguridad informatica christian rojas

Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
Felipe Zamora
 
Manual politicas de seguridad
Manual politicas de seguridad Manual politicas de seguridad
Manual politicas de seguridad
gchv
 
Politicas de seguridad INFORMATICA
Politicas de seguridad INFORMATICAPoliticas de seguridad INFORMATICA
Politicas de seguridad INFORMATICA
erickaoblea1
 
Vc4 nm73 serrano s yosimar-normas seguridad
Vc4 nm73 serrano s yosimar-normas seguridadVc4 nm73 serrano s yosimar-normas seguridad
Vc4 nm73 serrano s yosimar-normas seguridad
17oswaldo
 

Similar a Seguridad informatica christian rojas (20)

Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particular
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Manual politicas de seguridad
Manual politicas de seguridad Manual politicas de seguridad
Manual politicas de seguridad
 
Modulo
ModuloModulo
Modulo
 
ISO Danny Yunga
ISO Danny YungaISO Danny Yunga
ISO Danny Yunga
 
Politicas de seguridad INFORMATICA
Politicas de seguridad INFORMATICAPoliticas de seguridad INFORMATICA
Politicas de seguridad INFORMATICA
 
Seguridad
Seguridad Seguridad
Seguridad
 
Vc4 nm73 serrano s yosimar-normas seguridad
Vc4 nm73 serrano s yosimar-normas seguridadVc4 nm73 serrano s yosimar-normas seguridad
Vc4 nm73 serrano s yosimar-normas seguridad
 
La seguridad informática.pdf
La seguridad informática.pdfLa seguridad informática.pdf
La seguridad informática.pdf
 
Superior
SuperiorSuperior
Superior
 
Generalidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasGeneralidades de la auditoria de sistemas
Generalidades de la auditoria de sistemas
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Grupo 1 responsabilidad de usuario
Grupo 1 responsabilidad de usuarioGrupo 1 responsabilidad de usuario
Grupo 1 responsabilidad de usuario
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Seguridad informatica parte uno
Seguridad informatica parte unoSeguridad informatica parte uno
Seguridad informatica parte uno
 

Más de Christian Rojas Saavedra

Más de Christian Rojas Saavedra (7)

Laeducacion2.0
Laeducacion2.0Laeducacion2.0
Laeducacion2.0
 
Laluchaporlainclusionlaboral
LaluchaporlainclusionlaboralLaluchaporlainclusionlaboral
Laluchaporlainclusionlaboral
 
Laeducacion2.0
Laeducacion2.0Laeducacion2.0
Laeducacion2.0
 
Discapacidad
DiscapacidadDiscapacidad
Discapacidad
 
Laluchaporlainclusionlaboral
LaluchaporlainclusionlaboralLaluchaporlainclusionlaboral
Laluchaporlainclusionlaboral
 
Exam time inteligencia de negocios (bi)
Exam time inteligencia de negocios (bi)Exam time inteligencia de negocios (bi)
Exam time inteligencia de negocios (bi)
 
Exam time erp
Exam time erpExam time erp
Exam time erp
 

Último

QUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORASQUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORAS
Marc Liust
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 
Editorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfEditorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdf
Yanitza28
 

Último (18)

10°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-810°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-8
 
Función del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacionFunción del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacion
 
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdfpresentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
 
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptxAVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
 
QUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORASQUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORAS
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Editorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdfEditorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdf
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptxinfor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Editorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfEditorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdf
 
presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...
 

Seguridad informatica christian rojas

  • 1. Universidad Austral de Chile Facultad de Cs. Económicas y Administrativas. Escuela de Ingeniería Comercial. Seguridad Informática. Alumno: Christian Rojas Saavedra Profesor: Cristian Salazar Asignatura: Sistemas DeInformación Empresarial(ADMI273) 09 de Julio del 2014
  • 2. ÍNDICE. INTRODUCCIÓN................................................................................................................... 3 ¿QUÉ ES LA SEGURIDAD INFORMÁTICA? ...................................................................... 4 Principios de Seguridad Informática: .................................................................................. 4 Factores de Riesgo:.............................................................................................................. 4 ¿QUÉ ESTÁNDARES DE SEGURIDAD INFORÁTICA EXCISTEN?.................................. 5 ISO-27.000........................................................................................................................... 5 Normativa Chilena............................................................................................................... 6 ¿CUÁLES SON LAS CERTIFICACIONES QUE UNO PUEDE OBTENER EN ISACA? ..... 6 Certified Information Systems Auditor (CISA).................................................................... 7 Certified Information Security Manager (CISM)................................................................. 7 Certified in the Governance of Enterprise IT (CGEIT). ...................................................... 8 Certified in Risk and Information Systems Control (CRISC).............................................. 8 ¿CUÁL ES LA RELACIÓNENTRE LA AUDITORÍA INFORMÁTICA YLA SEGURIDAD INFORMÁTICA? ................................................................................................................... 9 Auditoría Informática.......................................................................................................... 9 COBIT................................................................................................................................. 9 CONCLUSIÓN.......................................................................................................................10 BIBLIOGRAFÍA....................................................................................................................11
  • 3. INTRODUCCIÓN. En este trabajo desarrollaremos el concepto de seguridad informática porque es un tema que involucra a muchas personas ya que hoy en día toda organización, empresa o persona haces uso de los diferentes sistemas de información permitiendo acceder a una infinidad de personas a estos, y ya que cada día más y más personas mal intencionadas intentan tener acceso a los datos de los diferentes ordenadores para hacer un uso malicioso de estos datos es que este tema toma una fuerte importancia. Empezaremos con explicar que es y definiendo el concepto, luego de esto los estándares que existen con respecto a este tema, con respecto a lo anterior también trataremos las diferentes certificaciones que se pueden obtener, posterior a esto explicaremos lo que es la auditoria informática y hablaremos un poco sobre COBIT.
  • 4. ¿QUÉ ES LA SEGURIDAD INFORMÁTICA? La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas, orientados a proveer condiciones seguras y confiables, para el procesamiento de datos en sistemas informáticos. Consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida, así como su modificación, sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización. Principios de Seguridad Informática: Para lograr sus objetivos la seguridad informática se fundamenta en tres principios, que debe cumplir todo sistema informático:  Confidencialidad: Se refiere a la privacidad de los elementos de información almacenados y procesados en un sistema informático, Basándose en este principio, las herramientas de seguridad informática deben proteger el sistema de invasiones y accesos por parte de personas o programas no autorizados. Este principio es particularmente importante en sistemas distribuidos, es decir, aquellos en los que los usuarios, computadores y datos residen en localidades diferentes, pero están física y lógicamente interconectados.  Integridad: Se refiere a la validez y consistencia de los elementos de información almacenados y procesador en un sistema informático. Basándose en este principio, las herramientas de seguridad informática deben asegurar que los procesos de actualización estén bien sincronizados y no se dupliquen, de forma que todos los elementos del sistema manipulen adecuadamente los mismos datos. Este principio es importante en sistemas descentralizados, es decir, aquellos en los que diferentes usuarios, computadores y procesos comparten la misma información.  Disponibilidad: Se refiere a la continuidad de acceso a los elementos de información almacenados y procesados en un sistema informático. Basándose en este principio, las herramientas de seguridad informática deber reforzar la permanencia del sistema informático, en condiciones de actividad adecuadas para que los usuarios accedan a los datos con la frecuencia y dedicación que requieran, este principio es importante en sistemas informáticos cuyos compromiso con el usuario, es prestar servicio permanente. Factores de Riesgo:  Ambientales/Físicos: Factores externos, lluvias, inundaciones, terremotos, tormentas, rayos, humedad, calor entre otros.  Tecnológicos: Fallas de hardware y/o software, fallas en el aire acondicionado, falla en el servicio eléctrico, ataque por virus informático, etc.  Humanos: Hurto, adulteración, fraude, modificación, revelación, pérdida, sabotaje, vandalismo, crackers, hackers, falsificación, robo de contraseñas, alteraciones etc.
  • 5. ¿QUÉ ESTÁNDARES DE SEGURIDAD INFORÁTICA EXCISTEN? ISO-27.000. Existe una serie o conjunto de estándares que fueron desarrollados (y siguen desarrollándose) por la International Organization for Standardization (ISO) e international Electrotechnical Commission (IEC) que nos dan a conocer un marco digestión acerca de la seguridad informática utilizada por cualquier organización, independiente de su tamaño o si es pública o privada.  El ISO-27000: Está basado en la segunda mitad de un estándar británico (BS7799) y se encuentra conformado por: -Controles -Valoración de Riesgo -Sistema de Gestión de Seguridad de la Información Aunque existen otras normas ISO, la 27000 es más que otra cosa, una serie de estándares de seguridad informática.  ISO/IEC 27000: Contiene términos y definiciones, prácticamente un vocabulario que se utiliza en toda la serie 27000. Para aplicar cualquier estándar, es necesario contar con un vocabulario definido, para evitar dobles interpretaciones en cuanto a conceptos técnicos y de gestión.  ISO/IEC 27001: Es la principal norma de requisitos del sistema para gestionar la seguridad de la información. Se origina en el estándar británico BS 7799 y es la norma con arreglo donde se certifican por auditores externos los sistemas de gestión de la seguridad de la información (SGSI) de las organizaciones.  ISO/IEC 27002: (Antigua ISO 17799), es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. Cuenta con 39 objetivos de control y 133 controles, agrupados en 11dominios y a pesar de no ser obligatoria la implementación de todos los controles, la organización debe dar buenos argumentos para no aplicar los controles.  ISO/IEC 27003: Contiene una guía de sistemas de gestión de seguridad de la información e información sobre el uso del modelo PDCA (mejoramiento continuo dela calidad en cuatro pasos; planificar, hacer, verificar y actuar).  ISO/IEC 27004: Especifica las métricas y técnicas de medida para aplicar en determinar la eficiencia de un sistema de gestión de seguridad de información y de controles relacionados (las métricas son para la fase “implementar” de PDCA).  ISO/IEC 27005: Es una guía para la gestión del riesgo de la seguridad de la información, es un apoyo para la ISO 27001.
  • 6.  ISO/IEC 27006: Requisitos que deben cumplir las organizaciones encargadas de emitir certificaciones.  ISO/IEC 27007: Es una guía de cómo actuar para auditar los sistemas de gestión de seguridad de la información, todo esto conforme a las normas 27000.  ISO/IEC 27011: Es Una guía de gestión de seguridad de la información específica para telecomunicaciones, la cual se ha elaborado conjuntamente con la ITU (Unión Internacional de Telecomunicaciones)  ISO/IEC 27031: Es una guía de continuidad de negocio en lo relativo a tecnologías de la información y comunicaciones (TIC).  ISO/IEC 27032: Es una guía sobre la ciberseguridad y en aplicaciones.  ISO/IEC 27799: Es una guía para implantar ISO/IEC 27002 específica para entornos médicos. Normativa Chilena. En chile la ley que penaliza y regula sobre lo que es la seguridad informática es la ley 19.223. Esta ley fue creada el año 1993 y promulga lo siguiente:  Artículo 1°.- El que maliciosamente destruya o inutilice un sistema de tratamiento de información o sus partes o componentes, o impida, obstaculice o modifique su funcionamiento, sufrirá la pena de presidio menor en su grado medio a máximo. Si como consecuencia de estas conductas se afectaren los datos contenidos en el sistema, se aplicará la pena señalada en el inciso anterior, en su grado máximo.  Artículo 2°.- El que con el ánimo de apoderarse, usar o conocer indebidamente de la información contenida en un sistema de tratamiento de la misma, lo intercepte, interfiera o acceda a él, será castigado con presidio menor en su grado mínimo a medio.  Artículo 3°.- El que maliciosamente altere, dañe o destruya los datos contenidos en un sistema de tratamiento de información, será castigado con presidio menor en su grado medio.  Artículo 4°.- El que maliciosamente revele o difunda los datos contenidos en un sistema de información, sufrirá la pena de presidio menor en su grado medio. Si quien incurre en estas conductas es el responsable del sistema de información, la pena se aumentará en un grado. ¿CUÁLES SON LAS CERTIFICACIONES QUE UNO PUEDE OBTENER EN ISACA? ISACA es un líder mundialmente reconocido, proveedor de conocimiento, certificaciones, comunidad, apoyo y educación en seguridad y aseguramiento de sistemas de información, gobierno empresarial. Administración de TI así como riesgos y cumplimiento relacionados con TI.
  • 7. ISACA ofrece cuatro certificaciones, las cuales son reconocidas a nivel mundial para los profesionales de Auditoría, Seguridad, Gobierno y Riesgo de TI, esas son - CISA. - CISM. - CGEIT. - CRISC. Certified Information Systems Auditor (CISA). CISA es reconocido mundialmente como el estándar de rendimiento en auditoría, control, seguimiento y evaluación de la tecnología de una organización de la información y sistemas de negocio. Para poder obtenerla los candidatos a la certificación CISA deben pasar un examen de acuerdo con el Código Profesional de Ética de ISACA, además de comprobar cinco años de experiencia en auditoría de sistemas, control interno y seguridad informática y tener un programa de educación continua. En caso de no cumplir con estos requisitos, existen algunas equivalencias definidas en la página de ISACA:  Un mínimo de un año de experiencia en sistemas de información o un año de experiencia en auditorías operacionales, pueden ser sustituidos por un año de experiencia auditoría de sistemas, control interno y seguridad informática.  60 a 120 horas de estudios profesionales pueden ser sustituidos por uno o dos años de experiencia respectivamente de auditoría de sistemas, control interno y seguridad informática.  2 años de instructor de tiempo completo en Universidad en campos relacionados (ejemplo: ciencias computacionales, contabilidad, auditoría de sistemas de información, pueden ser sustituidos por un año de experiencia de auditoría de sistemas de información, control interno y seguridad de informática. Certified Information Security Manager (CISM). La Certificación en Gestión de Seguridad de la Información es la certificación de ISACA introducida desde el año 2002 y dirigida específicamente a profesionales experimentados en la Seguridad de la Información. La certificación CISM está orientada a la gerencia de riesgos y gestión de seguridad de la información. Para conseguir la certificación, es necesario acreditar cinco años de ejercicio profesional y aprobar un examen, el mismo en todo el mundo, que se realiza anualmente en el mes de junio y diciembre. Para superar el examen se tiene que obtener una puntuación mínima del 75%. La inscripción al examen y la adquisición de los manuales se hace directamente en la web de ISACA internacional. Además, el director acreditado por el CISM
  • 8. está obligado a realizar cada año un mínimo de horas de formación para mantenerse al día en un entorno tan cambiante. Si no se reporta esta información, se revoca la certificación de forma inmediata. Certified in the Governance of Enterprise IT (CGEIT). Permite a las empresas disponer de profesionales capaces de aplicar las mejores prácticas y obtener los mejores resultados en la gestión de los Sistemas de Información y Comunicaciones. Esta nueva certificación se basa en las cinco áreas del conocimiento del gobierno TI, así como también en las normas que respaldan el buen gobierno de las TI (COBIT e ITIL). El certificado está diseñado para profesionales que desempeñen su profesión en las áreas de Gestión, Asesoramiento o Auditoría del Gobierno de las TI. Certified in Risk and Information Systems Control (CRISC). Introducido en 2010, el Certificado en Sistemas de Información de Riesgos y Control (CRISC) es una nueva certificación ofrecida por ISACA y se basa en la propiedad intelectual de la asociación, investigación de mercado independiente y los aportes de expertos en la materia de todo el mundo. La certificación ha sido diseñada para profesionales de TI y de negocios que identifiquen y gestionen los riesgos mediante la elaboración, implementación y mantenimiento de sistemas adecuados de información de los controles. La designación CRISC está diseñado para: - Los profesionales de TI. - Profesionales de riesgo. - Análisis económico. - Los gerentes de proyecto. - Cumplimiento de los profesionales de la empresa. - CRISC Áreas de Enfoque. La designación CRISC se centra en:  Identificación, evaluación y la evaluación de respuestas a los riesgos.  Supervisión de riesgos.  El diseño de control y aplicación.  El seguimiento, control y mantenimiento.
  • 9. ¿CUÁL ES LA RELACIÓN ENTRE LA AUDITORÍA INFORMÁTICA Y LA SEGURIDAD INFORMÁTICA? Auditoría Informática. La auditoría informática es un proceso en que se recoge, se agrupa y se evalúan diferentes evidencias, con el fin de dilucidar si un sistema informático es seguro y salvaguarda los activos, mantiene de forma íntegra los datos, lleva a cabo de manera eficiente los fines de la organización y utiliza eficazmente los recursos. De este modo, la auditoria informática tiene los mismos objetivos que la auditoria tradicional. Existen tres grupos de funciones a desarrollar por un auditor informático: a) Formar parte de las revisiones durante y después del diseño, realización e implementación de aplicaciones informativas y en fases análogas de importantes cambios. b) Revisión de controles implantados en los sistemas informativos para revisar su adaptación a las órdenes de la dirección, requisitos legales, protección de confidencialidad y cobertura ante errores y fraudes. c) Revisar el nivel de eficiencia, utilidad, fiabilidad y seguridad de los equipos e información. COBIT. COBIT es un acrónimo para Control Objectives for Information and related Technology (Objetivos de Control para tecnología de la información y relacionada); desarrollada por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI). COBIT es una metodología aceptada mundialmente para el adecuado control de proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de rendimiento y resultados, factores críticos de éxito y modelos de madurez. Permite a las empresas aumentar su valor TIC y reducir los riesgos asociados a proyectos tecnológicos. Ello a partir de parámetros generalmente aplicables y aceptados, para mejorar las prácticas de planeación, control y seguridad de las Tecnologías de Información. COBIT contribuye a reducir las brechas existentes entre los objetivos de negocio, y los beneficios, riesgos, necesidades de control y aspectos técnicos propios de un proyecto TIC; proporcionando un Marco Referencial Lógico para su dirección efectiva.
  • 10. CONCLUSIÓN. Como conclusión puedo decir que es muy importante considerar todo lo relacionado con la seguridad informática, ya que hoy en día todas las empresas tienen una gran cantidad de información importante en sus ordenadores y bases de datos, por esto es que es vital el resguardo de esta ya que es información muy importante y valiosa. Por lo anterior creo que las empresas deben considerar todo tipo de inversión en lo que es la seguridad informática para que las personas malintencionadas no puedan hacer uso malicioso de la información que hay en las bases de datos de la empresa y así pueda estar segura. Por esto las organizaciones no pueden permitirse considerar la seguridad como un proceso o un producto aislado de los demás. La seguridad tiene que formar parte de las organizaciones. Debido a las constantes amenazas en que se encuentran los sistemas, es necesario que los usuarios y las empresas enfoquen su atención en el grado de vulnerabilidad y en las herramientas de seguridad con las que cuentan para hacerle frente a posibles ataques informáticos que luego se pueden traducir en grandes pérdidas.
  • 11. BIBLIOGRAFÍA.  http://web.uchile.cl/archivos/derecho/CEDI/Normativa/Ley%2019.223%20Tipifica %20Figuras%20Penales%20Relativas%20a%20la%20Inform%E1tica.pdf Accesado Julio 07  http://www.leychile.cl/Navegar?idNorma=30590 Accesado Julio 07  http://www.isaca.org/chapters7/Monterrey/certification/Pages/default.aspx Accesado Julio 08  http://protejete.wordpress.com/gdr_principal/definicion_si/ Accesado Julio 08