presentación del desensamble y ensamble del equipo de computo en base a las n...
Seguridad informatica christian rojas
1. Universidad Austral de Chile
Facultad de Cs. Económicas y Administrativas.
Escuela de Ingeniería Comercial.
Seguridad Informática.
Alumno: Christian Rojas Saavedra
Profesor: Cristian Salazar
Asignatura: Sistemas DeInformación Empresarial(ADMI273)
09 de Julio del 2014
2. ÍNDICE.
INTRODUCCIÓN................................................................................................................... 3
¿QUÉ ES LA SEGURIDAD INFORMÁTICA? ...................................................................... 4
Principios de Seguridad Informática: .................................................................................. 4
Factores de Riesgo:.............................................................................................................. 4
¿QUÉ ESTÁNDARES DE SEGURIDAD INFORÁTICA EXCISTEN?.................................. 5
ISO-27.000........................................................................................................................... 5
Normativa Chilena............................................................................................................... 6
¿CUÁLES SON LAS CERTIFICACIONES QUE UNO PUEDE OBTENER EN ISACA? ..... 6
Certified Information Systems Auditor (CISA).................................................................... 7
Certified Information Security Manager (CISM)................................................................. 7
Certified in the Governance of Enterprise IT (CGEIT). ...................................................... 8
Certified in Risk and Information Systems Control (CRISC).............................................. 8
¿CUÁL ES LA RELACIÓNENTRE LA AUDITORÍA INFORMÁTICA YLA SEGURIDAD
INFORMÁTICA? ................................................................................................................... 9
Auditoría Informática.......................................................................................................... 9
COBIT................................................................................................................................. 9
CONCLUSIÓN.......................................................................................................................10
BIBLIOGRAFÍA....................................................................................................................11
3. INTRODUCCIÓN.
En este trabajo desarrollaremos el concepto de seguridad informática porque es un
tema que involucra a muchas personas ya que hoy en día toda organización, empresa o
persona haces uso de los diferentes sistemas de información permitiendo acceder a una
infinidad de personas a estos, y ya que cada día más y más personas mal intencionadas
intentan tener acceso a los datos de los diferentes ordenadores para hacer un uso malicioso
de estos datos es que este tema toma una fuerte importancia.
Empezaremos con explicar que es y definiendo el concepto, luego de esto los
estándares que existen con respecto a este tema, con respecto a lo anterior también trataremos
las diferentes certificaciones que se pueden obtener, posterior a esto explicaremos lo que es
la auditoria informática y hablaremos un poco sobre COBIT.
4. ¿QUÉ ES LA SEGURIDAD INFORMÁTICA?
La seguridad informática es la disciplina que se ocupa de diseñar las normas,
procedimientos, métodos y técnicas, orientados a proveer condiciones seguras y confiables,
para el procesamiento de datos en sistemas informáticos. Consiste en asegurar que los
recursos del sistema de información (material informático o programas) de una organización
sean utilizados de la manera que se decidió y que el acceso a la información allí contenida,
así como su modificación, sólo sea posible a las personas que se encuentren acreditadas y
dentro de los límites de su autorización.
Principios de Seguridad Informática:
Para lograr sus objetivos la seguridad informática se fundamenta en tres principios,
que debe cumplir todo sistema informático:
Confidencialidad: Se refiere a la privacidad de los elementos de información
almacenados y procesados en un sistema informático, Basándose en este principio,
las herramientas de seguridad informática deben proteger el sistema de invasiones y
accesos por parte de personas o programas no autorizados. Este principio es
particularmente importante en sistemas distribuidos, es decir, aquellos en los que los
usuarios, computadores y datos residen en localidades diferentes, pero están física y
lógicamente interconectados.
Integridad: Se refiere a la validez y consistencia de los elementos de información
almacenados y procesador en un sistema informático. Basándose en este principio,
las herramientas de seguridad informática deben asegurar que los procesos de
actualización estén bien sincronizados y no se dupliquen, de forma que todos los
elementos del sistema manipulen adecuadamente los mismos datos. Este principio es
importante en sistemas descentralizados, es decir, aquellos en los que diferentes
usuarios, computadores y procesos comparten la misma información.
Disponibilidad: Se refiere a la continuidad de acceso a los elementos de información
almacenados y procesados en un sistema informático. Basándose en este principio,
las herramientas de seguridad informática deber reforzar la permanencia del sistema
informático, en condiciones de actividad adecuadas para que los usuarios accedan a
los datos con la frecuencia y dedicación que requieran, este principio es importante
en sistemas informáticos cuyos compromiso con el usuario, es prestar servicio
permanente.
Factores de Riesgo:
Ambientales/Físicos: Factores externos, lluvias, inundaciones, terremotos, tormentas,
rayos, humedad, calor entre otros.
Tecnológicos: Fallas de hardware y/o software, fallas en el aire acondicionado, falla
en el servicio eléctrico, ataque por virus informático, etc.
Humanos: Hurto, adulteración, fraude, modificación, revelación, pérdida, sabotaje,
vandalismo, crackers, hackers, falsificación, robo de contraseñas, alteraciones etc.
5. ¿QUÉ ESTÁNDARES DE SEGURIDAD INFORÁTICA EXCISTEN?
ISO-27.000.
Existe una serie o conjunto de estándares que fueron desarrollados (y siguen
desarrollándose) por la International Organization for Standardization (ISO) e international
Electrotechnical Commission (IEC) que nos dan a conocer un marco digestión acerca de la
seguridad informática utilizada por cualquier organización, independiente de su tamaño o si
es pública o privada.
El ISO-27000: Está basado en la segunda mitad de un estándar británico (BS7799) y
se encuentra conformado por:
-Controles
-Valoración de Riesgo
-Sistema de Gestión de Seguridad de la Información
Aunque existen otras normas ISO, la 27000 es más que otra cosa, una serie de
estándares de seguridad informática.
ISO/IEC 27000: Contiene términos y definiciones, prácticamente un vocabulario que
se utiliza en toda la serie 27000. Para aplicar cualquier estándar, es necesario contar
con un vocabulario definido, para evitar dobles interpretaciones en cuanto a
conceptos técnicos y de gestión.
ISO/IEC 27001: Es la principal norma de requisitos del sistema para gestionar la
seguridad de la información. Se origina en el estándar británico BS 7799 y es la norma
con arreglo donde se certifican por auditores externos los sistemas de gestión de la
seguridad de la información (SGSI) de las organizaciones.
ISO/IEC 27002: (Antigua ISO 17799), es una guía de buenas prácticas que describe
los objetivos de control y controles recomendables en cuanto a seguridad de la
información. Cuenta con 39 objetivos de control y 133 controles, agrupados en
11dominios y a pesar de no ser obligatoria la implementación de todos los controles,
la organización debe dar buenos argumentos para no aplicar los controles.
ISO/IEC 27003: Contiene una guía de sistemas de gestión de seguridad de la
información e información sobre el uso del modelo PDCA (mejoramiento continuo
dela calidad en cuatro pasos; planificar, hacer, verificar y actuar).
ISO/IEC 27004: Especifica las métricas y técnicas de medida para aplicar en
determinar la eficiencia de un sistema de gestión de seguridad de información y de
controles relacionados (las métricas son para la fase “implementar” de PDCA).
ISO/IEC 27005: Es una guía para la gestión del riesgo de la seguridad de la
información, es un apoyo para la ISO 27001.
6. ISO/IEC 27006: Requisitos que deben cumplir las organizaciones encargadas de
emitir certificaciones.
ISO/IEC 27007: Es una guía de cómo actuar para auditar los sistemas de gestión de
seguridad de la información, todo esto conforme a las normas 27000.
ISO/IEC 27011: Es Una guía de gestión de seguridad de la información específica
para telecomunicaciones, la cual se ha elaborado conjuntamente con la ITU (Unión
Internacional de Telecomunicaciones)
ISO/IEC 27031: Es una guía de continuidad de negocio en lo relativo a tecnologías
de la información y comunicaciones (TIC).
ISO/IEC 27032: Es una guía sobre la ciberseguridad y en aplicaciones.
ISO/IEC 27799: Es una guía para implantar ISO/IEC 27002 específica para entornos
médicos.
Normativa Chilena.
En chile la ley que penaliza y regula sobre lo que es la seguridad informática es la ley
19.223. Esta ley fue creada el año 1993 y promulga lo siguiente:
Artículo 1°.- El que maliciosamente destruya o inutilice un sistema de tratamiento de
información o sus partes o componentes, o impida, obstaculice o modifique su
funcionamiento, sufrirá la pena de presidio menor en su grado medio a máximo. Si
como consecuencia de estas conductas se afectaren los datos contenidos en el sistema,
se aplicará la pena señalada en el inciso anterior, en su grado máximo.
Artículo 2°.- El que con el ánimo de apoderarse, usar o conocer indebidamente de la
información contenida en un sistema de tratamiento de la misma, lo intercepte,
interfiera o acceda a él, será castigado con presidio menor en su grado mínimo a
medio.
Artículo 3°.- El que maliciosamente altere, dañe o destruya los datos contenidos en
un sistema de tratamiento de información, será castigado con presidio menor en su
grado medio.
Artículo 4°.- El que maliciosamente revele o difunda los datos contenidos en un
sistema de información, sufrirá la pena de presidio menor en su grado medio. Si quien
incurre en estas conductas es el responsable del sistema de información, la pena se
aumentará en un grado.
¿CUÁLES SON LAS CERTIFICACIONES QUE UNO PUEDE OBTENER EN
ISACA?
ISACA es un líder mundialmente reconocido, proveedor de conocimiento,
certificaciones, comunidad, apoyo y educación en seguridad y aseguramiento de sistemas de
información, gobierno empresarial. Administración de TI así como riesgos y cumplimiento
relacionados con TI.
7. ISACA ofrece cuatro certificaciones, las cuales son reconocidas a nivel mundial para
los profesionales de Auditoría, Seguridad, Gobierno y Riesgo de TI, esas son
- CISA.
- CISM.
- CGEIT.
- CRISC.
Certified Information Systems Auditor (CISA).
CISA es reconocido mundialmente como el estándar de rendimiento en auditoría,
control, seguimiento y evaluación de la tecnología de una organización de la información y
sistemas de negocio.
Para poder obtenerla los candidatos a la certificación CISA deben pasar un examen
de acuerdo con el Código Profesional de Ética de ISACA, además de comprobar cinco años
de experiencia en auditoría de sistemas, control interno y seguridad informática y tener un
programa de educación continua. En caso de no cumplir con estos requisitos, existen algunas
equivalencias definidas en la página de ISACA:
Un mínimo de un año de experiencia en sistemas de información o un año de
experiencia en auditorías operacionales, pueden ser sustituidos por un año de
experiencia auditoría de sistemas, control interno y seguridad informática.
60 a 120 horas de estudios profesionales pueden ser sustituidos por uno o dos años
de experiencia respectivamente de auditoría de sistemas, control interno y seguridad
informática.
2 años de instructor de tiempo completo en Universidad en campos relacionados
(ejemplo: ciencias computacionales, contabilidad, auditoría de sistemas de
información, pueden ser sustituidos por un año de experiencia de auditoría de
sistemas de información, control interno y seguridad de informática.
Certified Information Security Manager (CISM).
La Certificación en Gestión de Seguridad de la Información es la certificación de
ISACA introducida desde el año 2002 y dirigida específicamente a profesionales
experimentados en la Seguridad de la Información. La certificación CISM está orientada a la
gerencia de riesgos y gestión de seguridad de la información.
Para conseguir la certificación, es necesario acreditar cinco años de ejercicio
profesional y aprobar un examen, el mismo en todo el mundo, que se realiza anualmente en
el mes de junio y diciembre. Para superar el examen se tiene que obtener una puntuación
mínima del 75%. La inscripción al examen y la adquisición de los manuales se hace
directamente en la web de ISACA internacional. Además, el director acreditado por el CISM
8. está obligado a realizar cada año un mínimo de horas de formación para mantenerse al día en
un entorno tan cambiante. Si no se reporta esta información, se revoca la certificación de
forma inmediata.
Certified in the Governance of Enterprise IT (CGEIT).
Permite a las empresas disponer de profesionales capaces de aplicar las mejores
prácticas y obtener los mejores resultados en la gestión de los Sistemas de Información y
Comunicaciones. Esta nueva certificación se basa en las cinco áreas del conocimiento del
gobierno TI, así como también en las normas que respaldan el buen gobierno de las TI
(COBIT e ITIL). El certificado está diseñado para profesionales que desempeñen su
profesión en las áreas de Gestión, Asesoramiento o Auditoría del Gobierno de las TI.
Certified in Risk and Information Systems Control (CRISC).
Introducido en 2010, el Certificado en Sistemas de Información de Riesgos y Control
(CRISC) es una nueva certificación ofrecida por ISACA y se basa en la propiedad intelectual
de la asociación, investigación de mercado independiente y los aportes de expertos en la
materia de todo el mundo. La certificación ha sido diseñada para profesionales de TI y de
negocios que identifiquen y gestionen los riesgos mediante la elaboración, implementación
y mantenimiento de sistemas adecuados de información de los controles.
La designación CRISC está diseñado para:
- Los profesionales de TI.
- Profesionales de riesgo.
- Análisis económico.
- Los gerentes de proyecto.
- Cumplimiento de los profesionales de la empresa.
- CRISC Áreas de Enfoque.
La designación CRISC se centra en:
Identificación, evaluación y la evaluación de respuestas a los riesgos.
Supervisión de riesgos.
El diseño de control y aplicación.
El seguimiento, control y mantenimiento.
9. ¿CUÁL ES LA RELACIÓN ENTRE LA AUDITORÍA INFORMÁTICA Y LA
SEGURIDAD INFORMÁTICA?
Auditoría Informática.
La auditoría informática es un proceso en que se recoge, se agrupa y se evalúan
diferentes evidencias, con el fin de dilucidar si un sistema informático es seguro y
salvaguarda los activos, mantiene de forma íntegra los datos, lleva a cabo de manera eficiente
los fines de la organización y utiliza eficazmente los recursos. De este modo, la auditoria
informática tiene los mismos objetivos que la auditoria tradicional.
Existen tres grupos de funciones a desarrollar por un auditor informático:
a) Formar parte de las revisiones durante y después del diseño, realización e
implementación de aplicaciones informativas y en fases análogas de importantes
cambios.
b) Revisión de controles implantados en los sistemas informativos para revisar su
adaptación a las órdenes de la dirección, requisitos legales, protección de
confidencialidad y cobertura ante errores y fraudes.
c) Revisar el nivel de eficiencia, utilidad, fiabilidad y seguridad de los equipos e
información.
COBIT.
COBIT es un acrónimo para Control Objectives for Information and related
Technology (Objetivos de Control para tecnología de la información y relacionada);
desarrollada por la Information Systems Audit and Control Association (ISACA) y el IT
Governance Institute (ITGI).
COBIT es una metodología aceptada mundialmente para el adecuado control de
proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La
metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno
sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de
rendimiento y resultados, factores críticos de éxito y modelos de madurez.
Permite a las empresas aumentar su valor TIC y reducir los riesgos asociados a
proyectos tecnológicos. Ello a partir de parámetros generalmente aplicables y aceptados, para
mejorar las prácticas de planeación, control y seguridad de las Tecnologías de Información.
COBIT contribuye a reducir las brechas existentes entre los objetivos de negocio, y
los beneficios, riesgos, necesidades de control y aspectos técnicos propios de un proyecto
TIC; proporcionando un Marco Referencial Lógico para su dirección efectiva.
10. CONCLUSIÓN.
Como conclusión puedo decir que es muy importante considerar todo lo relacionado
con la seguridad informática, ya que hoy en día todas las empresas tienen una gran cantidad
de información importante en sus ordenadores y bases de datos, por esto es que es vital el
resguardo de esta ya que es información muy importante y valiosa. Por lo anterior creo que
las empresas deben considerar todo tipo de inversión en lo que es la seguridad informática
para que las personas malintencionadas no puedan hacer uso malicioso de la información que
hay en las bases de datos de la empresa y así pueda estar segura. Por esto las organizaciones
no pueden permitirse considerar la seguridad como un proceso o un producto aislado de los
demás. La seguridad tiene que formar parte de las organizaciones.
Debido a las constantes amenazas en que se encuentran los sistemas, es necesario que
los usuarios y las empresas enfoquen su atención en el grado de vulnerabilidad y en las
herramientas de seguridad con las que cuentan para hacerle frente a posibles ataques
informáticos que luego se pueden traducir en grandes pérdidas.