1. Universidad Austral de Chile
Facultad de Ciencias Económicas y Administrativas
Escuela Ingeniería Comercial
Trabajo final Sistemas de Información
Empresarial
¿Qué es la Seguridad Informática?
Asignatura
Sistemas de Información Empresarial
Profesor Responsable
Prof. Cristian Salazar.
Alumno
Rodrigo Francisco Salazar Jiménez
Jueves 7 de julio de 2014.
2. INTRODUCCIÓN
Sin duda el avance de las tecnologías es un factor que cada día toma más y más
importancia en el desarrollo de nuestro diario vivir, y el ámbito empresarial no está exento
de esta constante transformación y adaptación a las nuevas innovaciones, por tanto como
bien es sabido la tendencia, es que la tecnología nos facilite la vida y nos apoye desde
actividades tan simples como contactar a un amigo que no veías hace años, hasta generar
planificaciones para grandes compañías.
Es en este contexto donde la seguridad toma un papel sumamente importante pues,
cada persona y bueno compañía debe tener garantizada su privacidad en diferentes
aspectos de la vida, y nuestra vida digital no está exenta de este derecho por tanto es aquí
donde encontramos a la seguridad informática un concepto que ha ganado espacio en el
mundo de las tecnologías digitales,sobretodo con el creciente número de fraudes digitales.
Considerando estos aspectos, es que el presente trabajo muestra una investigación
respecto de la importancia de seguridad informática, las diferentes ofertas que se
presentan actualmente en el mercado, los estándares de seguridad informática que
encontramos, además de 1las certificaciones que existen.
3. 2
¿Qué es la seguridad informática?
La seguridad informática corresponde a la protección de la infraestructura
computacional, asegurar los recursos del sistema de información y todo lo relacionado con
esta incluyendo la información contenida y obtenida. Para ello existen una serie de
estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar
los posibles riesgos a la infraestructura o a la información.
Laseguridad informática estáconstituida básicamentepor software, bases dedatos,
metadatos, archivos y todo lo que la organización valore como activo y signifique un riesgo
si ésta llega a manos de otras personas. Este tipo de información se conoce como
información privilegiada o confidencial.
Cabe destacar que la seguridad informática se orienta en proteger tres aspectos los
cuales son: integridad, confidencialidad y disponibilidad, los cuales son el fundamento de
está.
4. 3
¿Contra qué nos debemos proteger?
En primer lugar contra nosotros mismos, que en muchas ocasiones borramos
archivos sin darnos cuenta, eliminamos programas necesarios para la seguridad o
aceptamos correos electrónicos perjudiciales para el sistema, esto muchas veces se
debe al analfabetismo informático.
En segundo lugar contra los accidentes y averías que pueden hacer que se
estropee nuestro ordenador y perdamos datos necesarios.
En tercer lugar contra usuarios intrusos que, bien desde elmismo ordenador,
bien desde otro equipo de la red, que puedan acceder a datos de nuestro equipo,
también contra los conocidos hackers.
Finalmente contra software malicioso o malware, es decir, programas que
aprovechan un acceso a nuestro ordenador para instalarse y obtener información,
dañar el sistema o incluso llegar a inutilizarlo por completo.
5. 4
Normas y estándares internacionales de seguridad informática
Dentro de cada una de las organizaciones que tengan su operatividad basada en
tecnologías de la información, es recomendable implementar buenas prácticas de
seguridad informática, ya que en la mayoría de casos en que no se sigue un proceso de
implementación adecuado, aumenta la posibilidad de riesgos en la información. Para esto
existen normas y estándares internacionales de alto nivel para una adecuada
administración de la seguridad informática, como destacan la BS 7799, la ISO 17799 y la
ISO/IEC 27001.
La norma BS 7799
Es el estándar de seguridad de información creado por British Standards Institution
(BSI) como un conjunto de controles de seguridad y de metodologías para su correcta
aplicación. Esta norma le ayuda a las empresas a proteger sus activos e información en
todas sus formas, electrónicas y o impresa, asegurando:
• La confidencialidad: Que asegura que sólo las personas autorizadas tengan acceso a la
información.
• La integridad: Que salvaguarda la exactitud e integridad de la información y de los
métodos de procesamiento.
• La disponibilidad: Que asegura el acceso de los usuarios autorizados a la información y a
los activos relacionados cuando es necesario.
6. 5
ISO 17799
Fue publicada por la ISO (Organización Internacional de Estandarización) en
diciembre del año 2000 con el objeto de desarrollar un marco de seguridad sobre el cual
trabajen las organizaciones.
La ISO 17799, al definirse como una guía en la implementación del sistema de
administración de la seguridad de la información, se orienta a preservar la:
• Confidencialidad: Asegurar que únicamente personal autorizado tenga acceso a la
información.
• Integridad: Garantizar que la información no será alterada, eliminada o destruida por
entidades no autorizadas.
• Disponibilidad: Asegurar que los usuarios autorizados tendrán acceso a la información
cuando la requieran.
Los principios anteriormente mencionados, los cuales se direccional a la protección de los
activos de información, el objetivo de la seguridad de los datos es asegurar la continuidad
de las operaciones de la organización, reducir al mínimo los daños causados por una
contingencia, así como optimizar la inversión en tecnologías de seguridad.
7. 6
ISO/IEC-27001
El hecho de disponer de la certificación según ISO/IEC 27001 le ayuda a gestionar y
proteger sus valiosos activos de información. ISO/IEC 27001 es la única norma internacional
auditable que define los requisitos para un sistema de gestión de la seguridad de la
información (SGSI).
La norma se ha concebido para garantizar la selección de controles de seguridad
adecuados y proporcionales. Ello ayuda a proteger los activos de información y otorga
confianza a cualquiera de las partes interesadas, sobre todo a los clientes.
La norma adopta un enfoque por procesos para establecer, implantar, operar,
supervisar, revisar, mantener y mejorar un SGSI.
La ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o
pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante
si la protección de la información es crítica, como en finanzas, sanidad sector público y
tecnología de la información (TI). ISO/IEC 27001 también es muy eficaz para organizaciones
que gestionan la información por encargo de otros, por ejemplo, empresas de
subcontratación de TI. Esto puede utilizarse para garantizar a los clientes que su
información está protegida.
8. 7
¿Cuál es la relaciónentre laauditoriainformáticay la seguridad
informática?
Se tiene que entender por auditoria informática a una revisión ,examen o
evaluación independiente y objetiva, cual puede ser periódicas o esporádicos de un sistema
informático, por parte de personas independientes especializadas y teóricamente
competentes dentro del entorno informático cuya finalidad es analizar y evaluar la
planificación, el control, la eficacia, la seguridad, el grado de satisfacción de usuarios y
directivos, el cumplimiento de las normas y análisis de los riesgos.
Es aquí donde el auditor informático ha de velar por la correcta utilización de los
recursos que la empresa posee y revisar la seguridad del sistema informático para que se
ejecute de una forma eficiente y eficaz con el fin de obtener máximos beneficios.
También La Auditoría de la seguridad en la informática abarca los conceptos de
seguridad física y lógica.
La seguridad física se refiere a la protección del hardware y los soportes de datos,
asícomo laseguridad de los edificios e instalaciones que los albergan. El auditor informático
debe contemplar situaciones de incendios, inundaciones, sabotajes, robos, catástrofes
naturales, etc.
La seguridad lógica se refiere a la seguridad en el uso de softwares, la protección de
los datos, procesos y programas, así como la del acceso ordenado y autorizado de los
usuarios a la información.
9. 8
¿Cuáles son lascertificacionesquepueden obteneren isaca?
¿Qué es ISACA?
ISACA es el acrónimo de Information Systems Audit and Control Association (Asociación de
Auditoría y Control de Sistemas de Información), una asociación internacional que apoya y
patrocina el desarrollo de metodologías y certificaciones para la realización de
actividades auditoría y control en sistemas de información.
Certificaciones
ISACA ofrece cuatro certificaciones, las cuales son reconocidas a nivel mundial para los
profesionales de Auditoría, Seguridad, Gobierno y Riesgo de TI
CertifiedInformationSystemsAuditor (CISA)
La certificaciónCISA esreconocidaentodoel mundocomoel logroreconocidode losexpertosque
controlan, monitorean y evalúan la plataforma tecnológica de una organización y sus sistemasde
negocio.
CertifiedInformationSecurityManager (CISM)
La certificaciónCISMreconoce a laspersonasque diseñan,construyenygestionanlaseguridadde
la informaciónde lasempresas.CISMeslacredencial líder que debentenerlosadministradoresde
la seguridadde la información.
Certifiedinthe Governance of Enterprise IT (CGEIT)
CGEIT reconoce a una amplia gama de profesionales por su conocimiento y aplicación de los
principios y prácticas de gobierno empresarial de TI.
CertifiedinRisk and Information SystemsControl (CRISC)
CRISC estádiseñada,paraprofesionalesde TIque tienen ampliaexperienciaenlaidentificaciónde
riesgos, suanálisisyevaluación;respuestaal riesgo,monitoreode riesgos;Diseñoe implementación
de controles de sistemas de información; y monitoreo y mantenimiento de los mismos.
10. 9
Lanzamiento COBIT, ISACA
¿Qué es COBIT?
Objetivos de Control para Información y Tecnologías Relacionadas (COBIT,eninglés:Control
Objectives for Information and related Technology) es una guía de mejores prácticas que se
plasma como marco de negocio para el gobierno y la gestión de cualquier organización.
Mantenido por ISACA.
Isaca lanzó el 10 de abril del 2012 la nueva edición de este marco de referencia. COBIT 5 es
la última edición del framework mundialmente aceptado, el cual proporciona una visión
empresarial del Gobierno de TI que tiene a la tecnología y a la información como
protagonistas en la creación de valor para las empresas.
framework : es una estructura conceptual y tecnológica de soporte definido, normalmente con artefactos o
módulos de software concretos, que puede servir de base para la organización y desarrollo de software.
CobIT 5 ayuda a empresas de todos los tamaños a:
Mantener información de alta calidad para apoyar decisiones empresariales.
Conseguir objetivos estratégicos y beneficios empresariales mediante el uso efectivo y
innovador de las TI.
Conseguir la excelencia operativa mediante la aplicación fiable y eficiente de la
tecnología.
Mantener el riesgo relacionado con las TI en un nivel aceptable.
Optimizar el coste de los servicios y la tecnología de las TI.
Apoyar el cumplimiento con leyes, regulaciones, acuerdos contractuales y políticas
relevantes.
COBIT 5 en seguridad de la información puede ayudar a las empresas a reducir sus
perfiles de riesgo a través de la adecuada administración de la seguridad. La información
específica y las tecnologías relacionadas son cada vez más esenciales para las
organizaciones, pero la seguridad de la información es esencial para la confianza de los
accionistas”.
11. 10
ISACA ofreceactualmente 3 cursos de formación en COBIT5:
Curso COBIT 5 - Fundamentos
El propósito del Certificado es confirmar que el candidato tiene suficiente conocimiento y
comprensión de COBIT 5 para comprender el Gobierno y Gestión de las tecnologías de la
informaciónempresarial,concienciarasus ejecutivosde negocioya la alta direcciónde TI,evaluar
el estadoactual de laTIenlaempresaconel objetivode dimensionarqué aspectosde COBIT5sería
apropiado implementar.
Curso COBIT 5 - Implementación
El propósito del Certificado es demostrar que se sabe aplicar y analizar –a nivel profesional
(practitioner) el conjunto de procedimientosy buenas prácticas de las 7 fases del Ciclode Vida de
Implantación que se expresan en COBIT-5.
Curso COBIT 5 – Evaluador
El curso tiene dosobjetivosprincipales. Por un lado,aportar al participante labase para que sepa
evaluarlas capacidadesde losprocesosde una organizaciónsegúnel ModeloPAM(COBITProcess
AssessmentModel).PAMestá basadoen evidencias,paraposibilitarunaforma fiable,consistente
y repetible de evaluar las capacidades de los procesos TI.
Por otro, preparar al participante para el Examen de Certificación en ‘Evaluador – Assessor’. El
Certificadodemuestraque se sabe aplicaryanalizarlosresultados,conforme al estándarde ISACA.
12. 11
Conclusión
La seguridad informática es un concepto que conforme las tecnologías continúan
avanzando tanto en hardware como software toma una mayor relevancia, pese a esto aun
existen generaciones que no consideran importante invertir en seguridad informática lo
que a todas luces es un error. Pues bien es sabido que todo sistema es susceptible a ser
atacado, por tanto conviene ser precavido y proteger nuestra información.
Cabe señalar que no solo basta con comprar un sistema de seguridad informática si
no también es importante que este certificado y que además se esté constantemente
actualizando, pues al igual que la seguridad avanza las formas de invadir la información y
vulnerar la seguridad también avanza.
Finalmente es importante recalcar los conceptos fundamentales que aportan en
contar con una seguridad informática integral los cuales son: integridad, confidencialidad y
disponibilidad.