Post on 05-Dec-2014
REPÚBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO DEL PODER POPULAR PARA LA EDUCACIÓN SUPERIOR
UNIVERSIDAD EXPERIMENTAL SIMÓN RODRÍGUEZ
CONVENIO CORPORATIVO FIEC-UNESR
CARRERA INFORMATICA
SECCIÓN D1
Facilitador: Autores: Linares Héctor
Daniel Carneiro C.I.V- 17.168.793
Mosquera Eduardo
C.I.V- 16.083.328
Caracas, Mayo 2010
Auditoria IT
La auditoria informática (o Auditoria IT) es un proceso el cual se orienta a la
verificación y aseguramiento de las políticas y procedimientos establecidos para el
manejo y uso adecuado de la Tecnología de la Información (IT), en cualquier ámbito.
Los servicios de auditoría comprenden el estudio de los sistemas para gestionar
las vulnerabilidades que pudieran estar presentes en los sistemas. Una vez localizadas,
las anomalías se documentan, se informa de los resultados a los responsables y se
establecen medidas preactivas de refuerzo, siguiendo siempre un proceso secuencial que
permita que los sistemas mejoren su seguridad aprendiendo de los errores pasados.
Las auditorias de los sistemas permiten conocer en el momento la realización
cual es la situación exacta de activos de información, en cuanto a protección, control y
medidas de seguridad. Una auditoria de sistemas es una radiografía completa de la
situación de sistemas.
Tipos de Auditoria:
Análisis forense. El análisis forense es una metodología de estudio apta para el análisis
a posteriori de incidentes, mediante la cual se trata de reconstruir cómo se ha penetrado
en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado
la inoperatividad del sistema.
Auditoría de páginas Web: Entendida como el análisis externo de la Web,
comprobando vulnerabilidades como la inyección de código SQL, Verificación de
existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.
Auditoría de código de aplicaciones: Análisis del código tanto de aplicaciones páginas
Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado
Evaluación de políticas y estándares existentes.
Auditar sus sistemas es algo necesario
Realizar trabajos de auditoría con cierta periodicidad es necesario para asegurar
que la seguridad de su red corporativa es la óptima. El continuo cambio en las
configuraciones, la aparición de parches y mejoras en el software y la adquisición de
nuevo hardware hacen necesario que los sistemas estén periódicamente controlados
mediante auditoría.
Tipos de auditoría: Los servicios de auditoría pueden ser de distinta índole:
Auditoría interna. En este tipo de auditoría se contrasta el nivel de seguridad y
privacidad de las redes locales y corporativas de carácter interno
Auditoria perimetral. En este tipo de estudio se analiza el perímetro de la red local o
corporativa, y se estudia el grado de seguridad que ofrece a las entradas exteriores.
Test de intrusión. El test de intrusión es un método de auditoría mediante el cual se
intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no
deseada. Es un complemento interesante a la auditoría perimetral.
Seguridad IT
El entorno de negocios actual ha desarrollado un alto grado de dependencia en sus
operaciones de los recursos de tecnología informática, tanto que estos se han convertido
en un factor crítico para el éxito y supervivencia de las organizaciones.
De igual forma, los cambios en la tecnología informática no se detienen y es
importante para los negocios, los empleados y en particular los auditores entender estas
tendencias, sus conceptos claves y los efectos de su incorporación sobre el ambiente de
control de las empresas y los retos de seguridad y auditoria que imponen.
Conceptos tales como cliente/servidor, aplicaciones Web, sistemas ERP,
teletrabajo, comercio electrónico, trabajo colaborativo, workflow, sistemas abiertos y
otros, deben estar en el dominio de términos de un equipo de auditoría, así, como
también lo deben estar los términos relacionados con la auditoria de estas
infraestructuras tecnológicas.
Para estructurar e implementar políticas, medidas y mecanismos de auditoría
informática se requiere de profesionales especializados y capacitados en el tema que
trabajen bajo las mejores prácticas contenidas en los estándares y mejores prácticas
internacionales entre las que se encuentran: ISO 17799, ITIL, BS7799, NIST 800-34,
COBIT, CONCT, IT Gobernance entre otros.
Igualmente se ha incrementado el uso de herramientas de recuperación y análisis
para agregar mayor inteligencia a la auditoria, identificar elementos de riesgo y
descubrir errores o transacciones sospechosas en tiempo de ejecución, ampliando el
ambiente de control requerido por las organizaciones.
El uso de las herramientas de recuperación y análisis de la información pueden
presentar desafíos técnicos significativos a los auditores porque la información objeto
de la auditoria normalmente reside en sistemas diversos y distribuidos con varios grados
de control y estandarización, por lo que es necesario mantener técnicas especializadas
entre los miembros del equipo de auditoría.
Una vez se guarda información en una forma utilizable por herramientas
analíticas de auditoría, los auditores pueden ejecutar sus pruebas y revisar los resultados
de sus análisis.
La acumulación de datos del negocio de varios periodos de tiempo permite que
el software identifique patrones, cambios, o tendencias en los datos indicando cambios
en los negocios, el ambiente del negocio, el cliente principal, la economía, factores
cambiantes de competencia, y su proyección. Tal análisis del patrón sería importante en
la planificación del negocio y ventaja competitiva, y podría ser ejecutada por grupos
fuera de la auditoría interna; sin embargo, si el análisis de auditoría reconoce tales
patrones entonces los auditores estarán agregando valor a su trabajo.
Seguridad de la información: Este es uno de los puntos más importantes a tener en
cuenta, en cuanto a la protección frente a amenazas. Podemos destacar:
Evaluación de los riesgos en materia de seguridad
Impacto potencial de una falla de seguridad en los negocios, teniendo en cuenta
las potenciales consecuencias por una pérdida de la confidencialidad, integridad
o disponibilidad de la información
Probabilidad de ocurrencia de dicha falla tomando en cuenta las amenazas y
vulnerabilidades predominantes, y los controles actualmente implementados.
Selección de controles y políticas para reducir riesgos.
Estos son algunos de los puntos destacados, hay muchas más variables, en cuanto
seguridad que podemos ofrecerle a su organización.
Documentación de la política de seguridad de la información.
Asignación de responsabilidades en materia de seguridad de la información
Instrucción y entrenamiento en materia de seguridad de la información
Comunicación de incidentes relativos a la seguridad
El Empleo de certificados digitales
Sistemas antifraude y antiphishing
Fases del servicio: Los servicios de auditoría constan de las siguientes fases:
Enumeración de redes, topología y protocolos
Identificación de sistemas y dispositivos
Análisis de servicios y aplicaciones
Detección, comprobación y evaluación de vulnerabilidades
Medidas específicas de corrección
Evaluación de políticas y estándares existentes.
Evaluación de políticas y estándares existentes
Evaluación del Control perimetral en tiempo real con tecnología propia
Recomendaciones sobre implantación de medidas proactivas
Mejores Prácticas relacionadas con:
Control Interno en Tecnología Informática
IT Governance: Es un conjunto de mecanismos utilizados por la administración de una
organización para dirigir y controlar su desarrollo tecnológico, asegurando que las
metas del negocio sean alcanzadas de forma efectiva mediante la detección y control de
los riesgos asociados. Una parte esencial del Gobierno de TI (IT Governance) es el
Gobierno de Seguridad de Información (Information Security Governance), el cual se
encarga de garantizar la Integridad de la información, continuidad de servicios y
protección de los activos de información. ISO 27000 puede ser tomado como referencia
para garantizar y certificar que se dirige y controla la Seguridad de la información con
base en mejores prácticas consolidadas como un estándar a nivel mundial.
Es una eestructura de relaciones y procesos para dirigirá controlara la empresa
con el objeto alcanzarlos objetivos de la empresa y añadir valor mientras se balancean
los riesgos versus sobre el retorno de y sus Procesos como parte integral del Gobierno
Corporativo que consta de liderazgo, estructuras organizacionales que garantizan que la
TI de la empresa soportará y extenderá las estrategias y objetivos organizacionales de la
manera siguiente:
Integra e institucionaliza buenas prácticas para garantizar que la
TI sirve de soporte a los objetivos del negocio.
Facilita que la empresa aproveche al máximo su información, maximice los
beneficios, capitalice las oportunidades y obtenga ventajas competitivas
IT Governance - ITGI
Alineación Estratégica
Se enfoca en garantizar el vínculo entre los planes de negocio y de TI; en definir,
mantener y validar la propuesta de valor de TI; y en alinear las operaciones de TI con
las operaciones de la empresa.
Entrega de valor
Se refiere a ejecutar la propuesta de valor a todo lo largo del ciclo de entrega,
asegurando que TI genere los beneficios prometidos en la estrategia, concentrándose en
optimizar los costos y en brindar el valor intrínseco de la TI.
Administración de riesgos
Requiere conciencia de los riesgos por parte de los altos ejecutivos de la
empresa, un claro entendimiento del deseo de riesgo que tiene la empresa, comprender
los requerimientos de cumplimiento, transparencia de los riesgos significativos para la
empresa, y la inclusión de las responsabilidades de administración de riesgos dentro de
la organización.
Administración de recursos
Se trata de la inversión óptima, así como la administración adecuada de los
recursos críticos de TI: aplicaciones, información, infraestructura y personas. Los temas
claves se refieren a la optimización de conocimiento y de infraestructura.
Medición del desempeño
Rastrea y monitorea la estrategia de implementación, la terminación del
proyecto, el uso de los recursos, el desempeño de los procesos y la entrega del servicio.
Permite determinar los principios que guiarán la integración de tecnologías, a
partir de la integración y estandarización de procesos de negocio, lo cual disminuye
considerablemente los costos de la integración de aplicaciones, la consolidación de
información y la interacción entre elementos tecnológicos
Facilita la especificación adecuada de las necesidades del negocio y la
identificación de las capacidades, limitaciones y criterios de evaluación, tanto de las
herramientas tecnológicas con las que cuenta en la organización, como de las del
mercado
El objetivo final de IT Governance es la aceleración en la adopción de estrategias
empresariales para gestionar el ciclo de vida completo de los proyectos de TI, desde la
gestión de la demanda hasta la producción final, pasando por su justificación,
establecimiento de prioridades, disponibilidad y asignación de recursos, control de
costos, despliegue de las soluciones desarrolladas, así como la medición de los
beneficios.
Qué son los Fundamentos de ITIL?
ITIL, la Information Technology Infrastructure Library (‘Biblioteca de
Infraestructura de Tecnologías de Información’), es un marco de trabajo de las mejores
prácticas destinadas a facilitar la entrega de servicios de tecnologías de la información
(TI) de alta calidad. ITIL resume un extenso conjunto de procedimientos de gestión
ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones
de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados
para servir de guía para que abarque toda infraestructura, desarrollo y operaciones de
TI.
ITIL (Information Technology Infrastructure Library)
El marco de referencia para la Gestión de Servicios de TI más aceptado y
utilizado en el mundo. Proporciona un conjunto de mejores prácticas en materia de
administración de TI extraídas de organismos del sector público y privado que están a la
vanguardia tecnológica a nivel internacional. ITIL contempla una publicación orientada
a la administración de Seguridad de Información, en la cual establece un conjunto de
mejores prácticas que pueden ser adoptadas para facilitar el cumplimiento con los
requisitos definidos en la norma ISO 27001.
Los orígenes de esta actividad se pueden encontrar en lo que se conoce como la
Biblioteca de Infraestructura de la Tecnología de la Información (ITIL), un conjunto de
documentos que describe las mejores prácticas para las áreas de servicios IT,
incluyendo la Gestión de Cambios, Incidentes, Configuración, entre otros.
Aplicado a todo tipo de Organizaciones, ITIL facilita el correcto manejo de
todos los servicios IT centralizado o descentralizado, reduciendo costos, eliminando
tiempos muertos, distribuyendo equitativamente las tareas informáticas de la empresa,
ordenando los elementos tecnológicos, previendo el crecimiento y estableciendo los
costos reales, presentes y futuros.
A nivel organizacional, ITIL propone la alineación de los Servicios IT con las
necesidades del negocio, lo cual se base en algunos cambios, tales como hacer foco en
procesos, realizar acciones preventivas, formar profesionales proactivos, integrar a toda
la organización al TI y orientar la perspectiva del negocio a los servicios.
A modo comparativo, la aplicación de servicios ITIL en una organización, tienen
el peso de una certificación ISO; de hecho, la certificación ISO 20000 (calidad de
servicio) se basa en los procesos ITIL para llegar a obtener esta categoría.
Básicamente labor de ITIL consiste en:
Mejorar la calidad Servicio – Soporte
Mejorar la capacidad tecnológica
Dar mayor flexibilidad tecnológica
Procurar mayor satisfacción al cliente
Implementar políticas de calidad relacionadas con TI
Mejorar los tiempos y ciclos referidos a los servicios tecnológicos
Lograr la eficacia del personal en relación al uso de la tecnología
Preveer las necesidades futuras del negocio
Disminuir costos para toda la organización
Cobit: Conjunto de orientaciones para el gobierno de TI, producto diseñado para ayudar
en la aplicación de una gestión eficaz de TI en todo tipo de organización es un material
cada vez más aceptable internacionalmente.
Las Mejores Prácticas
Objetivos de Control para la información y Tecnologías relacionadas (COBIT,
en inglés: Control Objetives Foz Information and related Technology) es un conjunto de
mejores prácticas para el manejo de información creado por la Asociación para la
Auditoría y Control de Sistemas de Información y el Instituto de Administración de las
Tecnologías de la Información. La misión de Cobit es investigar, desarrollar, publicar y
promocionar un conjunto de objetivos de control generalmente aceptados para las
tecnologías de la información que sean autorizados (dados por alguien con autoridad),
actualizados, e internacionales para el uso del día a día de los gestores de
negocios(también directivos) y auditores. Gestores, auditores, y usuarios se benefician
del desarrollo de Cobit porque les ayuda a entender sus Sistemas de Información (o
tecnologías de la información) y decidir el nivel de seguridad y control que es necesario
para proteger los activos de sus compañías mediante el desarrollo de un modelo de
administración de las tecnologías de la información.
Por fortuna, una de las grandes ventajas de la globalización es precisamente la
integración de los negocios y la estandarización de las tecnologías en todo el mundo, lo
que presenta grandes oportunidades para capturar las mejores prácticas existentes y para
optimizar el uso de recursos sensibles en TI.
La evaluación de los requerimientos del negocio, los recursos y procesos TI, son
puntos bastante importantes para el buen funcionamiento de una compañía y para el
aseguramiento de su supervivencia en el mercado. El Cobit es precisamente un modelo
para auditar la gestión y control de los sistemas de información y tecnología, orientado a
todos los sectores de una organización, es decir, administradores TI, usuarios y por
supuesto, los auditores involucrados en el proceso. El Cobit es un modelo de evaluación
y monitoreo que enfatiza en el control de negocios y la seguridad TI y que abarca
controles específicos de TI desde una perspectiva de negocios. Las siglas Cobit
significan Objetivos de Control para Tecnología de Información y Tecnologías
relacionadas. El modelo es el resultado de una investigación con expertos de varios
países, desarrollado por ISACA. (Information Systems Audit and Control Association)
Organización Mundial para la Gestión de la Información, control, seguridad y
profesionales de la auditoría. Publica Cobit y emite diversas acreditaciones en el ámbito
de la seguridad de la información
Herramientas para auditar las TI: ISACA liberó la versión 4.0 de Cobit,
herramienta cuya misión es investigar, desarrollar, publicar y promover un conjunto de
objetivos de control de Tecnología de Información internacionales, actualizados y
aceptados, para que los utilicen gerentes de negocio y auditores.
ISACA (Asociación de Auditoría y Control de Sistemas de Información, por sus
siglas en inglés) es una asociación profesional no lucrativa cuyos miembros se dedican a
la auditoria, control y seguridad de sistemas de información.
Carlos Zamora, presidente de ISACA, explicó que la organización surgió con el
propósito de establecer las mejores prácticas relacionadas con la gestión y el
seguimiento de las tecnologías de información. Por tal motivo, nació Cobit (Control
Objectives for Information and Related.
El elemento crítico para el éxito y supervivencia de las Organizaciones es la
administración efectiva de la información y de la Tecnología de la Información (TI) que
la suministra y que soporta los procesos de negocio de la compañía.
Los departamentos de TI, son los responsables de proveer y procesar la información
necesaria para los procesos de negocio, considerando a la Información como el
resultado de la aplicación combinada de los Recursos TI que deben ser administrados
por los Procesos.
COBIT 4.1 es una actualización significativa del marco que asegura que las TI
estén alineadas con los objetivos de negocio, sus recursos sean usados responsablemente
y sus riesgos administrados de forma apropiada. COBIT 4.1 representa una mejora
indiscutible de la versión COBIT 4.0 del estándar.
La nueva versión incluye la medición del desempeño, mejores objetivos de control
y mejor alineación con las metas de negocios y TI.
Muchas son las razones para la adopción de de un marco de trabajo para el
control del Gobierno de las TI en las organizaciones, independientemente de su
actividad y el tamaño.
Cada vez más, la alta dirección se está dando cuenta del impacto significativo que
la información puede tener en el éxito de una empresa. La dirección espera de las TI
contribuyan al éxito del negocio y se pueda obtener una ventaja competitiva de su buen
uso. Las Organizaciones necesitan saber si con la información administrada es posible
garantizar:
Características Cobit.
• Orientado al negocio.
• Alineado con estándares y regulaciones "de facto".
• Basado en una revisión crítica y analítica de las tareas y actividades en TI.
• Alineado con estándares de control seguridad y auditoria (COSO, IFAC, IIA, ISACA,
AICPA).
Objetivos y Beneficios
Proveer un marco único reconocido a nivel mundial de las “mejores prácticas”
de control y seguridad de TI
Consolidar y armonizar estándares originados en diferentes países desarrollados.
Concienciar a la comunidad sobre importancia del control y la auditoría de TI.
Enlaza los objetivos y estrategias de los negocios con la estructura de control de
la TI, como factor crítico de éxito
Aplica a todo tipo de organizaciones independiente de sus plataformas de TI
Ratifica la importancia de la información, como uno de los recursos más
valiosos de toda organización exitosa.
El logro de sus objetivos.
La flexibilidad suficiente para aprender y adaptarse.
El manejo juicioso de los riesgos a enfrenta la Organización.
El análisis de las oportunidades de negocio y actuar de acuerdo a ellas
El éxito de la Organización depende en gran medida de que se entienden los
riesgos y se aprovechan los beneficios de las TI, para ello, se necesita:
Alinear la estrategia de las TI con la estrategia del negocio.
Lograr que toda la estrategia de las TI, así como las metas fluyan de forma gradual
a toda la empresa.
Proporcionar estructuras organizativas que faciliten la implementación de las
metas del negocio
Crear las comunicaciones efectivas entre el negocio y las TI, y con los socios
externos.
Requerimientos de la información criterios.
El enfoque del control en TI se lleva a cabo visualizando la información
necesaria para dar soporte a los procesos de negocio y considerando a la información
como el resultado de la aplicación combinada de recursos relacionados con las TI.
Para alcanzar los requerimientos de negocio, la información necesita satisfacer ciertos
criterios:
Requerimientos de Calidad: Calidad, Costo y Entrega.
Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad
de los reportes financieros, Cumplimiento le leyes y regulaciones.
Efectividad: La información debe ser relevante y pertinente para los procesos del
negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable.
Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la
forma más productiva y económica).
Confiabilidad: Proveer la información apropiada para que la administración tome las
decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades.
Cumplimiento: De las leyes, regulaciones y compromisos contractuales con los
cuales0020está comprometida la empresa.
Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad.
Confidencialidad: Protección de la información sensible contra divulgación no
autorizada.
Integridad: Refiere a lo exacto y completo de la información así como a su validez de
acuerdo con las expectativas de la empresa.
Disponibilidad: Accesibilidad a la información cuando sea requerida por los procesos
del negocio y la salvaguarda de los recursos y capacidades asociadas a la misma.
Recursos: En cobit establecen los siguientes recursos en TI necesarios para alcanzar los
objetivos de negocio:
Datos: Todos los objetos de información. Considera información interna y externa,
estructurada o no, gráficas, sonidos, etc.
Aplicaciones: Entendidas como sistemas de información, que integran procedimientos
manuales y sistematizados.
Tecnología: Incluye hardware y software básico, sistemas operativos, sistemas de
administración de base de datos, de redes, telecomunicaciones, multimedia, etc.
Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas
de información.
Recursos Humanos: Por la habilidad, conciencia y productividad del personal para
planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de
Información, o de procesos de TI.
Usuarios:
La gerencia: para apoyar sus decisiones de inversión en TI y control sobre el
rendimiento de las mismas, analizar el costo beneficio del control.
Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el
control de los productos que adquieren interna y externamente.
Los Auditores: para soportar sus opiniones sobre los controles de los proyectos
de TI, su impacto en la organización y determinar el control mínimo requerido.
Los Responsables de TI: para identificar los controles que requieren en sus
áreas.
También puede ser utilizado dentro de las empresas por el responsable de un proceso de
negocio en su responsabilidad de controlar los aspectos de información del proceso, y
por todos aquellos con responsabilidades en el campo de la TI en las empresas.
Como se aplica o como se usa.
Organizaciones acertadas entienden las ventajas de tecnología de información (TI)
y usan este conocimiento para conducir el valor de sus accionistas. Ellos reconocen la
dependencia crítica de muchos procesos de negocio sobre TI, la necesidad de cumplir
con demandas de cumplimiento crecientes reguladoras y las ventajas de riesgo directivo
con eficacia. Para ayudar organizaciones en satisfactoriamente la reunión de desafíos de
hoy de negocio, el Instituto de Gobernación TI (ITGI) ha publicado la versión 4.0 de
Objetivos de Control para la Información y ha relacionado la Tecnología (COBIT).
El acercamiento a la utilización Cobit
Lo maneja - riesgos relacionados de negocio:
El empleo bajo sobre objetivos de negocio en el marco cobit
Seleccionan, procesa y controla TI apropiado por la organización de los
Objetivos de Control de cobit
funcionan del plan de negocio de organización.
Evalúan procedimientos y los resultados con Directrices de Revisión de cuentas
de cobit
Evalúan el estado de la organización, identifican factores de éxito críticos,
miden el funcionamiento con las Directrices de Dirección
Cobit Para desarrollar un juego sano de procesos:
Escogen los Objetivos de Control que caben los objetivos de negocio
Identifican los modelos de industria que proporcionan la dirección para apoyar
procesos (CMMI, Poblar CMM, ITIL)
CONCT: Control Objectives for Net Centric Technologies – CONCT (ISACF
Objetivos de Control para redes centralizadas de Tecnología, Que ofrece los objetivos
de control generalmente aceptados para las empresas que operan en el dinámico entorno
de red de tecnología, ha sido publicado por la comisión de auditoría de Sistemas de
Información y Control de la Fundación.
IT Control Objectives for Sarbanes-Oxley
Se trata de la segunda edición de IT Control Objectives for Sarbanes-Oxley, y
está especialmente orientado a gestores de TI, así como profesionales de la auditoría en
general, que tengan obviamente que ver con procesos de validación y conformidad
Sarbanes Oxley (más sobre SOX en este blog aquí)
128 páginas, con todo tipo de detalles. Esta segunda edición ha surgido
principalmente a raíz de algunos cambios importantes, ya que recientemente, la SEC
(U.S. Securities and Exchange Commission) y la PCAOB (The Public Company
Accounting Oversight Board) emitieron algunos dictámenes que complementaban
aspectos diversos con implicación en la gestión de riesgo, controles de aplicación y
evaluación de deficiencias.
Seguridad Informática
COBIT Security Baseline Structure - ISACA.
Los Objetivos de Control para la Información y Tecnologías Relacionadas
(COBIT) es un completo conjunto de recursos que contiene la información de las
organizaciones necesidad de adoptar un gobierno de TI y de control. El ámbito de
aplicación de cobit incluye la seguridad, además de otros riesgos que pueden ocurrir en
una infraestructura de TI
Cobit identifica los pasos críticos para la seguridad de la información. El marco
Cobit modelo de proceso genérico consta de 34 procesos de TI agrupados en cuatro
dominios: planificar y organizar, adquirir e implementar, entregar y dar soporte y
monitorear y evaluar. Cobit ofrece más de 300 objetivos de control detallados que
contienen las políticas, procedimientos, prácticas, las responsabilidades de organización
y directrices de auditoría que permiten la revisión de los procesos de TI en contra de
estos objetivos de control.
El marco Cobit de cuatro dominios genéricos y 34 procesos del TI incluir
importantes objetivos de seguridad. Estos objetivos se identifican como la línea de base
Cobit de Seguridad y están organizados en 39 pasos esenciales para ayudar a las
organizaciones planificar su seguridad de la información:
Seguridad Informática NIST
Luego de ver como nuestro sistema puede verse afectado por la falta de
Seguridad Física, es importante recalcar que la mayoría de los daños que puede sufrir un
centro de cómputos no será sobre los medios físicos sino contra información por él
almacenada y procesada.
Así, la Seguridad Física, sólo es una parte del amplio espectro que se debe cubrir
para no vivir con una sensación ficticia de seguridad. Como ya se ha mencionado, el
activo más importante que se posee es la información, y por lo tanto deben existir
técnicas, más allá de la seguridad física, que la aseguren. Estas técnicas las brinda la
Seguridad Lógica.
La serie 800 del NIST son una serie de documentos de interés general sobre
Seguridad de la Información. Estas publicaciones comenzaron en 1990 y son un
esfuerzo de industrias, gobiernos y organizaciones académicas para todos los
interesados en la seguridad, de todo tipo de organización.
Special Publication 800-123 - Guide to General Server Security
La guía tiene como objetivo ofrecer las directrices elementales para poder
gestionar la seguridad de sistemas operativos de servidor, así como el software que
corra sobre él, en términos de configuración segura, parches y actualizaciones, pruebas
de seguridad, monitorización de eventos y copia de seguridad de datos y sistema.
Contiene dos secciones que normalmente pasan por alto muchos administradores de
seguridad: la planificación de la seguridad (es decir, cómo se organiza el proceso de
fortificación de un servidor) y el mantenimiento de la misma.
ISO 17799. La norma ISO 17799-2000 es un código de mejores prácticas
recomendables para la gestión de la seguridad de la información
¿La información y los datos valiosos de la empresa están protegidos
adecuadamente? ¿Están garantizados los negocios que se desarrollan y su continuidad?
¿Se garantiza el retorno de la inversión empresarial? ¿Qué debe hacerse para garantizar
un nivel adecuado de seguridad de la información? ¿Qué soluciones y tecnologías deben
implementarse?
Esas son algunas de las preguntas con las que (frecuentemente) nos topamos en
vuestro ámbito de trabajo. En una fórmula (como hecha a medida) responderemos a
tales interrogantes como Profesionales del Terreno
La ISO 17799, al definirse como una guía protocolar (conjunto de normas a llevar
a cabo) en la implementación del sistema de administración de la seguridad de la
información, se orienta a preservar los siguientes principios:
Confidencialidad: asegurar que, únicamente, personal autorizado tenga acceso a
la información.
Integridad: garantizar que la información no será alterada, eliminada o destruida
por entidades no autorizadas; preservando exactitud y completitud de la misma y
de los métodos de su procesamiento.
Disponibilidad: cerciorar que los usuarios autorizados tendrán acceso a la
información cuando la requieran y sus medios asociados.
Tales premisas en la protección de los activos de información constituyen las
pautas básicas (deseables) en cualquier organización, sean instituciones de gobierno,
educativas, de investigación o (meramente) pertenencias hogareñas; no obstante,
dependiendo de la naturaleza y metas de las estructuras organizacionales, éstas
mostrarán especial énfasis en algún dominio o área del estándar ISO 17799.
Componentes de un Marco de referencia de seguridad BS-7799-2
Estas normas se han desarrollado como consecuencia de las crecientes pérdidas
sufridas por organizaciones que no tienen conciencia del valor de la información para su
negocio
Tener criterio de los diversos riesgos que se corren y del impacto de las brechas
de seguridad sobre el negocio son elementos básicos de prudencia para el ejecutivo de
hoy en día, ya sea un fraude informático, la falta de un sistema critico, la desfiguración
del sitio Web, o el robo de información confidencial, lo importante es apreciarla
magnitud de los posibles daños consecuentes desde la pérdida de productividad a tener
que afrontar altos costos de recuperación o sufrir una serie de pérdidas de imagen y
credibilidad que haga peligrar nuestra supervivencia en el mercado.
La Norma Bs-7799-2 sigue los pasos del ciclo, Planificar, hacer, verificar, actuar
para implementar y mantener un sistema de gestión de la seguridad de la información
susceptible de ser certificado por los organismos competentes.
Cuáles son los beneficios de implantar la norma BS- 7799-2
Los clientes y socios de negocios se benefician de contar con una organización que se
ha sometido a un riguroso proceso de evaluación realizado en forma competente,
imparcial e independiente y donde la información es segura gracias a un cuidado
constante.
La existencia de una revisión y mejora continúa sobre el sistema de seguridad
que asegura la eficiencia y robustez del mismo. el usufructo de la seguridad que
aumenta la confianza entre clientes y proveedores.
Gestionar sus riesgos eficazmente.
La protección de la imagen de la empresa y la marca comercial.