Seguridad Informática

Felipe Beningno Zamora Cuevas

Profesor: Cristian Salazar

Asignatura: Sistemas de Información Empresarial

Valdivia, 10 de julio del 2014

UNIVERSIDAD AUSTRAL DE CHILE

FACULTAD DE CIENCIAS ECONÒMICAS Y ADMINISTRATIVAS

INSTITUTO DE ADMINISTRACIÓN

Contenido Introducción ............................................................................................................................. 3

¿Qué es la seguridad informática? .............................................................................................. 3

Estándares de seguridad informática internacionales .................................................................. 4

Auditoría Informática y Seguridad Informática ............................................................................ 5

Certificaciones disponibles en ISACA........................................................................................... 5

COBIT ....................................................................................................................................... 6

Conclusión ................................................................................................................................ 6

Bibliografía................................................................................................................................ 7

Introducción Cuando se está frente a un computador poca conciencia se tiene de los procesos y las normas que

hay detrás de aparato que usamos o del programa con el que interactuamos, cuando ingresamos a

la página de nuestro banco o a revisar las calificaciones en el portal de información de la universidad.

En este trabajo indagaremos sobre la seguridad informática y las normas de estandarización que se

han generado a raíz del análisis de esta disciplina y a su vez como los auditores informáticos apoyan

este proceso con la evaluación de las vulnerabilidades de los sistemas ocupados por distintas

organizaciones. Por medio de una revisión bibliográfica se logrará dar un marco para el

conocimiento de estas tareas que hay detrás de los sistemas de información, los estándares

internacionales, las certificaciones y la empresa líder en el otorgamiento de ésta, aunque lo primero será conocer de qué estamos hablando cuando hablamos de seguridad informática.

¿Qué es la seguridad informática? La seguridad informática es la disciplina que se enfoca en la protección de la infraestructura

computacional y especialmente en la información contenida en ella. Es decir que los sistemas de

información, tanto hardware como software y lo contenido en ellos actúen con el fin que se les fue

dado y a su vez el acceso, y modificación, a la información ahí contenida sea posible para las

personas que tienen la autorización correspondiente. Es por tanto la disciplina encargada de diseñar

las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información

seguro y confiable.

La ISO/IEC 27001, que fue aprobado y publicado en octubre de 2005 por la International

Organization for Standardization (ISO) y por la comisión International El ectrotechnical Commission

(IEC) nos proporciona la siguiente definición: “La seguridad informática consiste en la implantación

de un conjunto de medidas técnicas destinadas a preservar la confidencialidad, la integridad y la

disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la

autenticidad, la responsabilidad, la fiabilidad y el no repudio.” De esta podemos extraer las

principales bases de la seguridad informática la confidencialidad, la integridad y la disponibilidad.

Confidencialidad: se refiere al acceso a la información solo mediante autorización y de

forma controlada y por tanto se busca prevenir la divulgación no autorizada de información.

Integridad: se refiere a modificación de la información solo mediante autorización y por

tanto se busca prevenir modificaciones no autorizadas de la información.

Disponibilidad: se refiere a que la información del sistema debe permanecer accesible

mediante autorización y por tanto se busca prevenir interrupciones no autorizadas o no controladas de los recursos informáticos.

Se puede inferir de las bases de la seguridad informática que el concepto de amenaza está

constantemente presente y por tanto importante mencionar los distintos orígenes que pueden

tener estas para poder tener en cuenta las vulnerabilidades de los sistemas de información. Así

podemos ver que las amenazas más frecuentes son las de origen humano ya sean estas maliciosas

o no maliciosas. Las primeras son las más conocidas y tomadas en cuenta ya que hay un ánimo de

mal uso de la información o del sistema de información en cuestión, ya sea una amenaza interna

(un empleado de la empresa puede sacar partido de la información que maneja u obtener permisos de acceso para ello) o externa (hacker, espionaje corporativo, entre otros).

Por otra parte las amenazas de origen humano no maliciosa es la perpetrada generalmente por

empleados ignorantes al ocupar el sistema. Además hay que tomar en cuenta las amenazas

naturales que van desde desastres naturales, hasta la humedad o temperatura a la que están

expuestas los sistemas (y generalmente afectan a la parte física de estos). Vemos que toda acción o

elemento que comprometa el sistema es una amenaza y por tanto es un factor crítico a la hora del análisis de vulnerabilidad del sistema de información.

Estas amenazas afectan a los recursos que forman parte del sistema entre los que encontramos:

hardware, software y datos entre los más relevantes principalmente debido a la inversión que la

empresa hace en ellos y el valor que agregan tanto a los procesos genéricos como a los productos

finales. De entre los mencionados los datos son los de mayor importancia principalmente por el

valor que agregan a toda la organización al ser fuentes de información, conocimiento y a su vez

costo de reposición.

Para resguardar las vulnerabilidades de los sistemas de información es que se han creado estándares de seguridad informática internacionales.

Estándares de seguridad informática internacionales La primera aparición de estándares de seguridad informática data de 1995 La norma BS 7799 de BSI

(British Standard Institution) con objetivo de proporcionar a cualquier empresa, sea británica o no,

un conjunto de buenas prácticas para la gestión de la seguridad de su información. La primera parte

de la norma (BS 7799-1) fue una guía de buenas prácticas, para la que no se establecía un esquema

de certificación. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que

estableció los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable

por una entidad independiente y que luego fue adoptada por la ISO (International Organization for

Standarization) e IEC (International Electrotechnical Commission). Si bien se adopta en primera

instancia esta segunda parte como ISO 17799 en el 2000 el 2005 se publica la que hasta ahora está vigente (y constante revisión).

Como ya se plateo la ISO/IEC 27000 está basada en la segunda mitad del estándar británico (BS7799)

y encontramos en él controles, valoración de riesgos y el Sistema de gestión de seguridad de la

información (SGSI) Además contiene el vocabulario, y por tanto las definiciones de estos, a ocupar en las normas siguientes.

La ISO/IEC 27001es la norma que contiene los requisitos de SGSI y por tanto la que permite la

acreditación del mismo por los evaluadores externos.

La ISO/IEC 27002 es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información.

En la ISO/IEC 27003 encontramos información sobre el uso del modelo PDCA (mejoramiento continuo de la calidad en cuatro pasos; planificar, hacer, verificar y actuar).

La ISO/IEC 27004 especifica las métricas y técnicas de medida para determinar la eficiencia de un sistema de gestión de seguridad de información y de controles relacionados.

La ISO/IEC 27005 es una guía para la gestión del riesgo de la seguridad de la información. Apoyo

para la ISO 27001.

En la ISO/IEC 27006 encontramos los requisitos que deben cumplir las organizaciones encargadas

de emitir certificaciones.

La ISO/IEC 27007 es una guía para auditar los sistemas de gestión de seguridad de la información conforme a la 27000.

La ISO/IEC 27011 es una guía de gestión de seguridad de la información específica para telecomunicaciones.

La ISO/IEC 27031 es una guía de continuidad de negocio en lo relativo a tecnologías de la

información y comunicaciones.

La ISO/IEC 27032 es una guía sobre la ciberseguridad.

La ISO/IEC 27799 es una guía para implantar ISO/IEC 27002 específica para entornos médicos.

Auditoría Informática y Seguridad Informática La auditoría Informática se preocupa del análisis de la eficiencia de los Sistemas Informáticos, la

verificación del cumplimiento de las normativas y la revisión de la eficaz gestión de los recursos

informáticos es por tanto parte importante de la seguridad informática ya que permite el control y

retroalimentación de las prácticas y las vulnerabilidades en los sistemas de información. Aquí se

agrupan en dos conceptos el tema de seguridad: física, todo lo relacionado a los aparatos,

instalaciones, soportes de datos, entre otros, y lógica, que tiene relación con el uso de softwares, protección y utilización de datos entre otros.

Los auditores permiten conocer el estado del sistema de información y por tanto como la seguridad

informática a influenciado y apoyado a esa empresa. Para ser auditor informático se debe certificar

por una empresa dedicada y la más reconocida y avalada es ISACA. A su vez se ha generado una guía

de mejores prácticas presentada como framework dirigida al control y supervisión de las TI llamada COBIT.

Certificaciones disponibles en ISACA ISACA es reconocida por su proceso de selección por medio de un examen extenso y la necesidad

de mantenerse actualizado para no perder la certificación. Actualmente ofrece cuatro certificaciones:

Certified Information Systems Auditor (CISA)

La certificación CISA es reconocida en todo el mundo como el logro reconocido de los expertos que

controlan, monitorean y evalúan la plataforma tecnológica de una organización y sus sistemas de

negocio.

Certified Information Security Manager (CISM)

La certificación CISM reconoce a las personas que diseñan, construyen y gestionan la seguridad de

la información de las empresas. CISM es la credencial líder que deben tener los administradores de la seguridad de la información.

Certified in the Governance of Enterprise IT (CGEIT)

CGEIT reconoce a una amplia gama de profesionales por su conocimiento y aplicación de los

principios y prácticas de gobierno empresarial de TI.

Certified in Risk and Information Systems Control (CRISC)

Esta certificación está diseñada para profesionales de TI que tienen amplia experiencia en la

identificación de riesgos, su análisis y evaluación; respuesta al riesgo, monitoreo de riesgos; diseño

e implementación de controles de sistemas de información; y monitoreo y mantenimiento de los mismos.

COBIT Es el acrónimo de Objetivos de Control para Información y Tecnologías Relacionadas en

inglés: Control Objectives for Information and related Technology. Es una guía de mejores

prácticas presentada en framework, creada por ISACA, que permite optimizar los servicios

el coste de las TI y la tecnología; apoyar el cumplimiento de las leyes, reglamentos, acuerdos

contractuales y las políticas y la gestión de nuevas tecnologías de información. El hecho de

que se presente como framework permite la aplicación en distintas empresas sin importar

el tamaño ya que agrupa conceptos y modelos que deben ser rellenados por la información

de la organización a evaluar para generar mapas de procesos de las TI y proporciona un

lenguaje común para comunicar las metas y objetivos a los interesados.

Basado en un principio básico: “Los recursos de TI son manejados por procesos de TI para

lograr metas de TI que respondan a los requerimientos del negocio” alinea los

requerimientos a sus objetivos y ayuda a vigilar y controlar los costos asociados a TI buscando el mayor rendimiento de TI.

Conclusión La seguridad informática es de vital importancia cuando trabajamos con TI ya que las

amenazas son muchas y pueden minar las inversiones hechas como aumentar los costos por

los daños latentes si no se controlar de manera correcta. Para minimizar el riesgo las normas

de estandarización nos dan una mano en términos de poner de manifiesto las mejores

prácticas y a su vez potenciar la auditoría para fortalecer nuestros sistemas de información.

En el mundo interconectado en el que se desenvuelven las organizaciones es fundamental y

no se puede dejar a un lado las tecnologías de información y por tanto deben ser aprovechadas

en su medida alineadas con los objetivos de nuestra empresa. Para esto lo expuesto en este

texto apoya una visión más amplia sobre la utilización de estos y las oportunidades de sacar

el mejor provecho de ellas para que una amenaza se transforme en una fortaleza y no en una

debilidad.

Bibliografía Borghello, Cristian. «Segu.Info.» s.f. http://www.segu-info.com.ar/tesis/ (último acceso: julio de

2014).

Erb, Markus. Gestión de Riesgo de la Seguridad Informática. s.f.

http://protejete.wordpress.com/gdr_principal/definicion_si/ (último acceso: julio de

2014).

Instituto Nacional de Tecnologías Educativas y Formación del Profesorado . Observatorio

Tecnológico. s.f. http://recursostic.educacion.es/observatorio/web/es/software/software-general/1040-introduccion-a-la-seguridad-informatica (último acceso: julio de 2014).

ISACA. s.f. http://www.slideshare.net/rsoriano/cobit-para-que-sirve (último acceso: junio de 2014).

Lopez Neira, Agustín, y Javier Ruiz Spohr. ISO27000.ES. s.f.

http://www.iso27000.es/iso27000.html#seccion1 (último acceso: julio de 2014).

Wikipedia. Wikipedia. s.f. http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica (último acceso: julio de 2014).