Seguridad Informática Tema 1: Introducción a la seguridad informática
Seguridad informática
Click here to load reader
-
Upload
felipe-zamora -
Category
Documents
-
view
57 -
download
0
Transcript of Seguridad informática
Seguridad Informática
Felipe Beningno Zamora Cuevas
Profesor: Cristian Salazar
Asignatura: Sistemas de Información Empresarial
Valdivia, 10 de julio del 2014
UNIVERSIDAD AUSTRAL DE CHILE
FACULTAD DE CIENCIAS ECONÒMICAS Y ADMINISTRATIVAS
INSTITUTO DE ADMINISTRACIÓN
Contenido Introducción ............................................................................................................................. 3
¿Qué es la seguridad informática? .............................................................................................. 3
Estándares de seguridad informática internacionales .................................................................. 4
Auditoría Informática y Seguridad Informática ............................................................................ 5
Certificaciones disponibles en ISACA........................................................................................... 5
COBIT ....................................................................................................................................... 6
Conclusión ................................................................................................................................ 6
Bibliografía................................................................................................................................ 7
Introducción Cuando se está frente a un computador poca conciencia se tiene de los procesos y las normas que
hay detrás de aparato que usamos o del programa con el que interactuamos, cuando ingresamos a
la página de nuestro banco o a revisar las calificaciones en el portal de información de la universidad.
En este trabajo indagaremos sobre la seguridad informática y las normas de estandarización que se
han generado a raíz del análisis de esta disciplina y a su vez como los auditores informáticos apoyan
este proceso con la evaluación de las vulnerabilidades de los sistemas ocupados por distintas
organizaciones. Por medio de una revisión bibliográfica se logrará dar un marco para el
conocimiento de estas tareas que hay detrás de los sistemas de información, los estándares
internacionales, las certificaciones y la empresa líder en el otorgamiento de ésta, aunque lo primero será conocer de qué estamos hablando cuando hablamos de seguridad informática.
¿Qué es la seguridad informática? La seguridad informática es la disciplina que se enfoca en la protección de la infraestructura
computacional y especialmente en la información contenida en ella. Es decir que los sistemas de
información, tanto hardware como software y lo contenido en ellos actúen con el fin que se les fue
dado y a su vez el acceso, y modificación, a la información ahí contenida sea posible para las
personas que tienen la autorización correspondiente. Es por tanto la disciplina encargada de diseñar
las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información
seguro y confiable.
La ISO/IEC 27001, que fue aprobado y publicado en octubre de 2005 por la International
Organization for Standardization (ISO) y por la comisión International El ectrotechnical Commission
(IEC) nos proporciona la siguiente definición: “La seguridad informática consiste en la implantación
de un conjunto de medidas técnicas destinadas a preservar la confidencialidad, la integridad y la
disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la
autenticidad, la responsabilidad, la fiabilidad y el no repudio.” De esta podemos extraer las
principales bases de la seguridad informática la confidencialidad, la integridad y la disponibilidad.
Confidencialidad: se refiere al acceso a la información solo mediante autorización y de
forma controlada y por tanto se busca prevenir la divulgación no autorizada de información.
Integridad: se refiere a modificación de la información solo mediante autorización y por
tanto se busca prevenir modificaciones no autorizadas de la información.
Disponibilidad: se refiere a que la información del sistema debe permanecer accesible
mediante autorización y por tanto se busca prevenir interrupciones no autorizadas o no controladas de los recursos informáticos.
Se puede inferir de las bases de la seguridad informática que el concepto de amenaza está
constantemente presente y por tanto importante mencionar los distintos orígenes que pueden
tener estas para poder tener en cuenta las vulnerabilidades de los sistemas de información. Así
podemos ver que las amenazas más frecuentes son las de origen humano ya sean estas maliciosas
o no maliciosas. Las primeras son las más conocidas y tomadas en cuenta ya que hay un ánimo de
mal uso de la información o del sistema de información en cuestión, ya sea una amenaza interna
(un empleado de la empresa puede sacar partido de la información que maneja u obtener permisos de acceso para ello) o externa (hacker, espionaje corporativo, entre otros).
Por otra parte las amenazas de origen humano no maliciosa es la perpetrada generalmente por
empleados ignorantes al ocupar el sistema. Además hay que tomar en cuenta las amenazas
naturales que van desde desastres naturales, hasta la humedad o temperatura a la que están
expuestas los sistemas (y generalmente afectan a la parte física de estos). Vemos que toda acción o
elemento que comprometa el sistema es una amenaza y por tanto es un factor crítico a la hora del análisis de vulnerabilidad del sistema de información.
Estas amenazas afectan a los recursos que forman parte del sistema entre los que encontramos:
hardware, software y datos entre los más relevantes principalmente debido a la inversión que la
empresa hace en ellos y el valor que agregan tanto a los procesos genéricos como a los productos
finales. De entre los mencionados los datos son los de mayor importancia principalmente por el
valor que agregan a toda la organización al ser fuentes de información, conocimiento y a su vez
costo de reposición.
Para resguardar las vulnerabilidades de los sistemas de información es que se han creado estándares de seguridad informática internacionales.
Estándares de seguridad informática internacionales La primera aparición de estándares de seguridad informática data de 1995 La norma BS 7799 de BSI
(British Standard Institution) con objetivo de proporcionar a cualquier empresa, sea británica o no,
un conjunto de buenas prácticas para la gestión de la seguridad de su información. La primera parte
de la norma (BS 7799-1) fue una guía de buenas prácticas, para la que no se establecía un esquema
de certificación. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que
estableció los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable
por una entidad independiente y que luego fue adoptada por la ISO (International Organization for
Standarization) e IEC (International Electrotechnical Commission). Si bien se adopta en primera
instancia esta segunda parte como ISO 17799 en el 2000 el 2005 se publica la que hasta ahora está vigente (y constante revisión).
Como ya se plateo la ISO/IEC 27000 está basada en la segunda mitad del estándar británico (BS7799)
y encontramos en él controles, valoración de riesgos y el Sistema de gestión de seguridad de la
información (SGSI) Además contiene el vocabulario, y por tanto las definiciones de estos, a ocupar en las normas siguientes.
La ISO/IEC 27001es la norma que contiene los requisitos de SGSI y por tanto la que permite la
acreditación del mismo por los evaluadores externos.
La ISO/IEC 27002 es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información.
En la ISO/IEC 27003 encontramos información sobre el uso del modelo PDCA (mejoramiento continuo de la calidad en cuatro pasos; planificar, hacer, verificar y actuar).
La ISO/IEC 27004 especifica las métricas y técnicas de medida para determinar la eficiencia de un sistema de gestión de seguridad de información y de controles relacionados.
La ISO/IEC 27005 es una guía para la gestión del riesgo de la seguridad de la información. Apoyo
para la ISO 27001.
En la ISO/IEC 27006 encontramos los requisitos que deben cumplir las organizaciones encargadas
de emitir certificaciones.
La ISO/IEC 27007 es una guía para auditar los sistemas de gestión de seguridad de la información conforme a la 27000.
La ISO/IEC 27011 es una guía de gestión de seguridad de la información específica para telecomunicaciones.
La ISO/IEC 27031 es una guía de continuidad de negocio en lo relativo a tecnologías de la
información y comunicaciones.
La ISO/IEC 27032 es una guía sobre la ciberseguridad.
La ISO/IEC 27799 es una guía para implantar ISO/IEC 27002 específica para entornos médicos.
Auditoría Informática y Seguridad Informática La auditoría Informática se preocupa del análisis de la eficiencia de los Sistemas Informáticos, la
verificación del cumplimiento de las normativas y la revisión de la eficaz gestión de los recursos
informáticos es por tanto parte importante de la seguridad informática ya que permite el control y
retroalimentación de las prácticas y las vulnerabilidades en los sistemas de información. Aquí se
agrupan en dos conceptos el tema de seguridad: física, todo lo relacionado a los aparatos,
instalaciones, soportes de datos, entre otros, y lógica, que tiene relación con el uso de softwares, protección y utilización de datos entre otros.
Los auditores permiten conocer el estado del sistema de información y por tanto como la seguridad
informática a influenciado y apoyado a esa empresa. Para ser auditor informático se debe certificar
por una empresa dedicada y la más reconocida y avalada es ISACA. A su vez se ha generado una guía
de mejores prácticas presentada como framework dirigida al control y supervisión de las TI llamada COBIT.
Certificaciones disponibles en ISACA ISACA es reconocida por su proceso de selección por medio de un examen extenso y la necesidad
de mantenerse actualizado para no perder la certificación. Actualmente ofrece cuatro certificaciones:
Certified Information Systems Auditor (CISA)
La certificación CISA es reconocida en todo el mundo como el logro reconocido de los expertos que
controlan, monitorean y evalúan la plataforma tecnológica de una organización y sus sistemas de
negocio.
Certified Information Security Manager (CISM)
La certificación CISM reconoce a las personas que diseñan, construyen y gestionan la seguridad de
la información de las empresas. CISM es la credencial líder que deben tener los administradores de la seguridad de la información.
Certified in the Governance of Enterprise IT (CGEIT)
CGEIT reconoce a una amplia gama de profesionales por su conocimiento y aplicación de los
principios y prácticas de gobierno empresarial de TI.
Certified in Risk and Information Systems Control (CRISC)
Esta certificación está diseñada para profesionales de TI que tienen amplia experiencia en la
identificación de riesgos, su análisis y evaluación; respuesta al riesgo, monitoreo de riesgos; diseño
e implementación de controles de sistemas de información; y monitoreo y mantenimiento de los mismos.
COBIT Es el acrónimo de Objetivos de Control para Información y Tecnologías Relacionadas en
inglés: Control Objectives for Information and related Technology. Es una guía de mejores
prácticas presentada en framework, creada por ISACA, que permite optimizar los servicios
el coste de las TI y la tecnología; apoyar el cumplimiento de las leyes, reglamentos, acuerdos
contractuales y las políticas y la gestión de nuevas tecnologías de información. El hecho de
que se presente como framework permite la aplicación en distintas empresas sin importar
el tamaño ya que agrupa conceptos y modelos que deben ser rellenados por la información
de la organización a evaluar para generar mapas de procesos de las TI y proporciona un
lenguaje común para comunicar las metas y objetivos a los interesados.
Basado en un principio básico: “Los recursos de TI son manejados por procesos de TI para
lograr metas de TI que respondan a los requerimientos del negocio” alinea los
requerimientos a sus objetivos y ayuda a vigilar y controlar los costos asociados a TI buscando el mayor rendimiento de TI.
Conclusión La seguridad informática es de vital importancia cuando trabajamos con TI ya que las
amenazas son muchas y pueden minar las inversiones hechas como aumentar los costos por
los daños latentes si no se controlar de manera correcta. Para minimizar el riesgo las normas
de estandarización nos dan una mano en términos de poner de manifiesto las mejores
prácticas y a su vez potenciar la auditoría para fortalecer nuestros sistemas de información.
En el mundo interconectado en el que se desenvuelven las organizaciones es fundamental y
no se puede dejar a un lado las tecnologías de información y por tanto deben ser aprovechadas
en su medida alineadas con los objetivos de nuestra empresa. Para esto lo expuesto en este
texto apoya una visión más amplia sobre la utilización de estos y las oportunidades de sacar
el mejor provecho de ellas para que una amenaza se transforme en una fortaleza y no en una
debilidad.
Bibliografía Borghello, Cristian. «Segu.Info.» s.f. http://www.segu-info.com.ar/tesis/ (último acceso: julio de
2014).
Erb, Markus. Gestión de Riesgo de la Seguridad Informática. s.f.
http://protejete.wordpress.com/gdr_principal/definicion_si/ (último acceso: julio de
2014).
Instituto Nacional de Tecnologías Educativas y Formación del Profesorado . Observatorio
Tecnológico. s.f. http://recursostic.educacion.es/observatorio/web/es/software/software-general/1040-introduccion-a-la-seguridad-informatica (último acceso: julio de 2014).
ISACA. s.f. http://www.slideshare.net/rsoriano/cobit-para-que-sirve (último acceso: junio de 2014).
Lopez Neira, Agustín, y Javier Ruiz Spohr. ISO27000.ES. s.f.
http://www.iso27000.es/iso27000.html#seccion1 (último acceso: julio de 2014).
Wikipedia. Wikipedia. s.f. http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica (último acceso: julio de 2014).