Seguridad Informtica

Asignatura
Sistemas de la Informacin Empresarial

Profesor Responsable
Prof. Cristian Salazar C.

Alumno
Jaime Lpez Coronado






Valdivia, 3 de julio de 2014
Universidad Austral de Chile
Facultad de Ciencias Econmicas y Administrativas
Instituto de Administracin

Introduccin
En la actualidad el uso de internet se ha masificado cada vez ms, la mayora
tenemos acceso a esta herramienta para lo cual es importante resguardar la informacin que
circula en la Red debido a la presencia de personas mal intencionadas que buscan tener
acceso a los datos.
Qu es lo que conocemos como seguridad informtica?, en busca de la proteccin
de esta informacin surge este concepto que hace referencia a las condiciones y las
caractersticas de los sistemas de procesamiento y almacenamiento de datos para garantizar
su integridad, disponibilidad y confidencialidad.
Otra manera de explicar la seguridad informtica, es la seguridad que hace
referencia al conjunto de normas, herramientas y procedimientos que tienen como objetivo
garantizar la disponibilidad, integridad y confidencialidad para su posterior uso correcto.
De manera ms particular, en la actualidad las empresas permiten que sus
trabajadores hagan ingreso a sus sistemas de informacin desde diferentes lugares y por
diferentes motivos, por lo cual es necesario saber que recursos o informacin de la empresa
son necesario proteger para controlar el acceso a estos sistemas y as hacer un buen uso de
esta informacin, en este sentido la seguridad informtica resulta importante para las
diferentes compaas.








Qu es la Seguridad Informtica?
La seguridad informtica es un rea de la informtica preocupada de la proteccin
de los datos e informacin que circulan en la red.
Desde otro punto de vista la seguridad informtica es el conjunto de herramientas o
de normas que nos garantizan el buen uso de la informacin.
Existen dos propsitos de proteccin en la seguridad informtica: Seguridad de la
informacin y la proteccin de datos, la primera hace referencia a la proteccin de los datos
mismos buscando evitar que estos se modifiquen o se extraven sin previa autorizacin,
para as garantizar la confidencialidad, la integridad, la disponibilidad y la autenticidad,
todo esto motivado por el inters de las empresas, mientras que el segundo propsito, la
proteccin de datos se encarga del contenido de esta informacin que comprende a las
personas y que busca eliminar el abuso por parte de quienes recolectan estos datos.
Gestin de Riesgo en la Seguridad Informtica
La gestin de riesgo es un mtodo utilizado para determinar las falencias y
analizarlas para posteriormente valorar este riesgo y clasificarlo para finalmente
implementar los mecanismos que nos permitan controlar y aminorar estas amenazas.
La gestin de riesgo consta de 4 etapas:
a) Anlisis
Averigua cuales son las partes de un sistema que requieren proteccin y las
amenazas que afectan al sistema para as develar el nivel de riesgo existente.
b) Clasificacin
Determina el nivel de riesgos encontrados en el sistema.
c) Reduccin
Define e implementa las medidas en contra de estos problemas.
d) Control
Analiza la efectividad de las medidas utilizadas para aminorar el riesgo.



Objetivos de la Seguridad Informtica
La seguridad informtica consiste en garantizarnos que los recursos de la
organizacin se estn usando de manera correcta, sea para los propsitos en que fueron
creados.
Los 5 principales objetivos son los siguientes:


Otros objetivo tambin importante de la seguridad informtica es el No Repudio, que
significa que ninguna de las partes involucradas posteriormente puede negar la informacin
utilizada en la operacin realizada, en otras palabras constituye una garanta para su uso.





Integridad
(Garantizar que los datos
representen la realidad)
Confidencialidad
(Garantizar que solo las
personas autorizadas tengan
acceso a la informacin)
Disponibilidad
(Garantizar el correcto
funcionamiento de los
sistemas de informacin)
Autenticacin
(Similar a la confidencialidad)
Objetivos
Estndares Seguridad Informtica
Los estndares que se presentan en la seguridad informtica son las ISO que como
sabemos son leyes internacionales, en este sentido las ISO 27000 son las realizas para la
seguridad informtica o tambin conocida como SGSI (Sistemas de Gestin de la
Seguridad Informtica), a continuacin se detallaran las ms importantes:
1) ISO 27.000 Gestin de la Seguridad de la Informacin: Fundamentos y
vocabulario

2) ISO 27.001 Especificaciones para un SGSI
Esta norma es la que define los procesos de gestin de la seguridad, por lo cual es
una norma especfica para un SGSI.

3) ISO 27.002 Cdigo de buenas prcticas
Esta ISO viene a ser un cdigo que recoge gran cantidad de catlogos de los
controles de seguridad y una gua para su posterior implantacin (de un SGSI).
En la siguiente imagen se muestran los aspectos de seguridad que cubre la ISO.


Distribucin de dominios de la norma
Fuente seguridad informtica UFPS
4) ISO 27.003 Gua de Implantacin de un SGSI

5) ISO 27.004 Sistema de mtricas e indicadores

6) ISO 27.005 Gua de anlisis y de gestin de riesgo

7) ISO 27.006 Especificaciones para organismos certificadores de SGSI


8) ISO 27.007 Gua para auditar un SGSI

Certificaciones en ISACA
Qu es ISACA?, esa es la primera pregunta que debemos hacernos, ISACA es una
asociacin internacional que apoya y genera el desarrollo de herramientas, metodologas y
certificaciones en el rea de las TICs (Tecnologas de la informacin), auditoria, riesgos,
controles y seguridad de la informacin.
ISACA fue fundado por un grupo de auditores en sistemas informticos en el ao
1967 que observo la necesidad de centrar la informacin y adems de crear metodologas
para esta rea.
En el ao 1976 tomo el nombre con el que se le conoce actualmente, ISACA y
adems se estableci la primera certificacin profesional de auditoria de sistemas de
informacin conocida como CISA.
ISACA cuenta con ms de 100.000 miembros en alrededor de 80 pases, por lo que
es considerada una de las mayores empresas en su rubro.


ISACA administra las siguientes certificaciones internacionales:

ISACA ofrece 4 certificaciones, las cuales son reconocidas en todo el mundo y se
encuentran dirigidas para profesionales de Auditoria, Seguridad, Gobierno y Riesgo de TI.
A continuacin un detalle de cada certificacin:
a) CISA, certificacin para los especialistas en control, monitoreo y evaluacin de las
plataformas tecnolgicas de una organizacin.
b) CISM, certificacin que reconoce a las personas que disean, construyen, evalan y
gestionan la seguridad de la informacin de las compaas.
c) CGEIT, certificacin que reconoce a los profesionales por su conocimiento y
aplicacin de las prcticas de gobierno en las TICs.
d) CRISC, certificacin que reconoce a los profesionales en la gestin integral de
riesgos relativos a las TICs, adems reconoce a estos mismos en el diseo,
implementacin y evaluacin de controles para los sistemas de informacin.



CISA
(Certified
Information
Systems
Auditor)
CISM (
Certified
Information
Security
Manager)
CGEIT
(Certified in
the
Governance
of
Enterprise
IT)
CRISC
(Certified in
Risk and
Information
Systems
Control)
Cul es la relacin entre la Auditoria Informtica y la Seguridad Informtica
(Cobit)?
A rasgos generales la auditoria informtica se encuentra representada y manejada en
su gran mayora por ISACA, sus siglas en espaol significan Asociacin para la Auditoria y
Control de Sistemas de Informacin, esta es una de las empresas con mayor presencia a
nivel mundial.
Y qu es el COBIT?, (Control Objetives for Information and Related Technology)
es un conjunto de prcticas que buscan mejorar el manejo de la informacin y fue creado
por ISACA.
Otra definicin de que es el COBIT, seala que es un marco de referencia para la
direccin de las tecnologas de la informacin, tambin se le conoce como herramientas de
soporte que permite a la direccin de las empresas reducir las distancias entre las
necesidades de control, los temas tcnicos y lso riesgos del negocio.
De manera especfica, COBIT nos presenta las siguientes ventajas:
a) COBIT es un marco de referencia aceptado a nivel mundial, que una vez
implantado de manera correcta orientara a la empresa para obtener ventajas
competitivas.
b) Nos entrega un lenguaje comn para relacionarse entre los ejecutivos del
negocio, los auditores y otros profesionales
c) Proporciona las mejores prcticas para controlar y gestionar las actividades de
las TICs.
d) Ayuda a los ejecutivos a entender las inversiones que se necesitan en las TICs
para mejorar el ciclo del negocio.
Finalmente para resumir la relacin que existe entre la Auditoria Informtica y la Seguridad
Informtica, podemos decir que la primera se conoce como un proceso realizado por
profesionales que se encuentras capacitados para esto y que se encargan de recolectar,
diferenciar y evaluar las distintas evidencias para determinar finalmente si un sistema de
informacin protege de manera correcta los activos de la empresa, la integridad de los
datos, llevando a cabo los objetivos que la empresa tiene utilizando de la manera ms
eficiente posible los recursos con los que cuenta. A diferencia de la seguridad informtica
encargada de proteger la infraestructura computacional y la informacin que poseen las
diferentes compaas, como conclusin el proceso de auditoria informtica se realiza para
cumplir con la seguridad informtica.




















Bibliografa

1. http://es.kioskea.net/contents/622-introduccion-a-la-seguridad-informatica
2. http://protejete.wordpress.com/gdr_principal/definicion_si/
3. http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica
4. http://www.emol.com/noticias/tecnologia/2014/04/10/654699/experto-en-
seguridad-informatica-indica-que-chile-esta-en-el-top-10-de-paises-
infectados.html
5. http://www.monografias.com/trabajos82/la-seguridad-informatica/la-seguridad-
informatica.shtml
6. http://seguridadinformaticaufps.wikispaces.com/Normas,+estandares,+Leyes+y
+demas+de+las+politicas+de+seguridad.+1150204-159-250-214
7. http://www.isacacr.org/
8. http://seguridadinformacioncolombia.blogspot.com/2010/07/que-es-cobit.html