Trabajo de investigacion
-
Upload
cristian-gonzalez-zambrano -
Category
Documents
-
view
215 -
download
0
description
Transcript of Trabajo de investigacion
Universidad Austral de Chile
Facultad de Ciencias Económicas y Administrativas
Instituto de Administración
Trabajo de Investigación “Seguridad Informática”
Sistemas de Información Empresarial
ADMI-273
Profesor Responsable
Cristian Salazar Concha
Presentado por
Cristian Gonzalez Zambrano
Valdivia, Julio de 2014
INTRODUCCIÓN
Hoy en día vivimos en un mundo donde la tecnología se encuentra en todas partes, este
desarrollo ha sido gracias a la constante globalización, la constante investigación y
desarrollo de nuevas y mejores tecnologías hacen que las empresas y las personas se vean
favorecidas, algo muy importante hoy en día es la recopilación, análisis, y tratamiento de la
información, esta debe ser constantemente revalidada y protegida de la mejor manera.
En el presente informe se dará a conocer que es la seguridad informática, las posibles
amenazas que se esta expuesto y por lo tanto se debe usar la seguridad informática,
estándares de seguridad informática, certificaciones en ISACA, diferencias entre seguridad
informática y seguridad de la información.
¿QUE ES LA SEGURIDAD INFORMATICA?
La seguridad informática es una disciplina que se encarga de proteger la integridad y la
privacidad de la información almacenada en un sistema informático. De todas formas, no
existe ninguna técnica que permita asegurar la inviolabilidad de un sistema.
Un sistema informático puede ser protegido desde un punto de vista lógico (con el
desarrollo de software) o físico (vinculado al mantenimiento eléctrico, por ejemplo). Por
otra parte, las amenazas pueden proceder desde programas dañinos que se instalan en
la computadora del usuario (como un virus) o llegar por vía remota (los delincuentes que se
conectan a Internet e ingresan a distintos sistemas).
En el caso de los virus hay que subrayar que en la actualidad es amplísima la lista de ellos
que existen y que pueden vulnerar de manera palpable cualquier equipo o sistema
informático. Así, por ejemplo, nos encontramos con los llamados virus residentes que son
aquellos que se caracterizan por el hecho de que se hallan ocultos en lo que es la memoria
RAM y eso les da la oportunidad de interceptar y de controlar las distintas operaciones que
se realizan en el ordenador en cuestión llevando a cabo la infección de programas o
carpetas que formen parte fundamental de aquellas.
De la misma forma también están los conocidos virus de acción directa que son aquellos
que lo que hacen es ejecutarse rápidamente y extenderse por todo el equipo trayendo
consigo el contagio de todo lo que encuentren a su paso.
Los virus cifrados, los de arranque, los del fichero o los sobrescritura son igualmente otros
de los peligros contagiosos más importantes que pueden afectar a nuestro ordenador.
Entre las herramientas más usuales de la seguridad informática, se encuentran
los programas antivirus, los cortafuegos o firewalls, la encriptación de la información y el
uso de contraseñas (passwords).
Herramientas todas ellas de gran utilidad como también lo son los conocidos sistemas de
detección de intrusos, también conocidos como anti-spyware. Se trata de programas o
aplicaciones gracias a los cuales se puede detectar de manera inmediata lo que son esos
programas espías que se encuentran en nuestro sistema informático y que lo que realizan es
una recopilación de información del mismo para luego ofrecérsela a un dispositivo externo
sin contar con nuestra autorización en ningún momento. Entre este tipo de espías destaca,
por ejemplo, Gator.
Un sistema seguro debe ser íntegro (con información modificable sólo por las personas
autorizadas), confidencial (los datos tienen que ser legibles únicamente para los usuarios
autorizados), irrefutable (el usuario no debe poder negar las acciones que realizó) y
tener buena disponibilidad (debe ser estable).
De todas formas, como en la mayoría de los ámbitos de la seguridad, lo esencial sigue
siendo la capacitación de los usuarios. Una persona que conoce cómo protegerse de las
amenazas sabrá utilizar sus recursos de la mejor manera posible para evitar ataques o
accidentes.
En otras palabras, puede decirse que la seguridad informática busca garantizar que los
recursos de un sistema de información sean utilizados tal como una organización o un
usuario lo ha decidido, sin intromisiones.
POSIBLES AMENAZAS POR LAS QUE DEBEMOS RECURRIR A LA
SEGURIDAD INFORMATICA
No solo las amenazas que surgen de la programación y el funcionamiento de un dispositivo
de almacenamiento, transmisión o proceso deben ser consideradas, también hay otras
circunstancias que deben ser tenidas en cuenta, incluso «no informáticas». Muchas son a
menudo imprevisibles o inevitables, de modo que las únicas protecciones posibles son las
redundancias y la descentralización, por ejemplo mediante determinadas estructuras de
redes en el caso de las comunicaciones o servidores en clúster para la disponibilidad.
Las amenazas pueden ser causadas por:
Usuarios: causa del mayor problema ligado a la seguridad de un sistema
informático. En algunos casos sus acciones causan problemas de seguridad, si bien
en la mayoría de los casos es porque tienen permisos sobre dimensionados, no se les
han restringido acciones innecesarias, etc.
Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de
los recursos del sistema. Es instalado (por inatención o maldad) en el ordenador,
abriendo una puerta a intrusos o bien modificando los datos. Estos programas
pueden ser un virus informático, un gusano informático, un troyano, una bomba
lógica, un programa espía o spyware, en general conocidos como malware.
Errores de programación: La mayoría de los errores de programación que se pueden
considerar como una amenaza informática es por su condición de poder ser usados
como exploits por los crackers, aunque se dan casos donde el mal desarrollo es, en
sí mismo, una amenaza. La actualización de parches de los sistemas operativos y
aplicaciones permite evitar este tipo de amenazas
.Intrusos: persona que consiguen acceder a los datos o programas a los cuales no
están autorizados (crackers, defacers, hackers, script kiddie o script boy, viruxers,
etc.).
Un siniestro (robo, incendio, inundación): una mala manipulación o una mala
intención derivan a la pérdida del material o de los archivos.
Personal técnico interno: técnicos de sistemas, administradores de bases de datos,
técnicos de desarrollo, etc. Los motivos que se encuentran entre los habituales son:
disputas internas, problemas laborales, despidos, fines lucrativos, espionaje, etc.
Fallos electrónicos o lógicos de los sistemas informáticos en general.
Catástrofes naturales: rayos, terremotos, inundaciones, rayos cósmicos, etc.
ESTANDARES DE SEGURIDAD INFORMATICA
Las organizaciones necesitan y deben demostrar que realizan una gestión competente y
efectiva de la seguridad de los recursos y datos que gestionan, deben demostrar que
identifican y detectan los riesgos a los que está sometida y que adoptan medidas adecuadas
y proporcionadas.
Es por ello que se realizaron una serie de normas y estándares para que las empresas
puedan seguir un patrón común en el ámbito de la seguridad informática
El estándar de seguridad ISO 17799/BS 17799
El estándar de seguridad ISO 17799 fue preparado por la British Standard
Institution (con el nombre de BS 7799) y fue adoptado por el comité técnico de la ISO en
diciembre del año 2000.
Objetivo: Proporcionar una base común para desarrollar normas de seguridad dentro
de las organizaciones, un método de gestión eficaz de la seguridad y para establecer
transacciones y relaciones de confianza entre las empresas.
El estándar hace referencia a diez aspectos primordiales para la seguridad
informática. Estos aspectos son: Planes de Contingencia, Control de Acceso a los sistemas,
Mantenimiento y desarrollo de aplicaciones, Seguridad Física, Cumplimiento, Seguridad
Personal, Seguridad de la Organización, Administración de Operaciones, Control y
Clasificación de la Información y Políticas de Seguridad.
Dentro de cada sección, se especifican los objetivos de los distintos controles para la
seguridad de la información. Para cada uno de los controles se indica asimismo una guía
para su implantación. El número total de controles suma 133 entre todas las secciones
aunque cada organización debe considerar previamente cuántos serán realmente los
aplicables según sus propias necesidades.
Dentro de estos estándares también podemos encontrar la serie ISO 27000
ISO/IEC 27000: Es un conjunto de estándares desarrollados o en fase de desarrollo por ISO
(International Organization for Standardization) e IEC (International Electrotechnical
Commission), que proporciona un marco de gestión para la seguridad de la información
utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. Hay una
serie de normas que componen la serie ISO 27000, las cuales son ISO/IEC 27001, ISO/IEC
27002.
ISO/IEC 27001: Norma que especifica los requisitos para establecer, implantar, poner en
funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del
contexto global de los riesgos de negocio de la organización. Especifica los requisitos para
la implantación de los controles de seguridad hechos a medida de las necesidades de
organizaciones individuales o partes de las mismas. Establece la política, objetivos,
procesos y procedimientos relativos a la gestión del riesgo y mejorar la seguridad de la
información de la organización para ofrecer resultados de acuerdo con las políticas y
objetivos generales de la organización.
ISO/IEC 27002: Conjunto de recomendaciones sobre qué medidas tomar en la empresa
para asegurar los Sistemas de Información, los objetivos de seguridad recogen aquellos
aspectos fundamentales que se deben analizar para conseguir un sistema seguro en cada una
de las áreas que los agrupar, para conseguir cada uno de estos objetivos la norma propone
una serie de medidas o recomendaciones (controles) que son los que en definitiva
aplicaremos para la gestión del riesgo analizado, el objetivo de esta normar es definir los
aspectos prácticos/operativos de la implantación del SGSI
SGSI (Sistema de Gestión de la Seguridad de la información: proceso sistemático,
documentado y conocido por toda la organización para garantizar que la seguridad de
la información es gestionada correctamente)
CERTIFICACIONES
¿QUE ES ISACA?
ISACA es una asociación mundial de profesionales en Gobierno de TI. La asociación se
enfoca actualmente en el aseguramiento, gobierno, y seguridad de TI además proporciona
certificaciones reconocidas a nivel mundial en materia de aseguramiento/auditoría (CISA),
seguridad (CISM), gobierno (CGEIT) y riesgos (CRISC).
Con más de 100,000 miembros en 180 países, ISACA® refleja una multiplicidad de
orígenes y habilidades que hacen que el campo de Gobierno de TI desafiante y dinámico.
Certificaciones CISA, CISM, CGEIT y CRISC
ISACA ofrece cuatro certificaciones, las cuales son reconocidas a nivel mundial para los
profesionales de Auditoría, Seguridad, Gobierno y Riesgo de TI, para esto ISACA lleva a
cabo exámenes de certificación dos veces al año, en junio y diciembre.
Los requisitos para certificarte son los sigueintes:
Aprobar el examen
Experiencia relevante
Apegarte al código de ética ISACA
Apegarte al programa de educación profesional continua
Cumplimiento con los estándares de ISACA
Las certificaciones que ofrece ISACA son las siguientes
Certified Information Systems Auditor (CISA)
La certificación CISA es reconocida en todo el mundo como el logro reconocido de los
expertos que controlan, monitorean y evalúan la plataforma tecnológica de una
organización y sus sistemas de negocio.
Certified Information Security Manager (CISM)
La certificación CISM reconoce a las personas que diseñan, construyen y gestionan la
seguridad de la información de las empresas. CISM es la credencial líder que deben tener
los administradores de la seguridad de la información.
Certified in the Governance of Enterprise IT (CGEIT)
CGEIT reconoce a una amplia gama de profesionales por su conocimiento y aplicación de
los principios y prácticas de gobierno empresarial de TI.
Certified in Risk and Information Systems Control (CRISC)
Está diseñada para profesionales de TI que tienen amplia experiencia en la identificación de
riesgos, su análisis y evaluación; respuesta al riesgo, monitoreo de riesgos;
Diseño e implementación de controles de sistemas de información; y monitoreo y
mantenimiento de los mismos.
¿QUE ES LA AUDITORIA INFORMATICA?
La Auditoría Informática es el proceso de recoger, agrupar y evaluar evidencias para
determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de
los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los
recursos. De este modo la auditoría informática sustenta y confirma la consecución de los
objetivos tradicionales de la auditoría:
Objetivos de protección de activos e integridad de datos.
Objetivos de gestión que abarcan, no solamente los de protección de activos, sino
también los de eficacia y eficiencia.
El auditor evalúa y comprueba en determinados momentos del tiempo los controles y
procedimientos informativos más complejos, desarrollando y aplicando técnicas
mecanizadas de auditoría, incluyendo el usó del software. En muchos casos, ya no es
posible verificar manualmente los procedimientos informatizados que resumen, calculan y
clasifican datos, por lo que se deberá emplear software de auditoría y otras técnicas.
El auditor es responsable de revisar e informar a la Dirección de la Organización sobre el
diseño y el funcionamiento de los controles implantados y sobre la fiabilidad de la
información suministrada.
Se pueden establecer tres grupos de funciones a realizar por un auditor informático:
Participar en las revisiones durante y después del diseño, realización, implantación
y explotación de aplicaciones informativas, así cómo en las fases análogas de
realización de cambios importantes.
Revisar y juzgar los controles implantados en los sistemas informativos para
verificar su adecuación a las órdenes e instrucciones de la Dirección, requisitos
legales, protección de confidencialidad y cobertura ante errores y fraudes.
Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e
información.
DIFERENCIA ENTRE SEGURIDAD INFORMATICA Y SEGURIDAD DE LA
INFORMACION
A primera vista "Seguridad Informática" y "Seguridad de la Información" pueden parecer
exactamente lo mismo, sobre todo si se tiene en cuenta que el desarrollo y la evolución de
la tecnología tiende hacia el modelo de "digitalizar" y "manejar" cualquier tipo de
información mediante un sistema informático. No obstante, aunque están destinados a vivir
en armonía y trabajar conjuntamente, cada uno de las áreas de Seguridad tiene objetivos y
actividades diferentes.
La Seguridad Informática (IT Security) se describe como la distinción táctica y operacional
de la Seguridad, mientras la Seguridad de la Información (Information Security) sería la
línea estratégica de la Seguridad.
Teniendo en cuenta la definición de la Seguridad Informática, esta disciplina se encargaría
de las implementaciones técnicas de la protección de la información, el despliegue de las
tecnologías antivirus, firewalls, detección de intrusos, detección de anomalías, correlación
de eventos, atención de incidentes, entre otros elementos, que articulados con prácticas de
gobierno de tecnología de información establecen la forma de actuar y asegurar las
situaciones de fallas parciales o totales, cuando la información es el activo que se encuentra
en riesgo.
IT Security sería la disciplina que se encargaría de llevar a cabo las soluciones técnicas de
protección de la información (los activos).
En el otro lado, la Seguridad de la Información es la disciplina que nos habla de los riesgos,
de las amenazas, de los análisis de escenarios, de las buenas prácticas y esquemas
normativos, que nos exigen niveles de aseguramiento de procesos y tecnologías para elevar
el nivel de confianza en la creación, uso, almacenamiento, transmisión, recuperación y
disposición final de la información.
Information Security sería la disciplina que encargaría de proporcionar evaluar el riesgos y
las amenazas, trazar el plan de acción y adecuación para minimizar los riesgos, bajo
normativa o buenas practicas con el objetivo de asegurar la confidencialidad, integridad y
disponibilidad en el manejo de la información (activos).
IT Security vs Information Security
La Seguridad de la Información es la disciplina que se encarga de garantizar la
confidencialidad, integridad y disponibilidad de la información. Para alcanzar el objetivo se
apoya en la Seguridad Informática (que estaría gobernada por las directrices de la
Seguridad de la Información), es decir, a pesar de ser disciplinas diferentes, la una no puede
"ir" sin la otra. De modo que la Seguridad de la Información será la encargada de "regular"
y establecer las pautas a seguir para la protección de la información.
Es habitual que la Seguridad de la Información se apoye en una Política de Seguridad que
se desarrolla mediante la elaboración de un Plan Director de Seguridad. La Dirección (de la
Organización / Empresa) será la encargada de marcar las líneas de actuación (estrategia) en
materia de Seguridad, y mediante el Plan Director determinar las medidas tanto técnicas
como procedimentales (Seguridad como Proceso) que garantice los objetivos marcados por
la Política de Seguridad.
Las medidas técnicas (tácticas y operacionales) serán llevadas a cabo por el equipo de
Seguridad Informática, Administradores de Sistemas y Seguridad roles de Seguridad
hablaremos en otra ocasión, que implementaran las medidas necesarias para el
cumplimiento de la Política de Seguridad y el Análisis de Riesgos en el que se debería
basar la Política.
CONCLUSION
Una vez realizado este trabajo investigativo puedo decir que la seguridad informática juega
un rol importante para el resguardo de toda la información que se recopilan en las empresas
y también las personas normales, el mal uso de esta puede generar graves daños y
problemas, es por eso que se debe estar constantemente asegurando toda la información que
tienen las personas y empresas.
La seguridad informática es muy importante para las organizaciones porque se preocupa de
proteger toda la información que se maneja por lo tanto es de vital importancia estar
preocupado de que este segura.
BIBLIOGRAFIA
Estándares y Normas de Seguridad. <http://ccia.ei.uvigo.es/docencia/SSI/normas-
leyes.pdf > (Accesado Julio 2014)
ISACA. <www.isaca.com> (Accesado Julio 2014)
Normas, estándares, Leyes y demás de las políticas de seguridad. <
http://seguridadinformaticaufps.wikispaces.com/Normas,+estandares,
+Leyes+y+demas+de+las+politicas+de+seguridad.+1150204-159-250-214>
(Accesado Julio 2014)
Normatividad Internacional
<http://seguridadinformaticaufps.wikispaces.com/Normatividad+en+la+Seguridad+
Inform%C3%A1tica> (Accesado Julio 2014)
Que es una auditoria informática. <http//www.codejobs.biz/es/blog/2013/02/25/que-
es-una-auditoria-informatica#sthash.ga3UsN4Y.jIewdqX0.dpbs > (Accesado Julio
2014)
Seguridad Informática. <http://es.wikipedia.org/wiki/Seguridad_inform
%C3%A1tica > (Accesado Julio 2014)
Seguridad Informática o Seguridad de la información.
<http://ww+w.seguridadparatodos.es/2011/10/seguridad-informatica-o-seguridad-
de-la.html> (Accesado julio 2014)
Seguridad Informática v/s Seguridad de la información.
<http//itsecuring.blogspot.com/2009/11/seguridad-informatica-vs-seguridad.dehtml
> (Accesado Julio 2014)