Monografias.com > Ingeniería
Descargar Imprimir Comentar Ver trabajos relacionados

Seguridad informática basado en las normas y estandares internacionales COBIT e ISO 17799




Enviado por Ronald Richard

  1. Introducción
  2. Problema
    de investigación
  3. Justificación e importancia de la
    investigación
  4. Marco
    teórico
  5. Resumen
  6. Conclusión
  7. Bibliografía

Introducción

La Informática hoy, está sumida en la
gestión integral y por eso las normas y estándares
propiamente informáticos deben estar incluidos en la
misma. En consecuencia, las organizaciones informáticas
forman parte de lo que se ha denominado el "management", la
Informática no gestiona propiamente ayuda a la toma de
decisiones, pero no decide por sí misma. Por ello, debido
a su importancia en el funcionamiento de la unp, existe la
Auditoría Informática, interesada en la
revisión de la adecuacidad y confiabilidad de los sistemas
de información, de gerencia y/o dirección y de los
procedimientos operativos.

La seguridad informática ha tomado especial
relevancia, dadas las cambiantes condiciones y nuevas plataformas
de computación disponibles. La posibilidad de
interconectarse a través de redes, ha abierto nuevos
horizontes para explorar más allá de las fronteras
nacionales, situación que ha llevado la aparición
de nuevas amenazas en las tecnologías de
información.

Así mismo las tecnologías de la
información actualmente son elementos fundamentales para
la superación y desarrollo de un país, la
información que en ellas se maneja es considerada un
activo cada vez más valioso el cual puede hacer que una
organización triunfe o quiebre, es por eso que debemos
brindarle seguridad.

Esto ha provocado que muchas organizaciones
gubernamentales y no gubernamentales, alrededor del mundo, hayan
desarrollado documentos y directrices que orientan a sus usuarios
en el uso adecuado de herramientas tecnológicas y
recomendaciones para obtener el mayor provecho de estas y evitar
el uso indebido de la mismas, lo cual puede ocasionar serios
problemas en los bienes y servicios que prestan las
instituciones.

De ahí que el Objetivo General de la
investigación sea: Proponer un modelo de Plan
estratégico de seguridad informática para la
Universidad Nacional de Piura.

Problema de
investigación

  • DESCRIPCIÓN DEL PROBLEMA

La mayoría de casos se desconoce la magnitud del
problema con el que se enfrentan, en la actualidad existen, como
lo son: las amenazas internas, una de ellas los errores humanos y
las amenazas externas dentro de las cuales podemos nombrar a los
virus.

En el CIT por falta de inversión como
económico es muy necesario para prevenir principalmente el
daño o pérdida de la información produce que
la información no sea confiable ni integra y mucho menos
disponible para la unp originando así en muchos de los
casos la paralización de sus actividades dejando como
resultado una pérdida cuantiosa de tiempo de
producción y dinero.

Las amenazas que afectan las características
principales de la seguridad como son la confidencialidad,
integridad y disponibilidad de la información pueden ser
internas o externas, originadas accidentalmente o con un fin
perverso dejando a la unp con problemas como por ejemplo la
paralización de sus actividades.

  • FORMULACIÓN DEL PROBLEMA

¿Cómo obtener la seguridad en
el CIT utilizando los objetivos estratégicos orientados a
la seguridad informática de la Universidad Nacional de
Piura?

Justificación e importancia de la
investigación

  • JUSTIFICACIÓN

En vista que en la actualidad son muchos los riesgos que
afectan la seguridad de la unp y por lo general el capital con el
que se cuenta para protegerlas no es suficiente, se debe tener
identificadas y controladas esas vulnerabilidades y esto se logra
con un adecuado plan de seguridad elaborado en base a un
análisis de riesgo previo.

Así se busca la seguridad informática
mediante mecanismos y procedimientos que deberá adoptar
para salvaguardar sus recursos informáticos, ya que
teniendo en cuenta lo antes expuesto resultaría
interesante proponer un modelo de plan estratégico para la
seguridad informática de la Universidad Nacional de Piura
que le permita realizar una revisión y evaluación,
con el propósito de dar un dictamen final sobre
alternativas para el mejoramiento y administración eficaz
de los recursos informáticos.

  • IMPORTANCIA

En este nuevo futuro, es imprescindible que la unp se
preparen no sólo para prevenir el peligro de comprometer
sus operaciones de negocio por una falla de seguridad, sino
también que se preparen en establecer medidas que permitan
reducir los problemas de seguridad que pueden surgir, mediante un
plan estratégico que deben ser ejecutado considerando las
características del negocio, la organización, su
ubicación, sus activos y tecnología que posee la
unp.

  • OBJETIVOS

  • OBJETIVO GENERAL

  • modelo de Plan estratégico de seguridad
    informática para la Universidad Nacional de
    Piura.

  • OBJETIVOS ESPECIFICOS

  • Conocer como está conformada la
    unp.

  • Identificar las causas de los riesgos potenciales a
    los que está expuesta la organización en cuanto
    a la tecnología que posee.

  • Determinar los controles existentes, para así
    proponer mejoras en la seguridad de la unp.

  • Analizar los riesgos de seguridad y proponer
    posibles alterativas de solución.

  • la seguridad informática que podría
    adoptar la Institución para salvaguardar sus recursos
    informáticos, basadas en las normas y
    estándares de seguridad informática como son
    COBIT e ISO 17799.

Marco
teórico

  • MARCO REFERENCIAL

"Definir un Plan Estratégico de Seguridad de
Información en una empresa del sector comercial"
perteneciente a María Gabriela Hernández Pinto
(Ecuador, Marzo de 2006), se presenta un plan estratégico
que puede ser aplicado por entidades dedicadas a cualquier tipo
de actividad comercial que se proponga llevarlo a
cabo.

"Plan de seguridad informática" perteneciente a
María Dolores Ceriniy Pablo Ignacio Prá
(Córdova, Octubre 2002), se presenta la realización
de un Plan de Seguridad Informática para La Empresa S.A.,
en donde se definen los lineamientos para promover la
planeación, el diseño e implantación de un
modelo de seguridad en la misma con el fin de establecer una
cultura de la seguridad en la organización. Asimismo, la
obliga a redactar sus propios procedimientos de seguridad, los
cuales deben estar enmarcados por este plan.

"Planificación estratégica y plan de
seguridad Informática de fabril fameS.A." perteneciente a
José Luis Rojas Urgilés y Juan José Vela
Veintimilla(Sangolquí, noviembre 2011), se presenta la
planificación estratégica y plan de seguridad
informática para el departamento de sistemas de dicha
empresa para proteger los recursos informáticos y asegurar
la viabilidad de las operaciones.

  • MARCO CONCEPTUAL

Para el desarrollo de esta investigación es
fundamental conocer ciertos términos que serán
usados para su desarrollo.

  • Información: Conjunto de datos propios
    que se gestionan y mensajes que se intercambian personas y/o
    máquinas dentro de una organización. La
    información da las pruebas de la calidad y
    circunstancias en las que se encuentra la empresa.

  • Factores de riesgos: Manifestaciones o
    características medibles u observables de un proceso
    que indican la presencia de riesgo atienden a aumentar la
    exposición, pueden ser interna o externa a la
    entidad.

  • Impacto: Es la medición y
    valoración del daño que podría producir
    a la empresa un incidente de seguridad. La valoración
    global se obtendrá sumando el coste de
    reposición de los daños tangibles y la
    estimación, siempre subjetiva, de los daños
    intangibles.

  • Amenaza: Cualquier evento que pueda provocar
    daño a la información, produciendo a la empresa
    pérdidas materiales, financieras o de otro
    tipo.

  • Riesgo: Proximidad o posibilidad de un
    daño, peligro, etc. Cada uno delos imprevistos, hechos
    desafortunados, etc., que puede cubrir un seguro.

  • Incidente de seguridad: Cualquier evento que
    tenga, o pueda tener, como resultado la interrupción
    de los servicios suministrados por un Sistema de
    Información y/o pérdidas físicas, de
    activos o financieras. En otras palabras la
    materialización de una amenaza.

  • Seguridad informática: Abarca los
    conceptos de seguridad física y seguridad
    lógica. Se le puede dividir como Área General y
    como Área Especifica (seguridad de Explotación,
    seguridad de las Aplicaciones, etc.).

  • Seguridad física: Consiste en la
    aplicación de barreras físicas y procedimientos
    de control, como medidas de prevención ante amenazas a
    los recursos e información confidencial que puedan
    interrumpir procesamiento de información. Se refiere a
    la protección del Hardware y de los soportes de datos,
    así como a la de los edificios e instalaciones que los
    albergan. Contempla las situaciones de incendios, sabotajes,
    robos, catástrofes naturales, etc.

  • Seguridad lógica: Consiste en la
    aplicación de barreras y procedimientos para mantener
    la seguridad en el uso de software, la protección de
    los datos, procesos y programas, así como la del
    acceso ordenado y autorizado de los usuarios a la
    información. Se refiere a la seguridad de uso del
    software, a la protección de los datos, procesos y
    programas, así como la del ordenado y autorizado
    acceso de los usuarios a la información.

  • Seguridad de las redes: Es la capacidad de
    las redes para resistir, con un determinado nivel de
    confianza, todos los accidentes o acciones malintencionadas,
    que pongan en peligro la disponibilidad, autenticidad,
    integridad y confidencialidad de los datos almacenados o
    transmitidos y de los correspondientes servicios que dichas
    redes ofrecen o hacen accesibles y que son tan costosos como
    los ataques intencionados.

  • Vulnerabilidad: Cualquier debilidad en los
    Sistemas de Información que pueda permitir a las
    amenazas causarles daños y producir
    pérdidas.

  • Plan estratégico de seguridad
    informática:     Basado en un conjunto de
    políticas de seguridad elaboradas previo a una
    evaluación de los riesgos que indicará el nivel
    de seguridad en el que se encuentre la empresa. Estas
    políticas deben ser elaboradas considerando las
    características del negocio, la organización,
    su ubicación, sus activos y tecnología que
    posee la empresa.

  • COBIT: Es un marco de trabajo y un conjunto
    de herramientas de Gobierno de Tecnología de
    Información (TI) que permite a la Gerencia cerrar la
    brecha entre los requerimientos de control, aspectos
    técnicos y riesgos de negocios. COBIT habilita el
    desarrollo de políticas claras y buenas
    prácticas para el control de TI a lo largo de las
    organizaciones.

  • ISO 17799: Estándar para la seguridad
    de la información, una guía de buenas
    prácticas de seguridad informática que presenta
    una extensa serie de controles de seguridad. Es la
    única norma que no sólo cubre la
    problemática de la IT sino que hace una
    aproximación holística a la seguridad de la
    información abarcando todas las funcionalidades de una
    organización en cuanto a que puedan ser afectadas por
    la seguridad informática.

  • MARCO TEÓRICO

  • ¿Qué es seguridad
    informática?

Seguridad trae consigo una ausencia de amenazas,
situación que en el mundo contemporáneo es muy
difícil de sostener, las sociedades actuales son
sociedades de riesgo. El componente riesgo es permanente y da
carácter propio de los estados y sociedades nacionales,
como tal la seguridad no puede ser entendida como ausencia de
amenazas.

La informática surge en la preocupación
del ser humano por encontrar maneras de realizar operaciones
matemáticas de forma cada vez más rápida y
fácilmente. Pronto se vio que con ayuda de aparatos y
máquinas las operaciones podían realizarse de forma
más eficiente, rápida y
automática.

  • Definición de seguridad
    informática

La definición de seguridad informática
proviene entonces de los dos términos antes definidos. La
seguridad informática son técnicas desarrolladas
para proteger los equipos informáticos y la
información de daños accidentales o
intencionados.

  • Objetivo de la seguridad informática

La seguridad informática tiene como principal
objetivo proteger el activo más importante que tiene la
empresa que es su información de los riesgos a los que
está expuesta. Para que la información sea
considerada confiable para la organización ya que sus
estrategias de negocio dependerán del almacenamiento,
procesamiento y presentación de la misma, esta
deberá cubrir los tres fundamentos básicos de
seguridad para la información que son:

  • Confidencialidad: Se define como la capacidad
    de proporcionar acceso a usuarios autorizados, y negarlo a no
    autorizados.

  • Integridad: Se define como la capacidad de
    garantizar que una información o mensaje no han sido
    manipulados.

  • Disponibilidad: Se define como la capacidad
    de acceder a información o utilizar un servicio
    siempre que lo necesitemos.

La seguridad informática se preocupa de que la
información manejada por un computador no sea
dañada o alterada, que esté disponible y en
condiciones de ser procesada en cualquier momento y se mantenga
confidencial.

  • Riesgos

Los riesgos se pueden definir como aquellas
eventualidades que imposibilitan el cumplimiento de un objetivo y
según la Organización Internacional por la
Normalización (ISO) define riesgo tecnológico como
"La probabilidad de que una amenaza se materialice, utilizando
vulnerabilidades existentes de un activo o un grupo de activos,
generándole perdidas o daños". Podemos concluir que
cualquier problema que afecte al total funcionamiento de la
empresa es considerado un riesgo o amenaza para la
entidad.

  • Plan estratégico de seguridad
    informática

Un plan estratégico de seguridad
informática está basado en un conjunto de
políticas de seguridad elaboradas previo a una
evaluación de los riesgos que indicará el nivel de
seguridad en el que se encuentre la empresa. Estas
políticas deben ser elaboradas considerando las
características del negocio, la organización, su
ubicación, sus activos y tecnología que posee la
empresa.

  • Evaluación de los riesgos

Proceso por el cual se identifican las vulnerabilidades
de la seguridad. El objetivo general de evaluar los riesgos
será identificar las causas de los riesgos potenciales, en
toda la organización, a parte de ella o a los sistemas de
información individuales, a componentes específicos
de sistemas o servicios donde sea factible y cuantificarlos para
que la Gerencia pueda tener información suficiente al
respecto y optar por el diseño e implantación de
los controles correspondientes a fin de minimizar los efectos de
las causas de los riesgos.

Los pasos para realizar una valoración de riesgos
se detallan a continuación:

  • Identificar los riesgos:

En este paso se identifican los factores que introducen
una amenaza en la planificación del entorno
informático, existen formas de identificarlos
como:

  • Cuestionarios de análisis de riesgos:
    La herramienta clave en la identificación de riesgos
    son los cuestionarios los mismos que están
    diseñados para guiar al administrador de riesgos para
    descubrir amenazas a través de una serie de preguntas
    y en algunas instancias, este instrumento está
    diseñado para incluir riesgos asegurables e
    in-asegurables.

  • Listas de chequeo de exposiciones a riesgo:
    Una segunda ayuda importante en la identificación de
    riesgos y una de las más comunes herramientas en el
    análisis de riesgos son las listas de chequeo, las
    cuales son simplemente unas listas de exposiciones a
    riesgo.

  • Listas de chequeo de políticas de
    seguridad:     Esta herramienta incluye un catálogo de
    varias políticas de seguridad que un negocio dado
    puede necesitar. El administrador de riesgos consulta las
    políticas recolectadas y aplicadas a la
    firma.

  • Sistemas expertos: Un sistema experto usado
    en la administración de riesgos incorpora los aspectos
    de las herramientas descritas anteriormente en una sola
    herramienta. La naturaleza integrada del programa permite al
    usuario generar propósitos escritos y
    prospectos.

  • Análisis de los riesgos

Una vez se hayan identificado los riesgos, el paso
siguiente es analizarlos para determinar su impacto, tomando
así las posibles alternativas de
solución.

  • Ponderación de los Factores de riesgo:
    Ponderar el factor de riesgo es darle un valor de importancia
    en términos porcentuales al mismo bajo los criterios
    de especialistas en el área informática que
    pueden identificar su impacto en la unp, teniendo en cuenta
    las posibilidades de que se puedan convertir en
    realidad.

  • Valoración del riesgo: La
    valoración del riesgo envuelve la medición del
    potencial de las pérdidas y la probabilidad de la
    pérdida categorizando el orden de las
    prioridades.

  • Riesgo alto: Todos las exposiciones a pérdida
    en las cuales la magnitud alcanza la bancarrota.

  • Riesgo medio: Son exposiciones a pérdidas que
    no alcanzan la bancarrota, pero requieren una acción
    de la organización para continuar las
    operaciones.

  • Riesgo bajo: Exposiciones a pérdidas que no
    causan un gran impacto financiero.

  • Crear la matriz descriptiva: El objetivo de
    esta es la de asignar un valor a los recursos
    informáticos que posea la unp de acuerdo al impacto
    que el riesgo tenga sobre cada uno de ellos.

  • Crear la matriz ponderada: Esta matriz tiene
    como objetivo el determinar la prioridad de riesgo que tiene
    cada recurso informático mediante la obtención
    de un resultado determinado por la sumatoria de de cada una
    de las multiplicaciones realizadas entre la
    ponderación de cada riesgo con la valoración de
    cada recurso informático.

  • Crear la matriz categorizada: El objetivo de
    esta matriz es la de definir la categoría del riesgo
    (Alto, Medio y Bajo) para cada recurso informático.
    Para determinar qué recursos informáticos
    están dentro de cada categoría nos ayudamos de
    formulas básicas de estadística para encontrar
    el rango y tamaño de intervalo que dividirán
    las categorías. Para encontrar el rango tomamos el
    valor mayor de la columna total menos el valor menor. Este
    valor nos ayudará para definir el tamaño de
    intervalo, mediante la división del valor rango para
    la cantidad de categorías de riesgo que deseamos
    definir para nuestro análisis, dando a los valores
    altos la definición de "riesgo alto", a los valores
    medios "riesgo medio" y a los valores bajos "riesgos
    bajos".

  • Objetivos estratégicos empleados en la
    seguridad:

La seguridad informática es aquella que fija los
lineamientos y procedimientos que deben adoptar la unp para
salvaguardar sus sistemas y la información que estos
contienen.

Si bien existen algunos modelos o estructuras para su
diseño, estás tienen que ser elaboradas de forma
personalizada para cada empresa para así recoger las
características propias que tiene la
organización.

Una buena política de seguridad corporativa debe
recoger, de forma global, la estrategia para proteger y mantener
la disponibilidad de los sistemas informáticos y de sus
recursos, es decir que estás políticas de seguridad
deben abarcar las siguientes áreas.

  • Seguridad Física

  • Seguridad Lógica

  • Seguridad en redes

  • Planes de Contingencia

  • Seguridad Física

La seguridad física consiste en la
aplicación de barreras físicas y procedimientos de
control, como medidas de prevención ante amenazas a los
recursos e información confidencial que puedan interrumpir
el procesamiento de la información. Este tipo de seguridad
está enfocado a cubrir las amenazas ocasionadas tanto por
el hombre como por la naturaleza del medio físico en que
se encuentra ubicado el centro de cómputo.

Las principales amenazas que se prevén en la
seguridad física son:

  • Desastres naturales, incendios accidentales
    tormentas e inundaciones.

  • Amenazas ocasionadas por el hombre.

  • Disturbios, sabotajes internos y externos
    deliberados.

  • Otras amenazas como las fallas de energía
    eléctrica o las fallas de los equipos.

Los recursos que se deben proteger físicamente
van desde un simple teclado hasta un respaldo de toda la
información que hay en el sistema, pasando por la propia
máquina, igualmente se deben tener medidas de
protección contra las condiciones climáticas y
suministros de energía que pueden afectar la
disponibilidad de los sistemas de información e
interrumpir los procesos de la organización.

  • Seguridad Lógica

La seguridad lógica consiste en la
aplicación de barreras y procedimientos para mantener la
seguridad en el uso de software, la protección de los
datos, procesos y programas, así como la del acceso
ordenado y autorizado de los usuarios a la
información.

Los objetivos de la seguridad lógica
buscan:

  • Restringir el acceso a los programas y
    archivos.

  • Asegurar que los operadores puedan trabajar sin una
    supervisión minuciosa y no puedan modificar los
    programas ni los archivos que no correspondan.

  • Asegurar que se estén utilizados los datos,
    archivos y programas correctos en y por el procedimiento
    correcto.

  • Que la información transmitida sea recibida
    sólo por el destinatario al cual ha sido enviada y no
    a otro.

  • Que la información recibida sea la misma que
    ha sido transmitida.

  • Que existan sistemas alternativos secundarios de
    transmisión entre diferentes puntos.

  • Que se disponga de pasos alternativos de emergencia
    para la transmisión de información.

  • Seguridad en Redes

Las redes en las empresas son los medios que permiten la
comunicación de diversos equipos y usuarios es así
que es prioridad en la empresa mantener su seguridad debido a la
información que por ellas se transmite como son los datos
de clientes, servicios contratados, reportes financieros y
administrativos, estrategias de mercado, etc.

La seguridad de las redes y la información puede
entenderse como la capacidad de las redes o de los sistemas de
información para resistir, con un determinado nivel de
confianza, todos los accidentes o acciones malintencionadas, que
pongan en peligro la disponibilidad, autenticidad, integridad y
confidencialidad de los datos almacenados o transmitidos y de los
correspondientes servicios que dichas redes y sistemas ofrecen o
hacen accesibles y que son tan costosos como los ataques
intencionados.

Dentro de la unp existen redes internas o intranet y las
redes externas o extranet que deben ser protegidas de acuerdo a
las amenazas a las que cada una está expuesta,
estableciendo mecanismos de seguridad contra los distintos
riesgos que pudieran atacarlas.

  • Seguridad en la red interna o intranet

La red interna o intranet está formada por el
conjunto de computadoras interconectadas a través de un
servidor con la finalidad de compartir información y
recursos de forma eficiente y rápida dentro de la
organización.

El riesgo al que está frecuentemente expuesta
esta red es el que viene del uso inadecuado del sistema por parte
de los propios usuarios. Ya sea por mala fe o descuido un usuario
con demasiados privilegios puede destruir información. Las
medidas de seguridad que requiere la intranet para disminuir el
riesgo existente por parte de los usuarios que son quienes hacen
uso constante de la red son la descripción y las
contraseñas para validar usuarios.

  • Seguridad en la red externa o extranet

La red externa más grande que existe es internet
y en la actualidad es desde donde se producen la gran
mayoría de ataques por parte de personas que tienen el
propósito de destruir o robar datos empresariales causando
pérdidas de dinero. La seguridad en internet es un
conjunto de procedimientos, prácticas y tecnologías
para proteger a los servidores y usuarios de esta red y las
organizaciones que los rodean. La seguridad es una
protección contra el comportamiento inesperado.

  • Normas y/o Estándares Internacionales

Todo procedimiento informático debe estar apoyado
en estándares y/o normas referentes a tecnología de
información para que brinden la seguridad que la
organización necesita.

  • COBIT (Objetivos de Control para Tecnología de
    Información y Tecnologías
    relacionadas)

COBIT, lanzado en 1996, es una herramienta de gobierno
de

TI que ha cambiado la forma en que trabajan los
profesionales de TI.

Vinculando tecnología informática y
prácticas de control; COBIT, basado en la filosofía
de que los recursos de TI, consolida y armoniza estándares
de fuentes globales prominentes en un recurso crítico para
la gerencia, los profesionales de control y los
auditores.

Se aplica a los sistemas de información de toda
la empresa, incluyendo las computadoras personales, mini
computadoras y ambientes distribuidos.

  • Misión

COBIT investiga, desarrolla, publica y promueve un
conjunto internacional y actualizado de objetivos de control para
tecnología de información que sea de uso cotidiano
para gerentes y auditores.

  • Usuarios

Los usuarios de COBIT son aquellos quienes desean
mejorar y garantizar la seguridad de sus sistemas bajo un
estricto método control de tecnología de
información como lo es COBIT:

  • La gerencia: para apoyar sus decisiones de
    inversión en TI y control sobre el rendimiento de las
    mismas, analizar el costo beneficio del control.

  • Los usuarios finales: quienes obtienen una
    garantía sobre la seguridad y el control de los
    productos que adquieren interna y externamente.

  • Los auditores: para soportar sus opiniones sobre los
    controles de los proyectos de TI, su impacto en la
    organización y determinar el control mínimo
    requerido.

  • Los responsables de TI: para identificar los
    controles que requieren en sus áreas.

  • Características de COBIT

  • Orientado al negocio.

  • Alineado con estándares y regulaciones "de
    facto".

  • Basado en una revisión crítica y
    analítica de las tareas y actividades en
    TI.

  • Alineado con estándares de control y
    auditoria (COSO, IFAC, IIA, ISACA, AICPA).

  • Principios de COBIT

El enfoque del control en TI (Tecnología de
información) se lleva a cabo visualizando la
información necesaria para dar soporte a los procesos de
negocio y considerando a la información como el resultado
de la aplicación combinada de recursos relacionados con la
tecnología de información que deben ser
administrados por procesos de TI.

Principios:

  • Procesos de TI

  • Requerimientos de información del
    negocio

  • Recursos de TI

  • Norma ISO 17799

ISO 17799 es una norma internacional que ofrece
recomendaciones para realizar la gestión de la seguridad
de la información dirigida a los responsables de iniciar,
implantar o mantener la seguridad de una
organización.

ISO 17799 define la información como un activo
que posee valor para la organización y requiere por tanto
de una protección adecuada. El objetivo de la seguridad de
la información es proteger adecuadamente este activo para
asegurar la continuidad del negocio, minimizar los daños a
la organización y maximizar el retorno de las inversiones
y las oportunidades de negocio.

La seguridad de la información se define como la
preservación de:

  • Confidencialidad: Aseguramiento de que la
    información es accesible sólo para aquellos
    autorizados a tener acceso.

  • Integridad. Garantía de la exactitud y
    completitud de la información y de los métodos
    de su procesamiento.

  • Disponibilidad. Aseguramiento de que los
    usuarios autorizados tienen acceso cuando lo requieran a la
    información y sus activos asociados.

El objetivo de la norma ISO 17799 es proporcionar una
base común para desarrollar normas de seguridad dentro de
las organizaciones y ser una práctica eficaz de la
gestión de la seguridad.

La norma ISO 17799 establece diez dominios de control
que cubren por completo la gestión de la seguridad de la
información:

  • 1. Política de seguridad.

  • 2. Aspectos organizativos para la
    seguridad.

  • 3. Clasificación y control de
    activos.

  • 4. Seguridad ligada al personal.

  • 5. Seguridad física y del
    entorno.

  • 6. Gestión de comunicaciones y
    operaciones.

  • 7. Control de accesos.

  • 8. Desarrollo y mantenimiento de
    sistemas.

  • 9. Gestión de continuidad del
    negocio.

  • 10. Conformidad con la
    legislación.

De estos diez dominios se derivan 36 objetivos de
control (resultados que se esperan alcanzar mediante la
implementación de controles) y 127
controles(prácticas, procedimientos o mecanismos que
reducen el nivel de riesgo).

Resumen

La seguridad informática es el
área de la computación que se enfoca en la
protección y la privatización de sus sistemas y en
esta se pueden encontrar dos tipos: La seguridad lógica
que se enfoca en la protección de los contenidos y su
información y la seguridad física aplicada a los
equipos como tal, ya que el ataque no es estrictamente al
software del computador como tal sino también al
hardware.

Las amenazas pueden presentarse tanto desde
manera externa como manera interna, y  la forma de
ataques que comúnmente se utiliza es el ataque
mediante  virus que son archivos que pueden alterar
información u datos de otro archivo sin consentimiento del
usuario;  la manera externa es la que se realiza desde
afuera y no posee tanta seguridad, por lo tanto es fácil
de combatir, y por ende mas difícil por parte del
perpetrador llegar a concretar su ataque, en cambio de la interna
que es mucho más peligrosa ya que no necesita estar
conectado en red el computador para recibir el ataque.

Las formas más comunes para
defenderse contra estos ataques es la utilización de los
antivirus y los cortafuegos o firewall.

Monografias.com

Conclusión

Actualmente, las organizaciones modernas que operan o
centran gran parte de su actividad en el negocio a
través de Internet necesitan dotar sus sistemas e
infraestructuras Informáticas de las
políticas y medidas de protección más
adecuadas que garanticen el continuo desarrollo y
sostenibilidad de sus actividades; en este sentido, cobra
especial importancia el hecho de que puedan contar
con profesionales especializados en las nuevas
tecnologías de seguridad que implementen y gestionen
de manera eficaz sus sistemas.

Como consecuencia, la información en todas sus
formas y estados se ha convertido en un activo de
altísimo valor, el cual se debe proteger y asegurar para
garantizar su integridad, confidencialidad y
disponibilidad, entre otros servicios de seguridad.
La sociedad de la información y nuevas
tecnologías de comunicación plantean la
necesidad de mantener la usabilidad y
confidencialidad de la información que soportan los
sistemas en las organizaciones; para ello, es
especialmente importante elegir e implantar los sistemas
y métodos de seguridad más idóneos,
que protejan las redes y sistemas ante eventuales
amenazas, ya sean presentes o futuras.

Los servicios de auditoría comprenden el estudio
de los sistemas para gestionar las vulnerabilidades
que pudieran estar presentes en los sistemas. Una vez
localizadas, las anomalías se documentan, se
informa de los resultados a los responsables y se
establecen medidas proactivas de refuerzo, siguiendo
siempre un proceso secuencial que permita que los
sistemas mejoren su seguridad aprendiendo de los errores
pasados.

Las auditorías de los sistemas permiten conocer
en el momento de su realización cual es la
situación exacta de los activos de
información, en cuanto a protección, control y
medidas de seguridad.

Realizar trabajos de auditoría con cierta
periodicidad es necesario para asegurar que la seguridad de la
red corporativa es la óptima. El continuo cambio en las
configuraciones, la aparición de parches y mejoras en el
software y la adquisición de nuevo hardware hacen
necesario que los sistemas estén periódicamente
controlados mediante auditoría.

Una auditoría de sistemas es una
radiografía completa de la situación de
éstos. Asegúrese de que está preparado para
interconectarse. Audite sus sistemas.

Bibliografía

  • Alfredo Jiménez. Seguridad en un sistema de
    Información. Recuperado de:
    http://www.monografias.com/trabajos/seguinfo/seguinfo

  • Dr. Jorge Ramió Aguirre (2006). Seguridad
    Informática y Criptográfica. Madrid.
    Universidad Politécnica de Madrid.

  • ITSOR_Consulting. Curso COBIT 4.1. Sept., 2009.
    Recuperado de:
    http://www.itsor.net/pdf/ITSOR_COBIT_Brochure_VE.pdf

  • Jaime Yory, Gerente General; Director de Operaciones
    Internacionales de MVA. Un acercamiento a las mejores
    prácticas de seguridad de Información
    internacionalmente reconocidas en el estándar ISO
    17799. (2009). Bogotá Colombia.

  • Normas y Lineamientos que regulan el funcionamiento
    de los órganos internos de control. Normas Generales
    de Auditoria Pública. Recuperado de:
    http://oic.promexico.gob.mx/work/models/oic/Resource/37/1/images/Normas_Generales_Auditoria_Publica.pdf

  • Rojas Córsico. Trabajo de Auditoria: Normas
    COBIT. Sept (2009). Recuperado
    de:http://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas

  • Segu.Info, Seguridad de la Información.
    Seguridad Física. Recuperado de:
    http://www.segu-info.com.ar/fisica/

  • Villalón Huerta, Antonio. El Sistema de
    Gestión de la Seguridad de la Información.
    Códigos de buenas prácticas de Seguridad. UNE
    –ISO/IEC 17799. (2004). Valencia.

DEDICATORIA

Este trabajo está dedicado a mis
padres, quienes gracias a ellos mis metas cada día se
hacen más próximas, por su apoyo incondicional, por
su perseverancia y por muchas cosas buenas que me han brindado
día a día.

AGRADECIMIENTOS

Se le da un agradecimiento especial a
varios autores como son: el Dr. Jorge Ramió Aguirre, Dr.
Jaime Yory y al Dr. Rojas Córsico¸los cuales nos han
brindado información a través de sus libros y
revistas para poder llevar a cabo este trabajo y también
agradecer a la Ing. LIZANA PUELLES por permitirnos dar a conocer
a los lectores de este tema tan importante basado en la seguridad
informática.

 

Autor:

  • GARCIA JIMENEZ DEYBER
    JOCELYN

  • VILLEGAS RIVAS RONALD
    RICHARD

  • Piura, 2014

Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

Categorias
Newsletter