Descargar

Seguridad informática basado en las normas y estandares internacionales COBIT e ISO 17799

Enviado por Ronald Richard

  1. Introducción
  2. Problema de investigación
  3. Justificación e importancia de la investigación
  4. Marco teórico
  5. Resumen
  6. Conclusión
  7. Bibliografía

Introducción

La Informática hoy, está sumida en la gestión integral y por eso las normas y estándares propiamente informáticos deben estar incluidos en la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado el "management", la Informática no gestiona propiamente ayuda a la toma de decisiones, pero no decide por sí misma. Por ello, debido a su importancia en el funcionamiento de la unp, existe la Auditoría Informática, interesada en la revisión de la adecuacidad y confiabilidad de los sistemas de información, de gerencia y/o dirección y de los procedimientos operativos.

La seguridad informática ha tomado especial relevancia, dadas las cambiantes condiciones y nuevas plataformas de computación disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes para explorar más allá de las fronteras nacionales, situación que ha llevado la aparición de nuevas amenazas en las tecnologías de información.

Así mismo las tecnologías de la información actualmente son elementos fundamentales para la superación y desarrollo de un país, la información que en ellas se maneja es considerada un activo cada vez más valioso el cual puede hacer que una organización triunfe o quiebre, es por eso que debemos brindarle seguridad.

Esto ha provocado que muchas organizaciones gubernamentales y no gubernamentales, alrededor del mundo, hayan desarrollado documentos y directrices que orientan a sus usuarios en el uso adecuado de herramientas tecnológicas y recomendaciones para obtener el mayor provecho de estas y evitar el uso indebido de la mismas, lo cual puede ocasionar serios problemas en los bienes y servicios que prestan las instituciones.

De ahí que el Objetivo General de la investigación sea: Proponer un modelo de Plan estratégico de seguridad informática para la Universidad Nacional de Piura.

Problema de investigación

  • DESCRIPCIÓN DEL PROBLEMA

La mayoría de casos se desconoce la magnitud del problema con el que se enfrentan, en la actualidad existen, como lo son: las amenazas internas, una de ellas los errores humanos y las amenazas externas dentro de las cuales podemos nombrar a los virus.

En el CIT por falta de inversión como económico es muy necesario para prevenir principalmente el daño o pérdida de la información produce que la información no sea confiable ni integra y mucho menos disponible para la unp originando así en muchos de los casos la paralización de sus actividades dejando como resultado una pérdida cuantiosa de tiempo de producción y dinero.

Las amenazas que afectan las características principales de la seguridad como son la confidencialidad, integridad y disponibilidad de la información pueden ser internas o externas, originadas accidentalmente o con un fin perverso dejando a la unp con problemas como por ejemplo la paralización de sus actividades.

  • FORMULACIÓN DEL PROBLEMA

¿Cómo obtener la seguridad en el CIT utilizando los objetivos estratégicos orientados a la seguridad informática de la Universidad Nacional de Piura?

Justificación e importancia de la investigación

  • JUSTIFICACIÓN

En vista que en la actualidad son muchos los riesgos que afectan la seguridad de la unp y por lo general el capital con el que se cuenta para protegerlas no es suficiente, se debe tener identificadas y controladas esas vulnerabilidades y esto se logra con un adecuado plan de seguridad elaborado en base a un análisis de riesgo previo.

Así se busca la seguridad informática mediante mecanismos y procedimientos que deberá adoptar para salvaguardar sus recursos informáticos, ya que teniendo en cuenta lo antes expuesto resultaría interesante proponer un modelo de plan estratégico para la seguridad informática de la Universidad Nacional de Piura que le permita realizar una revisión y evaluación, con el propósito de dar un dictamen final sobre alternativas para el mejoramiento y administración eficaz de los recursos informáticos.

  • IMPORTANCIA

En este nuevo futuro, es imprescindible que la unp se preparen no sólo para prevenir el peligro de comprometer sus operaciones de negocio por una falla de seguridad, sino también que se preparen en establecer medidas que permitan reducir los problemas de seguridad que pueden surgir, mediante un plan estratégico que deben ser ejecutado considerando las características del negocio, la organización, su ubicación, sus activos y tecnología que posee la unp.

  • OBJETIVOS

  • OBJETIVO GENERAL

  • modelo de Plan estratégico de seguridad informática para la Universidad Nacional de Piura.

  • OBJETIVOS ESPECIFICOS

  • Conocer como está conformada la unp.

  • Identificar las causas de los riesgos potenciales a los que está expuesta la organización en cuanto a la tecnología que posee.

  • Determinar los controles existentes, para así proponer mejoras en la seguridad de la unp.

  • Analizar los riesgos de seguridad y proponer posibles alterativas de solución.

  • la seguridad informática que podría adoptar la Institución para salvaguardar sus recursos informáticos, basadas en las normas y estándares de seguridad informática como son COBIT e ISO 17799.

Marco teórico

  • MARCO REFERENCIAL

"Definir un Plan Estratégico de Seguridad de Información en una empresa del sector comercial" perteneciente a María Gabriela Hernández Pinto (Ecuador, Marzo de 2006), se presenta un plan estratégico que puede ser aplicado por entidades dedicadas a cualquier tipo de actividad comercial que se proponga llevarlo a cabo.

"Plan de seguridad informática" perteneciente a María Dolores Ceriniy Pablo Ignacio Prá (Córdova, Octubre 2002), se presenta la realización de un Plan de Seguridad Informática para La Empresa S.A., en donde se definen los lineamientos para promover la planeación, el diseño e implantación de un modelo de seguridad en la misma con el fin de establecer una cultura de la seguridad en la organización. Asimismo, la obliga a redactar sus propios procedimientos de seguridad, los cuales deben estar enmarcados por este plan.

"Planificación estratégica y plan de seguridad Informática de fabril fameS.A." perteneciente a José Luis Rojas Urgilés y Juan José Vela Veintimilla(Sangolquí, noviembre 2011), se presenta la planificación estratégica y plan de seguridad informática para el departamento de sistemas de dicha empresa para proteger los recursos informáticos y asegurar la viabilidad de las operaciones.

  • MARCO CONCEPTUAL

Para el desarrollo de esta investigación es fundamental conocer ciertos términos que serán usados para su desarrollo.

  • Información: Conjunto de datos propios que se gestionan y mensajes que se intercambian personas y/o máquinas dentro de una organización. La información da las pruebas de la calidad y circunstancias en las que se encuentra la empresa.

  • Factores de riesgos: Manifestaciones o características medibles u observables de un proceso que indican la presencia de riesgo atienden a aumentar la exposición, pueden ser interna o externa a la entidad.

  • Impacto: Es la medición y valoración del daño que podría producir a la empresa un incidente de seguridad. La valoración global se obtendrá sumando el coste de reposición de los daños tangibles y la estimación, siempre subjetiva, de los daños intangibles.

  • Amenaza: Cualquier evento que pueda provocar daño a la información, produciendo a la empresa pérdidas materiales, financieras o de otro tipo.

  • Riesgo: Proximidad o posibilidad de un daño, peligro, etc. Cada uno delos imprevistos, hechos desafortunados, etc., que puede cubrir un seguro.

  • Incidente de seguridad: Cualquier evento que tenga, o pueda tener, como resultado la interrupción de los servicios suministrados por un Sistema de Información y/o pérdidas físicas, de activos o financieras. En otras palabras la materialización de una amenaza.

  • Seguridad informática: Abarca los conceptos de seguridad física y seguridad lógica. Se le puede dividir como Área General y como Área Especifica (seguridad de Explotación, seguridad de las Aplicaciones, etc.).

  • Seguridad física: Consiste en la aplicación de barreras físicas y procedimientos de control, como medidas de prevención ante amenazas a los recursos e información confidencial que puedan interrumpir procesamiento de información. Se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc.

  • Seguridad lógica: Consiste en la aplicación de barreras y procedimientos para mantener la seguridad en el uso de software, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información. Se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información.

  • Seguridad de las redes: Es la capacidad de las redes para resistir, con un determinado nivel de confianza, todos los accidentes o acciones malintencionadas, que pongan en peligro la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los correspondientes servicios que dichas redes ofrecen o hacen accesibles y que son tan costosos como los ataques intencionados.

  • Vulnerabilidad: Cualquier debilidad en los Sistemas de Información que pueda permitir a las amenazas causarles daños y producir pérdidas.

  • Plan estratégico de seguridad informática: Basado en un conjunto de políticas de seguridad elaboradas previo a una evaluación de los riesgos que indicará el nivel de seguridad en el que se encuentre la empresa. Estas políticas deben ser elaboradas considerando las características del negocio, la organización, su ubicación, sus activos y tecnología que posee la empresa.

  • COBIT: Es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control, aspectos técnicos y riesgos de negocios. COBIT habilita el desarrollo de políticas claras y buenas prácticas para el control de TI a lo largo de las organizaciones.

  • ISO 17799: Estándar para la seguridad de la información, una guía de buenas prácticas de seguridad informática que presenta una extensa serie de controles de seguridad. Es la única norma que no sólo cubre la problemática de la IT sino que hace una aproximación holística a la seguridad de la información abarcando todas las funcionalidades de una organización en cuanto a que puedan ser afectadas por la seguridad informática.

  • MARCO TEÓRICO

  • ¿Qué es seguridad informática?

Seguridad trae consigo una ausencia de amenazas, situación que en el mundo contemporáneo es muy difícil de sostener, las sociedades actuales son sociedades de riesgo. El componente riesgo es permanente y da carácter propio de los estados y sociedades nacionales, como tal la seguridad no puede ser entendida como ausencia de amenazas.

La informática surge en la preocupación del ser humano por encontrar maneras de realizar operaciones matemáticas de forma cada vez más rápida y fácilmente. Pronto se vio que con ayuda de aparatos y máquinas las operaciones podían realizarse de forma más eficiente, rápida y automática.

  • Definición de seguridad informática

La definición de seguridad informática proviene entonces de los dos términos antes definidos. La seguridad informática son técnicas desarrolladas para proteger los equipos informáticos y la información de daños accidentales o intencionados.

  • Objetivo de la seguridad informática

La seguridad informática tiene como principal objetivo proteger el activo más importante que tiene la empresa que es su información de los riesgos a los que está expuesta. Para que la información sea considerada confiable para la organización ya que sus estrategias de negocio dependerán del almacenamiento, procesamiento y presentación de la misma, esta deberá cubrir los tres fundamentos básicos de seguridad para la información que son:

  • Confidencialidad: Se define como la capacidad de proporcionar acceso a usuarios autorizados, y negarlo a no autorizados.

  • Integridad: Se define como la capacidad de garantizar que una información o mensaje no han sido manipulados.

  • Disponibilidad: Se define como la capacidad de acceder a información o utilizar un servicio siempre que lo necesitemos.

La seguridad informática se preocupa de que la información manejada por un computador no sea dañada o alterada, que esté disponible y en condiciones de ser procesada en cualquier momento y se mantenga confidencial.

  • Riesgos

Los riesgos se pueden definir como aquellas eventualidades que imposibilitan el cumplimiento de un objetivo y según la Organización Internacional por la Normalización (ISO) define riesgo tecnológico como "La probabilidad de que una amenaza se materialice, utilizando vulnerabilidades existentes de un activo o un grupo de activos, generándole perdidas o daños". Podemos concluir que cualquier problema que afecte al total funcionamiento de la empresa es considerado un riesgo o amenaza para la entidad.

  • Plan estratégico de seguridad informática

Un plan estratégico de seguridad informática está basado en un conjunto de políticas de seguridad elaboradas previo a una evaluación de los riesgos que indicará el nivel de seguridad en el que se encuentre la empresa. Estas políticas deben ser elaboradas considerando las características del negocio, la organización, su ubicación, sus activos y tecnología que posee la empresa.

  • Evaluación de los riesgos

Proceso por el cual se identifican las vulnerabilidades de la seguridad. El objetivo general de evaluar los riesgos será identificar las causas de los riesgos potenciales, en toda la organización, a parte de ella o a los sistemas de información individuales, a componentes específicos de sistemas o servicios donde sea factible y cuantificarlos para que la Gerencia pueda tener información suficiente al respecto y optar por el diseño e implantación de los controles correspondientes a fin de minimizar los efectos de las causas de los riesgos.

Los pasos para realizar una valoración de riesgos se detallan a continuación:

  • Identificar los riesgos:

En este paso se identifican los factores que introducen una amenaza en la planificación del entorno informático, existen formas de identificarlos como:

  • Cuestionarios de análisis de riesgos: La herramienta clave en la identificación de riesgos son los cuestionarios los mismos que están diseñados para guiar al administrador de riesgos para descubrir amenazas a través de una serie de preguntas y en algunas instancias, este instrumento está diseñado para incluir riesgos asegurables e in-asegurables.

  • Listas de chequeo de exposiciones a riesgo: Una segunda ayuda importante en la identificación de riesgos y una de las más comunes herramientas en el análisis de riesgos son las listas de chequeo, las cuales son simplemente unas listas de exposiciones a riesgo.

  • Listas de chequeo de políticas de seguridad: Esta herramienta incluye un catálogo de varias políticas de seguridad que un negocio dado puede necesitar. El administrador de riesgos consulta las políticas recolectadas y aplicadas a la firma.

  • Sistemas expertos: Un sistema experto usado en la administración de riesgos incorpora los aspectos de las herramientas descritas anteriormente en una sola herramienta. La naturaleza integrada del programa permite al usuario generar propósitos escritos y prospectos.

  • Análisis de los riesgos

Una vez se hayan identificado los riesgos, el paso siguiente es analizarlos para determinar su impacto, tomando así las posibles alternativas de solución.

  • Ponderación de los Factores de riesgo: Ponderar el factor de riesgo es darle un valor de importancia en términos porcentuales al mismo bajo los criterios de especialistas en el área informática que pueden identificar su impacto en la unp, teniendo en cuenta las posibilidades de que se puedan convertir en realidad.

  • Valoración del riesgo: La valoración del riesgo envuelve la medición del potencial de las pérdidas y la probabilidad de la pérdida categorizando el orden de las prioridades.

  • Riesgo alto: Todos las exposiciones a pérdida en las cuales la magnitud alcanza la bancarrota.

  • Riesgo medio: Son exposiciones a pérdidas que no alcanzan la bancarrota, pero requieren una acción de la organización para continuar las operaciones.

  • Riesgo bajo: Exposiciones a pérdidas que no causan un gran impacto financiero.

  • Crear la matriz descriptiva: El objetivo de esta es la de asignar un valor a los recursos informáticos que posea la unp de acuerdo al impacto que el riesgo tenga sobre cada uno de ellos.

  • Crear la matriz ponderada: Esta matriz tiene como objetivo el determinar la prioridad de riesgo que tiene cada recurso informático mediante la obtención de un resultado determinado por la sumatoria de de cada una de las multiplicaciones realizadas entre la ponderación de cada riesgo con la valoración de cada recurso informático.

  • Crear la matriz categorizada: El objetivo de esta matriz es la de definir la categoría del riesgo (Alto, Medio y Bajo) para cada recurso informático. Para determinar qué recursos informáticos están dentro de cada categoría nos ayudamos de formulas básicas de estadística para encontrar el rango y tamaño de intervalo que dividirán las categorías. Para encontrar el rango tomamos el valor mayor de la columna total menos el valor menor. Este valor nos ayudará para definir el tamaño de intervalo, mediante la división del valor rango para la cantidad de categorías de riesgo que deseamos definir para nuestro análisis, dando a los valores altos la definición de "riesgo alto", a los valores medios "riesgo medio" y a los valores bajos "riesgos bajos".

  • Objetivos estratégicos empleados en la seguridad:

La seguridad informática es aquella que fija los lineamientos y procedimientos que deben adoptar la unp para salvaguardar sus sistemas y la información que estos contienen.

Si bien existen algunos modelos o estructuras para su diseño, estás tienen que ser elaboradas de forma personalizada para cada empresa para así recoger las características propias que tiene la organización.

Una buena política de seguridad corporativa debe recoger, de forma global, la estrategia para proteger y mantener la disponibilidad de los sistemas informáticos y de sus recursos, es decir que estás políticas de seguridad deben abarcar las siguientes áreas.

  • Seguridad Física

  • Seguridad Lógica

  • Seguridad en redes

  • Planes de Contingencia

  • Seguridad Física

La seguridad física consiste en la aplicación de barreras físicas y procedimientos de control, como medidas de prevención ante amenazas a los recursos e información confidencial que puedan interrumpir el procesamiento de la información. Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicado el centro de cómputo.

Las principales amenazas que se prevén en la seguridad física son:

  • Desastres naturales, incendios accidentales tormentas e inundaciones.

  • Amenazas ocasionadas por el hombre.

  • Disturbios, sabotajes internos y externos deliberados.

  • Otras amenazas como las fallas de energía eléctrica o las fallas de los equipos.

Los recursos que se deben proteger físicamente van desde un simple teclado hasta un respaldo de toda la información que hay en el sistema, pasando por la propia máquina, igualmente se deben tener medidas de protección contra las condiciones climáticas y suministros de energía que pueden afectar la disponibilidad de los sistemas de información e interrumpir los procesos de la organización.

  • Seguridad Lógica

La seguridad lógica consiste en la aplicación de barreras y procedimientos para mantener la seguridad en el uso de software, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información.

Los objetivos de la seguridad lógica buscan:

  • Restringir el acceso a los programas y archivos.

  • Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan.

  • Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto.

  • Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro.

  • Que la información recibida sea la misma que ha sido transmitida.

  • Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.

  • Que se disponga de pasos alternativos de emergencia para la transmisión de información.

  • Seguridad en Redes

Las redes en las empresas son los medios que permiten la comunicación de diversos equipos y usuarios es así que es prioridad en la empresa mantener su seguridad debido a la información que por ellas se transmite como son los datos de clientes, servicios contratados, reportes financieros y administrativos, estrategias de mercado, etc.

La seguridad de las redes y la información puede entenderse como la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, todos los accidentes o acciones malintencionadas, que pongan en peligro la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los correspondientes servicios que dichas redes y sistemas ofrecen o hacen accesibles y que son tan costosos como los ataques intencionados.

Dentro de la unp existen redes internas o intranet y las redes externas o extranet que deben ser protegidas de acuerdo a las amenazas a las que cada una está expuesta, estableciendo mecanismos de seguridad contra los distintos riesgos que pudieran atacarlas.

  • Seguridad en la red interna o intranet

La red interna o intranet está formada por el conjunto de computadoras interconectadas a través de un servidor con la finalidad de compartir información y recursos de forma eficiente y rápida dentro de la organización.

El riesgo al que está frecuentemente expuesta esta red es el que viene del uso inadecuado del sistema por parte de los propios usuarios. Ya sea por mala fe o descuido un usuario con demasiados privilegios puede destruir información. Las medidas de seguridad que requiere la intranet para disminuir el riesgo existente por parte de los usuarios que son quienes hacen uso constante de la red son la descripción y las contraseñas para validar usuarios.

  • Seguridad en la red externa o extranet

La red externa más grande que existe es internet y en la actualidad es desde donde se producen la gran mayoría de ataques por parte de personas que tienen el propósito de destruir o robar datos empresariales causando pérdidas de dinero. La seguridad en internet es un conjunto de procedimientos, prácticas y tecnologías para proteger a los servidores y usuarios de esta red y las organizaciones que los rodean. La seguridad es una protección contra el comportamiento inesperado.

  • Normas y/o Estándares Internacionales

Todo procedimiento informático debe estar apoyado en estándares y/o normas referentes a tecnología de información para que brinden la seguridad que la organización necesita.

  • COBIT (Objetivos de Control para Tecnología de Información y Tecnologías relacionadas)

COBIT, lanzado en 1996, es una herramienta de gobierno de

TI que ha cambiado la forma en que trabajan los profesionales de TI.

Vinculando tecnología informática y prácticas de control; COBIT, basado en la filosofía de que los recursos de TI, consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores.

Se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos.

  • Misión

COBIT investiga, desarrolla, publica y promueve un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes y auditores.

  • Usuarios

Los usuarios de COBIT son aquellos quienes desean mejorar y garantizar la seguridad de sus sistemas bajo un estricto método control de tecnología de información como lo es COBIT:

  • La gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control.

  • Los usuarios finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente.

  • Los auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido.

  • Los responsables de TI: para identificar los controles que requieren en sus áreas.

  • Características de COBIT

  • Orientado al negocio.

  • Alineado con estándares y regulaciones "de facto".

  • Basado en una revisión crítica y analítica de las tareas y actividades en TI.

  • Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA).

  • Principios de COBIT

El enfoque del control en TI (Tecnología de información) se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con la tecnología de información que deben ser administrados por procesos de TI.

Principios:

  • Procesos de TI

  • Requerimientos de información del negocio

  • Recursos de TI

  • Norma ISO 17799

ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigida a los responsables de iniciar, implantar o mantener la seguridad de una organización.

ISO 17799 define la información como un activo que posee valor para la organización y requiere por tanto de una protección adecuada. El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio.

La seguridad de la información se define como la preservación de:

  • Confidencialidad: Aseguramiento de que la información es accesible sólo para aquellos autorizados a tener acceso.

  • Integridad. Garantía de la exactitud y completitud de la información y de los métodos de su procesamiento.

  • Disponibilidad. Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados.

El objetivo de la norma ISO 17799 es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la seguridad.

La norma ISO 17799 establece diez dominios de control que cubren por completo la gestión de la seguridad de la información:

  • 1. Política de seguridad.

  • 2. Aspectos organizativos para la seguridad.

  • 3. Clasificación y control de activos.

  • 4. Seguridad ligada al personal.

  • 5. Seguridad física y del entorno.

  • 6. Gestión de comunicaciones y operaciones.

  • 7. Control de accesos.

  • 8. Desarrollo y mantenimiento de sistemas.

  • 9. Gestión de continuidad del negocio.

  • 10. Conformidad con la legislación.

De estos diez dominios se derivan 36 objetivos de control (resultados que se esperan alcanzar mediante la implementación de controles) y 127 controles(prácticas, procedimientos o mecanismos que reducen el nivel de riesgo).

Resumen

La seguridad informática es el área de la computación que se enfoca en la protección y la privatización de sus sistemas y en esta se pueden encontrar dos tipos: La seguridad lógica que se enfoca en la protección de los contenidos y su información y la seguridad física aplicada a los equipos como tal, ya que el ataque no es estrictamente al software del computador como tal sino también al hardware.

Las amenazas pueden presentarse tanto desde manera externa como manera interna, y  la forma de ataques que comúnmente se utiliza es el ataque mediante  virus que son archivos que pueden alterar información u datos de otro archivo sin consentimiento del usuario;  la manera externa es la que se realiza desde afuera y no posee tanta seguridad, por lo tanto es fácil de combatir, y por ende mas difícil por parte del perpetrador llegar a concretar su ataque, en cambio de la interna que es mucho más peligrosa ya que no necesita estar conectado en red el computador para recibir el ataque.

Las formas más comunes para defenderse contra estos ataques es la utilización de los antivirus y los cortafuegos o firewall.

edu.red

Conclusión

Actualmente, las organizaciones modernas que operan o centran gran parte de su actividad en el negocio a través de Internet necesitan dotar sus sistemas e infraestructuras Informáticas de las políticas y medidas de protección más adecuadas que garanticen el continuo desarrollo y sostenibilidad de sus actividades; en este sentido, cobra especial importancia el hecho de que puedan contar con profesionales especializados en las nuevas tecnologías de seguridad que implementen y gestionen de manera eficaz sus sistemas.

Como consecuencia, la información en todas sus formas y estados se ha convertido en un activo de altísimo valor, el cual se debe proteger y asegurar para garantizar su integridad, confidencialidad y disponibilidad, entre otros servicios de seguridad. La sociedad de la información y nuevas tecnologías de comunicación plantean la necesidad de mantener la usabilidad y confidencialidad de la información que soportan los sistemas en las organizaciones; para ello, es especialmente importante elegir e implantar los sistemas y métodos de seguridad más idóneos, que protejan las redes y sistemas ante eventuales amenazas, ya sean presentes o futuras.

Los servicios de auditoría comprenden el estudio de los sistemas para gestionar las vulnerabilidades que pudieran estar presentes en los sistemas. Una vez localizadas, las anomalías se documentan, se informa de los resultados a los responsables y se establecen medidas proactivas de refuerzo, siguiendo siempre un proceso secuencial que permita que los sistemas mejoren su seguridad aprendiendo de los errores pasados.

Las auditorías de los sistemas permiten conocer en el momento de su realización cual es la situación exacta de los activos de información, en cuanto a protección, control y medidas de seguridad.

Realizar trabajos de auditoría con cierta periodicidad es necesario para asegurar que la seguridad de la red corporativa es la óptima. El continuo cambio en las configuraciones, la aparición de parches y mejoras en el software y la adquisición de nuevo hardware hacen necesario que los sistemas estén periódicamente controlados mediante auditoría.

Una auditoría de sistemas es una radiografía completa de la situación de éstos. Asegúrese de que está preparado para interconectarse. Audite sus sistemas.

Bibliografía

  • Alfredo Jiménez. Seguridad en un sistema de Información. Recuperado de: http://www.monografias.com/trabajos/seguinfo/seguinfo

  • Dr. Jorge Ramió Aguirre (2006). Seguridad Informática y Criptográfica. Madrid. Universidad Politécnica de Madrid.

  • ITSOR_Consulting. Curso COBIT 4.1. Sept., 2009. Recuperado de: http://www.itsor.net/pdf/ITSOR_COBIT_Brochure_VE.pdf

  • Jaime Yory, Gerente General; Director de Operaciones Internacionales de MVA. Un acercamiento a las mejores prácticas de seguridad de Información internacionalmente reconocidas en el estándar ISO 17799. (2009). Bogotá Colombia.

  • Normas y Lineamientos que regulan el funcionamiento de los órganos internos de control. Normas Generales de Auditoria Pública. Recuperado de: http://oic.promexico.gob.mx/work/models/oic/Resource/37/1/images/Normas_Generales_Auditoria_Publica.pdf

  • Rojas Córsico. Trabajo de Auditoria: Normas COBIT. Sept (2009). Recuperado de:http://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas

  • Segu.Info, Seguridad de la Información. Seguridad Física. Recuperado de: http://www.segu-info.com.ar/fisica/

  • Villalón Huerta, Antonio. El Sistema de Gestión de la Seguridad de la Información. Códigos de buenas prácticas de Seguridad. UNE –ISO/IEC 17799. (2004). Valencia.

DEDICATORIA

Este trabajo está dedicado a mis padres, quienes gracias a ellos mis metas cada día se hacen más próximas, por su apoyo incondicional, por su perseverancia y por muchas cosas buenas que me han brindado día a día.

AGRADECIMIENTOS

Se le da un agradecimiento especial a varios autores como son: el Dr. Jorge Ramió Aguirre, Dr. Jaime Yory y al Dr. Rojas Córsico¸los cuales nos han brindado información a través de sus libros y revistas para poder llevar a cabo este trabajo y también agradecer a la Ing. LIZANA PUELLES por permitirnos dar a conocer a los lectores de este tema tan importante basado en la seguridad informática.

 

Autor:

  • GARCIA JIMENEZ DEYBER JOCELYN

  • VILLEGAS RIVAS RONALD RICHARD

  • Piura, 2014