REPBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DEL PODER POPULAR PARA LA EDUCACIN SUPERIOR UNIVERSIDAD EXPERIMENTAL SIMN RODRGUEZ CONVENIO

CORPORATIVO FIEC-UNESR CARRERA INFORMATICA SECCIN D1

Facilitador: Daniel Carneiro

Autores: Linares Hctor C.I.V- 17.168.793 Mosquera Eduardo C.I.V- 16.083.328 Caracas, Mayo 2010

Auditoria IT

La auditoria informtica (o Auditoria IT) es un proceso el cual se orienta a la verificacin y aseguramiento de las polticas y procedimientos establecidos para el manejo y uso adecuado de la Tecnologa de la Informacin (IT), en cualquier mbito. Los servicios de auditora comprenden el estudio de los sistemas para gestionar las vulnerabilidades que pudieran estar presentes en los sistemas. Una vez localizadas, las anomalas se documentan, se informa de los resultados a los responsables y se establecen medidas preactivas de refuerzo, siguiendo siempre un proceso secuencial que permita que los sistemas mejoren su seguridad aprendiendo de los errores pasados. Las auditorias de los sistemas permiten conocer en el momento la realizacin cual es la situacin exacta de activos de informacin, en cuanto a proteccin, control y medidas de seguridad. Una auditoria de sistemas es una radiografa completa de la situacin de sistemas. Tipos de Auditoria: Anlisis forense. El anlisis forense es una metodologa de estudio apta para el anlisis a posteriori de incidentes, mediante la cual se trata de reconstruir cmo se ha penetrado en el sistema, a la par que se valoran los daos ocasionados. Si los daos han provocado la inoperatividad del sistema. Auditora de pginas Web: Entendida como el anlisis externo de la Web, comprobando vulnerabilidades como la inyeccin de cdigo SQL, Verificacin de existencia y anulacin de posibilidades de Cross Site Scripting (XSS), etc. Auditora de cdigo de aplicaciones: Anlisis del cdigo tanto de aplicaciones pginas Web como de cualquier tipo de aplicacin, independientemente del lenguaje empleado Evaluacin de polticas y estndares existentes. Auditar sus sistemas es algo necesario Realizar trabajos de auditora con cierta periodicidad es necesario para asegurar que la seguridad de su red corporativa es la ptima. El continuo cambio en las configuraciones, la aparicin de parches y mejoras en el software y la adquisicin de nuevo hardware hacen necesario que los sistemas estn peridicamente controlados mediante auditora. Tipos de auditora: Los servicios de auditora pueden ser de distinta ndole:

Auditora interna. En este tipo de auditora se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carcter interno Auditoria perimetral. En este tipo de estudio se analiza el permetro de la red local o corporativa, y se estudia el grado de seguridad que ofrece a las entradas exteriores. Test de intrusin. El test de intrusin es un mtodo de auditora mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusin no deseada. Es un complemento interesante a la auditora perimetral. Seguridad IT El entorno de negocios actual ha desarrollado un alto grado de dependencia en sus operaciones de los recursos de tecnologa informtica, tanto que estos se han convertido en un factor crtico para el xito y supervivencia de las organizaciones. De igual forma, los cambios en la tecnologa informtica no se detienen y es importante para los negocios, los empleados y en particular los auditores entender estas tendencias, sus conceptos claves y los efectos de su incorporacin sobre el ambiente de control de las empresas y los retos de seguridad y auditoria que imponen. Conceptos tales como cliente/servidor, aplicaciones Web, sistemas ERP, teletrabajo, comercio electrnico, trabajo colaborativo, workflow, sistemas abiertos y otros, deben estar en el dominio de trminos de un equipo de auditora, as, como tambin lo deben estar los trminos relacionados con la auditoria de estas infraestructuras tecnolgicas. Para estructurar e implementar polticas, medidas y mecanismos de auditora informtica se requiere de profesionales especializados y capacitados en el tema que trabajen bajo las mejores prcticas contenidas en los estndares y mejores prcticas internacionales entre las que se encuentran: ISO 17799, ITIL, BS7799, NIST 800-34, COBIT, CONCT, IT Gobernance entre otros. Igualmente se ha incrementado el uso de herramientas de recuperacin y anlisis para agregar mayor inteligencia a la auditoria, identificar elementos de riesgo y descubrir errores o transacciones sospechosas en tiempo de ejecucin, ampliando el ambiente de control requerido por las organizaciones.

El uso de las herramientas de recuperacin y anlisis de la informacin pueden presentar desafos tcnicos significativos a los auditores porque la informacin objeto de la auditoria normalmente reside en sistemas diversos y distribuidos con varios grados de control y estandarizacin, por lo que es necesario mantener tcnicas especializadas entre los miembros del equipo de auditora. Una vez se guarda informacin en una forma utilizable por herramientas analticas de auditora, los auditores pueden ejecutar sus pruebas y revisar los resultados de sus anlisis. La acumulacin de datos del negocio de varios periodos de tiempo permite que el software identifique patrones, cambios, o tendencias en los datos indicando cambios en los negocios, el ambiente del negocio, el cliente principal, la economa, factores cambiantes de competencia, y su proyeccin. Tal anlisis del patrn sera importante en la planificacin del negocio y ventaja competitiva, y podra ser ejecutada por grupos fuera de la auditora interna; sin embargo, si el anlisis de auditora reconoce tales patrones entonces los auditores estarn agregando valor a su trabajo. Seguridad de la informacin: Este es uno de los puntos ms importantes a tener en cuenta, en cuanto a la proteccin frente a amenazas. Podemos destacar: Evaluacin de los riesgos en materia de seguridad Impacto potencial de una falla de seguridad en los negocios, teniendo en cuenta las potenciales consecuencias por una prdida de la confidencialidad, integridad o disponibilidad de la informacin Probabilidad de ocurrencia de dicha falla tomando en cuenta las amenazas y vulnerabilidades predominantes, y los controles actualmente implementados.

Seleccin de controles y polticas para reducir riesgos. Estos son algunos de los puntos destacados, hay muchas ms variables, en cuanto seguridad que podemos ofrecerle a su organizacin. Documentacin de la poltica de seguridad de la informacin.

Asignacin de responsabilidades en materia de seguridad de la informacin Instruccin y entrenamiento en materia de seguridad de la informacin Comunicacin de incidentes relativos a la seguridad El Empleo de certificados digitales Sistemas antifraude y antiphishing

Fases del servicio: Los servicios de auditora constan de las siguientes fases: Enumeracin de redes, topologa y protocolos Identificacin de sistemas y dispositivos Anlisis de servicios y aplicaciones Deteccin, comprobacin y evaluacin de vulnerabilidades Medidas especficas de correccin Evaluacin de polticas y estndares existentes. Evaluacin de polticas y estndares existentes Evaluacin del Control perimetral en tiempo real con tecnologa propia Recomendaciones sobre implantacin de medidas proactivas

Mejores Prcticas relacionadas con: Control Interno en Tecnologa Informtica IT Governance: Es un conjunto de mecanismos utilizados por la administracin de una organizacin para dirigir y controlar su desarrollo tecnolgico, asegurando que las metas del negocio sean alcanzadas de forma efectiva mediante la deteccin y control de los riesgos asociados. Una parte esencial del Gobierno de TI (IT Governance) es el Gobierno de Seguridad de Informacin (Information Security Governance), el cual se encarga de garantizar la Integridad de la informacin, continuidad de servicios y proteccin de los activos de informacin. ISO 27000 puede ser tomado como referencia para garantizar y certificar que se dirige y controla la Seguridad de la informacin con base en mejores prcticas consolidadas como un estndar a nivel mundial.

Es una eestructura de relaciones y procesos para dirigir controlara la empresa con el objeto alcanzarlos objetivos de la empresa y aadir valor mientras se balancean los riesgos versus sobre el retorno de y sus Procesos como parte integral del Gobierno Corporativo que consta de liderazgo, estructuras organizacionales que garantizan que la TI de la empresa soportar y extender las estrategias y objetivos organizacionales de la manera siguiente: Integra e institucionaliza buenas prcticas para garantizar que la TI sirve de soporte a los objetivos del negocio. Facilita que la empresa aproveche al mximo su informacin, maximice los beneficios, capitalice las oportunidades y obtenga ventajas competitivas IT Governance - ITGI Alineacin Estratgica Se enfoca en garantizar el vnculo entre los planes de negocio y de TI; en definir, mantener y validar la propuesta de valor de TI; y en alinear las operaciones de TI con las operaciones de la empresa. Entrega de valor Se refiere a ejecutar la propuesta de valor a todo lo largo del ciclo de entrega, asegurando que TI genere los beneficios prometidos en la estrategia, concentrndose en optimizar los costos y en brindar el valor intrnseco de la TI. Administracin de riesgos Requiere conciencia de los riesgos por parte de los altos ejecutivos de la empresa, un claro entendimiento del deseo de riesgo que tiene la empresa, comprender los requerimientos de cumplimiento, transparencia de los riesgos significativos para la empresa, y la inclusin de las responsabilidades de administracin de riesgos dentro de la organizacin.

Administracin de recursos

Se trata de la inversin ptima, as como la administracin adecuada de los recursos crticos de TI: aplicaciones, informacin, infraestructura y personas. Los temas claves se refieren a la optimizacin de conocimiento y de infraestructura. Medicin del desempeo Rastrea y monitorea la estrategia de implementacin, la terminacin del proyecto, el uso de los recursos, el desempeo de los procesos y la entrega del servicio. Permite determinar los principios que guiarn la integracin de tecnologas, a partir de la integracin y estandarizacin de procesos de negocio, lo cual disminuye considerablemente los costos de la integracin de aplicaciones, la consolidacin de informacin y la interaccin entre elementos tecnolgicos Facilita la especificacin adecuada de las necesidades del negocio y la identificacin de las capacidades, limitaciones y criterios de evaluacin, tanto de las herramientas tecnolgicas con las que cuenta en la organizacin, como de las del mercado

El objetivo final de IT Governance es la aceleracin en la adopcin de estrategias empresariales para gestionar el ciclo de vida completo de los proyectos de TI, desde la gestin de la demanda hasta la produccin final, pasando por su justificacin, establecimiento de prioridades, disponibilidad y asignacin de recursos, control de

costos, despliegue de las soluciones desarrolladas, as como la medicin de los beneficios. Qu son los Fundamentos de ITIL? ITIL, la Information Technology Infrastructure Library (Biblioteca de Infraestructura de Tecnologas de Informacin), es un marco de trabajo de las mejores prcticas destinadas a facilitar la entrega de servicios de tecnologas de la informacin (TI) de alta calidad. ITIL resume un extenso conjunto de procedimientos de gestin ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir de gua para que abarque toda infraestructura, desarrollo y operaciones de TI. ITIL (Information Technology Infrastructure Library) El marco de referencia para la Gestin de Servicios de TI ms aceptado y utilizado en el mundo. Proporciona un conjunto de mejores prcticas en materia de administracin de TI extradas de organismos del sector pblico y privado que estn a la vanguardia tecnolgica a nivel internacional. ITIL contempla una publicacin orientada a la administracin de Seguridad de Informacin, en la cual establece un conjunto de mejores prcticas que pueden ser adoptadas para facilitar el cumplimiento con los requisitos definidos en la norma ISO 27001. Los orgenes de esta actividad se pueden encontrar en lo que se conoce como la Biblioteca de Infraestructura de la Tecnologa de la Informacin (ITIL), un conjunto de documentos que describe las mejores prcticas para las reas de servicios IT, incluyendo la Gestin de Cambios, Incidentes, Configuracin, entre otros. Aplicado a todo tipo de Organizaciones, ITIL facilita el correcto manejo de todos los servicios IT centralizado o descentralizado, reduciendo costos, eliminando tiempos muertos, distribuyendo equitativamente las tareas informticas de la empresa, ordenando los elementos tecnolgicos, previendo el crecimiento y estableciendo los costos reales, presentes y futuros. A nivel organizacional, ITIL propone la alineacin de los Servicios IT con las necesidades del negocio, lo cual se base en algunos cambios, tales como hacer foco en procesos, realizar acciones preventivas, formar profesionales proactivos, integrar a toda

la organizacin al TI y orientar la perspectiva del negocio a los servicios. A modo comparativo, la aplicacin de servicios ITIL en una organizacin, tienen el peso de una certificacin ISO; de hecho, la certificacin ISO 20000 (calidad de servicio) se basa en los procesos ITIL para llegar a obtener esta categora. Bsicamente labor de ITIL consiste en: Mejorar la calidad Servicio Soporte Mejorar la capacidad tecnolgica Dar mayor flexibilidad tecnolgica Procurar mayor satisfaccin al cliente Implementar polticas de calidad relacionadas con TI Mejorar los tiempos y ciclos referidos a los servicios tecnolgicos Lograr la eficacia del personal en relacin al uso de la tecnologa Preveer las necesidades futuras del negocio Disminuir costos para toda la organizacin

Cobit: Conjunto de orientaciones para el gobierno de TI, producto diseado para ayudar en la aplicacin de una gestin eficaz de TI en todo tipo de organizacin es un material cada vez ms aceptable internacionalmente. Las Mejores Prcticas Objetivos de Control para la informacin y Tecnologas relacionadas (COBIT, en ingls: Control Objetives Foz Information and related Technology) es un conjunto de mejores prcticas para el manejo de informacin creado por la Asociacin para la Auditora y Control de Sistemas de Informacin y el Instituto de Administracin de las Tecnologas de la Informacin. La misin de Cobit es investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para las tecnologas de la informacin que sean autorizados (dados por alguien con autoridad),

actualizados, e internacionales para el uso del da a da de los gestores de negocios(tambin directivos) y auditores. Gestores, auditores, y usuarios se benefician del desarrollo de Cobit porque les ayuda a entender sus Sistemas de Informacin (o tecnologas de la informacin) y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compaas mediante el desarrollo de un modelo de administracin de las tecnologas de la informacin. Por fortuna, una de las grandes ventajas de la globalizacin es precisamente la integracin de los negocios y la estandarizacin de las tecnologas en todo el mundo, lo que presenta grandes oportunidades para capturar las mejores prcticas existentes y para optimizar el uso de recursos sensibles en TI. La evaluacin de los requerimientos del negocio, los recursos y procesos TI, son puntos bastante importantes para el buen funcionamiento de una compaa y para el aseguramiento de su supervivencia en el mercado. El Cobit es precisamente un modelo para auditar la gestin y control de los sistemas de informacin y tecnologa, orientado a todos los sectores de una organizacin, es decir, administradores TI, usuarios y por supuesto, los auditores involucrados en el proceso. El Cobit es un modelo de evaluacin y monitoreo que enfatiza en el control de negocios y la seguridad TI y que abarca controles especficos de TI desde una perspectiva de negocios. Las siglas Cobit significan Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas. El modelo es el resultado de una investigacin con expertos de varios pases, desarrollado por ISACA. (Information Systems Audit and Control Association) Organizacin Mundial para la Gestin de la Informacin, control, seguridad y profesionales de la auditora. Publica Cobit y emite diversas acreditaciones en el mbito de la seguridad de la informacin Herramientas para auditar las TI: ISACA liber la versin 4.0 de Cobit, herramienta cuya misin es investigar, desarrollar, publicar y promover un conjunto de objetivos de control de Tecnologa de Informacin internacionales, actualizados y aceptados, para que los utilicen gerentes de negocio y auditores. ISACA (Asociacin de Auditora y Control de Sistemas de Informacin, por sus siglas en ingls) es una asociacin profesional no lucrativa cuyos miembros se dedican a la auditoria, control y seguridad de sistemas de informacin.

Carlos Zamora, presidente de ISACA, explic que la organizacin surgi con el propsito de establecer las mejores prcticas relacionadas con la gestin y el seguimiento de las tecnologas de informacin. Por tal motivo, naci Cobit (Control Objectives for Information and Related. El elemento crtico para el xito y supervivencia de las Organizaciones es la administracin efectiva de la informacin y de la Tecnologa de la Informacin (TI) que la suministra y que soporta los procesos de negocio de la compaa. Los departamentos de TI, son los responsables de proveer y procesar la informacin necesaria para los procesos de negocio, considerando a la Informacin como el resultado de la aplicacin combinada de los Recursos TI que deben ser administrados por los Procesos. COBIT 4.1 es una actualizacin significativa del marco que asegura que las TI estn alineadas con los objetivos de negocio, sus recursos sean usados responsablemente y sus riesgos administrados de forma apropiada. COBIT 4.1 representa una mejora indiscutible de la versin COBIT 4.0 del estndar. La nueva versin incluye la medicin del desempeo, mejores objetivos de control y mejor alineacin con las metas de negocios y TI. Muchas son las razones para la adopcin de de un marco de trabajo para el control del Gobierno de las TI en las organizaciones, independientemente de su actividad y el tamao. Cada vez ms, la alta direccin se est dando cuenta del impacto significativo que la informacin puede tener en el xito de una empresa. La direccin espera de las TI contribuyan al xito del negocio y se pueda obtener una ventaja competitiva de su buen uso. Las Organizaciones necesitan saber si con la informacin administrada es posible garantizar: Caractersticas Cobit. Orientado al negocio. Alineado con estndares y regulaciones "de facto". Basado en una revisin crtica y analtica de las tareas y actividades en TI. Alineado con estndares de control seguridad y auditoria (COSO, IFAC, IIA, ISACA, AICPA).

Objetivos y Beneficios Proveer un marco nico reconocido a nivel mundial de las mejores prcticas de control y seguridad de TI Consolidar y armonizar estndares originados en diferentes pases desarrollados. Concienciar a la comunidad sobre importancia del control y la auditora de TI. Enlaza los objetivos y estrategias de los negocios con la estructura de control de la TI, como factor crtico de xito Aplica a todo tipo de organizaciones independiente de sus plataformas de TI Ratifica la importancia de la informacin, como uno de los recursos ms valiosos de toda organizacin exitosa. El logro de sus objetivos. La flexibilidad suficiente para aprender y adaptarse. El manejo juicioso de los riesgos a enfrenta la Organizacin. El anlisis de las oportunidades de negocio y actuar de acuerdo a ellas El xito de la Organizacin depende en gran medida de que se entienden los riesgos y se aprovechan los beneficios de las TI, para ello, se necesita: Alinear la estrategia de las TI con la estrategia del negocio. Lograr que toda la estrategia de las TI, as como las metas fluyan de forma gradual a toda la empresa. Proporcionar estructuras organizativas que faciliten la implementacin de las metas del negocio Crear las comunicaciones efectivas entre el negocio y las TI, y con los socios externos. Requerimientos de la informacin criterios. El enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con las TI. Para alcanzar los requerimientos de negocio, la informacin necesita satisfacer ciertos criterios:

Requerimientos de Calidad: Calidad, Costo y Entrega. Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros, Cumplimiento le leyes y regulaciones.

Efectividad: La informacin debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable. Eficiencia: Se debe proveer informacin mediante el empleo ptimo de los recursos (la forma ms productiva y econmica). Confiabilidad: Proveer la informacin apropiada para que la administracin tome las decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades. Cumplimiento: De las leyes, regulaciones y compromisos contractuales con los cuales0020est comprometida la empresa. Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad. Confidencialidad: Proteccin de la informacin sensible contra divulgacin no autorizada. Integridad: Refiere a lo exacto y completo de la informacin as como a su validez de acuerdo con las expectativas de la empresa. Disponibilidad: Accesibilidad a la informacin cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a la misma. Recursos: En cobit establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio: Datos: Todos los objetos de informacin. Considera informacin interna y externa, estructurada o no, grficas, sonidos, etc. Aplicaciones: Entendidas como sistemas de informacin, que integran procedimientos manuales y sistematizados. Tecnologa: Incluye hardware y software bsico, sistemas operativos, sistemas de administracin de base de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin. Recursos Humanos: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Informacin, o de procesos de TI. Usuarios:

La gerencia: para apoyar sus decisiones de inversin en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. Los Usuarios Finales: quienes obtienen una garanta sobre la seguridad y el control de los productos que adquieren interna y externamente. Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organizacin y determinar el control mnimo requerido. Los Responsables de TI: para identificar los controles que requieren en sus reas.

Tambin puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de informacin del proceso, y por todos aquellos con responsabilidades en el campo de la TI en las empresas. Como se aplica o como se usa. Organizaciones acertadas entienden las ventajas de tecnologa de informacin (TI) y usan este conocimiento para conducir el valor de sus accionistas. Ellos reconocen la dependencia crtica de muchos procesos de negocio sobre TI, la necesidad de cumplir con demandas de cumplimiento crecientes reguladoras y las ventajas de riesgo directivo con eficacia. Para ayudar organizaciones en satisfactoriamente la reunin de desafos de hoy de negocio, el Instituto de Gobernacin TI (ITGI) ha publicado la versin 4.0 de Objetivos de Control para la Informacin y ha relacionado la Tecnologa (COBIT). El acercamiento a la utilizacin Cobit Lo maneja - riesgos relacionados de negocio: El empleo bajo sobre objetivos de negocio en el marco cobit Seleccionan, procesa y controla TI apropiado por la organizacin de los Objetivos de Control de cobit funcionan del plan de negocio de organizacin. Evalan procedimientos y los resultados con Directrices de Revisin de cuentas de cobit

Evalan el estado de la organizacin, identifican factores de xito crticos, miden el funcionamiento con las Directrices de Direccin

Cobit Para desarrollar un juego sano de procesos: Escogen los Objetivos de Control que caben los objetivos de negocio Identifican los modelos de industria que proporcionan la direccin para apoyar procesos (CMMI, Poblar CMM, ITIL)

CONCT: Control Objectives for Net Centric Technologies CONCT (ISACF Objetivos de Control para redes centralizadas de Tecnologa, Que ofrece los objetivos de control generalmente aceptados para las empresas que operan en el dinmico entorno de red de tecnologa, ha sido publicado por la comisin de auditora de Sistemas de Informacin y Control de la Fundacin. IT Control Objectives for Sarbanes-Oxley Se trata de la segunda edicin de IT Control Objectives for Sarbanes-Oxley, y est especialmente orientado a gestores de TI, as como profesionales de la auditora en general, que tengan obviamente que ver con procesos de validacin y conformidad Sarbanes Oxley (ms sobre SOX en este blog aqu) 128 pginas, con todo tipo de detalles. Esta segunda edicin ha surgido principalmente a raz de algunos cambios importantes, ya que recientemente, la SEC (U.S. Securities and Exchange Commission) y la PCAOB (The Public Company Accounting Oversight Board) emitieron algunos dictmenes que complementaban aspectos diversos con implicacin en la gestin de riesgo, controles de aplicacin y evaluacin de deficiencias. Seguridad Informtica COBIT Security Baseline Structure - ISACA. Los Objetivos de Control para la Informacin y Tecnologas Relacionadas (COBIT) es un completo conjunto de recursos que contiene la informacin de las organizaciones necesidad de adoptar un gobierno de TI y de control. El mbito de

aplicacin de cobit incluye la seguridad, adems de otros riesgos que pueden ocurrir en una infraestructura de TI Cobit identifica los pasos crticos para la seguridad de la informacin. El marco Cobit modelo de proceso genrico consta de 34 procesos de TI agrupados en cuatro dominios: planificar y organizar, adquirir e implementar, entregar y dar soporte y monitorear y evaluar. Cobit ofrece ms de 300 objetivos de control detallados que contienen las polticas, procedimientos, prcticas, las responsabilidades de organizacin y directrices de auditora que permiten la revisin de los procesos de TI en contra de estos objetivos de control. El marco Cobit de cuatro dominios genricos y 34 procesos del TI incluir importantes objetivos de seguridad. Estos objetivos se identifican como la lnea de base Cobit de Seguridad y estn organizados en 39 pasos esenciales para ayudar a las organizaciones planificar su seguridad de la informacin: Seguridad Informtica NIST Luego de ver como nuestro sistema puede verse afectado por la falta de Seguridad Fsica, es importante recalcar que la mayora de los daos que puede sufrir un centro de cmputos no ser sobre los medios fsicos sino contra informacin por l almacenada y procesada. As, la Seguridad Fsica, slo es una parte del amplio espectro que se debe cubrir para no vivir con una sensacin ficticia de seguridad. Como ya se ha mencionado, el activo ms importante que se posee es la informacin, y por lo tanto deben existir tcnicas, ms all de la seguridad fsica, que la aseguren. Estas tcnicas las brinda la Seguridad Lgica. La serie 800 del NIST son una serie de documentos de inters general sobre Seguridad de la Informacin. Estas publicaciones comenzaron en 1990 y son un esfuerzo de industrias, gobiernos y organizaciones acadmicas para todos los interesados en la seguridad, de todo tipo de organizacin. Special Publication 800-123 - Guide to General Server Security

La gua tiene como objetivo ofrecer las directrices elementales para poder gestionar la seguridad de sistemas operativos de servidor, as como el software que corra sobre l, en trminos de configuracin segura, parches y actualizaciones, pruebas de seguridad, monitorizacin de eventos y copia de seguridad de datos y sistema. Contiene dos secciones que normalmente pasan por alto muchos administradores de seguridad: la planificacin de la seguridad (es decir, cmo se organiza el proceso de fortificacin de un servidor) y el mantenimiento de la misma. ISO 17799. La norma ISO 17799-2000 es un cdigo de mejores prcticas recomendables para la gestin de la seguridad de la informacin La informacin y los datos valiosos de la empresa estn protegidos adecuadamente? Estn garantizados los negocios que se desarrollan y su continuidad? Se garantiza el retorno de la inversin empresarial? Qu debe hacerse para garantizar un nivel adecuado de seguridad de la informacin? Qu soluciones y tecnologas deben implementarse? Esas son algunas de las preguntas con las que (frecuentemente) nos topamos en vuestro mbito de trabajo. En una frmula (como hecha a medida) responderemos a tales interrogantes como Profesionales del Terreno

La ISO 17799, al definirse como una gua protocolar (conjunto de normas a llevar a cabo) en la implementacin del sistema de administracin de la seguridad de la informacin, se orienta a preservar los siguientes principios: Confidencialidad: asegurar que, nicamente, personal autorizado tenga acceso a la informacin. Integridad: garantizar que la informacin no ser alterada, eliminada o destruida por entidades no autorizadas; preservando exactitud y completitud de la misma y de los mtodos de su procesamiento. Disponibilidad: cerciorar que los usuarios autorizados tendrn acceso a la informacin cuando la requieran y sus medios asociados. Tales premisas en la proteccin de los activos de informacin constituyen las pautas bsicas (deseables) en cualquier organizacin, sean instituciones de gobierno,

educativas, de investigacin o (meramente) pertenencias hogareas; no obstante, dependiendo de la naturaleza y metas de las estructuras organizacionales, stas mostrarn especial nfasis en algn dominio o rea del estndar ISO 17799. Componentes de un Marco de referencia de seguridad BS-7799-2 Estas normas se han desarrollado como consecuencia de las crecientes prdidas sufridas por organizaciones que no tienen conciencia del valor de la informacin para su negocio Tener criterio de los diversos riesgos que se corren y del impacto de las brechas de seguridad sobre el negocio son elementos bsicos de prudencia para el ejecutivo de hoy en da, ya sea un fraude informtico, la falta de un sistema critico, la desfiguracin del sitio Web, o el robo de informacin confidencial, lo importante es apreciarla magnitud de los posibles daos consecuentes desde la prdida de productividad a tener que afrontar altos costos de recuperacin o sufrir una serie de prdidas de imagen y credibilidad que haga peligrar nuestra supervivencia en el mercado. La Norma Bs-7799-2 sigue los pasos del ciclo, Planificar, hacer, verificar, actuar para implementar y mantener un sistema de gestin de la seguridad de la informacin susceptible de ser certificado por los organismos competentes. Cules son los beneficios de implantar la norma BS- 7799-2 Los clientes y socios de negocios se benefician de contar con una organizacin que se ha sometido a un riguroso proceso de evaluacin realizado en forma competente, imparcial e independiente y donde la informacin es segura gracias a un cuidado constante. La existencia de una revisin y mejora contina sobre el sistema de seguridad que asegura la eficiencia y robustez del mismo. el usufructo de la seguridad que aumenta la confianza entre clientes y proveedores. Gestionar sus riesgos eficazmente. La proteccin de la imagen de la empresa y la marca comercial.