P. 1
Normas de Seguridad Informatica

Normas de Seguridad Informatica

|Views: 30|Likes:
Publicado porPopez Lopez

More info:

Published by: Popez Lopez on Apr 16, 2013
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

02/16/2014

pdf

text

original

Analiza estándares internacionales de seguridad informática BS 17799

:

Es un estándar para la seguridad de la información publicado por primera vez como ISO/IEC 17799:2000 por la International Organization for Standardization y por la Comisión Electrotécnica Internacional en el año 2000, con el título de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995.

Serie ISO 27000 La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC). La serie contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI). la mayoría de estas normas se encuentran en preparación e incluyen: ISO/IEC 27000 - es un vocabulario estandard para el SGSI. Se encuentra en desarrollo actualmente. ISO 27001 El estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.

1

Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 77992:2002, ISO 27002

ISO / IEC 27002 es un estándar de seguridad de la información publicada por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC), titulada Tecnología de la información - Técnicas de seguridad -Código de buenas prácticas para la gestión de seguridad de la información. BRA ISO / IEC 27002:2005 se ha desarrollado a partir de BS7799, publicado a mediados de la década de 1990. La norma británica fue adoptada por la norma ISO / IEC comoISO / IEC 17799:2000, revisado en 2005, y pasa a ser (pero por lo demás sin cambios)en 2007 para alinear con la otra la norma ISO / IEC 27000 de la serie de normas.

metadatos. La seguridad garantiza que los recursos informáticos de una compañía estén disponibles para cumplir sus propósitos. es el estándar reconocido internacionalmente en gestión de servicios de TI (Tecnologías de la Información). ya sea de manera personal. La seguridad informática comprende software. implementar o mantener la seguridad de la información Sistemas de Gestión de la Información (ISMS). bases de datos. La evolución de la Seguridad Informática A lo largo de los años. la seguridad informática pasó de ser una sub-especialidad oscura y exclusivamente técnica dentro del campo de la informática. protocolos.ISO / IEC 27002 proporciona recomendaciones de mejores prácticas en la gestión de seguridad de la información para su utilización por los responsables de iniciar. es la información el elemento principal a proteger. la British Standards Institution (BSI) SEGURIDAD INFORMÁTICA La seguridad informática es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta. resguardar y recuperar dentro de las redes empresariales. herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. pérdida o daño. . 2 Seguridad en el área de la informática La seguridad son aquellas reglas técnicas y/o actividades destinadas a prevenir. archivos y todo lo que la organización valore en sus activos y signifique un riesgo si ésta llega a manos de otras personas. En este sentido. Seguridad de la información se define en el estándar en el contexto de la tríada de la CIA ISO 20000 La serie ISO/IEC 20000 . proteger y resguardar lo que es considerado como susceptible de robo. Para ello existen una serie de estándares. grupal o empresarial. Este tipo de información se conoce como información privilegiada o confidencial. es decir. métodos. La serie 20000 proviene de la adopción de la serie BS 15000 desarrollada por la entidad de normalización británica.Service Management normalizada y publicada por las organizaciones ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) el 14 de diciembre de 2005. a volverse un actor central en la vida de la organización. reglas. que no estén dañados o alterados por circunstancias o factores externos.

sustraer o borrar datos. y se puede dividir en tres grandes etapas: La etapa de los Modelos Formales de Seguridad. De lo contrario la organización corre el riesgo de que la información sea utilizada maliciosamente para obtener ventajas de ella o que sea manipulada. debido a su alta dependencia tecnológica. más de 70 por ciento de las Violaciones e intrusiones a los recursos informáticos se realiza por el personal interno. Otra función de la seguridad informática en esta área es la de asegurar el acceso a la información en el momento oportuno. Por ello. surge por la existencia de personas ajenas a la información. 3 Objetivo de la seguridad Informática La seguridad informática está concebida para proteger los activos informáticos. es discutida en ámbitos de la alta gerencia organizacional. entre los que se encuentran: * La información contenida Se ha convertido en uno de los elementos más importantes dentro de una organización. el riesgo de tecnología se vuelve especialmente relevante. metodologías y tiene acceso a la información sensible de su empresa. es decir. Esta situación se presenta gracias a los diseños ineficientes de seguridad con los que cuentan la mayoría de las compañías a nivel mundial. pero también nuevos riesgos para las organizaciones. siendo parte fundamental del conjunto de temas a entender y atender por parte de todo gerente de tecnología. Hoy en día. y porque no existe conocimiento relacionado con la planeación adecuada y eficiente que proteja los recursos informáticos de las actuales amenazas combinadas. Estas personas pueden incluso formar parte del personal administrativo o de sistemas. las organizaciones incorporan la gestión del riesgo como parte de sus prácticas de buen gobierno corporativo y. incluyendo respaldos de la misma en caso de que esta sufra daños o pérdida producto de accidentes. En este sentido. la seguridad de la información tiene una gran importancia para las organizaciones modernas y está embebida en todos los aspectos de operaciones de un área de tecnología. a todos aquellos datos cuya pérdida puede afectar el buen funcionamiento de la organización. La etapa de los Estándares y Mejores prácticas de Seguridad y La etapa de la Seguridad Estratégica Importancia de la Seguridad en el área de la informática. generaron nuevas formas de hacer negocios. que buscan tener acceso a la red empresarial para modificar.La aparición de los servicios en línea. La seguridad informática debe ser administrada según los criterios establecidos por los administradores y supervisores. también conocidas como piratas informáticos o hackers. pero más importante aún. atentados o desastres. una de las formas más importantes de manejar el riesgo de tecnología es a través de la seguridad de la información. evitando que usuarios externos y no autorizados puedan acceder a ella sin autorización. debido a su importancia estratégica para la supervivencia de la organización. debido a que éste conoce los procesos. Esta evolución de la seguridad de la información no se dio de la noche a la mañana. y la integración vertical y horizontal de las organizaciones a través de las TICs. de acuerdo con expertos en el área. . ocasionando lecturas erradas o incompletas de la misma. de cualquier compañía.

autorizaciones. . . zona de comunicaciones y que gestionan la información. falsificada y burlada.Que esté al alcance de los usuarios. así como para el funcionamiento mismo de la organización. desastres naturales. Principios Básicos de la Seguridad de la Información a) Integridad: Permite garantizar que la información no sea alterada. 4 La disponibilidad permite que: La información se use cuando sea necesario. perfiles de usuario. restricciones a ciertos lugares. denegaciones. planes de emergencia. . . Estar íntegra: significa que esté en su estado original sin haber sido alterada por agentes no autorizados. c) Disponibilidad: La información debe llegar a su destino en el momento oportuno y preciso. incendios. sustitución o remoción. b) Confidencialidad: Se encarga y se asegura de proporcionar la información correcta a los usuarios correctos. Estas normas incluyen horarios de funcionamiento. que sea íntegra. fallas en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.Que pueda ser accesada cuando se necesite. La seguridad informática debe establecer normas que minimicen los riesgos a la información o infraestructura informática. es decir. .* La infraestructura computacional Una parte fundamental para el almacenamiento y gestión de la información.Cuando ocurren alteraciones del contenido del documento: inserción. protocolos y todo lo necesario que permita un buen nivel de seguridad informática minimizando el impacto en el desempeño de los funcionarios y de la organización en general y como principal contribuyente al uso de programas realizados por programadores.Ocurre cuando la información es corrompida. * La información confidencial se debe guardar con seguridad sin divulgar a personas no autorizadas * Garantizar la confidencialidad es uno de los factores determinantes para la seguridad. La función de la seguridad informática en esta área es velar que los equipos funcionen adecuadamente y prever en caso de falla planes de robos. boicot. * Los usuarios Son las personas que utilizan la estructura tecnológica.Cuando ocurren alteraciones en los elementos que soportan la información: alteración física y lógica en los medios de almacenaje. * Perdida de Confidencialidad es igual a la Perdida de Secreto. * El quiebre de la Integridad: . Toda la información no debe ser vista por todos los usuarios.

). Estos programas pueden ser un virus informático. * Amenazas Internas: son más serias que las externas. Es instalado (por inatención o maldad) en el ordenador abriendo una puerta a intrusos o bien modificando los datos. no se da cuenta o a propósito).Fijar rutas alternativas para el tránsito de la información. Tipos de amenazas * El hecho de conectar una red a un entorno externo nos da la posibilidad de que algún atacante pueda entrar en ella. viruxer. .(en el caso de las comunicaciones). Las Amenazas Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento (o transmisión) de la información se consideran seguras.Definir estrategias para situaciones de contingencia. defacer. . de modo que la única protección posible es la redundancia (en el caso de los datos) y la descentralización -por ejemplo mediante estructura de redes. las cuales son a menudo imprevisibles o inevitables. incendio. script kiddie o Script boy. se puede hacer robo de información o alterar el funcionamiento de la red.Planeación de copias de seguridad. una bomba lógica o un programa espía o Spyware. backups. todavía deben ser tenidos en cuenta las circunstancias "no informáticas" que pueden afectar a los datos. * Un siniestro (robo.Garantías de la disponibilidad: . un troyano. un gusano informático. Las pujas de poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informática. Estos fenómenos pueden ser causados por: * El usuario: causa del mayor problema ligado a la seguridad de un sistema informático (porque no le importa. inundación): una mala manipulación o una malintención derivan a la pérdida del material o de los archivos. etc. con esto. * El personal interno de Sistemas.Configuración segura en el ambiente para una disponibilidad adecuada. * Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. . . 5 * Un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido (cracker.

copia o difusión. Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicado el centro. incendios accidentales tormentas e inundaciones. * Identificar individualmente a cada usuario y sus Actividades en el sistema. * Amenazas ocasionadas por el hombre. En que Consiste: En la protección de barreras y procedimientos que resguarden el acceso a los datos y sólo permitan acceder a ellos a las personas autorizadas para hacerlo. sabotajes internos y externos deliberados. Principales amenazas que se prevén en la seguridad física * Desastres naturales. Consecuencias de la falta de seguridad lógica * Cambio de los datos * Copias de programas y/o información * Código oculto en el programa * Entrada de virus 6 2) Seguridad Física En que consiste: Consiste en la aplicación de barreras físicas y procedimientos de control. * Disturbios. Este tipo de seguridad se aplica colocando controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo. Se encarga de: * Controles de acceso para Salvaguardar la integridad de la información almacenada * Controlar y Salvaguardar la información generada.* Amenazas externas: Son aquellas amenazas que se originan de afuera de la red Tipos de Seguridad Informática 1) Seguridad Lógica: Es la protección de la información. en su propio medio contra robo o destrucción. como medidas de prevención y contra medidas ante amenazas a los recursos e información confidencial. implementados para proteger el hardware y medios de almacenamiento de datos. .

Asegurar que se utilicen los datos. Dentro de los Valores para el sistema se pueden distinguir: Confidencialidad de la información. 2. en todos y cada uno de los sistemas o aplicaciones empleadas. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo. Análisis de impacto al negocio 7 El reto es asignar estratégicamente los recursos para equipo de seguridad y bienes que intervengan. En contraste. un sistema de planificación de recursos empresariales (ERP). Los incidentes individuales pueden variar ampliamente en términos de alcance e importancia. un servidor Web público pueden poseer los requisitos de confidencialidad de baja (ya que toda la información es pública). 8.s istema puede poseer alta puntaje en los tres variables. pero de alta disponibilidad y los requisitos de integridad. Cada uno de estos valores es un sistema independiente del negocio. el sistema de gestión de incidentes necesita saber el valor de los sistemas de información que pueden ser potencialmente afectados por incidentes de seguridad. basándose en el impacto potencial para el negocio. más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. Los medios para conseguirlo son: 1. Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo. con claves distintas y permisos bien establecidos. deben existir técnicas que la aseguren. Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos. Consideraciones Generales . 7. Organizar a cada uno de los empleados por jerarquía informática. 5. 3. respecto a los diversos incidentes que se deben resolver. la Integridad (aplicaciones e información) y finalmente la Disponibilidad del sistema. 4. Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos. archivos y programas correctos en/y/por el procedimiento elegido. Para determinar el establecimiento de prioridades. supongamos el siguiente ejemplo. Esto puede implicar que alguien dentro de la organización asigne un valor monetario a cada equipo y un archivo en la red o asignar un valor relativo a cada sistema y la información sobre ella. Existe un viejo dicho en la seguridad informática que dicta: "lo que no está permitido debe estar prohibido" y ésta debe ser la meta perseguida. por lo tanto. Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisión minuciosa).Análisis de riesgos El activo más importante que se posee es la información y. Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro. 6.

impide que ordenadores infectados propaguen virus. humedad. como portátiles. Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan trabajar durante el tiempo inactivo de las máquinas. El software con métodos de instalación rápidos facilita también la reinstalación en caso de contingencia. robo. * Consideraciones de una red Los puntos de entrada en la red son generalmente el correo. Existe un software que es conocido por la cantidad de agujeros de seguridad que introduce. Se pueden buscar alternativas que proporcionen iguales funcionalidades pero permitiendo una seguridad extra. Controlar y monitorizar el acceso a Internet puede detectar.) 8 Clasificación de atacantes Según el tipo de persona: . El fraude en informática * Fraude informático Cualquier cambio no autorizado y malicioso de datos o informaciones contenidos en un sistema informático * Robo informático * Delito contra el patrimonio. Mantener al máximo el número de recursos de red sólo en modo lectura. consistente en el apoderamiento de bienes ajenos usando sistemas informáticos * Empresas y clientes * El único sistema que está seguro es el que se encuentra debidamente apagado y dentro de una caja de seguridad (ignifuga: ofrecen la máxima protección contra fuego. en fases de recuperación. gases inflamables y campos magnéticos.* Consideraciones de software Tener instalado en la máquina únicamente el software necesario reduce riesgos. las páginas web y la entrada de ficheros desde discos. cómo se ha introducido el virus. o de ordenadores ajenos. En el mismo sentido se pueden reducir los permisos de los usuarios al mínimo. En todo caso un inventario de software proporciona un método correcto de asegurar la reinstalación en caso de desastre. Así mismo tener controlado el software asegura la calidad de la procedencia del mismo (el software obtenido de forma ilegal o sin garantías aumenta los riesgos).

en estos ataques violentos o ataques por fuerza bruta se .* Personal interno * Ex-empleados * Timadores * Vándalos * Mercenarios * Curiosos Según el tipo de ataque: * Hacker * Cracker * Crasher * Pheacker * Phishers * Sniffers 9 Según el objetivo del ataque: * Dinero * Información confidencial * Beneficios personales * Daño * Accidente Tipos de ataques más comunes Ataques organizativos: Hay una organización que entra en la red para intentar tener acceso a información confidencial con el fin de obtener una ventaja empresarial Hackers: disfrutan demostrando sus habilidades para intentar eludir las protecciones de seguridad y lograr un acceso ilegal a la red Los ataques automatizados: utilizan software para examinar posibles vulnerabilidades de la red o para implementar un ataque electrónico violento.

Los virus. La auditoría de seguridad informática analiza los procesos relacionados únicamente con la seguridad. una vez allí distribuyen copias de si mismos a otros equipos conectados y estas copias también se replican a sí mismas produciendo una rápida infección de toda la red informática. evaluación del riesgo de fraudes y el diseño y desarrollo de exámenes que sean apropiados a la naturaleza de la auditoría asignada. Para lograr establecer dicho rol se debe examinar la actuación del auditor frente a la ocurrencia de delitos. Es importante establecer claramente cuál es el papel que juega el auditor informático en relación con la detección y minimización de la ocurrencia de delitos informáticos dentro de la organización a que presta sus servicios. que . muchas veces entran como datos adjuntos de un mensaje de correo electrónico. conocimientos requeridos. Los ataques por denegación de servicio: desbordan un servidor con solicitudes lo que hace que el mismo no sea capaz de ofrecer su servicio normal. la seguridad informática se preocupa por la integridad y disponibilidad de la información mientras la auditoria de sistemas incluye otras características más administrativas. Es este el punto de mayor diferencia. Detección de delitos Puesto que la auditoria es una verificación de que las cosas se estén realizando de la manera planificada. gusanos. 10 Rol del Auditor Informático El rol del auditor informático solamente está basado en la verificación de controles. estrategias para evitarlos. caballos de Troya. lógica y locativa pero siempre orientada a la protección de la información. en fin una serie de elementos que definen de manera inequívoca el aporte que éste brinda en el manejo de los casos de delitos informáticos. * Debilidades en los controles internos que podrían resultar en la falta de prevención o detección de irregularidades. y que deben razonablemente detectar: * Irregularidades que puedan tener un impacto sobre el área auditada o sobre toda la organización. Las infracciones accidentales de seguridad suelen ser consecuencia de prácticas o procedimientos deficiente. por ejemplo si queda expuesta públicamente cierta información de seguridad como nombre de usuario y contraseña un atacante puede aprovechar dicha información para tener acceso a la red Auditoria de seguridad. recomendaciones adecuadas. que todas las actividades se realicen adecuadamente. ésta puede ser física.intenta usar muchos nombres de usuario y contraseñas diferentes u otro tipo de credenciales para obtener acceso a los recursos. son programas peligrosos que actúan explotando algunas vulnerabilidades conocidas para instalarse a si mismos en un equipo.

2. el auditor deberá sugerir acciones específicas a seguir para resolver el vacío de seguridad. Establecer pruebas claras y precisas. para que el grupo de la unidad informática pueda actuar. entre las que pueden destacarse: * Adquisición de herramientas computacionales de alto desempeño. Es importante mencionar que el auditor deberá manejar con discreción tal situación y con el mayor profesionalismo posible. * Inclusión de controles adicionales. Informar a la autoridad correspondiente dentro de la organización. * Procedimientos estándares bien establecidos y probados.los controles sean cumplidos. 3. el auditor informático deberá ayudar a la empresa en el establecimiento de estrategias contra la ocurrencia de delitos. 11 Resultados de la auditoria Si por medio de la auditoria informática realizada se han detectado la ocurrencia de delitos. entonces el auditor informático al detectar irregularidades en el transcurso de la auditoria informática que le indiquen la ocurrencia de un delito informático. Determinar los vacíos de la seguridad existentes y que permitieron el delito. 5. * Controles sofisticados. podría tener efectos negativos en la organización. proveedores e inversionistas hacia la empresa. evitando su divulgación al público o a empleados que no tienen nada que ver.. Dichas acciones. expresadas en forma de recomendación pueden ser como las siguientes: * Recomendaciones referentes a la revisión total del proceso involucrado. Puesto que de no manejarse adecuadamente el delito. * Adquisición de herramientas de control. . * Se pueden generar más delitos al mostrar las debilidades encontradas. * Se puede perder la confianza de los clientes. deberá realizar los siguiente: 1. Informar a autoridades regulatorias cuando es un requerimiento legal. * Establecimiento de planes de contingencia efectivos. Además de brindar recomendaciones. etc. como los siguientes: * Se puede generar una desconfianza de los empleados hacia el sistema. * Se pueden perder empleados clave de la administración. aún cuando no estén involucrados en la irregularidad debido a que la confianza en la administración y el futuro de la organización puede estar en riesgo. Determinar si se considera la situación un delito realmente. etc. 4.

etc. * Herramientas de monitoreo de actividades. » Técnicas. así como de las herramientas y controles existentes. * Cálculo pos operación. * Todo tipo de conocimientos tecnológicos. de forma actualizada y especializada respecto a las plataformas existentes en la organización. * Técnicas de Evaluación de riesgos. cuya frecuencia dependerá del grado de importancia para la empresa de las TI. * Monitoreo de actividades. no se puede garantizar que las irregularidades puedan ser detectadas.* Revisiones continuas. etc. * Aspectos legales. * Características de la organización respecto a la ética. la industria o ambiente competitivo en la cual se desempeña la organización. deberá contar con un perfil que le permita poder desempeñar su trabajo con la calidad y la efectividad esperada. operaciones o sistemas. * Herramientas de control y verificación de la seguridad. . * Políticas organizacionales sobre la información y las tecnologías de la información. es importante tomar en cuenta que aún cuando todos los procesos de auditoría estén debidamente diseñados y se cuente con las herramientas adecuadas. historia de la organización. extensión de la presión laboral sobre los empleados. 12 » Herramientas. compensaciones monetarias a los empleados. las estrategias implementadas por la organización minimizan el grado de amenaza que representa los delitos informáticos. Por lo que la verificaciones la información y de la TI juegan un papel importante en la detección de los delitos informáticos. Perfil del Auditor Informático El auditor informático como encargado de la verificación y certificación de la informática dentro de las organizaciones. Si bien es cierto las recomendaciones dadas por el auditor. estructura organizacional. tipo de supervisión existente. * Muestreo. cambios recientes en la administración. Para ello a continuación se establecen algunos elementos con que deberá contar: » Conocimientos generales. * Normas estándares para la auditoría interna.

sin embargo las mismas pueden verse afectadas por situaciones o “amenazas” que pueden poner en riesgo la continuidad operativa del negocio. Tipos de Auditor La responsabilidad del auditor externo para detectar irregularidades o fraude se establece en el prefacio de las normas y estándares de auditoría. Delimitación del área a auditar y condiciones del ambiente. * Verificación de desviaciones en el comportamiento de la data. Si el auditor externo detecta algún tipo de delito deberá presentar un informe detallado sobre la situación y aportar elementos de juicio adicionales durante las investigaciones criminales posteriores. Estas amenazas pueden ser tanto externas como internas. En este prefacio se indica que aunque el cometido de los auditores externos no exige normalmente la búsqueda específica de fraudes. En la mayoría de ellas.* Recopilación de grandes cantidades de información. Al auditar cualquier sistema informático se debe delimitar claramente su espacio de acción. El auditor externo solamente puede emitir opiniones basado en la información recabada y normalmente no estará involucrado directamente en la búsqueda de pruebas. la auditoría deberá planificarse de forma que existan unas expectativas razonables de detectar irregularidades materiales o fraude. 13 Conclusión Las tecnologías de la información son herramientas indispensables para las Organizaciones. Las condiciones del ambiente están delimitadas por los recursos humanos que intervienen en el proceso de auditoria así como también el espacio físico y departamentos de la organización. donde termina su ámbito de acción e inicia el exterior. El cometido y responsabilidad de los auditores internos vienen definidos por la dirección de la empresa a la que pertenecen. etc. a menos que su contrato sea extendido a otro tipo de actividades normalmente fuera de su alcance. se considera que la detección de delitos informáticos forma parte del cometido de los auditores internos. como: * La ingeniería social * El phishing * Introducción de software malicioso * Hacking / cracking * Infidelidad del personal . * Análisis e interpretación de la evidencia.

* Autor: auditoriasistemas. Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 77992:2002.ar. El estándar para la seguridad de la información ISO/IEC 27001 (Information technology . integridad y disponibilidad. 21 de Mayo del 2011]. [Consulta: Sábado. BS 17799 BS 17799 es un código de prácticas o de orientación o documento de referencia se basa en las mejores prácticas de seguridad de la información. pérdida o sustracción de la información Podemos incluir también dentro de los riesgos. http://www. Hacer. deberían iniciar conforme a sus necesidades. Año de Publicación: 2009. Verificar. esto define un proceso para evaluar. mantener y administrar la seguridad de la información.arcert. 21 de Mayo del 2011].pdf. Check. la no previsión de planes contingentes que cubran tanto el procesamiento de la información como el resguardo de los sistemas y datos Si las Organizaciones toman conciencia de estos riesgos y de las problemáticas que producirían.Requirements) fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. Act (Planificar. mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA acrónimo de Plan. la British Standards Institution (BSI). implantar. a fin de preservar la confidencialidad.Security techniques . Estándares internacionales de seguridad informática. .ar/webs/manual/manual_de_seguridad. tamaño de la organización y limitaciones. Seguridad Informática.gov. implementar.com/auditoria-informatica/seguridad-informatica/. desarrollada por la entidad de normalización británica. Manual de Seguridad.http://auditoriasistemas. Especifica los requisitos necesarios para establecer.[Consulta: Sábado. Año de Publicación: 2010.com. Actuar).* Adulteración. Es entonces donde se comienza a pensar en la Seguridad Informática al conjunto de metodologías o políticas de alto nivel cubriendo la seguridad de los sistemas y de la información que en ellos se procesa.gov.Information security management systems . Do. 14 Tema: Estándares internacionales de seguridad informática. el desarrollo de normas o políticas de seguridad que posibiliten minimizar los riesgos que pueden sufrir sus activos. Bibliografía * Autor: arcert.

autoridad y comunicación.Garantías de continuidad del negocio.Aumento del valor comercial y mejora de la imagen de la organización. * Planificación: Definir los objetivos de calidad y las actividades y recursos necesarios. Alcance -Aumento de la seguridad efectiva de los Sistemas de información. .Incremento de los niveles de confianza de los clientes y socios de negocios. * Recursos humanos competentes. Objetivo El objetivo es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones.Correcta planificación y gestión de la Seguridad . * Diseño y desarrollo. un método de gestión eficaz de la seguridad y para establecer transacciones y relaciones de confianza entre las empresas. Enfoque * Responsabilidad de la dirección. * Provisión y gestión de los recursos. . 15 Para alcanzar los objetivos * Responsabilidad. * Enfoque al cliente en las organizaciones educativas.Características BS 17799 se basa en BS 7799-1 de control consta de 11 secciones. Auditoría interna . * Infraestructura y ambiente de trabajo de conformidad con los requisitos del proceso. . Educativo * Planificación y realización del producto. * Proceso de compras. 39 objetivos de control y controles de 134 no se utiliza para la evaluación y el registro de esta tarde fue rebautizado con la norma ISO 27002OBJETIVO. * La política de calidad en las organizaciones educativas.

facilitándonos tareas que antes eran lentas y repetitivas.los problemas se clasifican. Serie ISO 27000 En fase de desarrollo. mejorando no solamente la calidad de nuestros resultados.* Control de los dispositivos de seguimiento y medición. sino nuestro nivel de vida. buscando asegurar que el trabajo que hemos hecho durante todos estos años perdure para nuestro bien. El objetivo del Modelo de Seguridad Informática es mejorar la Seguridad de nuestra información y de nuestros equipos.Biblioteca de infraestructuras de tecnología de la información) de The Office of Government Commerce (OGC). La norma ISO 20000 se denominó anteriormente BS 15000 y está alineada con el planteamiento del proceso definido por la IT Infrastructure Library (ITIL . Contendrá términos y definiciones que se emplean en toda la serie 27000. Estas virtudes de rapidez. la asignación de presupuestos financieros y el control y distribución del software. La norma considera también la capacidad del sistema. confiabilidad. ser parte integral de lo que es llamado Seguridad Informática. Esta norma está previsto que sea gratuita. que tendrán un coste. * Análisis de datos. flexibilidad y conectividad que tienen estas máquinas traen adicionalmente ciertos riesgos y es responsabilidad nuestra. haciendo el trabajo más fácil. no solamente como funcionarios de esta entidad. a diferencia de las demás de la serie. * Satisfacción del cliente. el de la Entidad y el de Colombia en general. La aplicación de cualquier estándar necesita de un vocabulario claramente definido. * Revisión y disposición de las no conformidades. su fecha prevista de publicación es Noviembre de 2008. * Auditoria Interna ISO. los niveles de gestión necesarios cuando cambia el sistema. los computadores se integran cada vez más a las actividades diarias que realizamos. lo que ayuda a identificar problemas continuados o interrelaciones. que evite distintas interpretaciones de conceptos técnicos y de gestión. * Proceso de mejora. sino como beneficiarios de las virtudes de estas máquinas. ISO 20000 La norma ISO 20000 se concentra en la gestión de problemas de tecnología de la información mediante el uso de un planteamiento de servicio de asistencia . 16 Modelo de la seguridad En los tiempos modernos. .

ITIL Desarrollada a finales de 1980. pública o privada. Esta dependencia en aumento ha dado como resultado una necesidad creciente de servicios informáticos de calidad que se correspondan con los objetivos del negocio. consistente.La Seguridad Informática empieza en cada uno de nosotros y con nuestro compromiso lograremos mantenernos como una de las mejores empresas de este país. en caso de fallos o modificaciones necesarias. necesidades de control y aspectos técnicos propios de un proyecto TIC. controlar y evaluar el gobierno sobre TIC. Pertenece a la OGC. el servicio debe ser fiable. ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de la Informática para alcanzar sus objetivos corporativos. y que satisfagan los requisitos y las expectativas del cliente. riesgos. con servicios TI centralizados o descentralizados. Ello a partir de parámetros generalmente aplicables y aceptados. control y seguridad de las Tecnologías de Información. ISM3 ve como objetivo de la seguridad de la información el garantizar . la fase de operaciones alcanza cerca del 70-80% del total del tiempo y del coste. Hoy. COBIT contribuye a reducir las brechas existentes entre los objetivos de negocio. medidas de rendimiento y resultados. 17 Cobit COBIT es una metodología aceptada mundialmente para el adecuado control de proyectos de tecnología. En todos los casos. es soportado por los procesos de mantenimiento y operaciones. ITIL es conocido y utilizado mundialmente. A través de los años. De esta manera. Permite a las empresas aumentar su valor TIC y reducir los riesgos asociados a proyectos tecnológicos. y de coste aceptable. factores críticos de éxito y modelos de madurez. la Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) se ha convertido en el estándar mundial de facto en la Gestión de Servicios Informáticos. la estructura base ha demostrado ser útil para las organizaciones en todos los sectores a través de su adopción por innumerables compañías como base para consulta. también conocido como riesgo aceptable. incorporando objetivos de control. educación y soporte de herramientas de software. ISM3 ISM3 pretende alcanzar un nivel de seguridad definido. para mejorar las prácticas de planeación. el énfasis pasó de estar sobre el desarrollo de las aplicaciones TI a la gestión de servicios TI. pero es de libre utilización. directivas de auditoría. en lugar de buscar la invulnerabilidad. La aplicación TI (a veces nombrada como un sistema de información) sólo contribuye a realizar los objetivos corporativos si el sistema está a disposición de los usuarios y. A lo largo de todo el ciclo de los productos TI. y el resto se invierte en el desarrollo del producto (u obtención). La metodología COBIT se utiliza para planear. Esto se aplica a cualquier tipo de organización. y los beneficios. con servicios TI internos o suministrados por terceros. grande o pequeña. los procesos eficaces y eficientes de la Gestión de Servicios TI se convierten en esenciales para el éxito de los departamentos de TI. implementar. Iniciado como una guía para el gobierno de UK. los flujos de información y los riesgos que éstas implican. proporcionando un Marco Referencial Lógico para su dirección efectiva. de alta calidad.

edu.gov. • Accesible – Una de las principales ventajas de ISM es que los Accionistas y Directores pueden ver con mayor facilidad la Seguridad de la Información como una inversión y no como una molestia.edu.. • Adopción de las Mejores Prácticas – Una implementación de ISM3 tiene ventajas como las extensas referencias a estándares bien conocidos en cada proceso. gestores y el personal técnico usando el concepto de gestión Estratégica.conalepqro.conalepqro.mx/APLICASION%20DE%20LA%20SEGURIDAD%20INFORMATICA/Templates/BS%2017799%20. lo que quiere decir que se puede usar ISM3 para implementar un SGSI basado en ISO 27001. Esto también puede ser atractivo para organizaciones que ya están certificadas en ISO9001 y que tienen experiencia e infraestructura para ISO9001. 18 Fuentes: http://tutoriales. así como la distribución explícita de responsabilidades entre los líderes. siendo probablemente el primer estándar que lo hace.htm http://tutoriales.mx/APLICASION%20DE%20LA%20SEGURIDAD%20INFORMATICA/Templates/ITIL.aerocivil.mx/APLICASION%20DE%20LA%20SEGURIDAD%20INFORMATICA/Templates/COBIT. • Niveles de Madurez – ISM3 se adapta tanto a organizaciones maduras como a emergentes mediante sus cinco niveles de madurez. Algunas características significativas de ISM3 son: • Métricas de Seguridad de la Información .20 hace de la seguridad un proceso medible mediante métricas de gestión de procesos.conalepqro.htm http://tutoriales. dado que es mucho más sencillo medir su rentabilidad y comprender su utilidad.ISM3 v1. los cuales se adaptan a los objetivos de seguridad de la organización y a los recursos que están disponibles.conalepqro.htm http://portal.edu.mx/APLICASION%20DE%20LA%20SEGURIDAD%20INFORMATICA/Templates/ISM3. Esto permite la mejora continua del proceso.ISM3 v1. Táctica y Operativa. • Certificación – Los sistemas de gestión basados en ISM3 pueden certificarse bajo ISO9001 o ISO27001. lo que lo hace especialmente atractivo para organizaciones que tienen experiencia con ISO9001 o que utilizan ITIL como modelo de gestión de TIC.edu."Lo que no se puede medir.co/portal/page/portal/Aerocivil_Portal_Intranet/seguridad_informatica/mejore_seguridad_informacio n/proteccion_informacion/propiedad_informacion/modelo_seguridad_informatica http://tutoriales.htm http://tutoriales.conalepqro. La visión tradicional de que la seguridad de la información trata de la prevención de ataques es incompleta. dado que la externalización de procesos de seguridad se simplifica gracias a mecanismos explícitos. dado que hay criterios para medir la eficacia y eficiencia de los sistemas de gestión de seguridad de la información. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las bases de datos sólo a los usuarios autorizados).20 está basado en procesos. no se puede gestionar. El uso de ISM3 fomenta la colaboración entre proveedores y usuarios de seguridad de la información.h .la consecución de objetivos de negocio. • Basado el Procesos . no se puede mejorar" .edu.mx/APLICASION%20DE%20LA%20SEGURIDAD%20INFORMATICA/Templates/SERIE%20ISO%202700 0.. y lo que no se puede gestionar. como los ANS y la distribución de responsabilidades.

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->