Universidad Austral de Chile

Facultad de Ciencias Econmicas y Administrativas

Escuela Ingeniera Comercial



Seguridad Informtica



Asignatura
Sistema De Informacin Empresarial

Profesor Responsable
Cristian Salazar
Alumno
Francisco Elles Matus.


Martes 7 de Julio de 2014.
Introduccin
Debido a que el uso de Internet se encuentra en aumento, cada vez ms compaas permiten
a sus socios y proveedores acceder a sus sistemas de informacin. Por lo tanto, es
fundamental saber qu recursos de la compaa necesitan proteccin para as controlar el
acceso al sistema y los derechos de los usuarios del sistema de informacin. Los mismos
procedimientos se aplican cuando se permite el acceso a la compaa a travs de Internet.
Adems, debido a la tendencia creciente hacia un estilo de vida nmada de hoy en da, el
cual permite a los empleados conectarse a los sistemas de informacin casi desde cualquier
lugar, se pide a los empleados que lleven consigo parte del sistema de informacin fuera de
la infraestructura segura de la compaa.















Generalmente, los sistemas de informacin incluyen todos los datos de una compaa y
tambin en el material, y los recursos de software que permiten a una compaa almacenar
y hacer circular estos datos. Los sistemas de informacin son fundamentales para las
compaas y deben ser protegidos.
La seguridad informtica se encarga de proteger la integridad y la privacidad de la
informacin almacenada en un sistema informtico. De todas formas, no existe ninguna
tcnica que permita asegurar la inviolabilidad de un sistema.
Generalmente, la seguridad informtica consiste en garantizar que el material y los
recursos de software de una organizacin se usen nicamente para los propsitos para los
que fueron creados y dentro del marco previsto.
La seguridad informtica se resume, por lo general, en cinco objetivos principales:
Integridad: garantizar que los datos sean los que se supone que son
Confidencialidad: asegurar que slo los individuos autorizados tengan acceso a los
recursos que se intercambian
Disponibilidad: garantizar el correcto funcionamiento de los sistemas de informacin
Evitar el rechazo: garantizar de que no pueda negar una operacin realizada.
Autenticacin: asegurar que slo los individuos autorizados tengan acceso a los
recursos



Estndares de seguridad informtica existentes (Estndares ISO 27000)
Existe una serie o conjunto de estndares que fueron desarrollados (y siguen
desarrollndose) por la International Organization for Standardization (ISO) e international
Electrotechnical Commission (IEC) que nos dan a conocer un marco digestin acerca de la
seguridad informtica utilizada por cualquier organizacin, independiente de su tamao o
si es pblica o privada.
El ISO-27000 est basado en la segunda mitad de un estndar britnico (BS7799) y se
encuentra conformado por:
-Controles
-Valoracin de Riesgo
-Sistema de Gestin de Seguridad de la Informacin
Aunque existen otras normas ISO, la 27000 es ms que otra cosa, una serie de estndares
ISO/IEC 27000: contiene trminos y definiciones, prcticamente un vocabulario que se
utiliza en toda la serie 27000. Para aplicar cualquier estndar, es necesario contar con un
vocabulario definido, para evitar dobles interpretaciones en cuanto a conceptos tcnicos y
de gestin

ISO/IEC 27001: es la principal norma de requisitos del sistema para gestionar la seguridad
de la informacin. Se origina en el estndar britnico BS 7799 y es la norma con
arreglo donde se certifican por auditores externos los sistemas de gestin de la seguridad de
la informacin (SGSI) de las organizaciones.

ISO/IEC 27002: (antigua ISO 17799), es una gua de buenas prcticas que describe los
objetivos de control y controles recomendables en cuanto a seguridad de la informacin.
Cuenta con 39 objetivos de control y 133 controles, agrupados en 11dominios y a pesar de
no ser obligatoria la implementacin de todos los controles, la organizacin debe dar
buenos argumentos para no aplicar los controles.

ISO/IEC 27003: contiene una gua de sistemas de gestin de seguridad de la informacin e
informacin sobre el uso del modelo PDCA (mejoramiento continuo dela calidad en cuatro
pasos; planificar, hacer, verificar y actuar).

ISO/IEC 27004: especifica las mtricas y tcnicas de medida para aplicar en determinar la
eficiencia de un sistema de gestin de seguridad de informacin y de controles relacionados
(las mtricas son para la fase implementar de PDCA).

ISO/IEC 27005: es una gua para la gestin del riesgo de la seguridad de la informacin, es
un apoyo para la ISO 27001.
ISO/IEC 27006: requisitos que deben cumplir las organizaciones encargadas de emitir
certificaciones.
ISO/IEC 27007: es una gua de cmo actuar para auditar los sistemas de gestin de
seguridad de la informacin, todo esto conforme a las normas 27000.
ISO/IEC 27011: una gua de gestin de seguridad de la informacin especfica para
telecomunicaciones, la cual se ha elaborado conjuntamente con la ITU (Unin Internacional
de Telecomunicaciones)
ISO/IEC 27031: gua de continuidad de negocio en lo relativo a tecnologas de la
informacin y comunicaciones (TIC).
ISO/IEC 27032: gua relativa a la cibeer seguridad y en aplicaciones.
ISO/IEC 27799: gua para implantar ISO/IEC 27002 especfica para entornos mdicos.

Las certificaciones que se pueden obtener de ICSA
ICSA es un organismo independiente de seguridad informtica, el cual tiene como misin
prestar servicios integrales de consultora, estudios, clculos, diseos, gestin de
adquisiciones y abastecimientos, montaje, instalacin y construccin de proyectos
especializados de ingeniera, que generen valor para sus diferentes grupos de inters y el
crecimiento sostenido de la organizacin.

ISO 9001: permite la continua mejora de los sistemas de gestin de calidad (SGC) y los
distintos procesos de su organizacin, al mismo tiempo, ayuda a aumentarla capacidad de sus
operaciones para satisfacer las necesidades y expectativas del cliente.
ISO 14001: se establece la forma en cmo se implementa un sistema de gestin
medioambiental eficaz, su finalidad es poder conseguir ese tan ansiado y delicado
equilibrio entre la rentabilidad y la reduccin del impacto medioambiental. Cuando existe
un verdadero compromiso de la organizacin, es posible cumplir ambos objetivos.
OHSAS 18001: define los requisitos para establecer, implementar y operar un sistema de
gestin en seguridad y salud ocupacional efectivo, ayuda en la proteccin delas empresas y
sus trabajadores.
Norsok S-006: unifica las especificaciones en HSE (Seguridad, Salud y Medioambiente),
bajo una herramienta de evaluacin prctica, dinmica y ajustada a las caractersticas de
operacin de cada sector econmico.
Auditoria informtica
La auditora informtica es un proceso llevado a cabo por profesionales especialmente
capacitados para el efecto, y que consiste en:
Recoger, agrupar y evaluar evidencias para determinar si un sistema de
informacin salvaguarda el activo empresarial.
Mantener la integridad de los datos, llevar a cabo eficazmente los fines de la
organizacin, utiliza eficientemente los recursos, y por ultimo cumplir con las leyes
y regulaciones establecidas.
La necesidad de tener lineamientos y herramientas estandarizadas para el correcto ejercicio
de la auditoria informtica, promovi la creacin y desarrollo de mejores prcticas
como COBIT.
COBIT es un acrnimo para Control Objectives for Information and related Technology.
COBIT es una metodologa aceptada mundialmente para el adecuado control de proyectos
de tecnologa, los flujos de informacin y los riesgos que stas implican. La metodologa
COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno sobre TIC;
incorporando objetivos de control, directivas de auditora, medidas de rendimiento y
resultados, factores crticos de xito y modelos de madurez. Esta herramienta permite a las
empresas aumentar su valor TIC y reducir los riesgos asociados a proyectos tecnolgicos.
Ello a partir de parmetros generalmente aplicables y aceptados, para mejorar las prcticas
de planeacin, control y seguridad de las Tecnologas de Informacin.


COBIT contribuye a reducir las brechas existentes entre los objetivos de negocio, y los
beneficios, riesgos, necesidades de control y aspectos tcnicos propios de un proyecto TIC;
proporcionando un Marco Referencial Lgico para su direccin efectiva.