SEGURIDAD Y AUDITORIA INFORMATICA, ISO

17799

Qu es la norma ISO 17799?

ISO 17799 es una norma internacional que ofrece
recomendaciones para realizar la gestin de la
seguridad de la informacin dirigidas a los responsables
de iniciar, implantar o mantener la seguridad de una
organizacin.
Objetivo de la norma ISO 17799
El objetivo de la norma ISO 17799 es proporcionar una
base comn para desarrollar normas de seguridad
dentro de las organizaciones, un mtodo de gestin
eficaz de la seguridad y para establecer transacciones y
relaciones de confianza entre las empresas.
Ventajas de la adopcin de la norma ISO 17799

Aumento de la seguridad efectiva de los sistemas de

informacin.
Correcta planificacin y gestin de la seguridad.
Garantas de continuidad del negocio.
Mejora continua a travs del proceso de auditora
interna.
Incremento de los niveles de confianza de los clientes y
socios de negocios.
Aumento del valor comercial y mejora de la imagen de
la organizacin.
Orientacin de la norma ISO 17799?

La norma ISO 17799 no es una norma tecnolgica.

La seguridad de la informacin es un asunto que
compete a la alta gerencia no al rea tecnolgica, por lo
cual es un asunto empresarial.
La gente toma decisiones de seguridad basados en los
riesgos percibidos no en los riesgos reales, por lo cual el
anlisis de riesgos es fundamental para los negocios
Conclusiones

ISO 17799 es una norma internacional que ofrece

recomendaciones para realizar la gestin de la
seguridad de la informacin.

La norma se estructura en once dominios de control

que cubren por completo todos los aspectos relativos
a la seguridad de la informacin.

Implantar ISO 17799 puede requerir de un trabajo de

consultora que adapte los requerimientos de la
norma a las necesidades de cada organizacin.
 La adopcin de ISO 17799 presenta mltiples ventajas
para la organizacin, entre ellas el primer paso para una
certificacin ISO 27001, pero ni la adopcin de ISO
17799, ni la certificacin garantizan la inmunidad de la
organizacin frente a problemas de seguridad.

Hay que hacer anlisis peridicos de los Riesgos y

monitorear continuamente la situacin

La seguridad no es un tema de un da ni un tema

exclusivo del departamento de TI

Hay que prepararse para entender la norma y avanzar

en el seguimiento de las recomendaciones establecidas.
Seguridad informtica

La segurida informtica es el rea de la informtica que

se enfoca en la proteccin de la infraestructura
computacional y todo lo relacionado con esta
(incluyendo la informacin contenida). Para ello existen
una serie de estndares, protocolos, mtodos, reglas,
herramientas y leyes concebidas para minimizar los
posibles riesgos a la infraestructura o a la informacin.
La seguridad informtica comprende software, bases de
datos, archivos y todo lo que la organizacin valore
(activo) y signifique un riesgo si sta llega a manos de
otras personas. Este tipo de informacin se conoce
como informacin privilegiada o confidencial.
Objetivos de la Seguridad Informtica
La seguridad informtica est concebida para proteger
los activos informticos, entre los que se encuentran:

La informacin contenida
Se ha convertido en uno de los elementos ms
importantes dentro de una organizacin. La seguridad
informtica debe ser administrada segn los criterios
establecidos por los administradores y supervisores,
evitando que usuarios externos y no autorizados puedan
acceder a ella sin autorizacin. De lo contrario la
organizacin corre el riesgo de que la informacin sea
utilizada maliciosamente para obtener ventajas de ella o
que sea manipulada, ocasionando lecturas erradas o
incompletas de la misma.
La infraestructura computacional

Una parte fundamental para el almacenamiento y

gestin de la informacin, as como para el
funcionamiento mismo de la organizacin. La funcin de
la seguridad informtica en esta rea es velar que los
equipos funcionen adecuadamente y prever en caso de
falla planes de robos, incendios, boicot, desastres
naturales, fallas en el suministro elctrico y cualquier
otro factor que atente contra la infraestructura
informtica.
Los usuarios

Son las personas que utilizan la estructura tecnolgica,

zona de comunicaciones y que gestionan la informacin.
La seguridad informtica debe establecer normas que
minimicen los riesgos a la informacin o infraestructura
informtica. Estas normas incluyen horarios de
funcionamiento, restricciones a ciertos lugares,
autorizaciones, denegaciones, perfiles de usuario,
planes de emergencia, protocolos y todo lo necesario
que permita un buen nivel de seguridad informtica
minimizando el impacto en el desempeo de los
funcionarios y de la organizacin en general y como
principal contribuyente al uso de programas realizados
por programadores.
Las Amenazas

Una vez que la programacin y el funcionamiento de un

dispositivo de almacenamiento (o transmisin) de la
informacin se consideran seguras, todava deben ser
tenidos en cuenta las circunstancias "no informticas"
que pueden afectar a los datos, las cuales son a
menudo imprevisibles o inevitables, de modo que la
nica proteccin posible es la redundancia (en el caso
de los datos) y la descentralizacin -por ejemplo
mediante estructura de redes- (en el caso de las
comunicaciones).
 Estos fenmenos pueden ser causados por:

El usuario: causa del mayor problema ligado a la seguridad de un

sistema informtico (porque no le importa, no se da cuenta o a
propsito).
Programas maliciosos: programas destinados a perjudicar o a hacer
un uso ilcito de los recursos del sistema. Es instalado (por
inatencin o maldad) en el ordenador abriendo una puerta a
intrusos o bien modificando los datos. Estos programas pueden ser
un virus informtico, un gusano informtico, un troyano, una bomba
lgica o un programa espa o Spyware.

Un intruso: persona que consigue acceder a los datos o programas

de los cuales no tiene acceso permitido (cracker, defacer, script
kiddie o Script boy, viruxer, etc.).

Un siniestro (robo, incendio, inundacin): una mala manipulacin o

una mal intencin derivan a la prdida del material o de los
archivos.
El personal interno de Sistemas. Las pujas de poder que llevan a
disociaciones entre los sectores y soluciones incompatibles para la
seguridad informtica.
Auditoria Informtica

La auditora informtica es un proceso llevado a cabo

por profesionales especialmente capacitados para el
efecto, y que consiste en recoger, agrupar y evaluar
evidencias para determinar si un sistema de
informacin salvaguarda el activo empresarial, mantiene
la integridad de los datos, lleva a cabo eficazmente los
fines de la organizacin, utiliza eficientemente los
recursos, y cumple con las leyes y regulaciones
establecidas. Permiten detectar de forma sistemtica el
uso de los recursos y los flujos de informacin dentro de
una organizacin y determinar qu informacin es crtica
para el cumplimiento de su misin y objetivos,
identificando necesidades, duplicidades, costes, valor y
barreras, que obstaculizan flujos de informacin
eficientes.
 Los objetivos de la auditora Informtica son:

El control de la funcin informtica

El anlisis de la eficiencia de los Sistemas Informticos
La verificacin del cumplimiento de la Normativa en este
mbito
La revisin de la eficaz gestin de los recursos
informticos.
La auditora informtica sirve para mejorar ciertas
caractersticas en la empresa como:
Desempeo
Fiabilidad
Eficacia
Rentabilidad
Seguridad
Privacidad
 Generalmente se puede desarrollar en alguna o
combinacin de las siguientes reas:

Gobierno corporativo.
Administracin del Ciclo de vida de los sistemas.
Servicios de Entrega y Soporte.
Proteccin y Seguridad.
Planes de continuidad y Recuperacin de desastres.
La necesidad de contar con lineamientos y herramientas
estndar para el ejercicio de la auditora informtica ha
promovido la creacin y desarrollo de mejores prcticas
como COBIT, COSO e ITIL.
 Actualmente la certificacin de ISACA para ser
CISA Certified Information Systems Auditor es una de
las ms reconocidas y avaladas por los estndares
internacionales ya que el proceso de seleccin consta
de un examen inicial bastante extenso y la necesidad de
mantenerse actualizado acumulando horas (puntos)
para no perder la certificacin

Tipos de auditora Informtica

Dentro de la auditora informtica destacan los
siguientes tipos (entre otros):
Auditora de la gestin: la contratacin de bienes y
servicios, documentacin de los programas, etc.
Auditora legal del Reglamento de Proteccin de Datos:
Cumplimiento legal de las medidas de seguridad
exigidas por el Reglamento de desarrollo de la Ley
Orgnica de Proteccin de Datos.
 Auditora de los datos: Clasificacin de los datos,
estudio de las aplicaciones y anlisis de los flujogramas.
Auditora de las bases de datos: Controles de acceso,
de actualizacin, de integridad y calidad de los datos.
Auditora de la seguridad: Referidos a datos e
informacin verificando disponibilidad, integridad,
confidencialidad, autenticacin y no repudio.
Auditora de la seguridad fsica: Referido a la
ubicacin de la organizacin, evitando ubicaciones de
riesgo, y en algunos casos no revelando la situacin
fsica de esta. Tambin est referida a las protecciones
externas (arcos de seguridad, CCTV, vigilantes, etc.) y
protecciones del entorno.
 Auditora de la seguridad lgica: Comprende los
mtodos de autenticacin de los sistemas de
informacin.

Auditora de las comunicaciones. Se refiere a la

auditoria de los procesos de autenticacin en los
sistemas de comunicacin.

Auditora de la seguridad en produccin: Frente a

errores, accidentes y fraudes.