0

Seguridad Informtica






















9 de julio de 2014
Universidad Austral de Chile
Facultad de Ciencias Econmicas y Administrativas
Instituto de Administracin

- Asignatura:
Sistemas de la Informacin Empresarial

- Profesor Responsable:
Cristian Salazar C.

- Alumno:
Ral Rodrguez Gmez

1

NDICE

1.- Introduccin .................................................................................................. 2
2.- Qu es la seguridad informtica? ................................................................ 3
3.- Cmo manejar el peligro? ........................................................................... 4
4.- Qu estndares de seguridad informtica existen? ..................................... 6
5.- Cules son las certificaciones que uno puede obtener en Isaca? ................ 8
6.- Cul es la relacin entre la auditoria informtica y la seguridad
informtica? ...................................................................................................... 10
7.- Conclusin .................................................................................................. 11












2

1.- Introduccin

Hoy en da es imprtate proteger los dispositivos personales de cualquier clase de
virus o robo de informacin, pero a medida que avanza la seguridad, tambin avanzan las
tcnicas para robar informacin personal de las personas.
Adems ni herramientas como los Smartphone logran salvarse pues son sumamente
vulnerables. Gran cantidad de gente hace muchas operaciones ya sean por celular o por
computador, como por ejemplo acceder a sus estados de cuenta, o transferir dinero.
El internet hoy es tan seguro, como la misma sociedad en la que vivimos, por lo
tanto todo depende como se manejen ls situaciones
Por esta razn las empresas son sumamente vulnerables al ser atacadas, violando su
privacidad y manipulando lo que ms importa para la organizacin: su informacin.

















3

2.- Qu es la seguridad informtica?

La seguridad informtica es una disciplina que consta de un conglomerado de normas y
procedimientos mediante los cuales se garantiza la confidencialidad, integridad,
disponibilidad y autenticidad de datos e informacin almacenados en un sistema
informtico.



Tiene por objetivos:
Confidencialidad: Acceso autenticado y controlado,
asegurarse que no haya acceso a al informacin por parte de
quienes no estn involucrados.
Integridad: Datos completos y no-modificados, sea estar
seguro que la informacin no ha sido alterada por terceros
(accidentalmente o intencionalmente).
Disponibilidad: Acceso garantizado.
Evitar el rechazo: es la garanta de que
ninguna de las partes involucradas en una
operacin, pueda negarla en el futuro.
Autenticidad: es la garanta de que cada
parte involucrada es quien dice ser.

Las razones de la emplear estos mtodos de seguridad se deben a que hoy en da es
habitual que personas mal intencionadas busquen la manera de tener acceso a la
informacin de nuestros ordenadores sea donde sea causando la perdida de datos y
robos de informacin.
4

El concepto de seguridad informtica sirve para poder minimizar el riesgo e impedir
que personas externas a las cuales no va dirigida la informacin puedan alterarla o
leerla.
Antes de continuar es importante destacar la diferencia entre dos conceptos que si
bien pueden parecer iguales, no lo son: Seguridad informtica v/s Seguridad de la
informacin. La gran diferencia es que el primero se preocupa de la seguridad en los
medios informticos, mientras que el otro se encarga de la seguridad de informacin
que se puede encontrar en distintos medios y formas, no solo de manera informtica.

3.- Cmo manejar el peligro?

Las amenazas pueden provenir desde programas dainos que se instalan en
computadoras, hasta virus enviados por correos electrnicos. Por ejemplo:
Virus informticos: es un programa de computador que tiene por objetivo alterar el
normal funcionamiento del computador, habitualmente reemplaza archivos ejecutables por
archivos infectados. Los daos que pueden producir es destruir los datos o el sistema
entero, consumir recursos del sistema y con ello disminuir la productividad, adems tiene la
posibilidad replicarse.
Solucin: para poder combatir los virus informticos se debe utilizar un antivirus y
actualizarlo constantemente, escanear dispositivos de almacenamiento ajenos, adems de
cada e-mail recibido y evitar descargas de sitios web no seguros, realizar un escaneo
completo del computador peridicamente y realizar copias de seguridad de la informacin
importante.
Spyware: son programas que recopilan informacin sobre una persona u
organizacin sin su conocimiento, su principal problema es su propagacin, publicidad no
deseada, reduce la velocidad de los sistemas y la eficiencia del acceso a internet y
principalmente el robo de informacin.
5

Solucin: para combatirlo se debe evitar navegar por pginas web no recomendadas,
evitar la instalacin de aplicaciones no deseadas e instalar un antivirus con anti-spyware.
Hackers: son delincuentes informticos e incluye a los cibernautas que realizan
operaciones delictivas a travs de las redes de los computadores existentes, quienes ven
como un negocio la reproduccin, apropiacin o acapararan y distribucin con fines
lucrativos de un software desarrollado por otros.
Solucin: utilizar los parches de seguridad que ofrecen los sistemas operativos y el
firewall, el cual es un sistema que protege una red de ordenadores contra los intrusos.
Phishing: es una modalidad de estafa con el objetivo de intentar de obtener de un
usuario sus datos, claves, cuentas bancarias, nmeros de tarjetas de crdito, identidades,
para luego ser usado de forma fraudulenta.
Solucin: para prevenirlo nunca responder a solicitud de informacin personal a
travs de correo electrnico, llamada telefnica o mensaje SMS, una recomendacin til es
teclear siempre la direccin URL en la barra de direcciones y no entrar por enlaces
procedentes de cualquier sitio.
Spam: mensajes electrnicos masivos y no solicitados que sobrecargan los recursos
y servidores afectando la productividad y aumentando la amenaza de virus spam,
generalmente proviene de pginas web que envan datos basura a los correos electrnicos
saturndoles, mediante el envo de mensajes que distribuyen un mismo mensaje a todos los
contactos, al final el usuario se convierte en propagador de spam sin saberlo.
Solucin: activar la opcin de correo no deseado, no contestar correos basura ni
reenviar cadenas y actualizar la seguridad del sistema mediante antivirus.

En sntesis la seguridad perfecta no existe, pero al menos se pueden adoptar
distintas medidas preventivas que impidan o minimicen las vulnerabilidades de nuestro
equipo y as proteger nuestra informacin.

6

4.- Qu estndares de seguridad informtica existen?

La ISO 27000 es una norma que proporciona una visin general de las normas que
forman la serie 27000. Recoge todas las definiciones para la serie de normas 27000 y
ayuda a entender el porque es necesario la instauracin de un SGSI (sistema de gestin de
seguridad de la informacin), agregando una introduccin de lo que son, los pasos para
establecerlos, monitorizacin, mantenimiento y mejora de un SGSI.
ISO/IEC 27001: es la norma principal de la serie 27001 y posee los requisitos del
sistema de gestin de informacin. Es la norma con arreglo a la cual se certifican
por auditores externos los sistemas de gestin de seguridad de la informacin de las
organizaciones. En su primer anexo (A) enumera resumidamente los objetivos de
control.
ISO/IEC 27002: contiene las buenas practicas que describe los objetivos de control
y controles recomendables en cuanto a seguridad informtica. Contiene 39
objetivos de control y 133 controles agrupados en 11 dominios.
ISO/IEC 27003: Es una gua que se centra en los aspectos crticos necesarios para
el diseo e implementacin con xito de un SGSI. Describe el proceso de
especificacin y diseo desde la concepcin hasta la puesta en marcha de planes de
implementacin, as como el proceso de obtencin de aprobacin por la direccin
para implementar un SGSI.
ISO/IEC 27004: Es una gua para el desarrollo y utilizacin de mtricas y tcnicas
de medida aplicables para determinar la eficacia de un SGSI y de los controles o
grupos de controles implementados
ISO/IEC 27005: est diseada para ayudar a la aplicacin satisfactoria de la
seguridad de la informacin basada en un enfoque de gestin de riesgos
ISO/IEC 27006: especifica los requisitos para la acreditacin de entidades de
auditora y certificacin de sistemas de gestin de seguridad de la informacin
ISO/IEC 27007: Es una gua de auditora de un SGSI, como complemento a lo
especificado en ISO 19011
7

ISO/IEC 27008: es una gua de auditora de los controles seleccionados en el
marco de implantacin de un SGSI.

Si bien siguen nuevas normas en la serie ISO 27001 estas son las primeras que
aparecen, ya que cuenta con muchsimas ms desarrolladas por ISO (International
Organization for Standardization) e IEC (International Electrotechnical Commission),
que proporcionan un marco de gestin de la seguridad de la informacin utilizable por
cualquier tipo de organizacin, pblica o privada, grande o pequea.















8

5.- Cules son las certificaciones que uno puede obtener en Isaca?

ISACA es el nombre que se le da a la Asociacin de Auditora y Control de
Sistemas de Informacin (Information Systems Audit and Control Association), esta
asociacin promueve el desarrollo de herramientas certificadas en el rea de las TICs para
la realizacin de actividades de auditora y control en los sistemas de informacin.
Esta empresa ofrece cuatro tipos de certificaciones, reconocidas mundialmente, para
esto ISACA hace exmenes de certificacin 2 veces al ao (Junio y Diciembre)
Requisitos:
Aprobar el examen
Experiencia relevante
Apegarse al cdigo tico de ISACA
Apegarse al programa
Apegarte al programa de educacin profesional continua
Cumplimiento de los estndares de ISACA

La certificacin CISA es reconocida en todo el mundo como el logro
reconocido de los expertos que controlan, monitorean y evalan la
plataforma tecnolgica de una organizacin y sus sistemas de negocio.



La certificacin CISM reconoce a las personas que disean, construyen y
gestionan la seguridad de la informacin de las empresas. CISM es la
credencial lder que deben tener los administradores de la seguridad de la
informacin.

9



CGEIT reconoce a una amplia gama de profesionales
por su conocimiento y aplicacin de los principios y prcticas de gobierno
empresarial de TI.


CRISC (pronunciado "see-risk") est diseada
para profesionales de TI que tienen amplia experiencia en la identificacin de
riesgos, su anlisis y evaluacin; respuesta al riesgo, monitoreo de riesgos;
Diseo e implementacin de controles de sistemas de informacin; y
monitoreo y mantenimiento de los mismos.










10

6.- Cul es la relacin entre la Auditoria informtica y la Seguridad
informtica?

Para comprender la relacin hay que partir desde el conocimiento del COBIT
(Control Objetives for Information and Related Technology), es una gua con prcticas que
tiene por objetivo el control y supervisin de las tecnologas de informacin. Esta
metodologa fue publicada en 1996 por el Instituto de Control de Tecnologas de
Informacin e ISACA, de esta manera se puede evaluar el departamento de informtica de
una compaa.
La relacin que hay entre la Auditoria Informtica y la Seguridad Informtica es que
la primera se encarga de recoger, agrupar y evaluar evidencias para determinar si un
sistema de informacin cumple los objetivos bien y protege los datos mantenindolos
ntegros. Estas auditoras las realizan personas especializadas que pueden provenir de
afuera o dentro de la empresa, por ello existen auditorias informticas internas y externas.
La relacin existente entre auditoria y seguridad es que ambas aplican el COBIT a
los sistemas de informacin de una empresa, evaluando la seguridad de estas solo que lo
hacen de manera distinta, mientras que la auditoria se dedica a ver el buen funcionamiento
de la empresa asegurando su supervivencia, la seguridad se preocupa de lo mismo solo que
enfocndose ms en la seguridad de la estructura computacional. En resumen la seguridad
informtica se preocupa de lo fsico mediante software, la auditoria evala si este sistema
informtica protege adecuadamente a al empresa.





11

7.- Conclusin

Lo mejor hoy es evitar e instalar las mejores herramientas posibles para proteger
nuestra informacin, porque esta es lo ms valiosos que tenemos:
Control de hardware
Controles
Control de vehculos
Barreras infrarrojas-ultrasnicas
Sistemas de alarma
Huellas digitales
Control de voz
Patrones oculares
Verificacin de firmas