De una manera sinttica, el propsito de la seguridad informtica se puede resumir en asegurar la confidencialidad, la integridad y la disponibilidad de la informacin.

Confidencialidad implica garantizar que la informacin sea accesible slo a aquellas personas autorizadas a tener acceso a la misma, integridad consiste en salvaguardar la exactitud y totalidad de la informacin y los mtodos de procesamiento, y por disponibilidad se entiende garantizar que los usuarios autorizados tengan acceso a la informacin y a los recursos toda vez que se requiera. Esta previsin debe ser pensada en funcin de dos tipos de riesgos: internos y externos. Los primeros son aquellos que provienen de la organizacin o el lugar de trabajo, en oposicin a los que surgen del acceso a Internet (externos). Entre los ejemplos de riesgos internos se pueden mencionar a las personas del exterior que pudieran tener acceso a las mquinas, o la instalacin de programas por parte de los propios empleados que pongan en riesgo, sin intencin, sus propias computadoras y las de la red.

Por otra parte, los riesgos externos son aquellos comnmente relacionados con spyware (aplicaciones que recopilan informacin sobre una persona u organizacin sin su conocimiento), con los virus que llegan a travs del correo electrnico, o con el accionar de crackers. A travs de diversos mecanismos es posible tanto ingresar en un sistema y leer informacin como daar un sistema operativo. Frente a estas posibilidades, es propicio llevar a cabo una serie de buenas prcticas que incrementen el margen de seguridad de nuestra informacin. Un documento del organismo estatal ArCert (Coordinacin de Emergencias en Redes Teleinformticas) ofrece distintas recomendaciones para la generacin de contraseas, como mecanismo bsico para aumentar la seguridad. Entre ellas incluyen:

No utilizar palabras, nombres, marcas, lugares, mascotas, nmeros de telfono o DNI, fechas, patentes o terminologa tcnica conocida. Elegir una contrasea que mezcle letras (maysculas y minsculas) y nmeros, de 8 caracteres o ms. Elegir una palabra sin sentido, aunque pronunciable: taChunda72, AtajulH, Wen2Mar. Realizar reemplazos de letras por signos o nmeros. Por ejemplo, usando como ayuda-memoria la frase En Seguridad Ms Vale Prevenir que Curar, una contrasea de letras y nmeros que podra surgir sera: 35M\/Pq<. Tener contraseas diferentes en mquinas diferentes y sistemas diferentes, para que si la contrasea de un sistema es descubierta no sean afectados los dems sistemas que utilizan la misma. Combinar palabras cortas con algn nmero o carcter de puntuacin. Por ejemplo: soy2_yo3.

Paralelamente, existen diversas medidas que conviene tomar para protegerse de los riesgos externos: Instalar firewalls e IDS: firewalls son programas que operan entre la computadora del usuario o la red e Internet, examinan la informacin que circula entre esos dos puntos y permiten bloquear distintos tipos de informacin. Los IDS (Intrusin detection system) son componentes que alertan cuando detectan si alguien sin autorizacin intenta ingresar. Tener instalado y actualizado un antivirus. Protegerse de spyware o adware: as como spyware son programas espa, el adware es software que durante su funcionamiento despliega publicidad de distintos productos o servicios. Algunos sntomas que permiten detectar que alguno de ellos est instalado en nuestra computadora podran ser una merma en el rendimiento de la mquina, que la pgina de inicio de nuestro explorador de Internet se haya modificado repentinamente, comportamientos extraos del hardware (como que la lectora de CD se abra inesperadamente) o que la luz que indica que la computadora transmite informacin titile sin razn. Utilizar filtros y software antispam, contra el correo masivo o no deseado.

La Biblioteca de Infraestructura de Tecnologas de Informacin, frecuentemente abreviada ITIL (del ingls Information Technology Infrastructure Library), es un marco de trabajo de las buenas prcticas destinadas a facilitar la entrega de servicios de tecnologas de la informacin (TI). ITIL resume un extenso conjunto de procedimientos de gestin ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como gua que abarque toda infraestructura, desarrollo y operaciones de TI.

Aunque se desarroll durante los aos 1980, ITIL no fue ampliamente adoptada hasta mediados de los aos 1990. Esta mayor adopcin y conocimiento ha llevado a varios estndares, incluyendo ISO/IEC 20000, que es una norma internacional cubriendo los elementos de gestin de servicios de TI de ITIL. ITIL se considera a menudo junto con otros marcos de trabajo de mejores prcticas como la Information Services Procurement Library (ISPL, Biblioteca de adquisicin de servicios de informacin), la Application Services Library (ASL, Biblioteca de servicios de aplicativos), el mtodo de desarrollo de sistemas dinmicos (DSDM, Dynamic Systems Development Method), el Modelo de Capacidad y Madurez (CMM/CMMI) y a menudo se relaciona con la gobernanza de tecnologas de la informacin mediante COBIT (Control Objectives for Information and related Technology). El concepto de gestin de servicios de TI, aunque relacionado con ITIL, no es idntico: ITIL contiene una seccin especficamente titulada Gestin de Servicios de TI (la combinacin de los volmenes de Servicio de Soporte y Prestacin de Servicios, que son un ejemplo especfico de un marco ITSM). Sin embargo es importante sealar que existen otros marcos parecidos. La Gestin de Servicio ITIL est actualmente integrado en el estndar ISO 20000 (anterior BS 15000).

ITIL se construye en torno a una vista basada en procesomodelo del control y gestin de las operaciones a menudo atribuida a W. Edwards Deming. Las recomendaciones de ITIL fueron desarrolladas en los aos 1980 por la Central Computer and Telecommunications Agency (CCTA) del gobierno britnico como respuesta a la creciente dependencia de las tecnologas de la informacin y al reconocimiento de que sin prcticas estndar, los contratos de las agencias estatales y del sector privado creaban independientemente sus propias prcticas de gestin de TI y duplicaban esfuerzos dentro de sus proyectos TIC, lo que resultaba en errores comunes y mayores costes. ITIL fue publicado como un conjunto de libros, cada uno dedicado a un rea especfica dentro de la Gestin de TI. Los nombres ITIL e IT Infrastructure Library (Biblioteca de infraestructura de TI) son marcas registradas de la Office of Government Commerce (Oficina de comercio gubernamental, OGC), que es una divisin del Ministerio de Hacienda del Reino Unido.

COBIT 4.0 (Control OBjectives for Information and related Technology | Objetivos de Control para tecnologa de la informacin y relacionada) Es el modelo para el Gobierno de la TI desarrollado por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI). Tiene 34 objetivos nivel altos que cubren 215 objetivos de control clasificados en cuatro dominios: El plan y Organiza, Adquiere y Pone en prctica, Entrega y Apoya, y Supervisa y Evala. Enfatiza el cumplimiento normativo, ayuda a las organizaciones a incrementar el valorde TI., apoya el alineamiento con el negocio y simplifica la implantacin del COBIT. Esta versin no invalida el trabajo efectuado con las versiones anteriores del COBIT, sino que mejora el trabajo hecho. Representa los esfuerzos de literalmente cientos de expertos de voluntario de en el mundo entero. Lo ofrecen como un descargado libre (gratis) de www.isaca.org/cobit, y, como una ventaja especial para miembros ISACA, est disponible a miembros exclusivamente durante un perodo de dos semanas. El 16 de diciembre, el descargado se har disponible pblicamente.

Es un marco de gobernacin TI que permite a gerentes acortar el hueco entre exigencias de control, cuestiones tcnicas y riesgos de negocio. COBIT permite el desarrollo claro de poltica y la prctica buena para el control de TI en todas partes de organizaciones. La ltima versin del ITGI - COBIT 4.0 - acenta el cumplimiento regulador, ayuda a organizaciones a aumentar el valor logrado de TI, permite la alineacin y simplifica la puesta en prctica del marco COBIT. Esto no invalida el trabajo hecho basado en las versiones ms tempranas de COBIT, pero en cambiopuede ser usado realzar el trabajo ya hecho basado sobre aquellas versiones ms tempranas. Cuando actividades principales son planeadas para iniciativas de gobernacin TI, o cuando una revisin y reparacin del marco de control de la empresaes esperada (prevista), le recomiendan comenzar fresco con COBIT 4.0. COBIT 4.0 actividades de regalos en una manera ms dinamizada y prctica tan la mejora continua de la gobernacin TI es ms fcil que alguna vez para alcanzar. Esta nueva versin refleja la armonizacin aumentada con otras normasdetalladas, el nfasis mayor sobre la gobernacin TI, el dinamizar de conceptos y lengua, y el anlisis detallado de conceptos de mtrico, entre otras mejoras.

PARA QU SIRVE Independientemente de la realidad tecnolgica de cada caso concreto, COBIT determina, con el respaldo de las principales normas tcnicas internacionales, un conjunto de mejores prcticas para la seguridad, la calidad, la eficacia y la eficiencia en TI que son necesarias para alinear TI con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir el desempeo, el cumplimiento de metas y el nivel de madurez de los procesos de la organizacin. Proporciona a gerentes, interventores, y usuarios TI con un juego de medidas generalmente aceptadas, indicadores, procesos y las mejores prcticas para ayudar a ellos en el maximizar las ventajas sacadas por el empleode tecnologa de informacin y desarrollo de la gobernacin apropiada TI y el control en una empresa.

La misin COBIT es " para investigar, desarrollar, hacer pblico y promover un juego autoritario, actualizado, internacional de objetivos de control de tecnologa de informacin generalmente aceptados para el empleo cotidiano por directores comerciales e interventores. " Los gerentes, interventores, y usuarios se benefician del desarrollo de COBIT porque esto les ayuda a entender sus sistemas TI y decidir el nivel de seguridad (valor) y control que es necesario para proteger el activo de sus empresas por el desarrollo de un modelo de gobernacin TI.

Information Security Management Maturity Model ("ISM3") (conocida como ISM-cubed o ISM3) est construido en estndares como ITIL, ISO 20000, ISO 9001, CMM, ISO/IEC 27001, e informacin general de conceptos de seguridad de los gobiernos ISM3 puede ser usado como plantilla para un ISO 9001 compliant. Mientras que la ISO/IEC 27001 est basada en controles. ISM3 est basada en proceso e incluye mtricas de proceso.