Seguridad informatica
•Transferir como DOCX, PDF•
0 gostou•394 visualizações
Trabajo sobre la seguridad Informatica para el ramo Sistemas de Información Empresarial
Recomendados
Mais conteúdo relacionado
Mais procurados
Mais procurados (20)
Destaque
Destaque (10)
Semelhante a Seguridad informatica
Semelhante a Seguridad informatica (20)
Último
Último (20)
Seguridad informatica
- 1. Universidad Austral de Chile Facultad de Ciencias Económicas y Administrativas Escuela Ingeniería Comercial Trabajo final Sistemas de Información Empresarial ¿Qué es la Seguridad Informática? Asignatura Sistemas de Información Empresarial Profesor Responsable Prof. Cristian Salazar. Alumno Rodrigo Francisco Salazar Jiménez Jueves 7 de julio de 2014.
- 2. INTRODUCCIÓN Sin duda el avance de las tecnologías es un factor que cada día toma más y más importancia en el desarrollo de nuestro diario vivir, y el ámbito empresarial no está exento de esta constante transformación y adaptación a las nuevas innovaciones, por tanto como bien es sabido la tendencia, es que la tecnología nos facilite la vida y nos apoye desde actividades tan simples como contactar a un amigo que no veías hace años, hasta generar planificaciones para grandes compañías. Es en este contexto donde la seguridad toma un papel sumamente importante pues, cada persona y bueno compañía debe tener garantizada su privacidad en diferentes aspectos de la vida, y nuestra vida digital no está exenta de este derecho por tanto es aquí donde encontramos a la seguridad informática un concepto que ha ganado espacio en el mundo de las tecnologías digitales,sobretodo con el creciente número de fraudes digitales. Considerando estos aspectos, es que el presente trabajo muestra una investigación respecto de la importancia de seguridad informática, las diferentes ofertas que se presentan actualmente en el mercado, los estándares de seguridad informática que encontramos, además de 1las certificaciones que existen.
- 3. 2 ¿Qué es la seguridad informática? La seguridad informática corresponde a la protección de la infraestructura computacional, asegurar los recursos del sistema de información y todo lo relacionado con esta incluyendo la información contenida y obtenida. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. Laseguridad informática estáconstituida básicamentepor software, bases dedatos, metadatos, archivos y todo lo que la organización valore como activo y signifique un riesgo si ésta llega a manos de otras personas. Este tipo de información se conoce como información privilegiada o confidencial. Cabe destacar que la seguridad informática se orienta en proteger tres aspectos los cuales son: integridad, confidencialidad y disponibilidad, los cuales son el fundamento de está.
- 4. 3 ¿Contra qué nos debemos proteger? En primer lugar contra nosotros mismos, que en muchas ocasiones borramos archivos sin darnos cuenta, eliminamos programas necesarios para la seguridad o aceptamos correos electrónicos perjudiciales para el sistema, esto muchas veces se debe al analfabetismo informático. En segundo lugar contra los accidentes y averías que pueden hacer que se estropee nuestro ordenador y perdamos datos necesarios. En tercer lugar contra usuarios intrusos que, bien desde elmismo ordenador, bien desde otro equipo de la red, que puedan acceder a datos de nuestro equipo, también contra los conocidos hackers. Finalmente contra software malicioso o malware, es decir, programas que aprovechan un acceso a nuestro ordenador para instalarse y obtener información, dañar el sistema o incluso llegar a inutilizarlo por completo.
- 5. 4 Normas y estándares internacionales de seguridad informática Dentro de cada una de las organizaciones que tengan su operatividad basada en tecnologías de la información, es recomendable implementar buenas prácticas de seguridad informática, ya que en la mayoría de casos en que no se sigue un proceso de implementación adecuado, aumenta la posibilidad de riesgos en la información. Para esto existen normas y estándares internacionales de alto nivel para una adecuada administración de la seguridad informática, como destacan la BS 7799, la ISO 17799 y la ISO/IEC 27001. La norma BS 7799 Es el estándar de seguridad de información creado por British Standards Institution (BSI) como un conjunto de controles de seguridad y de metodologías para su correcta aplicación. Esta norma le ayuda a las empresas a proteger sus activos e información en todas sus formas, electrónicas y o impresa, asegurando: • La confidencialidad: Que asegura que sólo las personas autorizadas tengan acceso a la información. • La integridad: Que salvaguarda la exactitud e integridad de la información y de los métodos de procesamiento. • La disponibilidad: Que asegura el acceso de los usuarios autorizados a la información y a los activos relacionados cuando es necesario.
- 6. 5 ISO 17799 Fue publicada por la ISO (Organización Internacional de Estandarización) en diciembre del año 2000 con el objeto de desarrollar un marco de seguridad sobre el cual trabajen las organizaciones. La ISO 17799, al definirse como una guía en la implementación del sistema de administración de la seguridad de la información, se orienta a preservar la: • Confidencialidad: Asegurar que únicamente personal autorizado tenga acceso a la información. • Integridad: Garantizar que la información no será alterada, eliminada o destruida por entidades no autorizadas. • Disponibilidad: Asegurar que los usuarios autorizados tendrán acceso a la información cuando la requieran. Los principios anteriormente mencionados, los cuales se direccional a la protección de los activos de información, el objetivo de la seguridad de los datos es asegurar la continuidad de las operaciones de la organización, reducir al mínimo los daños causados por una contingencia, así como optimizar la inversión en tecnologías de seguridad.
- 7. 6 ISO/IEC-27001 El hecho de disponer de la certificación según ISO/IEC 27001 le ayuda a gestionar y proteger sus valiosos activos de información. ISO/IEC 27001 es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales. Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI. La ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI). ISO/IEC 27001 también es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI. Esto puede utilizarse para garantizar a los clientes que su información está protegida.
- 8. 7 ¿Cuál es la relaciónentre laauditoriainformáticay la seguridad informática? Se tiene que entender por auditoria informática a una revisión ,examen o evaluación independiente y objetiva, cual puede ser periódicas o esporádicos de un sistema informático, por parte de personas independientes especializadas y teóricamente competentes dentro del entorno informático cuya finalidad es analizar y evaluar la planificación, el control, la eficacia, la seguridad, el grado de satisfacción de usuarios y directivos, el cumplimiento de las normas y análisis de los riesgos. Es aquí donde el auditor informático ha de velar por la correcta utilización de los recursos que la empresa posee y revisar la seguridad del sistema informático para que se ejecute de una forma eficiente y eficaz con el fin de obtener máximos beneficios. También La Auditoría de la seguridad en la informática abarca los conceptos de seguridad física y lógica. La seguridad física se refiere a la protección del hardware y los soportes de datos, asícomo laseguridad de los edificios e instalaciones que los albergan. El auditor informático debe contemplar situaciones de incendios, inundaciones, sabotajes, robos, catástrofes naturales, etc. La seguridad lógica se refiere a la seguridad en el uso de softwares, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información.
- 9. 8 ¿Cuáles son lascertificacionesquepueden obteneren isaca? ¿Qué es ISACA? ISACA es el acrónimo de Information Systems Audit and Control Association (Asociación de Auditoría y Control de Sistemas de Información), una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades auditoría y control en sistemas de información. Certificaciones ISACA ofrece cuatro certificaciones, las cuales son reconocidas a nivel mundial para los profesionales de Auditoría, Seguridad, Gobierno y Riesgo de TI CertifiedInformationSystemsAuditor (CISA) La certificaciónCISA esreconocidaentodoel mundocomoel logroreconocidode losexpertosque controlan, monitorean y evalúan la plataforma tecnológica de una organización y sus sistemasde negocio. CertifiedInformationSecurityManager (CISM) La certificaciónCISMreconoce a laspersonasque diseñan,construyenygestionanlaseguridadde la informaciónde lasempresas.CISMeslacredencial líder que debentenerlosadministradoresde la seguridadde la información. Certifiedinthe Governance of Enterprise IT (CGEIT) CGEIT reconoce a una amplia gama de profesionales por su conocimiento y aplicación de los principios y prácticas de gobierno empresarial de TI. CertifiedinRisk and Information SystemsControl (CRISC) CRISC estádiseñada,paraprofesionalesde TIque tienen ampliaexperienciaenlaidentificaciónde riesgos, suanálisisyevaluación;respuestaal riesgo,monitoreode riesgos;Diseñoe implementación de controles de sistemas de información; y monitoreo y mantenimiento de los mismos.
- 10. 9 Lanzamiento COBIT, ISACA ¿Qué es COBIT? Objetivos de Control para Información y Tecnologías Relacionadas (COBIT,eninglés:Control Objectives for Information and related Technology) es una guía de mejores prácticas que se plasma como marco de negocio para el gobierno y la gestión de cualquier organización. Mantenido por ISACA. Isaca lanzó el 10 de abril del 2012 la nueva edición de este marco de referencia. COBIT 5 es la última edición del framework mundialmente aceptado, el cual proporciona una visión empresarial del Gobierno de TI que tiene a la tecnología y a la información como protagonistas en la creación de valor para las empresas. framework : es una estructura conceptual y tecnológica de soporte definido, normalmente con artefactos o módulos de software concretos, que puede servir de base para la organización y desarrollo de software. CobIT 5 ayuda a empresas de todos los tamaños a: Mantener información de alta calidad para apoyar decisiones empresariales. Conseguir objetivos estratégicos y beneficios empresariales mediante el uso efectivo y innovador de las TI. Conseguir la excelencia operativa mediante la aplicación fiable y eficiente de la tecnología. Mantener el riesgo relacionado con las TI en un nivel aceptable. Optimizar el coste de los servicios y la tecnología de las TI. Apoyar el cumplimiento con leyes, regulaciones, acuerdos contractuales y políticas relevantes. COBIT 5 en seguridad de la información puede ayudar a las empresas a reducir sus perfiles de riesgo a través de la adecuada administración de la seguridad. La información específica y las tecnologías relacionadas son cada vez más esenciales para las organizaciones, pero la seguridad de la información es esencial para la confianza de los accionistas”.
- 11. 10 ISACA ofreceactualmente 3 cursos de formación en COBIT5: Curso COBIT 5 - Fundamentos El propósito del Certificado es confirmar que el candidato tiene suficiente conocimiento y comprensión de COBIT 5 para comprender el Gobierno y Gestión de las tecnologías de la informaciónempresarial,concienciarasus ejecutivosde negocioya la alta direcciónde TI,evaluar el estadoactual de laTIenlaempresaconel objetivode dimensionarqué aspectosde COBIT5sería apropiado implementar. Curso COBIT 5 - Implementación El propósito del Certificado es demostrar que se sabe aplicar y analizar –a nivel profesional (practitioner) el conjunto de procedimientosy buenas prácticas de las 7 fases del Ciclode Vida de Implantación que se expresan en COBIT-5. Curso COBIT 5 – Evaluador El curso tiene dosobjetivosprincipales. Por un lado,aportar al participante labase para que sepa evaluarlas capacidadesde losprocesosde una organizaciónsegúnel ModeloPAM(COBITProcess AssessmentModel).PAMestá basadoen evidencias,paraposibilitarunaforma fiable,consistente y repetible de evaluar las capacidades de los procesos TI. Por otro, preparar al participante para el Examen de Certificación en ‘Evaluador – Assessor’. El Certificadodemuestraque se sabe aplicaryanalizarlosresultados,conforme al estándarde ISACA.
- 12. 11 Conclusión La seguridad informática es un concepto que conforme las tecnologías continúan avanzando tanto en hardware como software toma una mayor relevancia, pese a esto aun existen generaciones que no consideran importante invertir en seguridad informática lo que a todas luces es un error. Pues bien es sabido que todo sistema es susceptible a ser atacado, por tanto conviene ser precavido y proteger nuestra información. Cabe señalar que no solo basta con comprar un sistema de seguridad informática si no también es importante que este certificado y que además se esté constantemente actualizando, pues al igual que la seguridad avanza las formas de invadir la información y vulnerar la seguridad también avanza. Finalmente es importante recalcar los conceptos fundamentales que aportan en contar con una seguridad informática integral los cuales son: integridad, confidencialidad y disponibilidad.