REPÚBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA EDUCACIÓN SUPERIOR

UNIVERSIDAD EXPERIMENTAL SIMÓN RODRÍGUEZ

CONVENIO CORPORATIVO FIEC-UNESR

CARRERA INFORMATICA

SECCIÓN D1

Facilitador: Autores: Linares Héctor

Daniel Carneiro C.I.V- 17.168.793

Mosquera Eduardo

C.I.V- 16.083.328

Caracas, Mayo 2010

Auditoria IT

La auditoria informática (o Auditoria IT) es un proceso el cual se orienta a la

verificación y aseguramiento de las políticas y procedimientos establecidos para el

manejo y uso adecuado de la Tecnología de la Información (IT), en cualquier ámbito.

Los servicios de auditoría comprenden el estudio de los sistemas para gestionar

las vulnerabilidades que pudieran estar presentes en los sistemas. Una vez localizadas,

las anomalías se documentan, se informa de los resultados a los responsables y se

establecen medidas preactivas de refuerzo, siguiendo siempre un proceso secuencial que

permita que los sistemas mejoren su seguridad aprendiendo de los errores pasados.

Las auditorias de los sistemas permiten conocer en el momento la realización

cual es la situación exacta de activos de información, en cuanto a protección, control y

medidas de seguridad. Una auditoria de sistemas es una radiografía completa de la

situación de sistemas.

Tipos de Auditoria:

Análisis forense. El análisis forense es una metodología de estudio apta para el análisis

a posteriori de incidentes, mediante la cual se trata de reconstruir cómo se ha penetrado

en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado

la inoperatividad del sistema.

Auditoría de páginas Web: Entendida como el análisis externo de la Web,

comprobando vulnerabilidades como la inyección de código SQL, Verificación de

existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.

Auditoría de código de aplicaciones: Análisis del código tanto de aplicaciones páginas

Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado

Evaluación de políticas y estándares existentes.

Auditar sus sistemas es algo necesario

Realizar trabajos de auditoría con cierta periodicidad es necesario para asegurar

que la seguridad de su red corporativa es la óptima. El continuo cambio en las

configuraciones, la aparición de parches y mejoras en el software y la adquisición de

nuevo hardware hacen necesario que los sistemas estén periódicamente controlados

mediante auditoría.

Tipos de auditoría: Los servicios de auditoría pueden ser de distinta índole:

Auditoría interna. En este tipo de auditoría se contrasta el nivel de seguridad y

privacidad de las redes locales y corporativas de carácter interno

Auditoria perimetral. En este tipo de estudio se analiza el perímetro de la red local o

corporativa, y se estudia el grado de seguridad que ofrece a las entradas exteriores.

Test de intrusión. El test de intrusión es un método de auditoría mediante el cual se

intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no

deseada. Es un complemento interesante a la auditoría perimetral.

Seguridad IT

El entorno de negocios actual ha desarrollado un alto grado de dependencia en sus

operaciones de los recursos de tecnología informática, tanto que estos se han convertido

en un factor crítico para el éxito y supervivencia de las organizaciones.

De igual forma, los cambios en la tecnología informática no se detienen y es

importante para los negocios, los empleados y en particular los auditores entender estas

tendencias, sus conceptos claves y los efectos de su incorporación sobre el ambiente de

control de las empresas y los retos de seguridad y auditoria que imponen.

Conceptos tales como cliente/servidor, aplicaciones Web, sistemas ERP,

teletrabajo, comercio electrónico, trabajo colaborativo, workflow, sistemas abiertos y

otros, deben estar en el dominio de términos de un equipo de auditoría, así, como

también lo deben estar los términos relacionados con la auditoria de estas

infraestructuras tecnológicas.

Para estructurar e implementar políticas, medidas y mecanismos de auditoría

informática se requiere de profesionales especializados y capacitados en el tema que

trabajen bajo las mejores prácticas contenidas en los estándares y mejores prácticas

internacionales entre las que se encuentran: ISO 17799, ITIL, BS7799, NIST 800-34,

COBIT, CONCT, IT Gobernance entre otros.

Igualmente se ha incrementado el uso de herramientas de recuperación y análisis

para agregar mayor inteligencia a la auditoria, identificar elementos de riesgo y

descubrir errores o transacciones sospechosas en tiempo de ejecución, ampliando el

ambiente de control requerido por las organizaciones.

El uso de las herramientas de recuperación y análisis de la información pueden

presentar desafíos técnicos significativos a los auditores porque la información objeto

de la auditoria normalmente reside en sistemas diversos y distribuidos con varios grados

de control y estandarización, por lo que es necesario mantener técnicas especializadas

entre los miembros del equipo de auditoría.

Una vez se guarda información en una forma utilizable por herramientas

analíticas de auditoría, los auditores pueden ejecutar sus pruebas y revisar los resultados

de sus análisis.

La acumulación de datos del negocio de varios periodos de tiempo permite que

el software identifique patrones, cambios, o tendencias en los datos indicando cambios

en los negocios, el ambiente del negocio, el cliente principal, la economía, factores

cambiantes de competencia, y su proyección. Tal análisis del patrón sería importante en

la planificación del negocio y ventaja competitiva, y podría ser ejecutada por grupos

fuera de la auditoría interna; sin embargo, si el análisis de auditoría reconoce tales

patrones entonces los auditores estarán agregando valor a su trabajo.

Seguridad de la información: Este es uno de los puntos más importantes a tener en

cuenta, en cuanto a la protección frente a amenazas. Podemos destacar:

Evaluación de los riesgos en materia de seguridad

Impacto potencial de una falla de seguridad en los negocios, teniendo en cuenta

las potenciales consecuencias por una pérdida de la confidencialidad, integridad

o disponibilidad de la información

Probabilidad de ocurrencia de dicha falla tomando en cuenta las amenazas y

vulnerabilidades predominantes, y los controles actualmente implementados.

Selección de controles y políticas para reducir riesgos.

Estos son algunos de los puntos destacados, hay muchas más variables, en cuanto

seguridad que podemos ofrecerle a su organización.

Documentación de la política de seguridad de la información.

Asignación de responsabilidades en materia de seguridad de la información

Instrucción y entrenamiento en materia de seguridad de la información

Comunicación de incidentes relativos a la seguridad

El Empleo de certificados digitales

Sistemas antifraude y antiphishing

Fases del servicio: Los servicios de auditoría constan de las siguientes fases:

Enumeración de redes, topología y protocolos

Identificación de sistemas y dispositivos

Análisis de servicios y aplicaciones

Detección, comprobación y evaluación de vulnerabilidades

Medidas específicas de corrección

Evaluación de políticas y estándares existentes.

Evaluación de políticas y estándares existentes

Evaluación del Control perimetral en tiempo real con tecnología propia

Recomendaciones sobre implantación de medidas proactivas

Mejores Prácticas relacionadas con:

Control Interno en Tecnología Informática

IT Governance: Es un conjunto de mecanismos utilizados por la administración de una

organización para dirigir y controlar su desarrollo tecnológico, asegurando que las

metas del negocio sean alcanzadas de forma efectiva mediante la detección y control de

los riesgos asociados. Una parte esencial del Gobierno de TI (IT Governance) es el

Gobierno de Seguridad de Información (Information Security Governance), el cual se

encarga de garantizar la Integridad de la información, continuidad de servicios y

protección de los activos de información. ISO 27000 puede ser tomado como referencia

para garantizar y certificar que se dirige y controla la Seguridad de la información con

base en mejores prácticas consolidadas como un estándar a nivel mundial.

Es una eestructura de relaciones y procesos para dirigirá controlara la empresa

con el objeto alcanzarlos objetivos de la empresa y añadir valor mientras se balancean

los riesgos versus sobre el retorno de y sus Procesos como parte integral del Gobierno

Corporativo que consta de liderazgo, estructuras organizacionales que garantizan que la

TI de la empresa soportará y extenderá las estrategias y objetivos organizacionales de la

manera siguiente:

Integra e institucionaliza buenas prácticas para garantizar que la

TI sirve de soporte a los objetivos del negocio.

Facilita que la empresa aproveche al máximo su información, maximice los

beneficios, capitalice las oportunidades y obtenga ventajas competitivas

IT Governance - ITGI

Alineación Estratégica

Se enfoca en garantizar el vínculo entre los planes de negocio y de TI; en definir,

mantener y validar la propuesta de valor de TI; y en alinear las operaciones de TI con

las operaciones de la empresa.

Entrega de valor

Se refiere a ejecutar la propuesta de valor a todo lo largo del ciclo de entrega,

asegurando que TI genere los beneficios prometidos en la estrategia, concentrándose en

optimizar los costos y en brindar el valor intrínseco de la TI.

Administración de riesgos

Requiere conciencia de los riesgos por parte de los altos ejecutivos de la

empresa, un claro entendimiento del deseo de riesgo que tiene la empresa, comprender

los requerimientos de cumplimiento, transparencia de los riesgos significativos para la

empresa, y la inclusión de las responsabilidades de administración de riesgos dentro de

la organización.

Administración de recursos

Se trata de la inversión óptima, así como la administración adecuada de los

recursos críticos de TI: aplicaciones, información, infraestructura y personas. Los temas

claves se refieren a la optimización de conocimiento y de infraestructura.

Medición del desempeño

Rastrea y monitorea la estrategia de implementación, la terminación del

proyecto, el uso de los recursos, el desempeño de los procesos y la entrega del servicio.

Permite determinar los principios que guiarán la integración de tecnologías, a

partir de la integración y estandarización de procesos de negocio, lo cual disminuye

considerablemente los costos de la integración de aplicaciones, la consolidación de

información y la interacción entre elementos tecnológicos

Facilita la especificación adecuada de las necesidades del negocio y la

identificación de las capacidades, limitaciones y criterios de evaluación, tanto de las

herramientas tecnológicas con las que cuenta en la organización, como de las del

mercado

El objetivo final de IT Governance es la aceleración en la adopción de estrategias

empresariales para gestionar el ciclo de vida completo de los proyectos de TI, desde la

gestión de la demanda hasta la producción final, pasando por su justificación,

establecimiento de prioridades, disponibilidad y asignación de recursos, control de

costos, despliegue de las soluciones desarrolladas, así como la medición de los

beneficios.

Qué son los Fundamentos de ITIL?

ITIL, la Information Technology Infrastructure Library (‘Biblioteca de

Infraestructura de Tecnologías de Información’), es un marco de trabajo de las mejores

prácticas destinadas a facilitar la entrega de servicios de tecnologías de la información

(TI) de alta calidad. ITIL resume un extenso conjunto de procedimientos de gestión

ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones

de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados

para servir de guía para que abarque toda infraestructura, desarrollo y operaciones de

TI.

ITIL (Information Technology Infrastructure Library)

El marco de referencia para la Gestión de Servicios de TI más aceptado y

utilizado en el mundo. Proporciona un conjunto de mejores prácticas en materia de

administración de TI extraídas de organismos del sector público y privado que están a la

vanguardia tecnológica a nivel internacional. ITIL contempla una publicación orientada

a la administración de Seguridad de Información, en la cual establece un conjunto de

mejores prácticas que pueden ser adoptadas para facilitar el cumplimiento con los

requisitos definidos en la norma ISO 27001.

Los orígenes de esta actividad se pueden encontrar en lo que se conoce como la

Biblioteca de Infraestructura de la Tecnología de la Información (ITIL), un conjunto de

documentos que describe las mejores prácticas para las áreas de servicios IT,

incluyendo la Gestión de Cambios, Incidentes, Configuración, entre otros.

Aplicado a todo tipo de Organizaciones, ITIL facilita el correcto manejo de

todos los servicios IT centralizado o descentralizado, reduciendo costos, eliminando

tiempos muertos, distribuyendo equitativamente las tareas informáticas de la empresa,

ordenando los elementos tecnológicos, previendo el crecimiento y estableciendo los

costos reales, presentes y futuros.

A nivel organizacional, ITIL propone la alineación de los Servicios IT con las

necesidades del negocio, lo cual se base en algunos cambios, tales como hacer foco en

procesos, realizar acciones preventivas, formar profesionales proactivos, integrar a toda

la organización al TI y orientar la perspectiva del negocio a los servicios.

A modo comparativo, la aplicación de servicios ITIL en una organización, tienen

el peso de una certificación ISO; de hecho, la certificación ISO 20000 (calidad de

servicio) se basa en los procesos ITIL para llegar a obtener esta categoría.

Básicamente labor de ITIL consiste en:

Mejorar la calidad Servicio – Soporte

Mejorar la capacidad tecnológica

Dar mayor flexibilidad tecnológica

Procurar mayor satisfacción al cliente

Implementar políticas de calidad relacionadas con TI

Mejorar los tiempos y ciclos referidos a los servicios tecnológicos

Lograr la eficacia del personal en relación al uso de la tecnología

Preveer las necesidades futuras del negocio

Disminuir costos para toda la organización

Cobit: Conjunto de orientaciones para el gobierno de TI, producto diseñado para ayudar

en la aplicación de una gestión eficaz de TI en todo tipo de organización es un material

cada vez más aceptable internacionalmente.

Las Mejores Prácticas

Objetivos de Control para la información y Tecnologías relacionadas (COBIT,

en inglés: Control Objetives Foz Information and related Technology) es un conjunto de

mejores prácticas para el manejo de información creado por la Asociación para la

Auditoría y Control de Sistemas de Información y el Instituto de Administración de las

Tecnologías de la Información. La misión de Cobit es investigar, desarrollar, publicar y

promocionar un conjunto de objetivos de control generalmente aceptados para las

tecnologías de la información que sean autorizados (dados por alguien con autoridad),

actualizados, e internacionales para el uso del día a día de los gestores de

negocios(también directivos) y auditores. Gestores, auditores, y usuarios se benefician

del desarrollo de Cobit porque les ayuda a entender sus Sistemas de Información (o

tecnologías de la información) y decidir el nivel de seguridad y control que es necesario

para proteger los activos de sus compañías mediante el desarrollo de un modelo de

administración de las tecnologías de la información.

Por fortuna, una de las grandes ventajas de la globalización es precisamente la

integración de los negocios y la estandarización de las tecnologías en todo el mundo, lo

que presenta grandes oportunidades para capturar las mejores prácticas existentes y para

optimizar el uso de recursos sensibles en TI.

La evaluación de los requerimientos del negocio, los recursos y procesos TI, son

puntos bastante importantes para el buen funcionamiento de una compañía y para el

aseguramiento de su supervivencia en el mercado. El Cobit es precisamente un modelo

para auditar la gestión y control de los sistemas de información y tecnología, orientado a

todos los sectores de una organización, es decir, administradores TI, usuarios y por

supuesto, los auditores involucrados en el proceso. El Cobit es un modelo de evaluación

y monitoreo que enfatiza en el control de negocios y la seguridad TI y que abarca

controles específicos de TI desde una perspectiva de negocios. Las siglas Cobit

significan Objetivos de Control para Tecnología de Información y Tecnologías

relacionadas. El modelo es el resultado de una investigación con expertos de varios

países, desarrollado por ISACA. (Information Systems Audit and Control Association)

Organización Mundial para la Gestión de la Información, control, seguridad y

profesionales de la auditoría. Publica Cobit y emite diversas acreditaciones en el ámbito

de la seguridad de la información

Herramientas para auditar las TI: ISACA liberó la versión 4.0 de Cobit,

herramienta cuya misión es investigar, desarrollar, publicar y promover un conjunto de

objetivos de control de Tecnología de Información internacionales, actualizados y

aceptados, para que los utilicen gerentes de negocio y auditores.

ISACA (Asociación de Auditoría y Control de Sistemas de Información, por sus

siglas en inglés) es una asociación profesional no lucrativa cuyos miembros se dedican a

la auditoria, control y seguridad de sistemas de información.

Carlos Zamora, presidente de ISACA, explicó que la organización surgió con el

propósito de establecer las mejores prácticas relacionadas con la gestión y el

seguimiento de las tecnologías de información. Por tal motivo, nació Cobit (Control

Objectives for Information and Related.

El elemento crítico para el éxito y supervivencia de las Organizaciones es la

administración efectiva de la información y de la Tecnología de la Información (TI) que

la suministra y que soporta los procesos de negocio de la compañía.

Los departamentos de TI, son los responsables de proveer y procesar la información

necesaria para los procesos de negocio, considerando a la Información como el

resultado de la aplicación combinada de los Recursos TI que deben ser administrados

por los Procesos.

COBIT 4.1 es una actualización significativa del marco que asegura que las TI

estén alineadas con los objetivos de negocio, sus recursos sean usados responsablemente

y sus riesgos administrados de forma apropiada. COBIT 4.1 representa una mejora

indiscutible de la versión COBIT 4.0 del estándar.

La nueva versión incluye la medición del desempeño, mejores objetivos de control

y mejor alineación con las metas de negocios y TI.

Muchas son las razones para la adopción de de un marco de trabajo para el

control del Gobierno de las TI en las organizaciones, independientemente de su

actividad y el tamaño.

Cada vez más, la alta dirección se está dando cuenta del impacto significativo que

la información puede tener en el éxito de una empresa. La dirección espera de las TI

contribuyan al éxito del negocio y se pueda obtener una ventaja competitiva de su buen

uso. Las Organizaciones necesitan saber si con la información administrada es posible

garantizar:

Características Cobit.

• Orientado al negocio.

• Alineado con estándares y regulaciones "de facto".

• Basado en una revisión crítica y analítica de las tareas y actividades en TI.

• Alineado con estándares de control seguridad y auditoria (COSO, IFAC, IIA, ISACA,

AICPA).

Objetivos y Beneficios

Proveer un marco único reconocido a nivel mundial de las “mejores prácticas”

de control y seguridad de TI

Consolidar y armonizar estándares originados en diferentes países desarrollados.

Concienciar a la comunidad sobre importancia del control y la auditoría de TI.

Enlaza los objetivos y estrategias de los negocios con la estructura de control de

la TI, como factor crítico de éxito

Aplica a todo tipo de organizaciones independiente de sus plataformas de TI

Ratifica la importancia de la información, como uno de los recursos más

valiosos de toda organización exitosa.

El logro de sus objetivos.

La flexibilidad suficiente para aprender y adaptarse.

El manejo juicioso de los riesgos a enfrenta la Organización.

El análisis de las oportunidades de negocio y actuar de acuerdo a ellas

El éxito de la Organización depende en gran medida de que se entienden los

riesgos y se aprovechan los beneficios de las TI, para ello, se necesita:

Alinear la estrategia de las TI con la estrategia del negocio.

Lograr que toda la estrategia de las TI, así como las metas fluyan de forma gradual

a toda la empresa.

Proporcionar estructuras organizativas que faciliten la implementación de las

metas del negocio

Crear las comunicaciones efectivas entre el negocio y las TI, y con los socios

externos.

Requerimientos de la información criterios.

El enfoque del control en TI se lleva a cabo visualizando la información

necesaria para dar soporte a los procesos de negocio y considerando a la información

como el resultado de la aplicación combinada de recursos relacionados con las TI.

Para alcanzar los requerimientos de negocio, la información necesita satisfacer ciertos

criterios:

Requerimientos de Calidad: Calidad, Costo y Entrega.

Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad

de los reportes financieros, Cumplimiento le leyes y regulaciones.

Efectividad: La información debe ser relevante y pertinente para los procesos del

negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable.

Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la

forma más productiva y económica).

Confiabilidad: Proveer la información apropiada para que la administración tome las

decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades.

Cumplimiento: De las leyes, regulaciones y compromisos contractuales con los

cuales0020está comprometida la empresa.

Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad.

Confidencialidad: Protección de la información sensible contra divulgación no

autorizada.

Integridad: Refiere a lo exacto y completo de la información así como a su validez de

acuerdo con las expectativas de la empresa.

Disponibilidad: Accesibilidad a la información cuando sea requerida por los procesos

del negocio y la salvaguarda de los recursos y capacidades asociadas a la misma.

Recursos: En cobit establecen los siguientes recursos en TI necesarios para alcanzar los

objetivos de negocio:

Datos: Todos los objetos de información. Considera información interna y externa,

estructurada o no, gráficas, sonidos, etc.

Aplicaciones: Entendidas como sistemas de información, que integran procedimientos

manuales y sistematizados.

Tecnología: Incluye hardware y software básico, sistemas operativos, sistemas de

administración de base de datos, de redes, telecomunicaciones, multimedia, etc.

Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas

de información.

Recursos Humanos: Por la habilidad, conciencia y productividad del personal para

planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de

Información, o de procesos de TI.

Usuarios:

La gerencia: para apoyar sus decisiones de inversión en TI y control sobre el

rendimiento de las mismas, analizar el costo beneficio del control.

Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el

control de los productos que adquieren interna y externamente.

Los Auditores: para soportar sus opiniones sobre los controles de los proyectos

de TI, su impacto en la organización y determinar el control mínimo requerido.

Los Responsables de TI: para identificar los controles que requieren en sus

áreas.

También puede ser utilizado dentro de las empresas por el responsable de un proceso de

negocio en su responsabilidad de controlar los aspectos de información del proceso, y

por todos aquellos con responsabilidades en el campo de la TI en las empresas.

Como se aplica o como se usa.

Organizaciones acertadas entienden las ventajas de tecnología de información (TI)

y usan este conocimiento para conducir el valor de sus accionistas. Ellos reconocen la

dependencia crítica de muchos procesos de negocio sobre TI, la necesidad de cumplir

con demandas de cumplimiento crecientes reguladoras y las ventajas de riesgo directivo

con eficacia. Para ayudar organizaciones en satisfactoriamente la reunión de desafíos de

hoy de negocio, el Instituto de Gobernación TI (ITGI) ha publicado la versión 4.0 de

Objetivos de Control para la Información y ha relacionado la Tecnología (COBIT).

El acercamiento a la utilización Cobit

Lo maneja - riesgos relacionados de negocio:

El empleo bajo sobre objetivos de negocio en el marco cobit

Seleccionan, procesa y controla TI apropiado por la organización de los

Objetivos de Control de cobit

funcionan del plan de negocio de organización.

Evalúan procedimientos y los resultados con Directrices de Revisión de cuentas

de cobit

Evalúan el estado de la organización, identifican factores de éxito críticos,

miden el funcionamiento con las Directrices de Dirección

Cobit Para desarrollar un juego sano de procesos:

Escogen los Objetivos de Control que caben los objetivos de negocio

Identifican los modelos de industria que proporcionan la dirección para apoyar

procesos (CMMI, Poblar CMM, ITIL)

CONCT: Control Objectives for Net Centric Technologies – CONCT (ISACF

Objetivos de Control para redes centralizadas de Tecnología, Que ofrece los objetivos

de control generalmente aceptados para las empresas que operan en el dinámico entorno

de red de tecnología, ha sido publicado por la comisión de auditoría de Sistemas de

Información y Control de la Fundación.

IT Control Objectives for Sarbanes-Oxley

Se trata de la segunda edición de IT Control Objectives for Sarbanes-Oxley, y

está especialmente orientado a gestores de TI, así como profesionales de la auditoría en

general, que tengan obviamente que ver con procesos de validación y conformidad

Sarbanes Oxley (más sobre SOX en este blog aquí)

128 páginas, con todo tipo de detalles. Esta segunda edición ha surgido

principalmente a raíz de algunos cambios importantes, ya que recientemente, la SEC

(U.S. Securities and Exchange Commission) y la PCAOB (The Public Company

Accounting Oversight Board) emitieron algunos dictámenes que complementaban

aspectos diversos con implicación en la gestión de riesgo, controles de aplicación y

evaluación de deficiencias.

Seguridad Informática

COBIT Security Baseline Structure - ISACA.

Los Objetivos de Control para la Información y Tecnologías Relacionadas

(COBIT) es un completo conjunto de recursos que contiene la información de las

organizaciones necesidad de adoptar un gobierno de TI y de control. El ámbito de

aplicación de cobit incluye la seguridad, además de otros riesgos que pueden ocurrir en

una infraestructura de TI

Cobit identifica los pasos críticos para la seguridad de la información. El marco

Cobit modelo de proceso genérico consta de 34 procesos de TI agrupados en cuatro

dominios: planificar y organizar, adquirir e implementar, entregar y dar soporte y

monitorear y evaluar. Cobit ofrece más de 300 objetivos de control detallados que

contienen las políticas, procedimientos, prácticas, las responsabilidades de organización

y directrices de auditoría que permiten la revisión de los procesos de TI en contra de

estos objetivos de control.

El marco Cobit de cuatro dominios genéricos y 34 procesos del TI incluir

importantes objetivos de seguridad. Estos objetivos se identifican como la línea de base

Cobit de Seguridad y están organizados en 39 pasos esenciales para ayudar a las

organizaciones planificar su seguridad de la información:

Seguridad Informática NIST

Luego de ver como nuestro sistema puede verse afectado por la falta de

Seguridad Física, es importante recalcar que la mayoría de los daños que puede sufrir un

centro de cómputos no será sobre los medios físicos sino contra información por él

almacenada y procesada.

Así, la Seguridad Física, sólo es una parte del amplio espectro que se debe cubrir

para no vivir con una sensación ficticia de seguridad. Como ya se ha mencionado, el

activo más importante que se posee es la información, y por lo tanto deben existir

técnicas, más allá de la seguridad física, que la aseguren. Estas técnicas las brinda la

Seguridad Lógica.

La serie 800 del NIST son una serie de documentos de interés general sobre

Seguridad de la Información. Estas publicaciones comenzaron en 1990 y son un

esfuerzo de industrias, gobiernos y organizaciones académicas para todos los

interesados en la seguridad, de todo tipo de organización.

Special Publication 800-123 - Guide to General Server Security

La guía tiene como objetivo ofrecer las directrices elementales para poder

gestionar la seguridad de sistemas operativos de servidor, así como el software que

corra sobre él, en términos de configuración segura, parches y actualizaciones, pruebas

de seguridad, monitorización de eventos y copia de seguridad de datos y sistema.

Contiene dos secciones que normalmente pasan por alto muchos administradores de

seguridad: la planificación de la seguridad (es decir, cómo se organiza el proceso de

fortificación de un servidor) y el mantenimiento de la misma.

ISO 17799. La norma ISO 17799-2000 es un código de mejores prácticas

recomendables para la gestión de la seguridad de la información

¿La información y los datos valiosos de la empresa están protegidos

adecuadamente? ¿Están garantizados los negocios que se desarrollan y su continuidad?

¿Se garantiza el retorno de la inversión empresarial? ¿Qué debe hacerse para garantizar

un nivel adecuado de seguridad de la información? ¿Qué soluciones y tecnologías deben

implementarse?

Esas son algunas de las preguntas con las que (frecuentemente) nos topamos en

vuestro ámbito de trabajo. En una fórmula (como hecha a medida) responderemos a

tales interrogantes como Profesionales del Terreno

La ISO 17799, al definirse como una guía protocolar (conjunto de normas a llevar

a cabo) en la implementación del sistema de administración de la seguridad de la

información, se orienta a preservar los siguientes principios:

Confidencialidad: asegurar que, únicamente, personal autorizado tenga acceso a

la información.

Integridad: garantizar que la información no será alterada, eliminada o destruida

por entidades no autorizadas; preservando exactitud y completitud de la misma y

de los métodos de su procesamiento.

Disponibilidad: cerciorar que los usuarios autorizados tendrán acceso a la

información cuando la requieran y sus medios asociados.

Tales premisas en la protección de los activos de información constituyen las

pautas básicas (deseables) en cualquier organización, sean instituciones de gobierno,

educativas, de investigación o (meramente) pertenencias hogareñas; no obstante,

dependiendo de la naturaleza y metas de las estructuras organizacionales, éstas

mostrarán especial énfasis en algún dominio o área del estándar ISO 17799.

Componentes de un Marco de referencia de seguridad BS-7799-2

Estas normas se han desarrollado como consecuencia de las crecientes pérdidas

sufridas por organizaciones que no tienen conciencia del valor de la información para su

negocio

Tener criterio de los diversos riesgos que se corren y del impacto de las brechas

de seguridad sobre el negocio son elementos básicos de prudencia para el ejecutivo de

hoy en día, ya sea un fraude informático, la falta de un sistema critico, la desfiguración

del sitio Web, o el robo de información confidencial, lo importante es apreciarla

magnitud de los posibles daños consecuentes desde la pérdida de productividad a tener

que afrontar altos costos de recuperación o sufrir una serie de pérdidas de imagen y

credibilidad que haga peligrar nuestra supervivencia en el mercado.

La Norma Bs-7799-2 sigue los pasos del ciclo, Planificar, hacer, verificar, actuar

para implementar y mantener un sistema de gestión de la seguridad de la información

susceptible de ser certificado por los organismos competentes.

Cuáles son los beneficios de implantar la norma BS- 7799-2

Los clientes y socios de negocios se benefician de contar con una organización que se

ha sometido a un riguroso proceso de evaluación realizado en forma competente,

imparcial e independiente y donde la información es segura gracias a un cuidado

constante.

La existencia de una revisión y mejora continúa sobre el sistema de seguridad

que asegura la eficiencia y robustez del mismo. el usufructo de la seguridad que

aumenta la confianza entre clientes y proveedores.

Gestionar sus riesgos eficazmente.

La protección de la imagen de la empresa y la marca comercial.