articulo tecnico #1
DESCRIPTION
Articulo Tecnico #1TRANSCRIPT
AUDITORIA DE SISTEMAS: SEGURIDAD DE LA INFORMACIÓN
Autores Jennifer Murillo ([email protected])
Santiago Burgos ([email protected])
RESUMEN
El artículo plantea que uno de los elementos fundamentales para mejorar la
seguridad de la información en una organización es la auditoria de seguridad; Las
etapas y metodología de la auditoria deben estar bien definidas y deben ser
cumplidas estrictamente.
En este sentido, las políticas de seguridad informática surgen como una
herramienta organizacional para concienciar a los colaboradores de la
organización sobre la importancia y sensibilidad de la información y servicios
críticos que permiten a la empresa crecer y mantenerse competitiva, asegurando
el buen uso de los recursos informáticos y la información como activos de una
organización, manteniéndolos libres de peligros, daños o riesgos.
Palabras Claves: Riesgos informáticos, Tecnología de la información, Auditoria de
Seguridad.
INTRODUCCIÓN
Una de las principales preocupaciones de todas las grandes corporaciones hoy en
día, es salvaguardar la información sensible del negocio y la infraestructura con la
que cuenta, por consiguiente la seguridad informática se convierte cada vez más
en una necesidad irremediablemente urgente.
Es por ello que nos enfocaremos en normas o estándares que ayudan a la
implementación de la seguridad de la información corporativa a través de la
auditoria de sistemas, en el presente artículo se ahondará sobre estas normas;
presentaremos una breve descripción de lo que tratan algunos estándares.
SEGURIDAD DE LA INFORMATICA
Una política de seguridad informática es una forma de comunicarse con los
usuarios, ya que las mismas establecen un canal formal de actuación del personal,
en relación con los recursos y servicios informáticos de la organización.
No se puede considerar que una política de seguridad informática, es más bien
una descripción de los que deseamos proteger y el por qué de ello, pues cada
política de seguridad es una invitación a cada uno de sus miembros a reconocer la
información como uno de sus principales activos así como, un motor de
intercambio y desarrollo en el ámbito de sus negocios. Por tal razón, las políticas
de seguridad deben concluir en una posición consciente y vigilante del personal
por el uso y limitaciones de los recursos y servicios informáticos.
LOS PROCESOS DE UNA AUDITORIA DE SEGURIDAD INFORMATICA
La auditoría de seguridad informática consiste en la evaluación, análisis y
generación de soluciones para el recurso computacional de la organización.
Los procesos cubren cuatro frentes específicos:
1. Auditoría desde Internet, identificando las vulnerabilidades a las que se ve
expuesto el recurso computacional y el sitio Web de la organización desde Internet
por parte de delincuentes informáticos.
2. Auditoría desde la red interna (LAN) de la organización para la identificación de
las vulnerabilidades generadas desde el interior de la organización aprovechando
los beneficios de la red de área local. Las estadísticas demuestran que un
considerable número de ataques informáticos a organizaciones en todas partes
del mundo son provenientes del interior de la misma organización.
3. Trabajo sobre los equipos, ejecutando herramientas software de identificación
de vulnerabilidades, identificación de tipos de archivos contenidos de software
espía, virus informáticos y análisis personales del estado físico, lógico y locativo
de cada uno de los equipos. Existe un número tan elevado de software
potencialmente dañino alcanzable por cualquier usuario que es muy importante la
evaluación del software de cada equipo.
4. Ejecución de entrevistas sobre el manejo de las políticas de seguridad física,
lógica y locativa de los miembros de la organización. Un proceso fundamental en
la seguridad de los sistemas es la evaluación del manejo del equipo y este manejo
se debe referir no solo al componente lógico sino también al manejo físico y
locativo. En este punto es importante hace la diferencia entre seguridad física y
locativa.
ESTANDARES: BUENAS PRÁCTICAS DE SEGURIDAD INFORMATICA
Dentro de cada una de las organizaciones que tengan su operatividad basada en
tecnologías de la información, es recomendable implementar buenas prácticas de
seguridad informática, ya que en la mayoría de casos en que no se sigue un
proceso de implementación adecuado, puede generar huecos que aumenten la
posibilidad de riesgos en la información. Para el efecto, se crean normas y
estándares internacionales de alto nivel para la administración de la seguridad
informática como son
:
ISO/IEC 27000
FIPS 140 (Federal Information Precessing Systems 140)
COBIT
ITIL
ISO/IEC 27001:2005
Especifica los requisitos necesarios para establecer, implantar, mantener y
mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el
conocido “Ciclo de Deming”: PDCA- acrónimo de Plan, Do, Check, Act (Planificar,
Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas
en ISO/IEC 27002 anteriormente conocida como ISO/IEC 17799, con orígenes en
la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica,
la British Standards Institution (BSI).
Beneficios
Demuestra la garantía independiente de los controles internos y cumple los
requisitos de gestión corporativa y de continuidad de la actividad comercial.
Demuestra independientemente que se respetan las leyes y normativas que
sean de aplicación.
Proporciona una ventaja competitiva al cumplir los requisitos contractuales
y demuestra a los clientes que la seguridad de su información es primordial.
Verifica independientemente que los riesgos de la organización estén
correctamente identificados, evaluados y gestionados al tiempo que
formaliza unos procesos, procedimientos y documentación de protección de
la información.
Demuestra el compromiso de la cúpula directiva de su organización con la
seguridad de la información.
El proceso de evaluaciones periódicas ayuda a supervisar continuamente el
rendimiento y la mejora.
CONCLUSION
Implementando una auditoria de sistemas para la seguridad informática, se logra
alcanzar un nivel de seguridad en los sistemas informáticos, siempre y cuando se
utilicen las herramientas y técnicas adecuadas, las cuales permitirán a las
empresas detectar problemas y vulnerabilidades, a su vez implementar las
soluciones que correspondan a cada caso.
REFERENCIAS
Echenique García, José Antonio. (1995), Auditoría en Informática. Edit. Mc Graw
Hill, México.
www.acis.org.co/memorias/JornadasSeguridad/IIJNSI/estandares.ppt