LIC. YENY FERNNDEZ FRANCO GRUPOS: 304 Y 305 CICLO: AGOSTO/DICIEMBRE 2013.

Concepto De Seguridad

La seguridad es la ausencia de riesgo o tambin a la confianza en algo o alguien. Sin embargo, el trmino puede tomar diversos sentidos segn el rea o campo a la que haga referencia. La seguridad es un estado de nimo, una sensacin, una cualidad intangible. Se puede entender como un objetivo y un fin que el hombre anhela constantemente como una necesidad primaria.

 Concepto

De Informtica

La Informtica es la ciencia aplicada que abarca el estudio y aplicacin del tratamiento automtico de la informacin, utilizando sistemas computacionales, generalmente implementados como dispositivos electrnicos. Tambin est definida como el procesamiento automtico de la informacin.

Concepto De Seguridad Informtica La seguridad informtica es el rea de la informtica que se enfoca en la proteccin de la infraestructura computacional y todo lo relacionado con esta (incluyendo la informacin contenida). Para ello existen una serie de estndares, protocolos, mtodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la informacin. La seguridad informtica comprende software, bases de datos, metadatos, archivos y todo lo que la organizacin valore (activo) y signifique un riesgo si sta llega a manos de otras personas. Este tipo de informacin se conoce como informacin privilegiada o confidencial. El concepto de seguridad de la informacin no debe ser confundido con el de seguridad informtica, ya que este ltimo slo se encarga de la seguridad en el medio informtico, pudiendo encontrar informacin en diferentes medios o formas.

Confidencialidad

La confidencialidad se entiende en el mbito de la seguridad informtica, como la proteccin de datos y de informacin intercambiada entre un emisor y uno o ms destinatarios frente a terceros. Esto debe hacerse independientemente de la seguridad del sistema de comunicacin utilizado: de hecho, un asunto de gran inters es el problema de garantizar la confidencialidad de la comunicacin utilizada cuando el sistema es inherentemente insegura (como Internet). En un sistema que garantice la confidencialidad, un tercero que entra en posesin de la informacin intercambiada entre el remitente y el destinatario no es capaz de extraer cualquier contenido inteligible. Para garantizarla se utilizan mecanismos de cifrado y de ocultacin de la comunicacin. Digitalmente se puede mantener la confidencialidad de un documento con el uso de llaves asimtricas. Los mecanismos de cifrado garantizan la confidencialidad durante el tiempo necesario para descifrar el mensaje. Por esta razn, es necesario determinar durante cunto tiempo el mensaje debe seguir siendo confidencial. No existe ningn mecanismo de seguridad absolutamente seguro.

Integridad En informtica, la integridad de datos puede referirse a: Integridad de datos en general: hace referencia a que todas las caractersticas de los datos (reglas, definiciones, fechas, etc) deben ser correctos para que los datos estn completos. Integridad de datos en bases de datos: Integridad de datos se refiere al estado de correccin y completitud de los datos ingresados en una base de datos. Los SGBD relacional deben encargarse de mantener la integridad de los datos almacenados en una base de datos con respecto a las reglas predefinidas o restricciones. La integridad tambin puede verificarse inmediatamente antes del momento de introducir los datos a la base de datos (por ejemplo, en un formulario empleando validacin de datos). Un claro ejemplo de error de integridad es el ingreso de un tipo de dato incorrecto dentro de un campo. Por ejemplo, ingresar un texto cuando se espera un nmero entero. Tambin una error en la integridad en una base de datos puede ser la existencia de un valor numrico (id cliente) en la compra de un producto por parte de un cliente que no existe en su correspondiente tabla con ese nmero. (integridad referencial).

 Disponibilidad

Garantizar que los usuarios autorizados tengan acceso en todo momento a la informacin cuando sea requerido.

Concepto De Riesgo
El riesgo es la vulnerabilidad de "bienes jurdicos protegidos" ante un posible o potencial perjuicio o dao para las personas y cosas, particularmente, para el medio ambiente. Aclaracin del significado: Cuanto mayor es la vulnerabilidad mayor es el riesgo (e inversamente), pero cuanto ms factible es el perjuicio o dao mayor es el peligro (e inversamente). Por tanto, el riesgo se refiere slo a la terica "posibilidad de dao" bajo determinadas circunstancias, mientras que el peligro se refiere slo a la terica "probabilidad de dao" bajo determinadas circunstancias. Por ejemplo, desde el punto de vista del riesgo de daos a la integridad fsica de las personas, cuanto mayor es la velocidad de circulacin de un vehculo en carretera mayor es el "riesgo de dao" para sus ocupantes, mientras que cuanto mayor es la imprudencia al conducir mayor es el "peligro de accidente" (y tambin es mayor el riesgo del dao consecuente).

 Matriz

De Riesgo

Concepto De Vulnerabilidad

La vulnerabilidad se refiere al hecho de que podemos ser sujetos de los efectos negativos del cambio climtico, ya sea como individuos, como miembros de una comunidad, como ciudadanos de un pas o como parte de la humanidad en general. El Panel Intergubernamental de Expertos sobre el Cambio Climtico (IPCC por sus siglas en ingls) define a la vulnerabilidad como el grado hasta el cual un sistema es susceptible o incapaz de enfrentarse a efectos adversos del cambio climtico, incluidas la variabilidad y los extremos del clima. La vulnerabilidad es funcin del carcter, magnitud y rapidez del cambio climtico y de la variacin a la que un sistema est expuesto, de su sensibilidad y de su capacidad de adaptacin. (por ejemplo, daos causados por un aumento de la frecuencia de inundaciones en la costa por razn de una subida del nivel del mar). Y la capacidad de adaptacin se define como la habilidad de un sistema de ajustarse al cambio climtico (incluida la variabilidad del clima y sus extremos) para moderar daos posibles, aprovecharse de oportunidades o enfrentarse a las consecuencias.

 RIESGOS

LOGICOS. Cdigos maliciosos. Spam. Piratera. Fuga de informacin. Ingeniera social. Intrusos informticos.

ITIL
Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologas de la Informacin (ITIL) se ha convertido en el estndar mundial de facto en la Gestin de Servicios Informticos. Iniciado como una gua para el gobierno de UK, la estructura base ha demostrado ser til para las organizaciones en todos los sectores a travs de su adopcin por innumerables compaas como base para consulta, educacin y soporte de herramientas de software. Hoy, ITIL es conocido y utilizado mundialmente. Pertenece a la OGC, pero es de libre utilizacin. ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez ms de la Informtica para alcanzar sus objetivos corporativos. Esta dependencia en aumento ha dado como resultado una necesidad creciente de servicios informticos de calidad que se correspondan con los objetivos del negocio, y que satisfagan los requisitos y las expectativas del cliente. A travs de los aos, el nfasis pas de estar sobre el desarrollo de las aplicaciones TI a la gestin de servicios TI.

La aplicacin TI (a veces nombrada como un sistema de informacin) slo contribuye a realizar los objetivos corporativos si el sistema est a disposicin de los usuarios y, en caso de fallos o modificaciones necesarias, es soportado por los procesos de mantenimiento y operaciones. A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza cerca del 70-80% del total del tiempo y del coste, y el resto se invierte en el desarrollo del producto (u obtencin). De esta manera, los procesos eficaces y eficientes de la Gestin de Servicios TI se convierten en esenciales para el xito de los departamentos de TI. Esto se aplica a cualquier tipo de organizacin, grande o pequea, pblica o privada, con servicios TI centralizados o descentralizados, con servicios TI internos o suministrados por terceros. En todos los casos, el servicio debe ser fiable, consistente, de alta calidad, y de coste aceptable.

Cobit COBIT es una metodologa aceptada mundialmente para el adecuado control de proyectos de tecnologa, los flujos de informacin y los riesgos que stas implican. La metodologa COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno sobre TIC; incorporando objetivos de control, directivas de auditora, medidas de rendimiento y resultados, factores crticos de xito y modelos de madurez. Permite a las empresas aumentar su valor TIC y reducir los riesgos asociados a proyectos tecnolgicos. Ello a partir de parmetros generalmente aplicables y aceptados, para mejorar las prcticas de planeacin, control y seguridad de las Tecnologas de Informacin. COBIT contribuye a reducir las brechas existentes entre los objetivos de negocio, y los beneficios, riesgos, necesidades de control y aspectos tcnicos propios de un proyecto TIC; proporcionando un Marco Referencial Lgico para su direccin efectiva.

 ISM3

Pretende alcanzar un nivel de seguridad definido, tambin conocido como riesgo aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo de la seguridad de la informacin el garantizar la consecucin de objetivos de negocio. La visin tradicional de que la seguridad de la informacin trata de la prevencin de ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organizacin con los objetivos de seguridad (como dar acceso a las bases de datos slo a los usuarios autorizados)... Algunas caractersticas significativas de ISM3 son: Mtricas de Seguridad de la Informacin - "Lo que no se puede medir, no se puede gestionar, y lo que no se puede gestionar, no se puede mejorar" - ISM3 v1.20 hace de la seguridad un proceso medible mediante mtricas de gestin de procesos, siendo probablemente el primer estndar que lo hace. Esto permite la mejora continua del proceso, dado que hay criterios para medir la eficacia y eficiencia de los sistemas de gestin de seguridad de la informacin.

Niveles de Madurez ISM3 se adapta tanto a organizaciones maduras como a emergentes mediante sus cinco niveles de madurez, los cuales se adaptan a los objetivos de seguridad de la organizacin y a los recursos que estn disponibles.
Basado en Procesos - ISM3 v1.20 est basado en procesos, lo que lo hace especialmente atractivo para organizaciones que tienen experiencia con ISO9001 o que utilizan ITIL como modelo de gestin de TIC. El uso de ISM3 fomenta la colaboracin entre proveedores y usuarios de seguridad de la informacin, dado que la externalizacin de procesos de seguridad se simplifica gracias a mecanismos explcitos, como los ANS y la distribucin de responsabilidades.

Adopcin de las Mejores Prcticas Una implementacin de ISM3 tiene ventajas como las extensas referencias a estndares bien conocidos en cada proceso, as como la distribucin explcita de responsabilidades entre los lderes, gestores y el personal tcnico usando el concepto de gestin Estratgica, Tctica y Operativa. Certificacin Los sistemas de gestin basados en ISM3 pueden certificarse bajo ISO9001 o ISO27001, lo que quiere decir que se puede usar ISM3 para implementar un SGSI basado en ISO 27001. Esto tambin puede ser atractivo para organizaciones que ya estn certificadas en ISO9001 y que tienen experiencia e infraestructura para ISO9001. Accesible Una de las principales ventajas de ISM es que los Accionistas y Directores pueden ver con mayor facilidad la Seguridad de la Informacin como una inversin y no como una molestia, dado que es mucho ms sencillo medir su rentabilidad y comprender su utilidad.

BS 17799 BS 17799 es un cdigo de prcticas o de orientacin o documento de referencia se basa en las mejores prcticas de seguridad de la informacin, esto define un proceso para evaluar, implementar, mantener y administrar la seguridad de la informacin. Caractersticas BS 17799 se basa en BS 7799-1 de control consta de 11 secciones, 39 objetivos de control y controles de 134 no se utiliza para la evaluacin y el registro de esta tarde fue rebautizado con la norma ISO 27002OBJETIVO.

Objetivo El objetivo es proporcionar una base comn para desarrollar normas de seguridad dentro de las organizaciones, un mtodo de gestin eficaz de la seguridad y para establecer transacciones y relaciones de confianza entre las empresas. Alcance -Aumento de la seguridad efectiva de los Sistemas de informacin. - Correcta planificacin y gestin de la Seguridad - Garantas de continuidad del negocio.Auditora interna - Incremento de los niveles de confianza de los clientes y socios de negocios. - Aumento del valor comercial y mejora de la imagen de la organizacin.

Enfoque * Responsabilidad de la direccin. * Enfoque al cliente en las organizaciones educativas. * La poltica de calidad en las organizaciones educativas. * Planificacin: Definir los objetivos de calidad y las actividades y recursos necesarios . Para alcanzar los objetivos * Responsabilidad, autoridad y comunicacin. * Provisin y gestin de los recursos. * Recursos humanos competentes. * Infraestructura y ambiente de trabajo de conformidad con los requisitos del proceso. Educativo * Planificacin y realizacin del producto. * Diseo y desarrollo. * Proceso de compras. * Control de los dispositivos de seguimiento y medicin. * Satisfaccin del cliente. * Auditoria Interna ISO. * Revisin y disposicin de las no conformidades. * Anlisis de datos. * Proceso de mejora.

Serie ISO 27000 En fase de desarrollo; su fecha prevista de publicacin es Noviembre de 2008. Contendr trminos y definiciones que se emplean en toda la serie 27000. La aplicacin de cualquier estndar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos tcnicos y de gestin. Esta norma est previsto que sea gratuita, a diferencia de las dems de la serie, que tendrn un coste. ISO 27001 La ISO 27001 es un Estndar Internacional de Sistemas de Gestin de Seguridad de la Informacin que permite a una organizacin evaluar su riesgo e implementar controles apropiados para preservar la confidencialidad, la integridad y la disponibilidad del valor de la informacin. El objetivo fundamental es proteger la informacin de su organizacin para que no caiga en manos incorrectas o se pierda para siempre.

ISO 27002 Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO 27002:2005. En Espaa, an no est traducida (previsiblemente, a lo largo de 2008). Desde 2006, s est traducida en Colombia (como ISO 17799) y, desde 2007, en Per (como ISO 17799; descarga gratuita). ISO 20000 La norma ISO 20000 se concentra en la gestin de problemas de tecnologa de la informacin mediante el uso de un planteamiento de servicio de asistencia - los problemas se clasifican, lo que ayuda a identificar problemas continuados o interrelaciones. La norma considera tambin la capacidad del sistema, los niveles de gestin necesarios cuando cambia el sistema, la asignacin de presupuestos financieros y el control y distribucin del software. La norma ISO 20000 se denomin anteriormente BS 15000 y est alineada con el planteamiento del proceso definido por la IT Infrastructure Library (ITIL - Biblioteca de infraestructuras de tecnologa de la informacin) de The Office of Government Commerce (OGC).

 1)

Requerimientos de instalacin. 2) Procedimiento de instalacin. 3) Procedimiento de configuracin.

 1)

Conceptos de auditora de Tecnologas de Informacin.

Alcances De La Auditoria
La informacin y la tecnologa es el activo mas valioso de nuevo milenio. La informacin puede constituirse en una ventaja competitiva de la empresa frente a terceros. Su uso inadecuado puede convertirse en la peor amenaza La informacin es la memoria y el conocimiento de la empresa. Base de su desarrollo y adaptacin futura. Todo lo que la rodea (la informacin) y la soporta, debe estar adecuadamente asegurado y controlado. Hablamos de equipos, personas y programas de computador. Es necesario determinar si los recursos informticos estn siendo utilizados de la manera mas efectiva, eficiente y econmica.

Es de vital importancia evaluar si los sistemas de negocios que posee la empresa tienen involucrados los CONTROLES suficientes que garanticen una informacin libre de errores, fraudes, alteracin o falta de disponibilidad. Es decir, que dicha informacin esta realmente segura y protegida del acceso no autorizado, dao intencional o destruccin por parte de terceros o personal de la empresa. Se hace necesario mantener servicios de monitoreo de nuevas tecnologas, de forma que estas se adquieran y utilicen en beneficio de los objetivos de la empresa, generando ventajas competitivas y beneficios tangibles frente a terceros. Solo la experiencia continuada, real, exitosa, el conocimiento acumulado de muchos aos en proyectos de sistematizacin de todo tipo y el uso de estndares y metodologas de reconocido valor tcnico, garantizan que la tecnologa Informtica, y la informacin en si misma, estn siendo adecuadamente utilizadas y aseguradas.