Pilares de la Seguridad Informática

Los cuatro pilares fundamentales de la seguridad informática son:

  • Confidencialidad: El acceso a recursos, datos e información está restringido únicamente a usuarios autorizados.
  • Integridad: Solo usuarios autorizados pueden modificar los datos cuando sea necesario.
  • Disponibilidad: Los datos deben estar disponibles para los usuarios autorizados cuando los necesiten.
  • Autenticación: Verificación de la identidad de las partes involucradas en una comunicación, asegurando que se esté comunicando con las entidades correctas.

Relaciones Insumo/Proceso en la Gestión por Procesos

Las relaciones insumo/proceso describen la conexión entre los recursos (insumos) necesarios para una actividad y las etapas o actividades que componen el proceso. Se centra en la transformación de datos (entrada) en información útil (salida).

Insumos: Recursos necesarios para ejecutar un proceso o actividad.

Proceso: Conjunto de actividades interrelacionadas que transforman los insumos en resultados o productos (bienes o servicios).

Objetivos de la Auditoría de Desarrollo

La auditoría de desarrollo comprende procedimientos para asegurar el correcto funcionamiento de los sistemas de una empresa. Establece controles que garantizan la seguridad e integridad de la información.

Objetivos Específicos

  • Integridad de los sistemas
  • Adquisición de tecnología adecuada a las necesidades de la empresa
  • Calidad de los sistemas
  • Mejora de los procedimientos de puesta en producción
  • Análisis de tendencias en la compra de soluciones de sistemas de información
  • Mantenimiento preventivo y correctivo de los equipos para asegurar el funcionamiento de los sistemas

Auditoría Informática e Información

Auditoría Informática: Examen crítico para evaluar la eficacia y eficiencia del sistema de información, generalmente realizado por profesionales.

Información: Conjunto de datos verificados y ordenados que construyen un mensaje, permitiendo resolver problemas y tomar decisiones.

Características de la Información: Veraz, íntegra, oportuna, útil para la toma de decisiones, accesible al usuario correcto.

Desinformación: Manipulación de datos para generar desconocimiento o ignorancia, evitando la divulgación de información desfavorable para quien desinforma.

Ejemplos

Información

  • Políticas de seguridad bien documentadas
  • Registro de acceso a sistemas
  • Actualizaciones de software
  • Evaluación de riesgos y controles

Desinformación

  • Falsificación de registros de acceso
  • Ocultamiento de incidentes de seguridad
  • Evaluaciones de riesgos superficiales
  • Informes de conformidad falsos
  • Protección inadecuada de datos confidenciales

Estudio Inicial y Tipos de Auditoría

Auditoría Preventiva

Permite detectar amenazas a tiempo.

  1. Hardware
  2. Software
  3. Base de datos

Auditoría Correctiva

Detecta las amenazas después de haberse materializado.

  1. Software
  2. Base de datos
  3. Hardware

Análisis de Riesgos

El análisis de riesgos identifica y evalúa los riesgos para establecer el nivel de riesgo.

Fases

  1. Determinar los activos relevantes para la organización.
  2. Valorar los activos identificados.
  3. Determinar las amenazas a las que están expuestos los activos.
  4. Estimar el impacto de la amenaza.
  5. Calcular el nivel de riesgo.

Objetivos del Análisis de Riesgos

  • Identificar, evaluar y manejar los riesgos de seguridad.
  • Estimar la exposición de un activo a una amenaza determinada.
  • Tomar mejores decisiones en seguridad informática.
  • Enfocar recursos y esfuerzos en la protección de los activos.

COBIT

COBIT establece normas para asegurar las TIC.

Dominios de COBIT

  • Planificar y Organizar (PO): Define la estrategia y táctica de TI para el logro de los objetivos de negocio.
  • Adquirir e Implementar (AI): Identifica, desarrolla, adquiere e implementa soluciones de TI, integrándolas al proceso de negocio. Incluye cambios y mantenimiento de sistemas.
  • Entregar y dar Soporte (ES): Se centra en la entrega eficaz de servicios, incluyendo operaciones, seguridad, continuidad y capacitación.
  • Evaluar y Monitorear (ME): Evalúa regularmente todos los procesos de TI para determinar su calidad y cumplimiento de los controles.

Usuarios de COBIT

  • Gerentes
  • Auditores
  • Usuarios finales