La seguridad: Es el conjunto de medidas tomadas para protegerse contra peligros, la seguridad implica el estado de estar seguro, es decir, la evitación de exposiciones a situaciones de riesgo.
Los sistemas de información: Es un conjunto de elementos orientados al tratamiento y administración de datos e información, organizados y listos para su posterior uso, generados para cubrir una necesidad.
Elementos de un sistema de información
· Recursos materiales en general (típicamente recursos informáticos y de comunicación, aunque no tienen por qué ser de este tipo obligatoriamente).
· Personas.
Todos estos elementos se relacionan para procesar los datos (incluyendo procesos manuales y automáticos dando lugar a información más completa y distribuyéndola de la manera más adecuada en una determinada organización).
La mayoría de las veces suele confundirse o creer que es sinónimo de sistema de información informático, ya que en la mayoría de los casos los recursos materiales de un sistema de información están constituidos en su mayoría por sistemas informáticos, la información no tiene por qué disponer de dichos recursos (aunque en la práctica esto no suela ocurrir). Se podría decir entonces que los sistemas de información informáticos son una subclase o un subconjunto de los sistemas de información en general.
Relación entre sistema de información y seguridad
Aunque anteriormente recalcamos q sistemas de información no son sistemas informáticos, si no que es una rama, se podría decir que en la actualidad Generalmente los sistemas de información cuando son de empresas son informáticos y estos presentan un gran grado de inseguridad; ya que debido a que el uso de Internet se encuentra en aumento, cada vez más las compañías permiten a sus socios y proveedores acceder a sus sistemas de información y también debido a la tendencia creciente hacia un estilo de vida nómada de hoy en día, el cual permite a los empleados conectarse a los sistemas de información casi desde cualquier lugar, se pide a los empleados que lleven consigo parte del sistema de información fuera de la infraestructura segura de la compañía.
Por lo tanto, es fundamental saber qué los recursos de la compañía necesitan protección para así controlar el acceso al sistema y los derechos de los usuarios del sistema de información. Los mismos procedimientos se aplican cuando se permite el acceso a la compañía a través de Internet.
Objetivos de la seguridad informática
Generalmente, la seguridad informática consiste en garantizar que la información de una organización se use únicamente para los propósitos para los que fueron creados.
La seguridad informática se resume, por lo general, en cinco objetivos principales:
- Integridad: garantizar que los datos sean los que se supone que son.
- Confidencialidad: asegurar que sólo los individuos autorizados tengan acceso a los recursos que se intercambian
- Disponibilidad: garantizar el correcto funcionamiento de los sistemas de información
- Evitar el rechazo: garantizar de que no pueda negar una operación realizada.
- Autenticación: asegurar que sólo los individuos autorizados tengan acceso a los recursos.
LA AUDITORIA DE SISTEMAS
Se define como cualquier auditoria que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.
Es de vital importancia para el buen desempeño de los sistemas de Información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software).
Tipos de auditoría
Los servicios de auditoría pueden ser de distinta índole:
- Auditoría de seguridad interna. En este tipo de auditoría se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carácter interno
- Auditoría de seguridad perimetral. En este tipo de análisis, el perímetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores
- Test de intrusión. El test de intrusión es un método de auditoría mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada. Es un complemento fundamental para la auditoría perimetral.
- Análisis forense. El análisis forense es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperatividad del sistema, el análisis se denomina análisis postmortem.
- Auditoría de páginas web. Entendida como el análisis externo de la web, comprobando vulnerabilidades como la inyección de código sql, Verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.
- Auditoría de código de aplicaciones. Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado
Realizar auditorías con cierta frecuencia asegura la integridad de los controles de seguridad aplicados a los sistemas de información. Acciones como el constante cambio en las configuraciones, la instalación de parches, actualización de los softwares y la adquisición de nuevo hardware hacen necesario que los sistemas estén continuamente verificados mediante auditoría.
Estándares de Auditoría Informática y de Seguridad
Una auditoría se realiza con base a un patrón o conjunto de directrices o buenas practicas sugeridas. Existen estándares orientados a servir como base para auditorías de informática. Uno de ellos es COBIT (Objetivos de Control de la Tecnologías de la Información), dentro de los objetivos definidos como parámetro, se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este estándar podemos encontrar el standard ISO 27002, el cual se conforma como un código internacional de buenas prácticas de seguridad de la información, este puede constituirse como una directriz de auditoría apoyándose de otros estándares de seguridad de la información que definen los requisitos de auditoría y sistemas de gestión de seguridad, como lo es el estándar ISO ..
