Issuu on Google+

2012 UNIVERSIDAD AUSTRAL DE CHILE Facultad De Ciencias Económicas y Administrativas Instituto de Administración

LA AUDITORÍA Y SEGURIDAD INFORMÁTICA

Integrantes: Yolanda Molina Silvana Palma Makarena Pinchulef Profesor: Cristian Salazar Asignatura: Sistema de Información Administrativa


Valdivia, 29 de mayo Es loable el

intercomunicación, tanto personal, como

hecho de que

corporativa, ya que, la existencia de una

el

hombre

mayor accesibilidad en la difusión de la

años

información contribuye a la eficiencia y

desde remotos

eficacia de los sistemas comunicativos de

venga

toda organización. Hoy en día, existe una gran variedad de redes sociales capaces de comunicar a todo el mundo con todo el

desarrollando distintas capacidades de

mundo.

comunicación, desde la escritura sumeria en el año 5000 ac., los jeroglíficos egipcios, la invención del papel,

los

pergaminos griegos creados con el fin de almacenar información, hasta invenciones de este siglo como por ejemplo, el televisor, los primeros computadores, y el surgimiento y la masificación de internet.

Sin embargo, durante las últimas décadas, la tecnología de la información y la comunicación ha ido avanzando a pasos agigantados, sin lugar a dudas, ésta ha contribuido al aumento de la capacidad de


S

fiable; no obstante, resulta difícil controlar

desafía el peligro de

tal cantidad propagada de información en

informática” o hackers.

hurto, “piratería

el universo de la red navegable (Internet), al

“escaparse

dicha

Si bien, la auditoría informática,

encontrarse de cara a la

surgió para aminorar el riesgo del uso de

necesidad antes mencionada, sabiendo que

información inoporunta y poco honesta,

la informática es importante para una

aún en la actualidad existen empresas que

empresa ya que ésta ayuda a la toma de

pasan por alto la existencia de este riesgo

decisiones, es que nace la auditoría

y no dan lugar a ella, enfrentando el

informática, que tiene como objetivo

peligro de la inseguridad informática. Para

fundamental a través de un proceso

esto nace la seguridad informática.

situación, y

de

las

manos”

Sin embargo, en la otra cara de la

sistemático, verificar y a su vez controlar

moneda, a medida que avanza la tecnología

las políticas previas establecidas dentro de

de la comunicación, también avanza

una organización para que exista un uso

consigo la necesidad de la vigilancia o

oportuno y eficiente de la tecnología de la

supervisión de los flujos de información

información

que difunden o utilizan las empresas y todo

también proteger y a su vez

tipo de organización, para filtrar aquella

resguardar

información que resulte

poco

empleada, la

como

información

empresarial que día a día


información estén o no estén relacionadas

vez sus pertenencias por más que cambien

con la tecnología de la información.

el lugar de estacionamiento, ya que siguen

Existe un aspecto en el que algunas

Es innegable que la seguridad

dejando sus pertenencias en el asiento

empresas pueden estar

informática

es

delantero del vehículo. Pues en el caso de

fallando, el proteger la

imprescindible para toda

la seguridad informática es igual, en toda

información no implica

organización,

empresa y organización el jefe o director

solamente

como

de

sus

información con claves seguras, puedes

ordenadores o servidores,

pertenencias en el asiento

exigir a los subordinados que firmen

esto es necesario pero no

delantero de su vehículo, es

declaraciones en las que legalmente se

es suficiente, ya que,

muy probable que se lo

hacen responsables en caso de pérdida o

en

los

ejemplo,

poner una

seguridad

tener

por

persona

deja

si

una

empresa

puede

proteger

la

también la información se divulga en

roben, por tanto, para disminuir

hurto,

escritorios, teléfonos, o hasta en la

ese riesgo se deben crear reglas

nada de ello

memoria de los empleados, es decir, la

que

asegurara

o

seguridad informática contempla toda la

pertenencias

certifica

la

organización, y de suma importancia la

prohibidas dejarlas en el asiento

seguridad de la

gestión de recursos humanos, seguridad

delantero del vehículo, pero si

información si

física, protección legal, es decir, que el

esas reglas no son comunicadas

no

les

sistema toma en cuenta todos los riesgos

simplemente la mayoría seguirá

comunicó

las

posibles

en la misma rutina, perdiendo una y otra

sobre

la

seguridad

de

la

establezcan

que

personales

las están

pero

reglas a sus subordinados. Así también la


gestión de un gerente en toda organización

Sistema de Gestión de Seguridad de la

organizaciones todo esto para estar en

a la hora de planificar, organizar, dirigir, y

Información (SGSI)”, sin embargo, la

concordancia

controlar, será eficiente y eficaz desde el

adopción de esta norma ha sido un proceso

protección de datos las serie de normas

momento

lento.

ISO esta siendo adaptado de forma lenta

en

que

comunique

a

sus

empleados las metas y objetivos que se

Las normas ISO 27000 en síntesis enfocan

en

de

por la pequeñas y medianas empresas esto

la

quizás se deba a que la adopción de estas

trazadas que se alineen consecuentemente

información y estas están siendo adaptadas

normas tienen a ser demasiado costosa y

con el logro de aquellas metas, de este

lentamente.

complejas para las pequeñas empresas.

modo toda la organización siga una mismo

herramienta

camino en función del cumplimiento de los

importante en la sociedad

objetivos estratégicos u organizacionales

actual es por ello que se

empresa

previamente establecidos.

debe

Información

información

de

principio

se

mantener

seguridad

el

desean alcanzar, así como las líneas

La

la

con

es

una

muy Binaria por ejemplo, es la

en

de

Tecnología y

de

Comunicaciones

confidencialidad ya que

(TIC) del GRUPO CGE, cuyo

Para aminorar ese peligro existen

existen muchos riesgos en

negocio

las normas ISO 27000, que contemplan un

tiempo real si esta es

servicios de telecomunicaciones,

marco para mejorar la calidad de los

divulgada, puesto que la

informática

sistemas de gestión de la información de

discreción de las información permite

desarrollar sistemas y soluciones web;

seguridad, y nacen con el objetivo de

mantener la privacidad de las personas, es

diseñar portales web e intranet; entregar

"establecer,

por ello que las informaciones

son

soporte y mantención a la plataforma

consideradas un activo dentro de las

tecnológica y brindar asesoría para la

implementar,

operar,

supervisar, revisar, mantener y mejorar un

consiste e

en

“proveer

infraestructura;


implementación de soluciones móviles y

respondieron,

200

más atractivas y competitivas, como

logísticas”; cuyos proyectos de ejecución

empleados, y por lo tanto pertenecían a la

también más confiables y seguras ante los

de software más destacados durante el año

categoría de las PYME.

clientes. Por lo tanto, si algunas empresas

2011,

se

encuentra

de

La encuesta arrojó que el 80 %de

han logrado percibir esta norma como una

y

las organizaciones buscaron la certificación

ventaja competitiva, ¿por qué no pueden

Cumplimiento, el inicio del proyecto

ISO 27001 como un medio de obtener

hacerlo también las demás?, ¿a qué

ISO27000, es decir, Binaria es una de las

ventajas competitivas, un 28 % dijo haber

empresa no le gusta la idea de parecer más

pocas empresas en Chile que presta este

sido obligados a obtener la certificación,

atractiva

servicio, y sabiendo aún que existen pocos

como condición de la licitación para los

proveedores,

expertos informáticos en seguridad de la

negocios, y en un 16 % de los casos adujo

general?, por tanto, debiera hacerse más

información que tengan basta experiencia

que la certificación fue un requisito

énfasis en este punto “Las normas ISO

con ISO27000, razón por la cual se puede

obligatorio exigido por parte de los

27000

explicar que exista un escaso número de

clientes. La mayoría de las empresas que

competitiva”.

empresas que conocen o adoptan esta

hasta esa fecha habían adoptado la norma,

norma.

concordaban que la seguridad de la

de

creación

menos

del

Departamento

la

tenían

Seguridad

Una encuesta realizada en 2007, por la Certificación

información es de vital importancia, ya

Europa arrojó como

que, al estar protegida la información de

resultado que el 50 por ciento de las

ellas, surgen nuevas oportunidades de

organizaciones

negocio, lo que hace a las organizaciones

certificadas

que

ante

sus

clientes

como

inversionistas, y

fuente

sociedad

de

en

ventaja


En relación a lo anterior, es muy

firewalls, intrusion detection, intrusion

realizar

importante que todas las empresas sepan

prevention,

descubrimiento continuo o acciones para

que

encryption laptop y encryption backup

mejorar esa seguridad.

tape.

la

información

es

un

activo

trascendental para el éxito y la continuidad

encryption

database,

comités

de

dirección

con

crear un sistema de gestión de

en el mercado de cualquier organización.

incidencias

La protección de dicha información y de

continuas por parte de los usuarios y los

los sistemas que la procesan es un objetivo

incidentes

de primer nivel para la organización.

reportados y analizados.

Es por este motivo que las empresas

que de

recoja seguridad

notificaciones deben

ser

saber que la seguridad absoluta no

que han ido integrando e implementando

existe, por lo que se trata de reducir el

esta norma 27000, ya que necesitan

riesgo, también no hay que confundir que

resguardar la información que entra y se

la seguridad no es un producto sino un

elabora dentro de la empresa, es por ello

proceso.

que para llevar a cabo esto requieren de

Por otra parte también deben tener

usos de herramientas de seguridad en las

en cuenta que existen múltiples factores

tecnologías que poseen.

que las organizaciones deben captar al momento de utilizar y estas son las

Herramientas más utilizadas Las mas conocidas son Maliciouscode

detection

tools,

application-level

siguientes: •

Que

seguridad es una actividad continua y el programa de protección requiere el soporte de la organización para tener éxito. •

los

empleados

tomen

conciencia por la seguridad y que su Principal objetivo sea conseguir eso,

hay que tener en cuenta que la

por ultimo que esta seguridad debe

ser inherente a los procesos de informática y del negocio.


revisados, aumenta la confianza de los Pero por otro lado se debe también

clientes y socios estratégicos por la

considerar los riesgos que las empresas se

garantía de calidad y confidencialidad

exponen a un Exceso de tiempos y de

comercial, las auditorias externas,

costos en la implantación, temor ante el

ayudan constantemente a identificar las

cambio, diferencias en los comités de

debilidades del sistema y las áreas a

dirección,

corregir,

realizar

un

calendario

de

entrega

la

posibilidad

que

de

revisiones que no se puedan cumplir y falta

integrarse con otros sistemas de gestión

de comunicación de los progresos al

como por ejemplo ISO 9001, ISO 14001,

personal de la organización.

OHSAS 18001, crea una imagen de

Así también al implantar esta

empresa a nivel internacional y elemento

seguridad de información dentro de la

diferenciador de la competencia, otorga

Debido al avance de la tecnología y

empresas,

y

confianza y reglas claras para las personas

el acceso que existe hoy en día de la

una

de la organización, también se reduce los

Internet y al comercio electrónico es mas

metodología de gestión de la seguridad

costos y se observan una mejora de los

fácil obtener información de distinta

clara y estructurada, reduce el riesgo de

procesos y servicio y finalmente existe un

índole, por esto que las organizaciones han

pérdida, robo o corrupción de información,

aumento de la motivación y en la

puesto mas énfasis como se menciona

los clientes tienen acceso a la información

satisfacción del personal de la misma.

anteriormente en la privatización de su

se

beneficiados

por

ven al

favorecidos establecer

a través medidas de seguridad, los riesgos

información ya que esta es crucial para

y

ellas y por esto las empresas deben estar

sus

controles

son

continuamente

concientes de que su información este


asegurada debidamente, aquí es donde

misma va innovando y adaptándose a los

conectan para sus sistemas esto podría

juega un papel relevante el concepto de

cambios, la TI es una herramienta positiva

representar una amenaza, si esto es visto

tecnología de la información TI pero ¿que

para la empresa puesto que distribuye y

desde un punto externo, en este sentido

significa

mejora

información

podría ocurrir que los socios potenciales o

información? Esta corresponde a los

permitiendo que se los miembros de la

comerciales encasillen a la empresa como

métodos o herramientas que son utilizados

organización

poco segura en protección de información,

para

sentido de la información.

en

retener

si

tecnología

distribuir

información, la TI esta

o

de

la

manipular

el

flujo estén

de

la

interconectados

en

por esto la empresa para asegurar la

generalmente

seguridad de su información, implementa

asociada a las tecnologías aplicadas a

Las empresas deben asegurar su TI

políticas como por ejemplo establece reglas

tomar decisiones un ejemplo claro es la

en su propio entorno, pero no siempre

y obligaciones en conjunto, que deben

computadora, todo este sistema permite

tienen el control total de los sistemas

cumplir los usuarios de la información por

obtener la información en línea a partir del

ejemplo: control en el acceso a los datos,

momento en que es generada y de calidad,

identificación de los usuarios entre otras.

esto ha facilitado la forma de trabajar para las organizaciones y no solo este punto

Una vez que a empresa cuenta con

sino también la forma en como las

un sistema de TI segura podrá adaptarse de

organizaciones compiten, el buen uso de

la mejor forma al comercio electrónico

esta tecnología puede hacer la diferencia

¿que es el comercio electrónico? el

entre la empresa y sus competidores y esto

comercio electrónico corresponde a un

dependerá en la forma en como la empresa

informáticos con los que cuentan

y

conjunto

de

redes

mundiales

de


información que permiten acercar mas a las personas

hacia

comunicaciones

la lo

innovación que

fomenta

en la

competitividad, el empleo, la calidad de vida de los países, estas redes mundiales de la

información

rompen

fronteras,

permitiendo llevar a cabo fines comerciales o sociales . Todo esto permite una apertura de los mercados

permitiendo

crecimiento de las economías.

un

rápido


Makarena Pinchulef Trecanao

Yolanda Molina Gonzรกlez

Silvana Palma Ojeda.


AUDITORÍA Y SEGURIDAD INFORMÁTICA