Auditoria de seguridad de sistemas información

Abstract

Este trabajo tiene como objetivo el brindar una visión general de los pasos necesarios para la conducción de una auditoría de seguridad de sistemas de información. Los problemas de seguridad de información se han venido incrementando en la medida que los sistemas de información están cada día más integrados con las operaciones en las organizaciones modernas. Este informe trata en primer lugar de abordar el tema en forma conceptual, para luego especificar algunos procedimientos y puntos claves a considerar en un proceso de auditoría de seguridad de sistemas de información con el objetivo de evitar fraudes o daño de la información en forma casual o intencional. Por qué es necesario una Auditoría de Seguridad de Información Es necesario realizar en toda organización moderna una auditoría de seguridad de sistemas de información, debido principalmente a: Los sistemas de información están cada vez más presentes en el quehacer diario de la organización moderna. Estos sistemas y la información son cada día más accesibles a más personas Requerimientos legales obligan a la adopción de medidas de seguridad de la integridad de la información La ventaja competitiva de las organizaciones muchas veces radica en la salvaguarda de la confidencialidad de la información El continuo cambio en los sistemas requiere que sean continuamente re-evaluados en términos de su habilidad para mantener su integridad Es importante determinar el nivel de equilibrio óptimo entre restricción y acceso a fin de que todos puedan trabajar sin amenazar la seguridad del sistema. Niveles en el Manejo de (a Seguridad de la Información Las necesidades de seguridad de información pueden ser dividida en cuatro niveles; Al primer nivel, las políticas corporativas incluyen controles para la conducción del negocio, como por ejemplo cuales son las herramientas financieras que se deben utilizar para medir la performance del negocio y de cada una de sus áreas. Al segundo nivel se encuentran los controles de negocio o controles operacionales. los cuales son necesarios para determinar por ejemplo que se adopten los adecuados niveles de inventario, o que se asigne el límite de crédito adecuado para los nuevos clientes. Estos tipos de controles están basados en el buen funcionamiento de los controles del tercer nivel, llamados controles de sistemas, los cuales incluyen los procesos automáticos y manuales para coleccionar, manipular y almacenar información, Finalmente, el éxito de toda esta pirámide de controles, dependerá de los controles de infraestructura los cuales están enfocados en los controles necesarios que se deben contemplar para el acceso físico de las instalaciones y de los equipos de la organización. ¿A quién compete la Seguridad de la Información? Antiguamente existía una serie de ideas con respecto a la responsabilidad de la seguridad de la información, que se puede resumir en: Los “dueños del sistema" era el Departamento de Sistemas, área que centralizaba el funcionamiento y operación de todos los sistemas. La tecnología de la información era un Área de Soporte del negocio. La función de seguridad de información estaba centralizada en el Departamento de Sistemas. Actualmente esos puntos de vista han cambiado dramáticamente a tal punto que actualmente es idea generalizada que: El “dueño” real del sistema es el propio usuario que utiliza dicho sistema. La tecnología de información es pieza fundamental para el funcionamiento del negocio. La seguridad de información se debe descentralizar. El éxito de un sistema de seguridad de información depende del apoyo para los controles por parte de todos en la organización. Esto es posible lograrlo a través de programas de educación del personal para que entiendan el valor y la importancia del resguardo de la seguridad de la información.