Estrategia de TI, seguridad informática,

pruebas de auditoría
Unidad N° 2
Clase 1
Conceptos y Consideraciones de Seguridad
Informática
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

CONTENIDOS
• Conceptos y Consideraciones de Seguridad Informática (SI)
– Seguridad Informática vs. Seguridad de la Información.
– ¿Qué representa para las organizaciones la información?
– Conceptos y Consideraciones de Seguridad Informática.
– Seguridad de la Información en la Organización.

• Funciones Relativas a la Seguridad Informática

– Roles y responsabilidades de SI
– Alta Gerencia
– Comité de Seguridad Informática
– Propietario de Datos
– Chief Information Security Officer (CISO)
– Ubicación de SI dentro de la Organización
– Misiones y Funciones del área de SI
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

OBJETIVOS
• Tomar conocimiento acerca de las diferencias entre seguridad de la
información y seguridad informática y los conceptos relacionados.

• Conocer las funciones relativas a la Seguridad Informática, los roles y

funciones intervinientes y su ubicación dentro de la estructura
organizacional.
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Seguridad Informática vs. Seguridad de la

Información
Debe entenderse a Seguridad Informática como todas aquellas medidas,
controles o mecanismos técnicos implementados en torno a la infraestructura
que procesa información en una organización, con el fin de evitar la
materialización de potenciales riesgos.

Seguridad de la Información es el conjunto de acciones desarrolladas para lograr

que los recursos físicos y lógicos utilizados en las organizaciones, como así
también los datos gestionados por éstos, cuenten con las medidas necesarias
para garantizar su confidencialidad, integridad y disponibilidad, teniendo en
cuenta no solamente a la tecnología sino también a las personas, los procesos
de negocio y el entorno de la organización.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

¿Qué representa para las organizaciones la

información?
• Es su activo más valioso utilizado para desarrollar sus procesos críticos,
la toma de decisiones y generar la visión estratégica del negocio.

• Es esencial para mantener, entre otros:

La ventaja competitiva

La rentabilidad

La imagen comercial

El cumplimiento de las leyes

Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Concepto y Consideraciones de Seguridad

Informática
Confidencialidad:
• La información debe ser accedida solamente por las personas autorizadas. Se refiere a que se
debe proteger la información sensitiva de su divulgación a personas no autorizadas, tanto
externas como internas.

Integridad:
• Exactitud y Totalidad de la información.
• Se refiere a que la información debe ser completa, confiable y precisa, toda vez que se
recurra a la misma.

Disponibilidad:
• El acceso a la información y a los recursos relacionados debe estar disponible siempre que
sea necesario. Se refiere a que el acceso a la información no sea impedido por problemas
de equipos fuera de servicio, infecciones causadas por virus u otras situaciones de
contingencia causadas por error humano, desastres naturales, vulnerabilidades, ataques,
etc.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Concepto y Consideraciones de Seguridad

Informática
• La Seguridad de la Información en una Organización debe encontrarse preparada
para abordar temáticas que contemplen diversas áreas de acción:

Seguridad Capacitación,
Personas Tecnología Procesos
Física etc.

• Actuar en forma independiente y aislada sobre cada una de estas áreas no es

suficiente, se debe trabajar en todos los niveles para lograr la Seguridad de la
Información.
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Concepto y Consideraciones de Seguridad

Informática

Algunas de las actividades que deben contemplar estas áreas de acción

incluyen:
• Desarrollo y mantenimiento del Marco Normativo (Política, Normas, Estándares,
Procedimientos).
• Clasificación de la Información y definición de medidas o controles asociados para
garantizar su custodia.
• Gestión de Controles y Seguridad lógica en las plataformas, dispositivos de red y sistemas.
• Control de Acceso Físico, tanto edilicio como a los recintos de procesamiento.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Concepto y Consideraciones de Seguridad

Informática
• Algunas de las actividades que deben contemplar estas áreas de acción incluyen (Cont.):

Capacitación y colaboración en materia de Seguridad de la Información a todos los sectores de la organización: Auditoría, Legales,
Infraestructura, Desarrollo, Recursos Humanos, Áreas usuarias.

Concientización y difusión, garantizando que las personas de la organización cuenten con los conocimientos necesarios en materia
de seguridad.

Gestión de los riesgos de la compañía, entendiendo los procesos y su relevancia, vulnerabilidades, riesgos y controles aplicados
para mitigar los mismos.

Gestión del Ciclo de Mejora, con el fin de lograr una evolución continua.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Concepto y Consideraciones de Seguridad

Informática
• Cada una de las actividades anteriormente detalladas, entre otras, contribuye a la Seguridad de
la Información en su totalidad.

• Trabajar sobre cada una de estas áreas representa lo que se define como “Seguridad por Capas”.

Este enfoque permite trabajar la seguridad

a diferentes niveles logrando un enfoque
segmentado y focalizado, pero contando
con una visión global de la seguridad,
orientada a los objetivos del negocio.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Concepto y Consideraciones de Seguridad

Informática
• Desde el punto de vista de los riesgos, atacar los mismos a través de capas permite brindar un
modelo de seguridad segmentado, ofreciendo “Defensa en Profundidad”. El mismo supone:

Una barrera de seguridad desde lo tecnológico: implementación de firewalls, antivirus,

conexiones seguras, sistemas de detección de intrusos, control de acceso.

Una barrera desde lo procedural: políticas, normas, procedimientos, estándares que

permiten homogeneizar los entornos, acuerdos de servicio, etc.

Medidas de contención / reacción para garantizar la continuidad frente a sucesos no

esperados.

Mejora Continua: control, auditorías, compliance, alineamiento.

Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Concepto y Consideraciones de Seguridad

Informática

Filtrado de Contenidos
Protección Antivirus Firewalls
Detección y Protección VPN / Encripción
ante Intrusos Autenticación
SLA’s de IT Políticas
Administración Normas
Estándares Procedimientos Defensa en
Plan de Continuidad Profundidad
Respuesta ante Incidentes
Planes de Contingencia Recuperación ante
Desastres
Auditorías de Sistemas
Revisiones
PenTests
Administración de
Riesgos
Remanentes
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Concepto y Consideraciones de Seguridad

Informática
• Este modelo permite atender los riesgos a diferentes niveles, y a través de
diferentes herramientas de las cuales se vale la Seguridad de la
Información.

• No obstante ello, resulta importante entender que los riesgos difícilmente

pueden eliminarse. Éstos podrán ser tratados, mitigados, disminuidos o
transferidos; pero cualquiera sea el caso, siempre habrán riesgos
remanentes que deberán ser ADMINISTRADOS.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Seguridad de la Información en la Organización

• La Seguridad de la Información debe surgir y promoverse no sólo desde su
propia gerencia, sino también desde la alta gerencia. Normalmente, esto es
conocido como enfoque “Top-Down” de la seguridad.

• De esta forma, la misma organización promueve la importancia de la

Seguridad de la Información y contribuye a los objetivos del negocio.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Seguridad de la Información en la Organización

• De acuerdo con la estructura de las organizaciones, su volumen, personal
idóneo y naturaleza, el área de Seguridad de la Información puede
presentar diversas organizaciones funcionales.

• No obstante ello, y cualquiera fuera el caso, deberá prestarse particular

atención con el fin de garantizar que los objetivos perseguidos por el área
sean realizables y no sean coartados o minimizados frente a los objetivos
de otros sectores de los cuales dependa.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Concepto y Consideraciones de Seguridad

Informática
• Si bien puede presentarse el caso donde Seguridad de la Información
dependa de Áreas usuarias o de la Gerencia de Sistemas, esta situación no
es recomendable, ya que el área no sería totalmente independiente y sus
objetivos podrían estar afectados por los objetivos del área de la cual
depende.

• La mejor práctica recomienda que Seguridad de la Información

dependa de la Gerencia General o del Directorio de la Compañía.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Comité e Seguridad de la Información

• Con el fin de promover el cumplimiento de los objetivos de la Seguridad de

la Información y su gestión, resulta recomendable que toda organización
disponga de un Comité de Seguridad de la Información.
• El mismo deberá procurar ser interdisciplinario, con el fin de lograr no solo
el involucramiento sino la contribución de los diferentes sectores de la
organización a la Seguridad.
• El Comité deberá procurar la definición, colaboración y monitoreo de las
actividades de Seguridad de la Información.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Concepto y Consideraciones de Seguridad

Informática
• Algunas responsabilidades del encargado de Seguridad de la Información
son:
Define y promueve Promueve la protección Facilita y se Colabora en la Gestión
lineamientos de de los activos responsabiliza por el de los riesgos a los que
seguridad para los informáticos ante alineamiento con las podría encontrarse
activos informáticos de riesgos derivados de su mejores prácticas de expuesta la
la Organización. utilización. seguridad del mercado. Organización.

Capacita / Concientiza
Vela por el
Brinda soporte a las al personal para un
cumplimiento de la
distintas áreas de una correcto uso de los
seguridad de la
Organización. activos y de la
información.
información.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Control y auditoría de la Seguridad Informática (SI)

• Funciones Relativas a la Seguridad Informática

 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Introducción
• En las organizaciones, existen responsabilidades que deben ser llevadas a
cabo en todos sus niveles para lograr establecer medidas adecuadas de
seguridad de la información.

• Dentro de las estructuras corporativas, la seguridad de la información

debe promoverse desde la Alta Gerencia hacia los niveles inferiores
(Enfoque Top – Down).
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Roles y responsabilidades de SI:

Alta gerencia

Comité de
Seguridad

Propietario de Datos

Chief Information
Security Officer (CISO)
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Alta Gerencia
• La principal responsabilidad de la Alta Gerencia, relativa a la seguridad
de la información, es la de brindar soporte y apoyo manifiesto a las
iniciativas de Seguridad de la Información sobre los activos y procesos
de la Organización.
• Muchas veces, desde el punto operacional, los responsables de los
procesos del negocio consideran a las medidas de seguridad de la
información como contraproducentes e innecesarias.
• De esta manera, se instaura la idea de que:

Las medidas de seguridad van en contra de la

eficiencia de la operación.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Alta Gerencia
• Por otra parte, otro incentivo para los referentes de las áreas operativas
sobre esta postura es que, generalmente, las pérdidas atribuidas a
problemas de seguridad son responsabilidad de otra persona
(generalmente el Gerente de Seguridad Informática).

• Por lo tanto, sin un firme apoyo y compromiso de los altos directivos,

estos puntos de vista a menudo prevalecen y efectivamente logran
sabotear los esfuerzos por implementar medidas seguridad, incurriendo
directamente en riesgos para la organización.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Alta Gerencia
• En contrapartida, el éxito de estos esfuerzos derivará en la alineación
de las actividades de seguridad de la información en apoyo de los
objetivos organizacionales.

• Como resultado, la Alta Gerencia logrará una gestión óptima de los

recursos, la disminución de pérdidas por incidentes de seguridad, y la
reducción de los riesgos organizacionales y de personal.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Comité de Seguridad
• El Comité de Seguridad es un canal de comunicación eficaz para
comunicar los objetivos de la gerencia y de la dirección. Su principal
función es la de garantizar la alineación del programa de seguridad de la
información con los objetivos organizacionales.

• También es fundamental para lograr el cambio de comportamiento

hacia una cultura que promueva las buenas prácticas de seguridad y el
cumplimiento de la política.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Propiedad de datos
• Los propietarios de datos son los gerentes o máximos referentes de las
áreas operativas quienes, por su función, son los “dueños” y principales
responsables de los datos que su área procesa.

• Los propietarios de datos tienen la responsabilidad de realizar la

clasificación inicial de los datos a ser protegidos y a definir el nivel de
acceso a ser otorgado sobre los mismos, para todos los empleados de la
Organización.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Chief Information Security Officer (CISO)

• El CISO es el responsable máximo de planificar, desarrollar, controlar y
gestionar las políticas, procedimientos y acciones con el fin de mejorar la
seguridad de la información dentro de sus pilares fundamentales de
confidencialidad, integridad y disponibilidad.

• Todas las organizaciones tienen un CISO, siendo esta función formalmente

designada dentro de su estructura o no (situación que depende
fundamentalmente de la envergadura de la Compañía).
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Ubicación de SI dentro de la Organización

• Las estructuras corporativas, en referencia a la posición del área de
Seguridad de la Información, pueden ser variables.
• En pequeñas compañías, muchas veces no existe formalmente definida un
área o departamento de Seguridad de la Información. Estas
responsabilidades y las tareas asociadas son llevadas a cabo por el área de
Sistemas o TI.
• Sobre estas estructuras, es importante realizar controles externos para
verificar el nivel de seguridad implementado.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Ubicación de SI dentro de la Organización

• En compañías más grandes, es mucho más frecuente encontrarnos con un

área de Seguridad de la Información formalmente definida y ubicada en el
organigrama de la Organización.

• La pregunta es:
¿De quién debería depender este área?
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Ubicación de SI dentro de la Organización

• Según el estudio “Global State of Information Security” realizado por
Price Watterhouse Coopers y las revistas CIO y CSO, el 64% de los
entrevistados respondieron que reportaban directamente a un líder de TI
(Gerente de Sistemas, Gerente de Tecnología o CIO).
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Ubicación de SI dentro de la Organización

• Si bien esta situación puede ser funcionalmente adecuada, no es la
estructura óptima. Algunos motivos:
Los requisitos y tareas de Seguridad de la Información son cada vez
más amplios y trascienden las tareas llevadas a cabo por el área de
Sistemas.
La inherente oposición de intereses: el objetivo principal del área de
Sistemas es aumentar la performance y reducir los costos. Esta
situación genera que muchas veces, la Seguridad de la Información se
perciba como un obstáculo para las operaciones de TI.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Ubicación de SI dentro de la Organización

• Como conclusión podemos afirmar que, para lograr una mayor
eficiencia en seguridad de la información, debemos alinear su
estructura más cerca del negocio que de la tecnología.

• La situación ideal sería que el área o departamento de Seguridad

Informática dependa directamente de la Dirección y no del área de
Sistemas.
Directorio

Administración Sistemas Seguridad Informática

 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Misiones y Funciones del área del SI

• Las misiones y funciones del área de Seguridad Informática son las siguientes:

Definir las políticas y

Evaluar posibles
estándares de seguridad Controlar la
modificaciones de las
para la protección de los implementación y puesta en
políticas en función a las
recursos tecnológicos y de la práctica de las políticas
necesidades que se
información generada por definidas.
presenten.
los mismos.

Realizar el seguimiento del

cumplimiento de la política
de seguridad informática
aprobada por el Directorio
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Estándares – Guías - Procedimientos

Estándares para Auditoría de Sistemas – Alcance
• Se pueden definir distintos niveles de estándares para el cumplimiento de los
mismos:

Estándares: Guías: Procedimientos:

• Definen los requerimientos • Proveen una guía para la aplicación • Provee ejemplos de procedimientos
obligatorios que se deben cumplir de los estándares de Auditoría de que el Auditor de Sistemas puede
en las revisiones de auditoría de Sistemas. El Auditor de Sistemas utilizar en una revisión.
sistemas y la generación de debe tenerlos en cuenta al • Los procedimientos ofrecen
informes. implementar los estándares, usar su información de cómo cumplir con
criterio profesional para aplicarlos y los estándares al realizar una
estar preparado para justificar auditoría de sistemas pero no
cualquier diferencia. especifican los requerimientos a
realizar para la revisión.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Estándares – Guías - Procedimientos

• Entonces podemos decir:

Estándares:
• requerimientos obligatorios

Guías:
• cómo aplicar los estándares

Procedimientos:
• cómo cumplir los estándares
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Misiones y Funciones del área del SI

(continuación)

• Las misiones y funciones del área de Seguridad Informática son las siguientes:

Realizar el seguimiento de los

Detectar, investigar e
requerimientos de seguridad
informar incidentes de
efectuados, asegurando su
seguridad informática.
cumplimiento.

Administrar la seguridad de
Evaluar la calidad de la los componentes de
seguridad de los productos tecnología informática,
informáticos que adquiera o adecuándola a las normativas
desarrolle la Compañía. vigentes que regulen la
actividad de la Compañía.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Misiones y Funciones del área del SI

(continuación)

• Las misiones y funciones del área de Seguridad Informática son las siguientes:

Responder ante
Auditorías Internas y Administrar la Administrar la
Auditorías Externas en seguridad de la Red seguridad de los
cuestiones de Seguridad Corporativa. Sistemas Aplicativos
Informática

Controlar y resguardar
Asignar permisos en los Logs y eventos de
Administrar los Antivirus
aplicativos y bases de seguridad de las
y Filtros
datos plataformas operativas
y aplicaciones.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Misiones y Funciones del área del SI

(continuación)

• Las misiones y funciones del área de Seguridad Informática son las siguientes:

Controlar el acceso
Analizar las
Verificar la (Entradas/Salidas) del
necesidades de
implementación de personal asignado
capacitación y definir
estándares en las permanente o en
el plan anual de
plataformas forma temporaria al
capacitación para el
operativas Centro de Cómputos
personal del área
de la Compañía.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Bibliografía
• Information Security Governance – Guidance for Information Security
Managers (IT Governance Institute).