Tendencias en Auditoría y Seguridad Informática 2007

La Seguridad y Auditoría Informática se están afianzando como una necesidad imprescindible para el desarrollo de la Sociedad de la Información. En esta página se incluyen referencias a los principales informes que se publican y que también nos dan una panorámica sobre: su situación actual, acciones que se están realizando y tendencias.

• Tendencias en Auditoría Informática 2007
• Tendencias en Seguridad Informática 2007
• Las 20 Vulnerabilidades mas importante en Internet
• Predicciones sobre Seguridad TI para 2007

Para los alumnos que van a realizar los Master, estos informes les ayudarán a conocer mejor las necesidades de las organizaciones en las que han de desarrollar sus actividades profesionales al concluir su Maestría.

Tendencias en Auditoría Informática 2007

Como se recoge en el informe PricewaterhouseCoopers 2006 State of the Internal Audit Profession Study durante los tres últimos años la sección 404 de la Ley SOX con los requerimientos específicos que obligan a las compañias a “documentar, evaluar, verificar y monitorizar sus controles internos sobre los informes financieros” ha supuesto en EE.UU. un gran paso cualitativo para el afianzamiento de la Auditoría Informática y ha supuesto también un gran incremento de la demanda de Auditores Informáticos (ver informe comentado). Otras disposiciones legales como Basilea II, “HIPAA” (Acta, “Health Insurance Portability and Accountability”) y GLBA (“Graham-Leach Bliley Act”) también están contribuyendo.a este afianzamiento.

La entrada en vigor, durante 2006, de la norma ISO/IEC 27001 como estándar mundial para los Sistemas de Gestión de Seguridad de la Información SGSI y sus requerimientos de Auditoría para la obtención de las certificaciones, también han de suponer un gran incremento de la demanda de Auditores Informáticos. Otros estándares en los que ya está participando España, como los Criterios Comunes, también precisan de Auditores de Seguridad de Productos y Sistemas Informáticos, (ver presentación).

En España la LOPD (Ley Orgánica de Protección de Datos Personales) está sirviendo de base para que en nuestro país el Auditor en Informática sea un profesional cada vez más solicitado. En la actualidad tanto en las Empresas Privadas como en las Administraciones y Organismos Públicos se están llevando a cabo proyectos de adecuación de sus Sistemas Informáticos a la LOPD que requieren de la Auditoría Informática

Aunque en la actualidad la legistación existente relacionada con la Informática sigue siendo escasa, en los últimos años los Gobiernos comienzan a tomar conciencia de la necesidad de exigir responsabilidades en los riesgos derivados de los sistemas informáticos y de la necesidad de establecer controles adecuados. Podemos observar como en estas nuevas leyes la Auditoría Informática siempre está presente.

La Auditoría y Seguridad Informática avanzan en paralelo en la nueva Sociedad de la Información, que con su propio afianzamiento está incrementando la demanda de Auditores en Informática e Ingenieros especializados en Seguridad Informática.

Tendencias en Seguridad Informática 2007

Sobre Seguridad Informática se publican anualmente mútiples informes, entre los más difundidos a nivel mundial podemos destacar:

• CSI/FBI 2006 Computer Crime and Security Survey: Es un informe que anualmente publican Computer Secuity Institute y Federal Bureau of Investigation’s Computer Intrusion Squad, el informe de 2006 es ya el onceavo que se publica. Es un informe detallado sobre Seguridad Informática que incluye: principales incidentes que se están produciendo, la situación en empresas y organizaciones de la Seguridad Informática, tecnología utilizadas, consecuencias económicas, la evolución en los últimos años, etc. Posiblemente este informe es uno de los mas importantes publicados anualmente en el mundo sobre Seguridad Informática y aunque está muy centrado en EE.UU. sus conclusiones son extrapolables a otros países.
• 2006 Australian Computer Crime and Security Survey: Es un informe similar al anterior, pero restringido a Australia. En Europa tanto a nivel de Comunidad Europea, como de sus países miembros no tenemos conocimiento de la publicación de informes similares, ni tampoco de su publicación en otros países.
• Ernst & Young’s 2006 Global Information Security Survey: En este informe participan mas de 1.200 organizaciones. Presenta una fotografía sobre el estado de la seguridad y de sus repercusiones en la industria y los negocios. El informes se realiza analizando las respuestas a un cuestionario con preguntas sobre “como esta dirigida y situada la Seguridad Informática en las organizaciones de quienes responden al cuestionario” . Los cuestionarios son completados mayoritariamente por Directores de Informática y Directores de Seguridad, el informe incluye también conclusiones y recomendaciones.
• El pasado 15 de Diciembre de 2006 el Director de la Revista SIC, José de la Peña Muñoz, en su conferencia a los Alumnos de los Master V Edición puso de manifiesto que en 2007 estamos ante el reto de la consolidación de la Seguridad Informática según la panorámica que ya se había descrito con detalle para 2006 (ver presentación). Esta consolidación irá llegando a través de acciones desplegadas por las organizaciones con mayor énfasis durante 2007 en: las Personas, la Gestión de la Seguridad, los Riesgos, el Cumplimento de Leyes y Normas:
  • Políticas y Planes de Concienciación (tanto de Directivos como de Usuarios)
  • Análisis, Gestión y Tratamiento de Riesgos,
  • Evaluación y Gestión de Activos de Información,
  • Planes de Continuidad del Negocio y de Contingencia,
  • Cumplimiento Legal y seguimiento de Normas,
  • Desarrollo de SGSI sigiendo los estándares ISO/IEC 17799:2005 y 27001:2005,
  • Participación de España en las nuevas normas sobre seguridad, actualmente en desarrollo por ISO/IEC, entre las que se destacan las relacionadas con Planes de Contingencia y Métricas de Seguridad.
  • La inversión en seguridad T.I. mantiene el nivel de crecimiento del año anterior: 18% (en sintonía con la tendencia de crecimiento internacional)