buenas prácticas sobre aplicación de seguridad de la información en personas / empresas cátedra...

Buenas prácticas sobre aplicación de seguridad de la información en personas /

empresas

Cátedra de Riesgos en Sistemas de Información.

3ra Jornada: Tratamiento de Datos en el ámbito de los Recursos Humanos: Aspectos regulatorios y prácticos

MARCOS GÓMEZ HIDALGO

Subdirector de eConfianza INTECO

2

1. Conceptos Generales

2. La seguridad en las personas

3. Buenas prácticas de referencia

4. Conclusiones

INDICE

3




4. Conclusiones

INDICE

4

Punto de Partida

Magerit V.2 (Junio 2005):

«Seguridad es la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.».

ISO 27.001:

«Preservación de la confidencialidad, integridad y disponibilidad de la información, en adición también de otras propiedades como autenticación, autorización, registro de actividad, no repudio y confiabilidad pueden ser también consideradas.».

1.- Conceptos Generales1.- Conceptos Generales

5

RFC 1244:Política de Seguridad como: «una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán.».

RFC 2828:Seguridad de la Información: «Medidas tomadas para proteger un sistema. El estado de un sistema que resulta del establecimiento y mantenimiento de estas medidas. El estado de un sistema cuando no hay accesos desautorizados, o cambios, destrucciones o pérdidas no autorizadas».


6

Dimensiones de la seguridad (Magerit V.2):

• Disponibilidad: disposición de los servicios a ser usados cuando sea necesario. La carencia de disponibilidad supone una interrupción del servicio. La disponibilidad afecta directamente a la productividad de las organizaciones.

• Integridad: mantenimiento de las características de completitud y corrección de los datos. Contra la integridad, la información puede aparecer manipulada, corrupta o incompleta. La integridad afecta directamente al correcto desempeño de las funciones de una Organización.

• Confidencialidad: que la información llegue solamente a las personas autorizadas. Contra la confidencialidad secreto pueden darse fugas y filtraciones de información, así como accesos no autorizados. La confidencialidad es una propiedad de difícil recuperación, pudiendo minar la confianza de los demás en la organización que no es diligente en el mantenimiento del secreto, y pudiendo suponer el incumplimiento de leyes y compromisos contractuales relativos a la custodia de los datos.

• Autenticidad: que no haya duda de quién se hace responsable de una información o prestación de un servicio, tanto a fin de confiar en él como de poder perseguir posteriormente los incumplimientos o errores. Contra la autenticidad se dan suplantaciones y engaños que buscan realizar un fraude. La autenticidad es la base para poder luchar contra el repudio y, como tal, fundamenta el comercio electrónico o la administración electrónica, permitiendo confiar sin papeles ni presencia física.


7

Resumiendo…la Seguridad de la Información se basa en los siguientes aspectos por su orden natural de ocurrencia:

Autenticación: Quién pretende acceder a la información o al sistema informático es quien dice ser.

Confidencialidad: Quién pretende acceder a la información o a los sistemas, tiene derecho a hacerlo

Integridad: La información a la que se pretende acceder no ha sido modificada.

Disponibilidad: La información y los sistemas están disponibles cuando se pretende acceder a ellos.


8


TRAZABILIDAD

NO REPUDIO

CONFIDENCIALIDAD

INTEGRIDAD

DISPONIBILIDAD

SSEEGGUURRIIDDAADD

SEGURIDAD INTEGRAL

SEGURIDAD

Necesidades de la Organización

RESPONSABILIDAD

GESTIÓN DE LA SEGURIDAD

AUTENTICACIÓN

9


•Reducción de costes

•Protección del negocio

•Mejora de la competitividad

Aplicándolo al entorno de una organización

Implantación de una Política de Seguridad o de un Sistema de Gestión de Seguridad de la Información (SGSI)

Esto hace necesario …

Personal Instalaciones INFORMACIÓN

10

Objetivos de la Seguridad de la Información:

• «estudiar los métodos y medios de protección de los sistemas de información y comunicaciones frente a revelaciones, modificaciones o destrucciones de la información, o ante fallos de proceso, almacenamiento o transmisión de dicha información, que tienen lugar de forma accidental o intencionada.».

• «Asegurar la autenticidad, confidencialidad, integridad y disponibilidad de la información».


11

• ¿Pero asegurar la información “contra” qué o quién?

• ¿Proteger la información “de qué” o “quien”?


12

¿Qué es “de qué” o “qué” o “quién”?

• Amenazas Externas• Amenazas Internas


13

Virus

Phishing

Spam

Troyanos

Keyloggers

Rootkits

Smishing

Spyware

Escaneo de puertos

Sabotaje de datos o de red

Robo de ordenador

Software pirata

Denegación de servicios

Intrusión en la red

Fraude financiero

Fraude de telecomunicaciones

Robo de información protegida

por copyright

Robo de banda de red wifi

Hackeo de sitio web

Amenazas Externas A través de la conexión a Internet

14

8.700 – 17.400 €

850 – 1750 €

1.500 – 3.000 €

750 – 1.500 €

150 – 600 €

11.500 – 25.000 €

Interrupción del negocio (1-2 días)

2 días de trabajo para responder al incidente

Gastos indirectos

Pérdida financiera directa

Pérdida de reputación

Coste medio del peor incidente de seguridad

Costes derivados de estas amenazas

Fuente: Ministerio de Industria Británico

15

Amenazas Internas Propios usuarios de la red: trabajadores

Falta de formación En 30 días de búsqueda, hay casi

un 100% de posibilidades de

visitar un sitio peligroso

97% internautas no sabe

detectar programas espía

Con premeditación 81% ataques con el fin de

obtener beneficios económicos

83% en el interior de la

organización y durante el horario

de trabajo

22% antiguos empleados

14% empleados en el momento

del ataque

7% relación cliente o proveedor

Fuente: Hispasec / Trusted Strategies

Fuente: McAfee

16

106 ciberataques graves al mes a las Pymes

8% Pymes pararon o cerraron su negocio por culpa de ciberataques

93% empresas que pierden datos cierran en menos de 5 años

Uso poco maduro de TICs:

Fuentes: INTECO / Symantec / Niveles de Protección de la Pyme española 2005 / US Bureau Labor of Statistics / Sophos

Empresas

Dificultades específicas PYMES

Uso de correo electrónico

Disponen de página web

Disponen de red de área local

Disponen de ordenadores

Disponen de personal TIC o Seguridad Informática

PYMES < 10 empleados

42 % 18 % 18 % 60 % 8.5 %

TOTAL PYMES 82 % 54 % 67 % 89 % 36 %

17


Fuente: HispasecFuente: Hispasec

18




4. Conclusiones

INDICE

19

El Factor Humano:

• El factor humano puede ser el eslabón más débil en toda la cadena de seguridad y se encuentra presente en todos los procesos relacionados con la seguridad.

• La seguridad son las personas. En todos los procesos informáticos y empresariales existe la implicación de factores humanos ya sea en la toma de decisiones como en los procesos mismos.

• Históricamente se presta una atención especial a los ataques externos que provocan daños más o menos cuantificables. ¿Cuál es la cuantía de un ataque interno?

• Más del 70 % de los incidentes ocurren dentro de la propia organización por un error humano, una errónea utilización de los medios de trabajo o por un ataque premeditado.

• Estos incidentes no siempre son intencionados, ya que un alto porcentaje de los mismos se deben a accidentes involuntarios.

• La principal causa de los incidentes no intencionados es una falta de conocimiento o la ausencia de una cultura de seguridad.

2.- Seguridad en las personas2.- Seguridad en las personas

20

Objetivos de Seguridad en cuanto a personas:

• Reducir el riesgo del factor humano, debido a errores, pérdidas, robos y usos indebidos de la información.

• Asegurarse que los usuarios toman conciencia de las amenazas y riesgos en el ámbito de la seguridad de la información, y que están preparados para sostener la política de seguridad de la organización en el curso normal de su trabajo.

• Minimizar los daños provocados por incidencias de seguridad y por el mal funcionamiento, controlándolos y aprendiendo de ellos.

• Que todo el personal de la organización, conozca tanto las líneas generales de la política de seguridad corporativa como las implicaciones de su trabajo en el mantenimiento de la seguridad global. Usen los procedimientos establecidos para reportar y responder a los incidentes de seguridad rápidamente.


21

Principales Medidas de Seguridad en las Personas:

• Formación y concienciación: • Formar al usuario en seguridad de la información, es decir, en las políticas,

procedimientos, responsabilidades legales, controles, y• En el uso adecuado y correcto de las facilidades de procesamiento de la

información para evitar posibles riesgos de seguridad.

• Establecer acuerdos de confidencialidad con todos los términos y condiciones de los empleados relacionados con la seguridad de la información.

• Antes y después de la selección y contratación del personal:• realizar un proceso de selección riguroso y suficientemente garante del personal a

contratar• Inclusión de la seguridad como responsabilidad contractual.• Inclusión de responsabilidades después de cesar la relación laboral y las acciones

a tomar en caso de ser cesados.

• Realizar un seguimiento del personal que debe cubrir las tareas críticas de la Organización.

• Ante una infracción clarade la Política de Seguridad y de Confidencialidad:

procesos disciplinarios.


22

Formación y Concienciación

• El mejor plan de seguridad se vería seriamente hipotecado sin una colaboración activa de las personas involucradas en el sistema de información, especialmente si la actitud es negativa, contraria o de “luchar contra las medidas de seguridad”. Es por ello que se requiere la creación de una “cultura de seguridad” que, emanando de la alta dirección, conciencie a todos los involucrados de su necesidad y pertinencia.

• Son dos los pilares fundamentales para la creación de esta cultura:• una política de seguridad corporativa que se entienda (escrita para los

que no son expertos en la materia), que se difunda y que se mantenga al día

• una formación continua a todos los niveles, recordando las cautelas rutinarias y las actividades especializadas, según la responsabilidad adscrita a cada puesto de trabajo

• A fin de que estas actividades cuajen en la organización, es imprescindible que la seguridad sea:

• mínimamente intrusiva: que no dificulte innecesariamente la actividad diaria ni hipoteque alcanzar los objetivos de productividad propuestos,

• sea “natural”: que no de pie a errores gratuitos, que facilite el cumplimiento de las buenas prácticas propuestas y

• practicada por la Dirección que de ejemplo en la actividad diaria y reaccione con presteza a los cambios e incidencias.


23

Buenas prácticas&

Política de Seguridad

Niveles de conocimiento

Backup y rotación de funciones

• Conocimientos mínimos y suficientes para desarrollo de competencias

• Mínimos privilegios

• Compartición de responsabilidades.

• Continuación de la actividad

• Rotación de responsabilidades.

• Tareas con backup.

• Vigilancia Mutua.

• Eliminar “único” punto de fallo.


24




4. Conclusiones

INDICE

25

¿Qué objetivos tienen?

• Ser el punto de partida para la estandarización.• Impulsar recomendaciones para la gestión de la seguridad.

• Generar una base común para agrupar y desarrollar: ...– normas de seguridad organizativas (política de seguridad, controles, amenazas,

etc.),– prácticas efectivas de gestión de la seguridad,– sello de confianza

• Alinearse con la legislación y los reglamentos aplicables.

Referentes: Guías de buenas prácticas para la gestión de la seguridad

• ISO 17799:2005>ISO 27002: ISO, Organización Internacional de Normalización. • COBIT: IT Governance Institute e ISACA, Asociación de Auditoria y Control de Sistemas de Información.

3.- Buenas prácticas de referencia3.- Buenas prácticas de referencia

26



3. Buenas prácticas de referencia• ISO 27.002• COBIT

4. Conclusiones

INDICE

27

3.- Buenas prácticas de referencia: ISO 27.0023.- Buenas prácticas de referencia: ISO 27.002

Entorno

Activos

Pe rso n al

M o b iliar io

Salas, o fic inas,e d ific io s, e tc.

Sumin istro s

Equ ipamie n to

Información

F ormato s, e stru ctu ras,co n fig u racio n e s, e tc.

Datos, arch iv os,fich e ro s, e tc.

Sop o rte s

Sistemas

Software

Co m.

Siste masin fo rmáticos

Funcionalidades

Ob je tiv oy misio n

Sop o rte ao pe racion e s

Se rv icio s

Varios

Kn o wh ow

Imag e n

Cre d ib ilidad

28

An

ális

is d

e R

iesg

os

(2 O

bje

tivos)

Organización de la seguridad(2 Objetivo, 11 Controles)

Gestión de activos(2 Objetivo, 5 Controles)

Recursos humanos de seguridad(3 Objetivo, 9 Controles)

Seguridad física(2 Objetivo, 13 Controles)

Conformidad legal(3 Objetivo, 10 Controles)

Com

unic

aci

ones

y o

pera

cion

es

(10 O

bje

tivo,

32 C

ontr

ole

s)

Contr

ol de a

cceso

(7 O

bje

tivo, 2

5 C

ontr

ole

s)

Com

pra

s, D

esa

rrollo

y M

ante

nim

iento

de s

iste

mas

(6 O

bje

tivo, 1

6 C

ontr

ole

s)

Política de Seguridad(1 Objetivo, 2 Controles)

Gestió

n d

e in

ciden

tes d

e se

gu

ridad

(2 O

bje

tivo, 5

Con

trole

s)

Pla

n d

e C

on

tinu

idad d

e N

egocio

(1 O

bje

tivo, 5

Con

trole

s)

29

Organización interna

Comité

Coordinación

Responsabilidad

Autorización

Acuerdos de confidencialidad

Contacto con autoridades

Revisión

Externos

Identificaciónde riesgos

Requerimientosde seguridad

en los contratos con terceros

Establece la estructura organizativa (terceros, responsables, comités, colaboraciones, etc.) y su funcionamiento de cara a gestionar la seguridad de la información

Contacto con grupos de interés

Requerimientos de seguridad en relaciones con clientes

30

Sección 8: Recursos Humanos de seguridad

Antes de la contratación

Perfiles y responsabilidades

Revisión y verificación

Términos y Condiciones de relación laboral

Durante la contratación

Gestión de responsabilidades

Al fin de la contratación

Responsabilidades en la finalización

Devolución de activos

Retirada de los derechos de acceso

Procesosdisciplinarios

Establece las medidas de seguridad que se van a tomar con el personal, ya que finalmente son estos los que van a utilizar los sistemas y la información

Educación y capacitación en seguridad

31




4. Conclusiones

INDICE

32

3.- Buenas prácticas de referencia: COBIT3.- Buenas prácticas de referencia: COBIT

33

Dominios de COBIT

Dominio: Planificación y OrganizaciónDominio: Planificación y OrganizaciónPO1 Definir un plan estratégico de TI PO2 Definir la arquitectura de la información PO3 Determinar la dirección tecnológica PO4 Definir procesos, organización y

relaciones de TI PO5 Administrar la inversión en TI PO6 Comunicar las aspiraciones y la dirección de la

gerencia PO7 Administrar recursos humanos de TI PO8 Administrar la calidad PO9 Evaluar y administrar los riesgos de TI PO10 Administrar proyectos

Dominio: Adquisición e Dominio: Adquisición e ImplementaciónImplementación

AI1 Identificar soluciones automatizadas AI2 Adquirir y mantener software aplicativo AI3 Adquirir y mantener infraestructura tecnológica AI4 Facilitar la operación y el uso AI5 Adquirir recursos de TI AI6 Administrar cambios AI7 Instalar y acreditar soluciones y cambios

Dominio: Entrega y prestación de Dominio: Entrega y prestación de SoporteSoporte

DS1 Definir y administrar los niveles de servicio DS2 Administrar los servicios de terceros DS3 Administrar el desempeño y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuración DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente físico DS13 Administrar las operaciones

Dominio: MonitorizaciónDominio: MonitorizaciónME1 Monitorear y evaluar el desempeño de TI ME2 Monitorear y evaluar el control interno ME3 Garantizar el cumplimiento regulatorio ME4 Proporcionar gobierno de TI


34

Dominio: Planificación y Organización (PO4)Definir los procesos, organización y relaciones de TI

• Objetivos: Control sobre el proceso de TI • Condicionantes:

– Una organización de TI se debe definir tomando en cuenta los requerimientos de personal, funciones, delegación, autoridad, roles, responsabilidades y supervisión. La organización estará incrustada en un marco de trabajo de procesos de TI que asegura la transparencia y el control, así como la involucración de los altos ejecutivos y de la gerencia del negocio.

– Un comité estratégico debe garantizar la vigilancia del consejo directivo sobre la TI, y uno ó más comités administrativos, en los cuales participan tanto el negocio como TI, deben determinar las prioridades de los recursos de TI alineados con las necesidades del negocio.

– Deben existir procesos, políticas administrativas y procedimientos para todas las funciones, con atención específica en el control, el aseguramiento de la calidad, la administración de riesgos, la seguridad de la información, la propiedad de datos y de sistemas y la segregación de tareas.

– Para garantizar el soporte oportuno de los requerimientos del negocio, TI se debe involucrar en los procesos importantes de decisión.


35

Dominio: Planificación y Organización (PO4)

¿Cómo?:

• Satisfaciendo el requisito de negocio de TI para: agilizar la respuesta a las estrategias del negocio mientras al mismo tiempo cumple con los requerimientos de gobierno y se establecen puntos de contacto definidos y competentes.

• Enfocándose en: el establecimiento de estructuras organizacionales de TI transparentes, flexibles y responsables, y en la definición e implantación de procesos de TI con los propietarios, y en la integración de roles y responsabilidades hacia los procesos de negocio y de decisión.

• Se logra con: La definición de un marco de trabajo de procesos de TI El establecimiento de un cuerpo y una estructura organizacional apropiada La definición de roles y responsabilidades.

• Se mide con: El porcentaje de roles con descripciones de puestos y autoridad documentados El número de unidades/procesos de negocio que no reciben soporte de TI y que

deberían recibirlo, de acuerdo a la estrategia Número de actividades clave de TI fuera de la organización de TI que no son

aprobadas y que no están sujetas a los estándares organizacionales de TI


36

Dominio: Planificación y Organización (PO4)Objetivo de Control: Definir los procesos, la organización y las

Relaciones TI

4.6 Roles y Responsabilidades4.11 Segregación de Funciones4.12 Personal de Tecnologías de la Información4.13 Personal clave de TI4.14 Políticas y Procedimientos para personal contratado


37

Dominio: Planificación y Organización (PO7)Administrar recursos humanos de TI.

• Objetivos: Adquirir, mantener y motivar una fuerza de trabajo para la creación y entrega de servicios de TI para el negocio.

• Condicionantes: – proceso es crítico, ya que las personas son activos importantes, y el ambiente de gobierno y de control interno

depende fuertemente de la motivación y competencia del personal.

¿Cómo?

• Satisfaciendo el requisito de negocio de TI para: personas competentes y motivadas para crear y entregar servicios de TI.

• Enfocándose en: la contratación y entrenamiento del personal, la motivación por medio de planes de carrera claros, la asignación de roles que correspondan a las habilidades, el establecimiento de procesos de revisión definidos, la creación de descripción de puestos y el aseguramiento de la conciencia de la dependencia sobre los individuos.

• Se logra con: La revisión del desempeño del personal La contratación y entrenamiento de personal de TI para apoyar los planes tácticos de TI La mitigación del riesgo de sobre-dependencia de recursos clave.

• y se mide con: El nivel de satisfacción de los interesados respecto a la experiencia y habilidades del personal La rotación de personal de TI Porcentaje de personal de TI certificado de acuerdo a las necesidades del negocio


38

Dominio: Planificación y Organización (PO7)Objetivo de Control: Administrar Recursos Humanos de TI

7.1 Reclutamiento y Retención de Personal7.2 Competencias del Personal7.3 Asignación de roles 7.4 Entrenamiento del personal de TI7.5 Dependencia sobre los individuos 7.6 Procedimientos de Investigación del personal 7.7 Evaluación de Desempeño del Empleado7.8 Cambios y Terminación del trabajo


39




4. Conclusiones

INDICE

40

“Proteger la información es responsabilidad de todos los miembros de una organización. Al implementar las políticas y las medidas de seguridad, muchas organizaciones se centran sólo en la tecnología que hay detrás de los procesos, pero olvidan un elemento vital: las personas. Los empleados deben asumir, aprender y practicar una cultura de seguridad corporativa generalizada.”

Guía básica:

1. Implementar una cultura de seguridad desde arriba.La alta Dirección debe adoptar una cultura de seguridad y asegurarse de que los empleados tienen un acceso constante a la información y a cursos de formación en privacidad y seguridad.

2. Ofrecer programas anuales de la formación.Proporcionar oportunidades de formación anual, así como un fácil acceso a los expertos en seguridad de la organización, que ayudará a los empleados a mantener la importancia de una cultura de seguridad en la mente y procesos de sus empleados.

4.- Conclusiones4.- Conclusiones

41

3. Fomentar una política clara de mesas de trabajo.Cualquier mesa ubicada en un espacio abierto y cualquier oficina sin cerrar bajo llave es un objetivo fácil para el robo de información. Es una norma básica pedir a los empleados que tengan bajo llave la información confidencial cuando no estén cerca de sus mesas -especialmente antes de abandonar la oficina cada día-, puede mejorar enormemente la seguridad sobre la información altamente delicada.

4. Activar una política de clasificación de la información.Designar una clasificación para los diferentes tipos de información puede ayudar a establecer los niveles apropiados de control, tanto para las comunicaciones externas como las internas. Asegurarse de que los empleados entienden las diferencias entre cada clasificación y facilitar ejemplos de los tipos de información que entran en cada categoría. Ej.: Las incidencias ocurren con frecuencia cuando los empleados reenvían correos electrónicos que contienen largas cadenas de información altamente confidencial a personas que no pertenecen a la empresa, incluso sin darse cuenta de que esa información formaba parte del correo electrónico. Concienciar sobre qué tipos de información son “sólo para tu empresa” es una sencilla forma de reducir las brechas de seguridad.


42

5. Ordenar la información con seguridad.La información desechada en la papelera de la empresa puede acabar con facilidad en las manos equivocadas. Aquí es donde las clasificaciones resultan realmente prácticas. Las trituradoras comerciales de cada departamento pueden usarse para desechar información altamente confidencial, mientras la papelera de la empresas se puede destinar a documentos menos delicados.

6. Vigilar conversaciones fuera de las instalaciones de la compañía.Ejemplos:

– ¿Cuántas veces se escuchan conversaciones de temas confidenciales/importantes en un aeropuerto, restaurante, etc?

– ¿Cuántas veces se manejan documentos confidenciales o críticos fuera de la empresa?

Cuando los empleados estén en un lugar público, no estarán protegidos por las paredes de su empresa y no se podrá garantizar la confidencialidad. Concienciar a los empleados que cualquier discusión o conducta relacionada con el trabajo en un lugar público está expuesta al conocimiento general y a serias brechas de seguridad.


43

7. Enfocar la seguridad en múltiples capas.Saber quién/qué tiene acceso a los recursos de la empresa. Disponer de controles y los métodos de autenticación apropiados para acceder a la red de la empresa valiéndose de la seguridad que le ofrecen las Tecnologías de la Información (TIC) así como el acceso a las instalaciones físicas.

8. Asegurarse de que los empleados pueden responder a dos cuestiones cruciales:

– “¿Detectaría una violación de seguridad si ocurriera?”– “¿A quién se lo contaría?”– Enfocar la concienciación y formación en seguridad en torno

a estas dos cuestiones pueden contribuir a educar a los empleados en la protección de la información de la empresa.


44

9. Tener siempre en cuenta el factor humano El elemento humano en una organización es muchas veces la principal causa de fallos. En general, las personas deben o desean confiar en otras personas. Otros empleados de distintos departamentos o no empleados pueden utilizar tácticas de ingeniería social para conseguir datos confidenciales, simulando situaciones, identidades, etc.

10. Asegurarse de que se realiza un proceso periódico y continuo de auditoría:

La formación e implementación de controles necesita para cerrarse el círculo de un proceso de auditoría de todos los factores implicados en el ciclo de vida de la información en la empresa, activos, recursos TI y humanos, controles, procesos, etc. la revisión y mejora de todos ellos incrementa la estabilidad y la seguridad de la empresa.


45

Alguna bibliografia y referencia

ISO – International Organization for Standardizationhttp://www.iso.org/

Cobit 4 – Objetivos de Control para las Tecnologías de Información. ISACA http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders/COBIT6/Obtain_COBIT/CobiT4_Espanol.pdf

INTECO – http://www.inteco.es

46

¿PREGUNTAS?

www.inteco.es

buenas prácticas sobre aplicación de seguridad de la información en personas / empresas cátedra...

Documents