gestión de la calidad de la seguridad de un sistema informático modelo de madurez de la seguridad...
TRANSCRIPT
Gestión de la Calidad de la Seguridad de un Sistema Informático
Modelo de Madurez de la Seguridad de un Sistema Informático
Autor: Roberto José Fernández García
Director: Jesús María Minguet Melián 30/11/07
Escuela Técnica Superior de Informática
Universidad Nacional de Educación a DistanciaUniversidad Nacional de Educación a Distancia
Índice
2
I IntroducciónII Concienciación en la Seguridad de la InformaciónIII Estado del ArteIV Normalización de la Seguridad TICV Legislación y Normativa EspañolaVI Medidas, Métricas y AuditoríasVII Modelo de Madurez de la Seguridad
de un Sistema InformáticoVIII ConclusionesIX Líneas Futuras
Glosario de Términos y Lista de AcrónimosApéndicesBibliografía
3 Noviembre 2007
I.- Introducción (I)
Estado del Arte en materia de seguridad. Auditoría
Antecedentes en Seguridad de la Información:Protegernos contra ataques internos/externos
Proteger nuestro Know-how, Knowledge
Actualmente, son muchas las auditorías informáticas a las empresas están sometidas regularmente, tanto internas como externas, en línea con:Evaluación y Administración de Riesgos Tecnológicos
Seguridad Informática
Mejora de Procesos
Análisis de Fraude Informático…
4 Noviembre 2007
I.- Introducción (II)
Estado del Arte en materia de seguridad. Auditoría (II)
Las conclusiones, de estas auditorías, se resumen en una enumeración de aspectos positivos y recomendaciones de mejora, sin llegar a evaluar nuestro sistema informático.
Por ejemplo: Acotando el sistemadentro de los nivelesde madurez sugeridos por el CMMI
5 Noviembre 2007
I.- Introducción (III)
•Objetivos del Proyecto
MEJORADO
TiempoC
alid
ad d
e S
ervi
cio
MÁS BARATO
Tiempo
Cos
te d
el S
ervi
cio
MÁS RAPIDO
Tiempo
Tie
mpo
de
Ent
rega
ALINEADO
Tiempo
Sop
orte
al N
egoc
io
SEGURIDAD CONTROLADA
Tiempo
Rie
sgos
TI
DEPOSITARIO DELVALOR
Creación de un modelo, “Modelo de Madurez de la Seguridad de un Sistema Informático”, en línea con los objetivos generales de la compañía:
6 Noviembre 2007
I.- Introducción (IV)
Controles
Personas
Estructuras&
Papeles
Métricas
Tecnología
Procesos
Asignación de medidas parapersonas, procesos, tecnología
y controles para asegurar elcumplimiento de aquello para
lo que están destinados
Series interrelacionadas deactividades, que
combinadas producenproductos o servicios paraclientes internos o externosTecnología que se
está utilizando en laentrega de servicios TI
Personal que soporta eficaz yeficientemente la administración
de los servicios TI
Asignación de responsabilidadespara el desarrollo de actividadesespecíficas destinadas a grupos
o individuos
Asignación de controles sobre losprocesos TI para asegurar que serealizan eficaz y eficientementeen línea con los requerimientos
de los clientes
¿Qué áreas queremos cubrir dentro de las TI?
7 Noviembre 2007
I.- Introducción (V)
¿Qué ESTÁNDARES nos ayudarán a cubrir las áreas TI?¿Dónde encaja nuestro Modelo SMMIS (objeto del proyecto)?
Controles
Personas
Estructuras&
Papeles
Métricas
Tecnología
Procesos
Asignación de medidas parapersonas, procesos, tecnología
y controles para asegurar elcumplimiento de aquello para
lo que están destinados
Series interrelacionadas deactividades, que
combinadas producenproductos o servicios paraclientes internos o externosTecnología que se
está utilizando en laentrega de servicios TI
Personal que soporta eficaz yeficientemente la administración
de los servicios TI
Asignación de responsabilidadespara el desarrollo de actividadesespecíficas destinadas a grupos
o individuos
Asignación de controles sobre losprocesos TI para asegurar que serealizan eficaz y eficientementeen línea con los requerimientos
de los clientes
ITIL V2ISO27002 - Parcialmete
COBIT 4.1SMMIS (Proyecto)
ITIL V2COBIT 4.1 - ParcialmenteISO 27002 - ParcialmenteITIL V2 - Parcialmente
SMMIS (Proyecto)?
COBIT 4.1SMMIS (Proyecto)
8 Noviembre 2007
I.- Introducción (VI)
Recomendaciones
Controles
Personas
Estructuras&
Papeles
Métricas
Tecnología
Procesos
COBIT 4.1SMMIS (Proyecto)
ITIL V2COBIT 4.1 - ParcialmenteISO 27002 - Parcialmente
ITIL V2 - Parcialmente
SMMIS (Proyecto)?
ITIL V2ISO27002 - Parcialmete
COBIT 4.1SMMIS (Proyecto)
Usar CObIT 4.1 y SMMIS (Proyecto) para determinar el estado actual de salud de la Seguridad Identificar debilidades en los Procesos y Controles. Usar ITIL V2 para mejorar los Procesos y Controles TI, ayudándonos ISO27002 y SMMIS (Proyecto) para mejorar los Procesos y Controles de Seguridad Usar ITIL V2 para determinar la Tecnología Usar Cobit 4.1 y SMMIS (Proyecto) para definir las Métricas Preguntar a ITIL V2 sobre posibles Estructuras
Respecto a los 4 estándares (CObIT 4.1, ITIL V2, SMMIS & ISO27002): No se producen contradicciones o solapamientos reales, No se identifican requisitos de personalNo son fuertes desde el punto de vista organizativo (estructuras y roles)No son fuertes del lado de la tecnología
9 Noviembre 2007
II.- Concienciación en la Seguridad de la Información
Implementación de un programa “Concienciación de los Usuarios”
Componentes:
Concienciación: El proceso de aprendizaje que establece las etapas para el entrenamiento de la actitudes individuales y organizacionales
Entrenamiento: Producir habilidades y competencias en Seguridad
Educación: Producir especialistas en Seguridad TI
Seguridad de la Información. 3 Pilares: la Tecnología, los Procesos y las Personas
10 Noviembre 2007
III.- Estado del Arte (I)
* CObIT 4.1
* ITIL V2
* Serie ISO 27000
* CMMI. SSE-CMM. ISO/IEC 21827:2007
11 Noviembre 2007
III.- Estado del Arte (II)
CObIT 4.1 Código de Buenas Prácticas para el manejo de la información. Su misión: Investigar, desarrollar, publicar y promover un conjunto internacional, autorizado y actual de objetivos de control en Tecnología de la Información, generalmente aceptados, para el uso cotidiano de la dirección de
la empresa (Gerentes), usuarios y auditores.
12 Noviembre 2007
III.- Estado del Arte (III)
ITIL V2 marco de procesos de Gestión de Servicios de TI más aceptado, nace como un código de buenas prácticas dirigidas a alcanzar las metas TI mediante:
Un enfoque sistemático del servicio TI centrado en los procesos y procedimientos El establecimiento de estrategias para la gestión operativa de la infraestructura TI
ITIL
Código Proceso Proceso de la Gestión de Servicios
SD.1.0 Gestión del nivel de servicio (SLM)
SD.2.0 Gestión financiera de los servicios TI
SD.3.0 Gestión de la capacidad
SD.4.0 Gestión de la continuidad del servicio (SCM) TI
SD.5.0 Gestión de la disponibilidad
SS.1.0 Service desk
SS.2.0 Gestión de incidentes
SS.3.0 Gestión de problemas
SS.4.0 Gestión de las configuraciones
SS.5.0 Gestión del cambio
SS.6.0 Gestión de entrega (liberación)
13 Noviembre 2007
A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares.
III.- Estado del Arte (IV)
Revisión por:• NCC (Centro
Nacional de Computación)
• Consorcio usuarios
1993
Estándar nacional británico
1995
Estándar Internacional(Fast Track)
1999 2000
Revisión periódica(5 años)
2005
Nuevo estándar nacional certificable
Estándar Internacional
1998 2002
Revisión conjunta de las partes 1 y 2
Revisión y acercamiento a:• ISO 9001• ISO 14001• OCDE
1999 2005
Centro de Seguridad de Informática Comercial del Reino Unido (CCSC/DTI)
1989
Revisión conjunta de las partes 1 y 2
■ Certificable
Código de prácticas para usuarios
■ PD0003 Código de prácticas para la gestión de la seguridad de la información
■BS 7799
■BS 7799-1
:1999
■ISO/IEC
17799 :2000
■ISO/IEC 27002 (ant. ISO/IEC 17799 :2005)
■
BS 7799-2 :2002
■BS 7799-2
■BS 7799-2
:1999
■ISO/IEC 27001
:2005
■■ No certificable
14 Noviembre 2007
CMMI. SSE-CMM. ISO/IEC 21827:2007.
III.- Estado del Arte (IV)
• Evaluar sus prácticas de ingeniería de seguridad y definir mejoras. • Base para las organizaciones que evalúan ingeniería de seguridad, con
objeto de establecer confianzas organizativas basadas en la capacidad.• Mecanismo estándar para que los clientes evalúen en un proveedor su
capacidad de ingeniería de la seguridad.
15 Noviembre 2007
IV.- Normalización en la Seguridad TIC (I)
¿Qué es una Norma?•Especificación TécnicaVoluntariaAccesible al públicoElaborada por consenso de las partes interesadasEn el seno de un organismo reconocidoBasado en la experiencia y desarrollo tecnológico
Beneficios de la Normalización•Para los fabricantes. Racionaliza productos, Disminuye el volumen de existencias, Mejora la
gestión de diseño, Agiliza pedidos, Facilita la comercialización y Simplifica las compras
•Para los consumidores. Establece niveles de calidad y seguridad, Informa del producto yFacilita de comparación
•Para la Administración. Simplifica los textos legales, Facilita políticas, Ayuda al desarrolloeconómico y Agiliza el comercio
16 Noviembre 2007
IV.- Normalización en la Seguridad TIC (II)
La Normalización en Seguridad TI
Origen de las NormasLas normas se elaboran en el seno de los comités técnicos compuestos, de forma equilibrada, por todas las partes interesadas en ese campo.
En lo referente a TI, el comité conjunto Nº1 denominado JTC1 constituido entre los dos organismos internacionales de normalización:ISO & IEC. En él participan 68 países, entre ellos España, a través de AENOR.JTC1 está estructurado en una serie de Subcomités dedicados a un aspecto específico de las TI, en concreto el número 27, es el responsable de todos los aspectos de seguridad, denominándose JTC1/SC27 "Técnicas de Seguridad". Su homólogo a nivel español es el CTN71/SC27, que lleva el mismo nombre.
17 Noviembre 2007
V.- Legislación y Normativa Española (I)
•Ley Orgánica 15/1999, del 13 de Diciembre de Protección de Datosde Carácter Personal –LOPD
Nivel básico, Medio y Alto
Legislación de Seguridad
•Ley 34/2002 del 11 de Julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico - LSSI-CE
Real Decreto 994/1999, de 11 de Julio, Reglamento de Medidas de Seguridad, quedando pendiente la aprobación el reglamento deMedidas de seguridad derivado de la LOPD
Establece los criterios de servicios en Internet, cuando sean parte deactividad económica:• Mostrar en la web: Nombre, NIF, dirección, correo electrónico…•Regulación del comercio electrónico: Prohibición de los spam…
18 Noviembre 2007
V.- Legislación y Normativa Española (II)
Normativa de Seguridad
•UNE-75502:2004: Tecnología de la Información. Especificaciones para los sistemas de Gestión de Seguridad de la Información
•ISO 27002:2007, Sistema de Gestión de Seguridad de Información
19 Noviembre 2007
V.- Legislación y Normativa Española (III)
Criterios de Certificación de Productos de Seguridad
•Antecedentes: ORANGE BOOK-TCSEC & ITSEC (whitebook)
•Actualidad: COMMONCRITERIA v3.1 EDICION 2
1996. V1.0 Common Criteria(Criterios comunes USA-EUR) Iniciativa conjunta para armonizar TCSEC e ITSEC Reconocimiento mutuo de la certificación Mayor interés del sector privado en productos certificados Actualmente CC/CEM v3.1 Ed. 2
Niveles de Evaluación (EAL1 …EAL4…EAL7)*
20 Noviembre 2007
VI.- Medidas, Métricas y Auditorías (I)
•Medidas
Decidir de antemano que vamos a registrar Establecer un plan de destrucción progresiva de logs En cada destrucción hay que guardar parte de la información bien en bruto o bien consolidada Hay que automatizar todo el proceso de captura y gestión de logs para prevenir errores humanos, olvidos y ataques intencionados
January 05
010
2030
4050
6070
8090
100
Total Error
Total Login/Logout
21 Noviembre 2007
VI.- Medidas, Métricas y Auditorías (II)
•Métricas Las métricas materializan el rendimiento de los sistemas. Pueden dividirse en dos grandes grupos: •de efectividad:¿satisfacen los sistemas nuestras necesidades? •de eficiencia: muestra la proporción entre •medios y resultados
Medidas deSeguridad
Tiempo
Métricas de Seguridad(significativas, reproducibles,
objetivas y progresivas)
Gráfica 1
•Métricas para la Seguridad de la Información•De gestión: en qué medida se cubren todos los componentes del sistema y cuán a menudo se revisan •Técnicas: en los componentes técnicos hay múltiples aspectos de rendimiento que son relativamente fáciles de medir•Del Entorno Físico: un sistema existe en un entorno real•Del Personal: las personas especifican, construyen,…y usan los sistemas
22 Noviembre 2007
Métrica Supuesta Medición PeligrosNúmero de virus o códigos malignos detectados (T)
Eficacia de los controles antivirus automáticos
¿Por qué pasan tantos virus en primer lugar?¿Cuántos pasaron y nunca se detectaron?
Número de incidentes e investigaciones de seguridad (T)
Nivel de actividad de la monitorización de eventos de seguridad
¿Qué umbral desencadena un incidente o una investigación?¿Se desencadenan incidentes por defectos en el procedimientos organizativos?
Coste de las brechas de seguridad (T)
Pérdidas económicas reales debidas a fallos de seguridad
¿Qué riesgos residuales eligió asumir la empresa?¿Es una medida de la respuesta ante crisis o desastres, pero no necesariamente función de las salvaguardas sensatas implantadas?
Recursos asignados a las funciones de seguridad (T/P)
Coste económico real de utilizar un programa de seguridad
¿Son ineficientes las herramientas, tareas asignadas o procedimientos, llevando al personal a perder tiempo?
Cumplimiento de las reglas de seguridad (T/E)
Nivel de cumplimiento de los objetivos del programa de seguridad
¿Cómo se relaciona el cumplimiento con la eficacia? ¿Cuál es el orden de cumplimiento? Una vez logrado el cumplimiento, ¿se “acaba” el programa de seguridad?
Ej. Métricas Técnicas de Seguridad Tradicionales
VI.- Medidas, Métricas y Auditorías (III)
23 Noviembre 2007
VI.- Medidas, Métricas y Auditorías (IV)
Indicadores
Abstrayéndose de los detalles, son capaces de transmitir el estado general de salud del objeto. Los indicadores suelen agruparse para su presentación en cuadros, denominados "de mando" que típicamente resumen la salud de la organización desde cuatro puntos de vista:
Salud financiera: gasto y capacidad
Percepción de los clientes y proveedores
Capacidad para una reacción rápida y efectiva
Capital humano: estabilidad, compromiso y capacidad
24 Noviembre 2007
VI.- Medidas, Métricas y Auditorías (V)
Auditoría de Seguridad de las TI desde la Perspectiva de la Normalización
Definición de Auditoría (ISACA).Factores Críticos a considerar:
Distancia entre las políticas y directrices de alto Las limitaciones de recursos técnicos y humanos Legislación relacionada con las TI varía dependiendo del país
Planificación de la auditoría de la seguridad, teniendo en cuenta:Objetivo: emitir una opinión o dictamenAlcance: sistemas, infraestructura, información…
Etapas normales de cualquier auditoría de TI: Análisis y evaluación de riesgosIdentificación de políticasProcesos y procedimientos de control
25 Noviembre 2007
VII.- Modelo de Madurez de la Seguridad de un Sistema Informático (I)
Modelo Descripción Comentarios
Modelo de Madurez de Seguridad TI de NIST CSEAT
Cinco niveles de Madurez progresiva:1. Política2. Procedimiento3. Implantación4. Prueba5. Integración
Centrado en niveles de documentación
Modelo de Evaluación de la Seguridad de la Información de Citigroup (CITI-ISEM)
Cinco niveles de Madurez progresiva:1. Autocomplacencia2. Reconocimiento3. Integración4. Prácticas Comunes5. Mejora Continua
Centrado en concienciación y adaptación por parte de la organización
Modelo de Madurez COBIT®
Cinco niveles de Madurez progresiva:1. Inicial/ad hoc2. Repetible pero intuitivo 3. Proceso definido4. Gestionado y medible5. Optimizado
Centrado en procedimientos específicos de auditoría
Modelos de Madurez de la Seguridad PublicadosPor alguna razón, cada uno ellos, tienen cinco niveles de madurez:
26 Noviembre 2007
Modelo SSE-CMM Cinco niveles de Madurez progresiva:1. Realizado informalmente 2. Planificado y perseguido3. Bien definido4. Controlado cuantitativamente5. Continuamente mejorado
Centrado en Ingeniería de Seguridad y diseño de software
Evaluación de la Capacidad de la Seguridad de CERT/CSO
Cinco niveles de Madurez progresiva:1. Existente2. Repetible 3. Persona designada
4. Documentado5. Revisado y actualizado
Centrado en la medición de la calidad relativa a niveles de documentación
Modelos de Madurez de la Seguridad Publicados (II)
VII.- Modelo de Madurez de la Seguridad de un Sistema Informático (II)
Estos modelos previos al SMMIS, sufren tres deficiencias clave:
•Confunden calidad con existencia
•Necesitan ser adaptados específicamente a la organización
•No dirigen necesariamente el programa hacia un objetivo organizacional concreto, por lo que no funcionan bien para un programa de seguridad
27 Noviembre 2007
Controles Modelo de Madurez de la Seguridad de un Sist. Informático
VII.- Modelo de Madurez de la Seguridad de un Sistema Informático (III)
5.- Política de Seguridad TI, IT Security Policy Obj.Control 1, Controles 2
6.- Organización de la Seguridad de la Información, Obj.Control 2, Controles 11 Organizing Information Security
7.- Clasificación y Control de Activos, Obj.Control 2, Controles 5
Asset Classification and Control8.- Seguridad Relativa al Personal, Obj.Control 3, Controles 10
Human Resources Security9.- Seguridad Física y del Entorno, Obj.Control 2, Controles 13
Physical and Environmental Security10.- Control de Accesos, Access Control Obj.Control 10, Controles 32
11.- Desarrollo y Mantenimiento de Sistemas, Obj.Control 7, Controles 27
Information Systems Development and Maintenance12.- Gestión de comunicaciones y operaciones, Obj.Control 6, Controles 18
Communications and Operations Management13.- Gestión de Incidentes de la Seguridad de la Inforamción, Obj.Control 2, Controles 5
Information Security Incident Management14.- Gestión de Continuidad de Negocio, Obj.Control 1, Controles 5
Business Continuity Management15.- Conformidad, Compliance Obj.Control 3, Controles 10
28 Noviembre 2007
Métricas Modelo de Madurez de la Seguridad de un Sist. Informático
Propuesta para el Modelo de Madurez de la Seguridad de un Sistema Informático
Niv
el
de
Ca
pa
cid
ad
1 -
Po
líti
ca
s
De
sa
rro
lla
da
s
Niv
el
de
Ca
pa
cid
ad
2 -
Pro
ce
dim
ien
tos
De
sa
rro
lla
do
s
Niv
el
de
Ca
pa
cid
ad
3 -
Pro
ce
dim
ien
tos
y C
on
tro
les
Imp
lem
en
tad
os
Niv
el
de
Ca
pa
cid
ad
4 -
Pro
ce
dim
ien
tos
y C
on
tro
les
Pro
ba
do
s
Niv
el
de
Ca
pa
cid
ad
5 -
Pro
ce
dim
ien
tos
y C
on
tro
les
Inte
gra
do
s
Puntos de Control (138 puntos)22 ptos. 43 ptos. 58 ptos. 12 ptos. 3 ptos.
Nivel 0 0Nivel 1 - Realizado informalmente 1Nivel 2 - Planificado y perseguido 1 2Nivel 3 - Bien definido 1 2 3Nivel 4 - Controlado cuantitativamente 1 2 3 4Nivel 5 - Continuamente mejorado 1 2 3 4 5
VII.- Modelo de Madurez de la Seguridad de un Sistema Informático (IV)
29 Noviembre 2007
Division/BU: IT Security Areas
Cap
abili
ty L
evel
1 -
P
erfo
rmed
Info
rma
lly
Cap
abili
ty L
evel
2 -
P
lan
ne
d a
nd
Tra
cked
Cap
abili
ty L
evel
3 -
Wel
l D
efin
ed
Cap
abili
ty L
evel
4 -
Q
uan
tita
tive
ly
Co
ntr
olle
d
Cap
abili
ty L
evel
5 -
C
on
tin
uo
usl
y Im
pro
vin
g
Deg
ree
of
task
fu
lfill
men
t in
per
cen
tag
e
Comments
5. IT Security Policy 5.1 Information security policy
5.1.1 Information security policy document 70% Refxx: Normativa de Utilización de los SI 5.1.2 Review and evaluation 50% Auditorías Internas y Externas periódicas 6. Organizing Information Security 6.1 Internal Organization 6.1.1 Management commitment to information security 70% Proceso: Objetivos anuales RRHH
6.1.2 Information security co-ordination 65% Reuniones cuatrimestrales de seguridad con el Grupo
6.1.3 Allocation of information security responsibilities 65% Intranet: Descripción del Equipo
6.1.4 Authorisation process for information processing facilities 80% Procesos en los Sist. De Información
6.1.5 Confidentiality Agreements 70% Como parte de la Política de Seguridad
6.1.6 Contact with authorities 60% Taking in account in the Level 3: Procedures and Controls Implemented
6.1.7 Contact with special interest groups 60% Taking in account in the Level 3: Procedures and Controls Implemented
6.1.8 Independent review of information security 60% Auditorías Internas, externas y corporativas se llevan a cabo periódicamente
6.2 External Parties
6.2.1 Identification of risks related to external parties 60%
6.2.2 Addressing security when dealing with customers 50%
6.2.3 Addressing security in third party agreements 50% 7. Asset Classification and Control 7.1 Responsability for assets
7.1.1 Inventory of assets 65% Como parte de la Política de Seguridad
7.1.2 Ownership of assets 65% Como parte de la Política de Seguridad
7.1.3 Acceptable use of assest 65% Como parte de la Política de Seguridad
VII.- Modelo de Madurez de la Seguridad de un Sistema Informático (V)
Ejemplo: .\smmis_presentación.xls
Implementación del Modelo:
30 Noviembre 2007
VII.- Modelo de Madurez de la Seguridad de un Sistema Informático (VI)
Aportaciones del Modelo de Madurez de la Seguridad de un Sistema Informático :
Separar 138 controles en 5 niveles dependiendo de la propia definición de la ISO 27002, antigua ISO 27002.
Encajar las descripciones del Modelo ISO 21827:2002, antiguo SSE-CMM, con las definiciones de controles de la ISO 27002.
Proponer perfiles de empresa dependiendo de factores como: nº de empleados, ámbito de la empresa, etc.
La propia evaluación del modelo nos indicará: Nivel alcanzado por la empresa Puntos fuertes –sobrepasan el nivel de acreditación entregado –Puntos débiles – aquellos por los que no se entrega un nivel de acreditación mayor -.
31 Noviembre 2007
VIII.- Conclusiones
- Evaluar sistemas de seguridad, respecto a estándares reconocidos, y obtener el nivel de madurez del evaluado
- “Modelo de Madurez de la Seguridad de un Sistema Informático”. Explícito, sencillo y fácil de interpretar.
- Versatilidad en su aplicación. Objetivo de madurez respectoal perfil de la empresa o con ánimo de “mejora continua”.
- Necesidad de personas independientes especializadas en elárea de seguridad TI
•Ventajas del Modelo
•Inconvenientes del Modelo
32 Noviembre 2007
IX.- Líneas Futuras
1.- Identificar perfiles de compañías para los distintos niveles
2.- Mayor aproximación al Modelo SSE-CMMEj. 15.1.6 Regulation of cryptographic controls
3.- Integración de nuestro Método con los nuevos estándaresITIL & CobIT
4.- Modelo de Gestión 27000: Modelo de Gestión de la Seguridad de la Información
33 Noviembre 2007
Gracias por su atención…
¿Preguntas?