TEORA Y PRCTICA DEL ANLISIS DE RIESGO BAJO LA PTICA, METODOLOGA Y RECOMENDACIN DE LA NORMA ISO 27005

EDGAR ORLANDO BONILLA SALAMANCA

ESCUELA COLOMBIANA DE INGENIERIA JULIO GARAVITO SEGURIDAD INFORMTICA BOGOT D.C 2011

Proyecto Seguridad Informtica

Pgina 1

TEORA Y PRCTICA DEL ANLISIS DE RIESGO BAJO LA PTICA, METODOLOGA Y RECOMENDACIN DE LA NORMA ISO 27005

EDGAR ORLANDO BONILLA SALAMANCA

Proyecto del semestre. Anlisis de riesgo segn norma ISO 27005.

PROFESOR JAIME HERNANDO RUBIO RINCON

ESCUELA COLOMBIANA DE INGENIERIA JULIO GARAVITO SEGURIDAD INFORMTICA BOGOT D.C 2011

Proyecto Seguridad Informtica

Pgina 2

CONTENIDO INTRODUCCION..4 ABSTRACCIN DEL TEMA..........5 INTRODUCCIN AL ESTUDIO..6 OBJETIVO DEL ESTUDIO..7 ALCANCE PRECISO...8 DESARROLLO TEORICO...9 DESARROLLO PRACTICO..12 Amenazas existentes en el centro de OSIRIS13 Amenazas existentes RACK principal de la ECI...19 Amenazas existentes laboratorios de Sistemas y Universidad..............21 DATOS INTERESANTES..........................................................................25 BIBLIOGRAFIA..........................................................................................26

Proyecto Seguridad Informtica

Pgina 3

INTRODUCCIN. Con la puesta en marcha de este proyecto se espera obtener como resultado del mismo un documento en el que se haga nfasis en el anlisis de riesgos de una organizacin bajo la ptica y recomendaciones que se tienen establecidas legalmente con la norma ISO 27005 del 2008. Tomando como referencia lo que implica la realizacin de un anlisis de riesgo dentro de cualquier contexto u organizacin, el cual trata de contestar estos tres grandes interrogantes. Que se necesita proteger? De qu hay que protegerlo? Cmo realizar la proteccin? Cabe resaltar que la organizacin que se enmarca dentro de este documento ser la universidad Escuela Colombiana de Ingeniera Julio Garavito, una entidad educativa privada sin nimo de lucro ubicada en la ciudad de Bogot ms exactamente en la AK. 45 No. 205-59 (Autopista Norte), en la cual como su nombre lo enmarca se encuentran a disposicin un sin nmero de carreras profesional basadas en su gran mayora en Ingenieras acompaadas con carreras profesionales como Economa, Matemticas y Administracin de Empresas con nfasis en Negocios Internacionales.

Proyecto Seguridad Informtica

Pgina 4

ABSTRACCIN DEL TEMA. En esta poca tan digitalizada en la que nos encontramos toda organizacin es casi obligada a incorporar en sus operaciones diarias algn tipo de herramienta de las TI para su desarrollo y procesos cotidianos. Por tal motivo es tan importante antes de invertir montones de dinero en los mismos realizar un anlisis de riesgos que estos puedan llegar a tener (o tiene) en la ejecucin de sus labores cotidianas, para no incurrir a futuro en gastos que de pronto no son del todo seguros por el riesgo tan alto de que puedan perderse o daar mas las operaciones internas que maneja la organizacin. Pues bien para nadie es desconocido que los activos informticos y los activos de la informacin son quienes en un determinado momento brindan ese soporte esencial dentro de una compaa para conocer y diagnosticar las operaciones a realizar dentro de la misma y de un modo evaluar el logro de los objetivos y metas propuestas, pero en ocasiones pasamos por alto los riesgos a los que estos activos los tenemos expuestos ya sea por las condiciones en las que estn operando o sencillamente por el uso descontrolado que sufren. Por tal motivo y para no caer en pnico si alguno de estos activos sufre algn dao, gracias a un conjunto de lineamientos y procesos contemplados en la ISO 27005 del 2008, se espera ayudar a la implementacin de un sistema de seguridad de la informacin basado en la gestin del riesgo, para que esos riesgos que se contemplen en el anlisis previo a la organizacin y a sus activos sean mitigados y de cierto modo reparados con el transcurrir de los procesos que nos recomienda ejecutar esta norma internacional ya acogida como un estndar en la seguridad informtica.

Proyecto Seguridad Informtica

Pgina 5

INTRODUCCIN AL ESTUDIO. El realizar un anlisis de riesgos en una organizacin es importante y dira yo obligatorio para el desarrollo y operacin de un sistema de seguridad de la informacin y en s mismo para las operaciones cotidianas que transcurren dentro de una empresa. Ya que en este anlisis se estn dejando las bases para la construccin del modelo de seguridad con el que va a contar la compaa y se estn representando todos los activos (informticos y de la informacin) con los que se van a contar y las amenazas a los cuales estn expuestos y deben en lo posible disminuirse para que no afecte las operaciones cotidianas de la organizacin por si sufren algn dao. Es por eso que me pondr en la tarea de realizar este estudio lo mas exhaustivo posible a la universidad a la cual pertenezco realizando mis carreras profesionales de Ingeniera de Sistemas y Administracin de Empresas, para entregar un documento que sea til para las labores cotidianas que en est transcurren ao tras ao y en los cuales he notado un sin nmero de riesgos que se tiene en sus instalaciones y que pueden repercutir negativamente en daar los activos informticos y de la informacin con los que se operan.

Proyecto Seguridad Informtica

Pgina 6

OBJETIVO DEL ESTUDIO. Bsicamente lo que se quiere llegar a buscar con este tema es mirar la importancia de realizar en una organizacin (sin importar el modelo operativo que maneje) el anlisis de riesgos referente a la informacin que est maneja. Todo esto siendo posible con el conjunto de guas y lineamientos para el manejo y control de los riesgos en la seguridad de la informacin los cuales estn contemplados en un estndar de carcter internacional como lo es la ISO 27005 del 2008, en el cual tericamente dan una consecucin de procesos para la realizacin de esta labor y la comprensin de los resultado obtenidos de los mismos para su respectiva evaluacin. Siendo todo lo anteriormente expuesto resumido con la siguiente imagen.

Imagen tomada de http://www.miguelangelhernandez.es/?p=607

Proyecto Seguridad Informtica

Pgina 7

ALCANCE PRECISO. Para comenzar se propone obtener los permisos necesarios con las personas responsables de estos activos informticos y de la informacin para que puedan otorgarme el visto bueno de visitas a los centros donde se encuentra toda la operacin informtica principal de la Escuela Colombiana de Ingeniera Julio Garavito. Seguido de esto y ya con este visto bueno me pondr en la tarea de consultar y ejecutar todos los lineamientos (en lo posible) que se nos presentan en la ISO 27005 del 2008 para la realizacin de un anlisis de riesgo dentro de las instalaciones. Cabe anotar que cuento con un tiempo relativamente corto para la realizacin del mismo debido a mis otros deberes acadmicos adquiridos en este semestre y dependo en la gran mayora de la ayuda y horarios de atencin que en los centros informticos puedan prestarme, no siendo esto una excusa para en lo que est a mi alcance poder aprovechar estos recursos y poder entregar un documento acorde a lo establecido para la entrega final del proyecto y cumplir a cabalidad y satisfaccin lo que se espera como producto del mismo. Un dato para resaltar y que se debe tener muy presente en este trabajo y sus resultados, es que la norma ISO 27005 no ofrece como tal una metodologa especfica o estndar para la realizacin de un anlisis de riesgo de la informacin dentro de una organizacin, debido a que depende en su gran mayora del modelo operacional y estratgico que ejecute la misma para poder realizar este anlisis de riesgos y es distinto en cada organizacin.

Proyecto Seguridad Informtica

Pgina 8

DESARROLLO TEORICO. Antes de comenzar a desarrollar este trabajo se me hace til e importante resaltar que la norma ISO 27005:2008 hace necesario que se tengan en cuenta y claros los conceptos, terminologas y premisas que se dan en las anteriores normas ISO que tengan que ver con el SGSI, como lo son: NTC-ISO/IEC 27001:2006 Sistema de Gestin de la Seguridad de la Informacin (SGSI), Requisitos y auditoria. NTC-ISO/IEC 27002:2007 Cdigo de prctica para la Gestin de la Seguridad de la Informacin. A continuacin dar y enunciare en mis palabras conceptos que se nos enumera en la norma ISO 27005 y que son claves tener en cuenta para entender el contenido de este documento y que son los que ms se resaltan en las norma ISO anteriormente mencionadas. Impacto: Es el resultado de medir la forma como se afectaron los niveles propuestos de una organizacin en pro de alcanzar sus objetivos. Riesgo: Es la forma como una amenaza puede llegar a afectar las vulnerabilidades de los activos informticos y de la informacin causando un dao en las operaciones de una organizacin. Evitar un riesgo: Es la forma en la que se opera y las acciones de echo que se toman para no verse afectado por la materializacin de un riesgo. Comunicacin de riesgos: Es la accin de compartir informacin del riesgo a personas que estn interesadas en el mismo o que de un modo se vean afectadas por la materializacin del mismo. Estimacin del riesgo: Es la asignacin de la probabilidad de ocurrencia de un riesgo y las consecuencias que este traera a la organizacin. Identificacin del riesgo: Proceso de encontrar, enumerar y describir los componentes de un riesgo Reduccin del riesgo: Acciones que se toman para mitigar la materializacin de un riesgo. Retencin del riesgo: Aceptacin de la prdida o ganancia que se obtiene despus de materializado un riesgo
Pgina 9

Proyecto Seguridad Informtica

Transferencia del riesgo: Es el compartir la prdida o ganancia resultante despus de la materializacin de un riesgo.

Ya enumerado y explicados los siguientes conceptos, entraremos a ver en qu consisten las actividades para la Gestin de la Seguridad en la Informacin que nos propone la norma ISO 27005:2008 los cuales enumerare a continuacin en el orden que la norma ISO nos los da a conocer y se resumir con una tabla que la norma nos ofrece. 1. 2. 3. 4. 5. 6. Establecimiento del contexto. Valoracin del riesgo. Tratamiento del riesgo. Aceptacin del riesgo. Comunicacin del riesgo. Monitoreo y revisin del riesgo. Proceso de SGSI Planificar Proceso de gestin del riesgo en la seguridad de la informacin. Establecer el contexto. Valoracin del riesgo. Planificacin del tratamiento del riesgo. Aceptacin del riesgo. Implementacin del plan del tratamiento del riesgo Monitoreo y revisin continuos de los riesgos identificados. Mantener y mejorar el proceso de gestin del riesgo en la seguridad de la informacin

Hacer Verificar Actuar

Tabla tomada de la norma ISO 27005:2008 pgina 6

Donde bsicamente se nos recalca que la gestin del riesgo en la seguridad de la informacin debe ser siempre un proceso continuo dentro de una organizacin, en donde se enmarquen y se sigan los siguientes procesos a mencionar. 1. Establecer el contexto. 2. Evaluar los riesgos. 3. Tratar los riesgos, dado un plan previo de tratamiento. Todo lo anterior resaltado para llegar a mencionar los beneficios que se obtendran al aplicar a cabalidad lo enunciado y trabajado en este documento dentro de las instalaciones de la Escuela Colombiana de Ingeniera Julio Garavito (ECI) y ms especficamente al departamento o rea de OSIRIS que en gran medida son los responsables de manejar y velar por el optimo funcionamiento de los activos informticos y de la informacin.

Proyecto Seguridad Informtica

Pgina 10

1. Identificacin ms exacta de los riesgos que se tienen o se pueden llegar a tener con el pasar del tiempo en las instalaciones del claustro educativo. 2. Valoracin de los riesgos, enmarcando principalmente las consecuencias para la organizacin y la probabilidad de ocurrencia dentro de la misma. 3. La comunicacin y entendimiento previo de las consecuencias que traera el desarrollo de un determinado riesgo dentro de la ECI. 4. Orden de prioridad para el tratamiento de los riesgos que ms afectaran a la comunidad educativa. 5. Acciones de hecho para reducir en gran medida la ocurrencia de la probabilidad de ese riesgo dentro del claustro educativo. 6. Una comunicacin constante entre los miembros que se ven involucrados en la toma de decisiones dentro de la ECI para no ver afectada las operaciones que en esta transcurren diariamente. 7. Un control ms exhaustivo de los procesos que conllevan a la seguridad de la informacin dentro de la ECI. 8. Capacitacin del personal que maneja el SGSI en la ECI, acerca de los riesgos y acciones que han de tomarse para mitigar el impacto de un riesgo si este se diera.

Proyecto Seguridad Informtica

Pgina 11

DESARROLLO PRCTICO. Establecimiento del contexto. Entrada: Como se referencia al inicio del documento, este anlisis de riesgos se va a realizar a una entidad de educacin superior ubicada en Bogot, cuyo NIT es 860.034.811-3 y es constituida con el de carcter de privada con el nombre de la Escuela Colombiana de Ingeniera Julio Garavito. En esta se encuentra constituido y conformado un departamento el cual es el encargado de velar por los activos informticos y de la informacin el cual se conoce como OSIRIS y es al que aplica ms directamente el contenido de este documento en cuestin. Accin: Se pretende llegar a alcanzar una valoracin de riesgos y plan de tratamiento de los mismos, en lo que concierne al SGSI en la ECI y ms exactamente a como lo administra el departamento menciona anteriormente (OSIRIS), esto para evaluar la disponibilidad, privacidad, integridad y autenticidad en los en las operaciones que se rigen diariamente en los servidores e instalaciones de la universidad. Mirado esto desde el impacto que se generara si estas operaciones fallaran o fuesen alteradas y se viera en peligro un deterioro en las operaciones que corren dentro de sus instalaciones, prdidas financieras y el renombre de la institucin todo esto por deficiencias o brechas activas en la SEGI Gua de implantacin: El propsito de impartir este anlisis de riesgos dentro de la ECI es dar un nuevo Soporte al SGSI actual que maneja la universidad y muy superficialmente preparar un plan de contingencia para que no se vea afectada la continuidad del negocio por los riesgos que se lleguen a encontrar dentro de sus instalaciones y operaciones a evaluar e investigar. Valoracin del riesgo en la seguridad de la informacin. Entrada: Acceso a los sistemas que manejan los activos informticos y de la informacin crucial dentro de las operaciones criticas que transcurren dentro de la ECI, tal como las salas de los servidores principales de la universidad y que son manejados y administrados por el departamento de OSIRIS. Accin: Identificar, describir los riesgos que se tienen dentro de las salas de los servidores en la ECI.

Proyecto Seguridad Informtica

Pgina 12

Gua de implantacin: Amenazas existentes en el centro de OSIRIS. 1. Seguridad fsica y del entorno. Activo Amenaza Zona de data Deficiencia de center medidas de seguridad para el ingreso al data center con su puerta de acceso.

Control existente Autorizacin previa para ingresar al data center y visita guiada con su respectivo acompaante.

Consecuencias Siendo esta una puerta que no opone cierta resistencia para ser accedida es posible que personal no autorizado ingrese al data center. Consecuencias Imposibilidad de detectar a responsables si se llega a perder o a daar algn elemento dentro del recinto, por falta de pruebas verdicas o reales.

Activo Amenaza Zona de data Deficiencia de center medidas de seguridad para ingresar al data center, ya que no se posee un sistema de video que registre los movimientos que all transcurren.

Control existente Autorizacin previa para ingresar al data center y visita guiada con su respectivo acompaante.

Recomendaciones.

Proyecto Seguridad Informtica

Pgina 13

Adquisicin de nuevas tecnologas para integrarlas a la seguridad existente en el centro de OSIRIS de la universidad, tales como una puerta de seguridad y una cmara ubicada estratgicamente en los interiores de la oficina que registre el movimiento que se tiene en el centro de computo ms centrado a la zona en la que se encuentran los servidores.

2. Gestin de activos. Activo Servidor DNS. Amenaza Control existente Tener en Ninguno. lugares altos el servidor DNS que opera en las instalaciones de la ECI. Consecuencias Posible destrozo y perdida del servidor si ocurriera un movimiento telrico, debido a que pudiera caer al piso.

Recomendacin. Pasar este servidor a una zona ms segura (niveles inferiores) o incorporarle un mecanismo de seguridad que imposibilite su movimiento.
Proyecto Seguridad Informtica Pgina 14

Activo Workstation para el funcionamiento de la aplicacin Autocad.

Amenaza Control existente Tener en Ninguno. contacto directo este activo con el piso del recinto, debido a que puede ingresarle polvo y daar sus circuitos.

Consecuencias Entrada de polvo, mal funcionamiento y deterioro ms rpido de este activo.

Recomendacin. Igual que en el anterior podra incorporrsele un mecanismo de seguridad que imposibilite su movimiento y lo deje a una altura considerable del piso del data center. Cabe resaltar que en la gran mayora de data center se

Proyecto Seguridad Informtica

Pgina 15

usa el piso falso para quitar estos inconvenientes y mejorar todo el cableado de red y electricidad que se usa.

Activo Servidor principal.

Amenaza Mantener este activo limpio y protegido contra la corrosin que puede llegar a tenerse dentro de la sala de servidores principales.

Control existente Me informan que por lo general se mantena cerrado. (No pareciendo por la cantidad de polvo que en este se encontr)

Consecuencias Daar el activo debido al polvo que se le est acumulando.

Recomendacin. Mantener este activo y la cubierta que lo protege cerrado y en constante aseo. Pudindosele adaptar un candado al mismo para que sea abierto solo por el personal autorizado y nadie ms y as prevenir que le caigan residuos a la maquina.
Nota: Se tiene unos Sistemas Operativos recomendados (Linux y Windows server 2008)

3. Marco legal y cumplimiento. Activo Amenaza Control existente Zona de data Tener el nico Ninguno.
Proyecto Seguridad Informtica

Consecuencias Sanciones por

Pgina 16

center.

extintor de la sala en el piso. Este sin ninguna clase o norma de seguridad industrial. Y sin su sealizacin pertinente.

no cumplir con los estndares de seguridad industrial. Vindose en riesgo la continuidad del negocio si ocurriese una conflagracin.

Recomendacin. Adquisicin de un estante para colocar este utensilio, siendo solo este insuficiente para extinguir un incendio y necesitndose por lo menos otros 3 (tres) con su respectiva sealizacin dentro de la zona en la que opera el data center de la ECI.

4. Seguridad de los recursos humanos. Activo Amenaza Control existente Zona de data Exposicin Ninguno
Proyecto Seguridad Informtica

Consecuencias La medicina
Pgina 17

center

constante al personal de OSIRIS, a los campos e impulsos magnticos y elctricos que producen todos los servidores.

afirma que el funcionamiento del corazn se ve afectado, cuando est se expone a grandes campos e impulsos magnticos.

Recomendacin. Pensar en la reubicacin de este departamento o la adecuacin de otros espacios para el data center. Como anotacin cabe destacar que segn recomendaciones hechas por el docente Jaime Rubio Rincn los grandes data centers se encuentran en niveles inferiores o subterrneos de una organizacin para prevenir y

Proyecto Seguridad Informtica

Pgina 18

protegerlos de posible terremotos (Obviamente en zonas de baja influencia de agua, para prevenirse de inundaciones).

Amenazas existentes en el RACK principal de la ECI. 1. Seguridad fsica y del entorno. Activo Amenaza Control existente Zona del Conflagraciones Ninguno RACK a causa del principal de la desorden en los ECI. cables que se encuentran en el RACK.

Consecuencias Con la gran cantidad de cables esparcidos en el interior del recinto estos pueden llegar a ocasionar un corto circuito.

Recomendacin. Dar una mejor organizacin a este espacio tan vital para la operacin de la ECI. Tomando como ejemplo otras organizaciones y la manera como organizan el cableado de forma canalizada.

Proyecto Seguridad Informtica

Pgina 19

Activo Zona del RACK principal de la ECI.

Amenaza Control existente Falta de alarma Ninguno que avise si se ocasiona un incendio. Teniendo en cuenta adems que el techo es de madera un material inflamable.

Consecuencias Prdida de tiempo valioso para actuar como lo es debido, en el caso de que se originare un incendio.

Recomendacin. Adecuacin del techo del recinto donde opera el RACK con otro material y adems la instalacin de una alarma contra incendios. (Tal como se encuentra en el data center de la ECI)

Proyecto Seguridad Informtica

Pgina 20

Amenazas existentes laboratorios de Sistemas y Universidad. 1. Seguridad fsica y del entorno. Activo Amenaza Control existente Zona del Conflagraciones Ninguno laboratorio de a causa del infraestructura desorden en los computacional. cables que se encuentran en el laboratorio.

Consecuencias Con la gran cantidad de cables esparcidos en el interior del recinto estos pueden llegar a ocasionar un corto circuito.

Recomendacin. Dar una mejor organizacin a estos espacios tan vitales para la operacin de los laboratorios y de los estudiantes que a diario hacen uso de los mismos.

Proyecto Seguridad Informtica

Pgina 21

2. Adquisicin, desarrollo y manutencin de sistemas de informacin. Activo Amenaza Control existente Zona del Falta de un SW Hasta el da de este laboratorio del que proteja el informe van 5 das B0. PC contra el sin el antivirus. malware que existe en la actualidad. Consecuencias Alta probabilidad de adquirir e infectar las estaciones de trabajo con un virus que dae la informacin o los perifricos.

Recomendacin. Renovar nuevamente las licencias de los antivirus para las estaciones de trabajo de los laboratorios en la universidad. Debido a que las maquinas a diario son utilizadas por una cantidad considerable de usuarios y estos acceden mucho a servicios de internet y en este se encuentran muchos virus.

3. Gestin de activos.
Proyecto Seguridad Informtica Pgina 22

Activo Amenaza Control existente Zona de Permitir la Ninguno. laboratorios. conexin de memorias removibles (USB).

Consecuencias Infeccin de virus a las estaciones de trabajo por medio de la conexin y uso de esos dispositivos removibles.

Recomendacin. Existen programas antivirus (como MX ONE) que son enfocados a dispositivos removibles y que al momento de conectar uno de estos dispositivos, primero los analiza para confirmar que no tenga ningn virus. Otra noticia positiva es que es totalmente gratuito y libre de adware, spyware y virus.

4. Continuidad del negocio, acompaado de manejo de incidentes.

Proyecto Seguridad Informtica

Pgina 23

Activo Todas las instalaciones del Claustro educativo.

Amenaza El tener solo un proveedor de internet como lo es ETB.

Control existente Estar en la lista de ETB como Grandes Clientes y por ende asegurar un rpido y ptimo soporte cuando as se necesite.

Consecuencias Quedar sin el servicio de internet, generando fallas o interrupciones en el servicio.

Recomendacin. Adquirir con otro proveedor de internet un contrato, de modo que se apoye con el existente y as prevenir interrupciones en el servicio dentro de todas las operaciones y labores cotidianas que transcurren en la universidad.

DATOS INTERESANTES.

Proyecto Seguridad Informtica

Pgina 24

Tras las visitas realizadas me doy cuenta que OSIRIS cuenta con una arquitectura organizacional bien definida y sus roles dentro del departamento se encuentran distribuidos satisfactoriamente. Siendo esta una razn primordial e importante que se recomienda tener en la norma ISO 27005:2008, ya que se ha de identificar rpidamente las personas a cargo de la toma de decisiones en momentos que se necesite con urgencia la intervencin de un nivel superior (escalar) para as implementarlas y comunicar las medidas a tomar en algn evento inesperado. Debido a que son ellos los que han de tomar las medidas necesarias rpidamente cuando as se necesite. Llegando a identificar con todo esto, que dentro del departamento de OSIRIS se coordinan procesos de vital importancia para la Universidad y que hay personal identificado para cada tarea y soporte. 1. Coordinador de OSIRIS: Julin Garca Mesa. 2. Coordinador de Produccin: Jimmy 3. Coordinador de Infraestructura: Javier Ros Gmez. Dndome ellos a conocer unas de las diferentes labores que se tienen dentro del departamento como lo son: (1) 1. Se encuentran entre 2 y 3 personas, cuya funcin se centra en desarrollar productos SW para la Universidad. 2. Las contraseas de vital importancia con las que se protegen los servidores son de conocimiento de las 3 personas mencionadas anteriormente, adems son quienes tienen el control y total acceso a documentos importantes que los centros informticos manejen. 3. Los back up que se realizan a estos servidores, es una labor que se realiza a diario automticamente dos veces por da. Entre las (10:00pm 6:30am) 4. Los mantenimientos al data center, se tiene como protocolo informar a la comunidad educativa con un plazo de 3 a 4 das, por lo general se realizan los sbados para no interrumpir en gran medida las labores cotidianas en la universidad y no afectar a los usuarios drsticamente.

(1) Cabe anotar que esta informacin es de alta sensibilidad y toda organizacin es cautelosa en comunicarla con alto grado de detalle.

BIBLIOGRAFIA.
Proyecto Seguridad Informtica Pgina 25

Norma ISO 27005:2008 http://www.iso27001security.com/html/27005.html http://www.miguelangelhernandez.es/?p=607 http://www.27000.org/iso-27005.htm http://sgsi-iso27001.blogspot.com/2008/06/ms-informacin-sobreiso-270052008.html http://www.segurinfo.org.ar/SITIO2009/Programa09/presentaciones /1610_ESET.pdf http://www.mxone.net

Proyecto Seguridad Informtica

Pgina 26