Documente Academic
Documente Profesional
Documente Cultură
Octubre 2018
Nombre de la organización.
Actividad comercial
Reseña histórica
En 1979, nace la propuesta del Centro Universitario Nacional CUN, ofreciendo las
Administración Hospitalaria.
Salud.
Educación Superior.
3
Programación de Computadores.
En el año 2017 se cuenta con 115 Registros Calificados de los Niveles Técnico
Estructura organizacional
Servicio de Internet
Servicio de software
7
[D] Datos/información
Base de datos
Base de datos
Internet
Computadoras de escritorio
Router
8
Switches
Impresora
Fotocopiadora
[COM] Comunicaciones
Red telefónica
Red WiFi
Red LAN
Discos duros
Memorias USB
Almacenamiento en la nube (Dropbox)
Sistemas de vigilancia
Mobiliario
Cableado
[L] Instalaciones
Centro de datos
Área administrativa
Área de atención al usuario
[P] Personal
Escala de valores
Valor Clasificación
10 extremo
9 muy alto
6-8 alto
3-5 medio
1-2 bajo
Dimensiones
las entidades o procesos autorizados tienen acceso a los mismos cuando lo requieren.
[UNE 71504:2008]
1:2004]
10
quien dice ser o bien que garantiza la fuente de la que proceden los datos. [UNE
71504:2008]
de una entidad pueden ser imputadas exclusivamente a dicha entidad. [UNE 71504:2008]
[D] Datos/información
[D] [I] [C] [A] [T]
Base de datos 9 9 9 9 9
Base de datos 8 8 8 8 8
[COM] Comunicaciones
[D] [I] [C] [A] [T]
Red telefónica 7 7
Red WiFi 5 6
Red LAN 6 6
[L] Instalaciones
[D] [I] [C] [A] [T]
Centro de datos 8 8
Área administrativa 8 8
Área de atención al cliente 7 7
[P] Personal
[D] [I] [C] [A] [T]
Jefe de departamento de sistemas 6 6
Coordinador de infraestructura TIC 6 6
Analista de sistemas 8 8
Analista de TI 8 8
Técnicos de Información 8 8
12
En este punto se identificarán los tipos de amenazas que pueden afectar a los
Activo Amenazas
valor.
17
CS
A ALTA
MA MUY ALTO
M MEDIA
P POSIBLE
B BAJA
PP POCO
PROBABLE
MB MUY BAJA
MR RARA VEZ
18
[I.7] Condiciones PP M
inadecuadas de temperatura o
humedad
[E.23] Errores de P M
mantenimiento / actualización
de equipos (hardware)
[E.24] Caída del sistema por P M
agotamiento de recursos
[A.6] Abuso de privilegios de PP M M M
acceso
[A.7] Uso no previsto P M B M
Router [N.1] Fuego PP M
[N.2] Daños por agua PP M
[N.*] Desastres naturales PP M
[I.3] Contaminación PP M
medioambiental
[I.5] Avería de origen físico o P M
lógico
[I.7] Condiciones P B B
inadecuadas de temperatura o
humedad
[A.11] Acceso no autorizado PP M
Switches [N.1] Fuego PP M
[N.2] Daños por agua PP M
[N.*] Desastres naturales PP M
[I.3] Contaminación PP M
medioambiental
[I.5] Avería de origen físico o P M
lógico
[I.7] Condiciones P B B
inadecuadas de temperatura o
humedad
[A.11] Acceso no autorizado PP M
Impresora [I.5] Avería de origen físico o P M
lógico
[I.7] Condiciones P M
inadecuadas de temperatura o
humedad
[E.23] Errores de P M
mantenimiento / actualización
de equipos (hardware)
[A.11] Acceso no autorizado PP M M
Fotocopiadora [I.5] Avería de origen físico o P M
lógico
21
[I.7] Condiciones P M
inadecuadas de temperatura o
humedad
[E.23] Errores de P M
mantenimiento / actualización
de equipos (hardware)
[A.11] Acceso no autorizado PP B B
Red telefónica [I.8] Fallo de servicios de PP M
comunicaciones
[E.9] Errores de [re- P M
]encaminamiento
[E.10] Errores de secuencia P M
[E.15] Alteración de la P A
información
[E.19] Fugas de información P M
[A.7] Uso no previsto P M M
[A.9] [Re-]encaminamiento P M
de mensajes
[A.10] Alteración de P M
secuencia
[A.12] Análisis de tráfico P A
[A.14] Interceptación de P A
información (escucha)
Red WiFi [I.8] Fallo de servicios de P M
comunicaciones
[E.9] Errores de [re- P B
]encaminamiento
Red LAN [I.8] Fallo de servicios de PP B
comunicaciones
[E.9] Errores de [re- P M
]encaminamiento
[E.10] Errores de secuencia P M
[A.5] Suplantación de la P M M
identidad del usuario
[A.9] [Re-]encaminamiento P M
de mensajes
[A.10] Alteración de P M
secuencia
[A.11] Acceso no autorizado PP M
Discos duros [E.15] Alteración de la PP B
información
[E.19] Fugas de información PP B
22
[A.15] Modificación de la PP B
información
[A.19] Revelación de PP B
información
Memorias USB [E.15] Alteración de la PP B
información
[E.19] Fugas de información PP B
[A.15] Modificación de la PP B
información
[A.19] Revelación de PP B
información
Almacenamiento [E.15] Alteración de la PP B
en la nube información
(Dropbox)
[E.19] Fugas de información PP B
[A.15] Modificación de la PP B
información
[A.19] Revelación de PP B
información
Sistemas de [I.3] Contaminación PP M
vigilancia medioambiental
[I.7] Condiciones MA A
inadecuadas de temperatura o
humedad
Mobiliario [I.3] Contaminación PP M
medioambiental
Cableado [I.3] Contaminación PP A
medioambiental
[I.4] Contaminación MR B
electromagnética
Centro de datos [N.1] Fuego P A
[N.2] Daños por agua P A
[N.*.1] Tormentas P M
[N.*.4] Terremotos MA B
[N.*.9] Tsunamis P B
[N.*.11] Calor extremo P MA A
[I.*] Desastres industriales M A M
[A.27] Ocupación enemiga P M M
Área [N.1] Fuego P A
administrativa
[N.2] Daños por agua P A
[N.*.1] Tormentas P M
[N.*.4] Terremotos MA B
[N.*.9] Tsunamis P B
23
planteado que tienen un origen. Puede provocar la alteración del resultado de un conjunto
riesgos, es identificar las causas potenciales de los principales riesgos que amenazan el
entorno informático. Esta identificación se realiza en una determinada área para así tener
Switches 20 4 4 4 15 9 BAJO
Impresora 15 4 4 4 15 8 BAJO
Fotocopiadora 15 4 4 4 15 8 BAJO
APRECIAB
Red telefónica 20 4 4 4 20 10
LE
Red WiFi 15 4 4 4 20 9 BAJO
APRECIAB
Red LAN 20 4 4 4 20 10
LE
2
APRECIAB
Discos duros 20 20 20 4 4 14
LE
APRECIAB
Memorias USB 15 15 15 4 4 11
LE
APRECIAB
Almacenamiento en la nube 20 20 20 4 4 14
LE
Sistemas de vigilancia 20 4 4 4 4 7 BAJO
Mobiliario 20 4 4 4 4 7 BAJO
Cableado 20 4 4 4 4 7 BAJO
APRECIAB
Centro de datos 20 4 4 4 20 10
LE
APRECIAB
Área administrativa 20 4 4 4 20 10
LE
APRECIAB
Área de atención al cliente 20 4 4 4 20 10
LE
APRECIAB
Jefe de departamento de sistemas 20 4 20 4 4 10
LE
APRECIAB
Coordinador de infraestructura TIC 20 4 20 4 4 10
LE
APRECIAB
Analista de sistemas 20 4 20 4 4 10
LE
APRECIAB
Analista de TI 20 4 20 4 4 10
LE
APRECIAB
Técnicos de Información 20 4 20 4 4 10
LE
[D] DATOS
[D] DATOS
Activos de Información
[S] SERVICIOS
[SW] SOFTWARE
4
3
2
1
No. De Amenazas y Vulnerabilidades
Sistema
Internet
servicios)
Nombre del activo de información
atención y
académico
(Centro de
financiero y
Base de datos
Base de datos
administrativo,
Valoración del riesgo de los activos
usuario
Amenazas
11 servicios de
información
información
[I8] Fallo de
Metodologia Magerit
20 accidental de la
25 accidental de la
comunicaciones
[E15] Alteración
[E15] Alteración
[A5] Suplantación
20 de la identidad del
del
sistema
Vulnerabilidades
eléctrico
Caída del
suministro
de registros
de registros
Interrupción
Manipulación
Manipulación
probabilidad de vulneración)
Criticidad neta (1 a 4 despreciable (d), 5 a 9 baja
MATRIZ DE ANALISIS DE RIESGOS
C
C
C
C
60
28
40
50
inaceptable(I))
4
Centro de [A5] Suplantación
Caída del
[SW] SOFTWARE 5 atención y 20 de la identidad del 3 60 C 1 60 C I
sistema
servicios usuario
[E20] Políticas de
Instalación
Vulnerabilidades de usuarios del
[SW] SOFTWARE 6 Microsoft Office 10 de software 4 40 C 3 13 A M
los programas dominio
no licenciado
(software) establecidas
[E21] Errores de
mantenimiento /
Código
[SW] SOFTWARE 7 Antivirus 10 actualización de 4 40 C 1 40 C I
malicioso
programas
(software)
Sistema [A6] Abuso de Instalación
[SW] SOFTWARE 8 Operativo 10 privilegios de de software 4 40 C 1 40 C I
Windows acceso no licenciado
[HW] Políticas de
Instalación
EQUIPAMENTO Computadora de [N*] Desastres usuarios del
9 11 de software 3 33 C 3 11 A M
INFORMÁTICO escritorio naturales dominio
no licenciado
establecidas
[HW] Interrupción
EQUIPAMENTO [N*] Desastres del Planta de
10 Router 9 5 45 C 2 23 C I
INFORMÁTICO naturales suministro energía
eléctrico
[HW] Interrupción
EQUIPAMENTO [N*] Desastres del Planta de
11 Switches 9 5 45 C 2 23 C I
INFORMÁTICO naturales suministro energía
eléctrico
[HW] [I5] Avería de
Errores de
EQUIPAMENTO 12 Impresora 8 origen físico o 3 24 C 1 24 C I
configuración
INFORMÁTICO lógico
[HW] [I5] Avería de
Errores de
EQUIPAMENTO 13 Fotocopiadora 8 origen físico o 3 24 C 1 24 C I
configuración
INFORMÁTICO lógico
5
[COM] REDES DE Daño o
[I8] Fallo de
COMUNICACIONES alteración de
14 Red telefónica 10 servicios de 2 20 I 1 20 I I
algún
comunicaciones
dispositivo
[COM] REDES DE Daño o
[I8] Fallo de
COMUNICACIONES alteración de
15 Red WiFi 9 servicios de 2 18 I 1 18 I I
algún
comunicaciones
dispositivo
[COM] REDES DE Daño o
COMUNICACIONES [A11] Acceso no alteración de
16 Red LAN 10 2 20 I 1 20 I I
autorizado algún
dispositivo
[Media] SOPORTE [E15] Alteración Alteración de
DE INFORMACIÓN 17 Discos duros 14 accidental de la la 1 14 A 1 14 A M
información información
[Media] SOPORTE [E15] Alteración Alteración de
DE INFORMACIÓN 18 Memorias USB 11 accidental de la la 1 11 A 1 11 A M
información información
[Media] SOPORTE [E15] Alteración Alteración de
Almacenamiento
DE INFORMACIÓN 19 14 accidental de la la 1 14 A 1 14 A M
en la nube
información información
[AUX] [I7] Condiciones Interrupción
EQUIPAMENTO Sistemas de inadecuadas de del Planta de
20 7 5 35 C 2 18 I I
AUXILIAR vigilancia temperatura o suministro energía
humedad eléctrico
[AUX] Extintor
EQUIPAMENTO instalado,
AUXILIAR [N*] Desastres Incendio, Área
21 Mobiliario 7 1 7 B 2 4 D A
naturales Inundación protegida
contra
inundaciones
[AUX] Extintor
EQUIPAMENTO [I4] Contaminación Incendio, instalado,
22 Cableado 7 1 7 B 2 4 D A
AUXILIAR electromagnética Inundación Área
protegida
6
contra
inundaciones
[L] INSTALACIONES Extintor
instalado,
[N*] Desastres Incendio, Área
23 Centro de datos 10 1 10 B 2 5 B M
naturales Inundación protegida
contra
inundaciones
[L] INSTALACIONES Extintor
instalado,
Área [N*] Desastres Incendio, Área
24 10 1 10 B 2 5 B M
administrativa naturales Inundación protegida
contra
inundaciones
[L] INSTALACIONES Extintor
instalado,
Área de atención [N*] Desastres Incendio, Área
25 10 1 10 B 2 5 B M
al cliente naturales Inundación protegida
contra
inundaciones
[P] PERSONAL Jefe de [E28]
Ausencia
26 departamento 10 Indisponibilidad del 4 40 C 1 40 C I
personal
de sistemas personal
[P] PERSONAL Coordinador de [E28]
Ausencia
27 infraestructura 10 Indisponibilidad del 4 40 C 1 40 C I
personal
TIC personal
[P] PERSONAL [E28]
Analista de Ausencia
28 10 Indisponibilidad del 4 40 C 1 40 C I
sistemas personal
personal
[P] PERSONAL [E28]
Ausencia
29 Analista de TI 10 Indisponibilidad del 4 40 C 1 40 C I
personal
personal
7
[P] PERSONAL [E28]
Técnicos de Ausencia
30 10 Indisponibilidad del 4 40 C 1 40 C I
Información personal
personal
8
Mapa de calor
IMPACTO
Insignificante Menor Moderado Mayor Catastrófico
MEDIA
BAJA
MUY BAJA
PROBABILIDAD
Plan de tratamiento de riesgos 9
Para cada activo de información, el proceso concluye si el Nivel de Riesgo es aceptable, caso contrario, se define el tratamiento (evitar, transferir o mitigar) y se
establecen los controles necesarios. Con los resultados obtenidos con este análisis se procede a la evaluación.
[SW] SOFTWARE Microsoft Office [E.8] Difusión de software dañino Instalación de Mitigar A8.1.1 Control: Se deben
[E.1] Errores de los usuarios software no Inventari identificar los activos
[E.20] Vulnerabilidades de los programas licenciado, pues o de activos asociados con información
(software) no existe un e instalaciones de
[E.21] Errores de mantenimiento / control de las procesamiento de
actualización de programas (software) licencias de información, y se debe
software. elaborar y mantener un
inventario de estos
activos.
[SW] SOFTWARE Antivirus [E.8] Difusión de software dañino No se cuenta con Mitigar A12.2.1 Control: Se deben
[E.20] Vulnerabilidades de los programas una licencia de Controles contra implementar controles de
(software) software antivirus códigos detección, de prevención y
[E.21] Errores de mantenimiento / que proteja todos maliciosos de recuperación,
actualización de programas (software) los equipos de la combinados con la toma
organización, solo de conciencia apropiada
se cuenta con de los usuarios, para
Windows proteger contra códigos
Defender. maliciosos.
13
[SW] SOFTWARE Sistema [A.7] Uso no previsto Instalación de Mitigar A12.6.2 Control: Se deben
Operativo [I.5] Avería de origen físico o lógico software no Restricciones establecer e implementar
Windows [E.1] Errores de los usuarios licenciado, pues sobre la las reglas para la
[E.8] Difusión de software dañino no existe un instalación de instalación de software
[E.20] Vulnerabilidades de los programas control de las software por parte de los usuarios.
(software) licencias de
[E.21] Errores de mantenimiento / software.
actualización de programas (software)
No hay un plan de
mantenimiento/
actualización A12.2.1 Control: Se deben
periódicos. Controles contra implementar controles de
códigos detección, de prevención y
maliciosos de recuperación,
combinados con la toma
de conciencia apropiada
de los usuarios, para
proteger contra códigos
maliciosos.
[HW] Fotocopiadora [I.5] Avería de origen físico o lógico Errores de Mitigar A11.2.1 Control: Los equipos
EQUIPAMENTO [I.7] Condiciones inadecuadas de configuración. Ubicación y deben de estar ubicados y
INFORMÁTICO temperatura o humedad Ausencia de un protección de protegidos para reducir los
[E.23] Errores de mantenimiento / plan de los equipos riesgos de amenazas y
actualización de equipos (hardware) mantenimiento. peligros del entorno, y las
[A.11] Acceso no autorizado posibilidades de acceso no
autorizado.
18
A11.2.4 Control: Los equipos se
Mantenimiento deben mantener
de los equipos. correctamente para
asegurar su disponibilidad
e integridad continuas.
[COM] REDES DE Red telefónica [I.8] Fallo de servicios de Daño o alteración Mitigar A9.1.2 Acceso a Control: Solo se debe
COMUNICACIONES comunicaciones de algún redes y a permitir acceso de los
[E.9] Errores de [re-]encaminamiento dispositivo. servicios en red usuarios a la red y a los
[E.10] Errores de secuencia Los dispositivos servicios de red para los
[E.15] Alteración de la información se encuentran que hayan sido
[E.19] Fugas de información expuestos en autorizados
[A.7] Uso no previsto áreas de fácil específicamente.
[A.9] [Re-]encaminamiento de mensajes acceso por parte A13.1.1 Control: Las redes se
[A.10] Alteración de secuencia de personal no Controles de deben gestionar y
[A.12] Análisis de tráfico autorizado. redes controlar para proteger la
[A.14] Interceptación de información información en sistemas
(escucha) y aplicaciones.
A13.1.2 Control: Se deben
Seguridad de los identificar los mecanismos
servicios de seguridad, los niveles
de red de servicio y los requisitos
de gestión de todos los
servicios de red, e
incluirlos en los acuerdos
de servicio de red, ya
sea que los servicios se
19
presten internamente o se
contraten externamente.
[P] PERSONAL Jefe del [E.28.1] Enfermedad Ausencia Mitigar A7.1.2 Control: Los acuerdos
departamento de [E.28.2] Huelga personal de Término contractuales con
sistemas [A.29] Extorsión respaldo en caso s y condiciones empleados y contratistas
de ausencia. del empleo deben establecer sus
Contratos a responsabilidades y las de
término fijo. la organización en cuanto
27
Carencia de a la seguridad de la
incentivos. información.
Privilegios
excesivos.
Falta un plan de
eliminación de A8.1.4 Control: Todos los
cuentas de Devoluci empleados y usuarios de
usuarios en caso ón de activos partes externas deben
de devolver todos los activos
desvinculación. de la organización que se
encuentren a su cargo, al
terminar su empleo,
contrato o acuerdo.
A9.2.6 Retiro o Control: Los derechos de
ajuste de los acceso de todos los
derechos de empleados y de usuarios
acceso externos a la información
y a las instalaciones de
procesamiento de
información se deben
retirar al terminar su
empleo, contrato o
acuerdo, o se deben
ajustar cuando se hagan
cambios.
28
A13.2.4 Control: Se deben
Acuerdos de identificar, revisar
confidencialidadregularmente y
o de no documentar los requisitos
divulgación para los acuerdos de
confidencialidad o no
divulgación que
reflejen las necesidades
de la organización para la
protección de la
información.
[P] PERSONAL Coordinador de [E.28.1] Enfermedad Ausencia Mitigar A7.1.2 Control: Los acuerdos
infraestructura [E.28.2] Huelga personal de Término contractuales con
TIC [A.29] Extorsión respaldo en caso s y condiciones empleados y contratistas
de ausencia. del empleo deben establecer sus
Contratos a responsabilidades y las de
término fijo. la organización en cuanto
No existe control a la seguridad de la
de la información información.
que brinda el A8.1.4 Control: Todos los
personal del área Devoluci empleados y usuarios de
a terceros. ón de activos partes externas deben
Carencia de devolver todos los activos
incentivos. de la organización que se
Privilegios encuentren a su cargo, al
excesivos. terminar su empleo,
contrato o acuerdo.
29
Falta un plan de A9.2.6 Retiro o Control: Los derechos de
eliminación de ajuste de los acceso de todos los
cuentas de derechos de empleados y de usuarios
usuarios en caso acceso externos a la información
de y a las instalaciones de
desvinculación. procesamiento de
información se deben
retirar al terminar su
empleo, contrato o
acuerdo, o se deben
ajustar cuando se hagan
cambios.
A13.2.4 Control: Se deben
Acuerdos de identificar, revisar
confidencialidad regularmente y
o de no documentar los requisitos
divulgación para los acuerdos de
confidencialidad o no
divulgación que
reflejen las necesidades
de la organización para la
protección de la
información.
[P] PERSONAL Analista de [E.28.1] Enfermedad Ausencia Mitigar A7.1.2 Control: Los acuerdos
sistemas [E.28.2] Huelga personal de Término contractuales con
[A.29] Extorsión respaldo en caso s y condiciones empleados y contratistas
[A.30] Ingeniería social (picaresca) de ausencia. del empleo deben establecer sus
Contratos a responsabilidades y las de
término fijo. la organización en cuanto
Carencia de a la seguridad de la
incentivos. información.
30
Privilegios A8.1.4 Control: Todos los
excesivos. Devoluci empleados y usuarios de
Falta un plan de ón de activos partes externas deben
eliminación de devolver todos los activos
cuentas de de la organización que se
usuarios en caso encuentren a su cargo, al
de terminar su empleo,
desvinculación. contrato o acuerdo.
A9.2.6 Retiro o Control: Los derechos de
ajuste de los acceso de todos los
derechos de empleados y de usuarios
acceso externos a la información
y a las instalaciones de
procesamiento de
información se deben
retirar al terminar su
empleo, contrato o
acuerdo, o se deben
ajustar cuando se hagan
cambios.
A13.2.4 Control: Se deben
Acuerdos de identificar, revisar
confidencialidad regularmente y
o de no documentar los requisitos
divulgación para los acuerdos de
confidencialidad o no
divulgación que
reflejen las necesidades
de la organización para la
protección de la
información.
31
[P] PERSONAL Analista de TI [E.28.2] Huelga Ausencia Mitigar A7.1.2 Control: Los acuerdos
[A.29] Extorsión personal de Término contractuales con
[A.30] Ingeniería social (picaresca) respaldo en caso s y condiciones empleados y contratistas
de ausencia. del empleo deben establecer sus
Contratos a responsabilidades y las de
término fijo. la organización en cuanto
Carencia de a la seguridad de la
incentivos. información.
Privilegios A8.1.4 Control: Todos los
excesivos. Falta Devoluci empleados y usuarios de
un plan de ón de activos partes externas deben
eliminación de devolver todos los activos
cuentas de de la organización que se
usuarios en caso encuentren a su cargo, al
de terminar su empleo,
desvinculación. contrato o acuerdo.
A9.2.6 Retiro o Control: Los derechos de
ajuste de los acceso de todos los
derechos de empleados y de usuarios
acceso externos a la información
y a las instalaciones de
procesamiento de
información se deben
retirar al terminar su
empleo, contrato o
acuerdo, o se deben
ajustar cuando se hagan
cambios.
32
A13.2.4 Control: Se deben
Acuerdos de identificar, revisar
confidencialidadregularmente y
o de no documentar los requisitos
divulgación para los acuerdos de
confidencialidad o no
divulgación que
reflejen las necesidades
de la organización para la
protección de la
información.
[P] PERSONAL Técnicos de [E.28.2] Huelga Ausencia Mitigar A7.1.2 Control: Los acuerdos
Información [A.29] Extorsión personal de Término contractuales con
[A.30] Ingeniería social (picaresca) respaldo en caso s y condiciones empleados y contratistas
de ausencia. del empleo deben establecer sus
Contratos a responsabilidades y las de
término fijo. la organización en cuanto
Carencia de a la seguridad de la
incentivos. información.
Privilegios A8.1.4 Control: Todos los
excesivos. Devoluci empleados y usuarios de
Falta un plan de ón de activos partes externas deben
eliminación de devolver todos los activos
cuentas de de la organización que se
usuarios en caso encuentren a su cargo, al
de terminar su empleo,
desvinculación. contrato o acuerdo.
33
A9.2.6 Retiro o Control: Los derechos de
ajuste de los acceso de todos los
derechos de empleados y de usuarios
acceso externos a la información
y a las instalaciones de
procesamiento de
información se deben
retirar al terminar su
empleo, contrato o
acuerdo, o se deben
ajustar cuando se hagan
cambios.
A13.2.4 Control: Se deben
Acuerdos de identificar, revisar
confidencialidad regularmente y
o de no documentar los requisitos
divulgación para los acuerdos de
confidencialidad o no
divulgación que
reflejen las necesidades
de la organización para la
protección de la
información.
34
Conclusiones
organización.
gestionar sus riesgos y amenazas y tomar las acciones necesarias que permitan controlar
Lista de referencias
Metodología magerit
https://www.ccn-cert.cni.es/documentos-publicos/1789-magerit-libro-i-
metodo/file.html
http://www.urbicad.com/mico/metodos_riesgos.htm
https://www.arlsura.com/files/metodologia_definitiva_ipevr.pdf