Está en la página 1de 34

UIGV FISCT

II

Ingeniera de Software

Proyecto de Ingeniera de Software II Presencial

DELTRON
ISO/IEC 27,000
PROFESOR:
ING. HCTOR HENRQUEZ TABOADA
3A

ALUMNO :
ESCOBAR JIMNEZ RUBEN BRYAN

INDICE
Resumen
ndice
CAPITULO I: Introduccin a ISO/IEC 27000
Semestre: 2015-II

ISO/IEC 27000

UIGV FISCT
II

Ingeniera de Software

1.1. Historia
1.2. Propsito de ISO/IEC 27000
1.3. Relacin con COBIT, 17799
CAPITULO II: Implementacin.
2.1.

Implementacin

incremental

de

NTP-ISO/IEC

27001:2008
2.2. Caso Prctico
CAPITULO III: Conclusiones y Recomendaciones
3.1 Conclusiones
3.2 Recomendaciones
Referencia Bibliografa

CAPITULO I: INTRODUCCIN A ISO/IEC 27000


La informacin es un activo vital para el xito y la continuidad en el mercado de
cualquier organizacin. El aseguramiento de dicha informacin y de los sistemas que la
procesan es, por tanto, un objetivo de primer nivel para la organizacin.
Semestre: 2015-II

ISO/IEC 27000

UIGV FISCT
II

Ingeniera de Software

Para la adecuada gestin de la seguridad de la informacin, es necesario implantar un


sistema que aborde esta tarea de una forma metdica, documentada y basada en unos
objetivos claros de seguridad y una evaluacin de los riesgos a los que est sometida la
informacin de la organizacin.
ISO/IEC 27000 es un conjunto de estndares desarrollados por ISO (International
Organization for Standardization) e IEC (International Electrotechnical Commission),
que proporcionan un marco de gestin de la seguridad de la informacin utilizable por
cualquier tipo de organizacin, pblica o privada, grande o pequea.

1.1

HISTORIA

Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (British
Standards Institution), la organizacin britnica equivalente a AENOR en Espaa) es
responsable de la publicacin de importantes normas como:
1979 Publicacin BS 5750 - ahora ISO 9001
1992 Publicacin BS 7750 - ahora ISO 14001
1996 Publicacin BS 8800 - ahora OHSAS 18001
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar
a cualquier empresa -britnica o no- un conjunto de buenas prcticas para la gestin de
la seguridad de su informacin.
La primera parte de la norma (BS 7799-1) es una gua de buenas prcticas, para la que
no se establece un esquema de certificacin. Es la segunda parte (BS 7799-2), publicada
por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la
informacin (SGSI) para ser certificable por una entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adopt
por ISO, sin cambios sustanciales, como ISO 17799 en el ao 2000.
En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de sistemas
de gestin.

Semestre: 2015-II

ISO/IEC 27000

UIGV FISCT
II

Ingeniera de Software

En 2005, con ms de 1700 empresas certificadas en BS7799-2, este esquema se public


por ISO como estndar ISO 27001, al tiempo que se revis y actualiz ISO17799. Esta
ltima norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el
contenido as como el ao de publicacin formal de la revisin.
En Marzo de 2006, posteriormente a la publicacin de la ISO27001:2005, BSI public
la BS7799-3:2006, centrada en la gestin del riesgo de los sistemas de informacin.

Figura 1. Evolucin de la ISO/IEC 27000

1.2 PROPSITO DE ISO/IEC 27000


La norma NTE INEN-ISO/IEC 27000:2012 la conforman una serie de normas
denominadas familia de normas SGSI (Sistema de Gestin de la Seguridad de la
Informacin), cada una de ellas tiene un propsito especfico para la creacin y
mantenimiento de un SGSI dentro de una organizacin.
Semestre: 2015-II

ISO/IEC 27000

UIGV FISCT
II

Ingeniera de Software

El propsito de un sistema de gestin de la seguridad de la informacin no es garantizar


la seguridad que nunca podr ser absoluta- sino garantizar que los riesgos de la
seguridad de la informacin son conocidos, asumidos, gestionados y minimizados por la
organizacin de una forma documentada, sistemtica, estructurada, continua, repetible,
eficiente y adaptada a los cambios que se produzcan en la organizacin, los riesgos, el
entorno y las tecnologas.
Un SGSI ayuda a establecer estas polticas y procedimientos en relacin a los objetivos
de negocio de la organizacin, con objeto de mantener un nivel de exposicin siempre
menor al nivel de riesgo que la propia organizacin ha decidido asumir.
Con un SGSI, la organizacin conoce los riesgos a los que est sometida la informacin
y los asume, minimiza, transfiere o controla mediante una poltica definida,
documentada y conocida por todos, que se revisa y mejora constantemente.

1.3 RELACIN CON COBIT, 17799


Los estndares ISO17799 e ISO 27000 son un conjunto de estndares desarrollados, o
en fase de desarrollo, por ISO (International Organization for Standardization) e IEC
(International Electrotechnical Commission), que proporcionan un marco de gestin de
la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o
privada, grande o pequea, mientras que COBIT es el marco aceptado
Semestre: 2015-II

ISO/IEC 27000

UIGV FISCT
II

Ingeniera de Software

internacionalmente como una buena prctica para el control de la informacin, TI y los


riesgos que conllevan. COBIT se utiliza para implementar el gobierno de TI y mejorar
los controles de TI. Contiene objetivos de control, directivas de aseguramiento, medidas
de desempeo y resultados, factores crticos de xito y modelos de madurez, Por lo que
notamos una estrecha relacin entre ISO y COBIT, pues COBIT se trata de un marco
compatible con ISO 27002 (anterior ISO 17799:2005) que incorpora aspectos
fundamentales de otros estndares relacionados; por tanto, aquellas empresas y
organizaciones que hayan evolucionado segn las prcticas sealadas por COBIT estn
ms cerca de adaptarse y lograr la certificacin en ISO 27001.
En conclusin ISO17799 y ISO 27000 y COBIT van de la mano pues ambos velan por
la buena gestin de la informacin de las organizaciones.

COBIT
Los Objetivos de Control para la Informacin y la Tecnologas Relacionadas (COBIT)
es un marco de trabajo basado en procesos que rene buenas prcticas y estndares
internacionales (entre ellos la norma ISO/IEC 27000), dichos procesos estn enfocados
en la gestin de las tecnologas de la informacin de una organizacin, con el propsito
de alinear los objetivos de TI con los objetivos del negocio.
COBIT est compuesto por 4 dominios denominados:
Planear y Organizar (PO): este dominio establece directrices para asegurar que TI
contribuya al cumplimento de los objetivos del negocio, alineando las estrategias de TI
y las del negocio.
Adquirir e Implementar (AI): La identificacin, desarrollo o adquisicin de soluciones
de TI estn cubiertas por este dominio. Adems establece directrices para el cambio o
mantenimiento de los sistemas ya existentes.
Entregar y Dar Soporte (DS): La entrega de los servicios requeridos, administracin de
la seguridad y de la continuidad estn cubiertas por este dominio.
Monitorear y evaluar (ME): este dominio se encarga de la evaluacin del desempeo
de los procesos de TI y asegurar el cumplimiento de los requerimientos del negocio.
Semestre: 2015-II

ISO/IEC 27000

UIGV FISCT
II

Ingeniera de Software

Los dominios de COBIT contienen 34 procesos genricos que administran los recursos
de TI y para cada proceso se define objetivos de control.
Una vez investigado el contenido de COBIT se pueden emitir algunos criterios sobre las
principales diferencias con la norma ISO/IEC 27000:
Enfoque: COBIT est orientado al negocio y al gobierno de TI, mientras que la norma
ISO/IEC 27000 se centra en el establecimiento de controles de seguridad seleccionados
a partir de un proceso de gestin del riesgo.
Objetivo: COBIT busca ser una solucin integrada que ayuda a las organizaciones a
establecer un gobierno de TI. La norma ISO/IEC 27000 permite a las organizaciones la
creacin, mantenimiento y mejora de un sistema de gestin de seguridad de la
informacin.
Estructura: COBIT posee 34 procesos agrupados en 4 dominios. La norma ISO/IEC
27000 posee 11 dominios, 39 objetivos de control y 133 controles.
La Tabla presenta un mapeo entre los objetivos de control definidos en COBIT versin
4.1 y la norma ISO/IEC 27001.
Proceso COBIT Versin 4.1

PO1 Definir un plan

Incluido en la Norma

Objetivos de control de COBIT no

ISO/IEC 27001

considerados en la Norma

(si/no/parcialmente)
No

ISO/IEC 27001
PO1.1 Administracin del Valor de TI

estratgico de TI

PO1.2 Alineacin de TI con el Negocio


PO1.3 Evaluacin del Desempeo y la
Capacidad Actual
PO1.4 Plan Estratgico de TI
PO1.5 Planes Tcticos de TI

PO2 Definir la arquitectura

Parcialmente

de informacin

PO1.6 Administracin del Portafolio de TI


PO2.1 Modelo de Arquitectura de
Informacin Empresarial

PO3 Determinar la

Parcialmente

PO2.4 Administracin de Integridad


PO3.2 Plan de Infraestructura Tecnolgica

orientacin tecnolgica
PO4 Definir los procesos,

Parcialmente

PO4.1 Marco de Trabajo de Procesos de

organizacin y relaciones

TI

de TI

PO4.2 Comit Estratgico de TI

Semestre: 2015-II

ISO/IEC 27000

UIGV FISCT
II

Ingeniera de Software

PO4.7 Responsabilidad de Aseguramiento


de Calidad de TI
PO4.12 Personal de TI
PO5 Gestionar la inversin

Parcialmente

en TI

PO4.13 Personal Clave de TI


PO5.1 Marco de Trabajo para la
Administracin Financiera
PO5.2 Prioridades Dentro del Presupuesto
de TI
PO5.5 Administracin de Beneficios

PO6 Comunicar las

Si

aspiraciones y la direccin
de la gerencia
PO7 Gestin de los

Parcialmente

PO7.5 Dependencia Sobre los Individuos

recursos humanos de TI
PO8 Gestin de la calidad

Parcialmente

PO8.1 Sistema de Administracin de


Calidad
PO8.2 Estndares y Prcticas de Calidad
PO8.4 Enfoque en el Cliente de TI
PO8.5 Mejora Continua
PO8.6 Medicin, Monitoreo y Revisin

PO9 Evaluar y gestionar los

Parcialmente

riesgos de TI
PO10 Gestionar proyectos

de la Calidad
PO9.5 Respuesta a los Riesgos
PO9.6 Mantenimiento y Monitoreo de un

No

Plan de Accin de Riesgos


PO10.1 Marco de Trabajo para la
Administracin de Programas
PO10.2 Marco de Trabajo para la
Administracin de Proyectos
PO10.3 Enfoque de Administracin de
Proyectos
PO10.4 Compromiso de los Interesados
PO10.5 Declaracin de Alcance del
Proyecto
PO10.6 Inicio de las Fases del Proyecto
PO10.7 Plan Integrado del Proyecto
PO10.8 Recursos del Proyecto
PO10.9 Administracin de Riesgos del
Proyecto

Semestre: 2015-II

ISO/IEC 27000

UIGV FISCT
II

Ingeniera de Software

PO10.10 Plan de Calidad del Proyecto


PO10.11 Control de Cambios del
Proyecto
PO10.12 Planeacin del Proyecto y
Mtodos de Aseguramiento
PO10.13 Medicin del Desempeo,
Reporte y Monitoreo del Proyecto
AI1 Identificar soluciones

Parcialmente

automatizadas
AI2 Adquirir y mantener

PO10.14 Cierre del Proyecto


AI1.3 Estudio de Factibilidad y
Formulacin de Cursos de Accin

Parcialmente

software aplicativo

Alternativos
AI2.1 Diseo de Alto Nivel
AI2.2 Diseo Detallado
AI2.9 Administracin de los
Requerimientos de Aplicaciones
AI2.10 Mantenimiento de Software

AI3 Adquirir y mantener la

Parcialmente

Aplicativo
AI3.1 Plan de Adquisicin de

infraestructura tecnolgica
AI4 Facilitar la operacin y

Parcialmente

Infraestructura Tecnolgica
AI4.1 Plan para Soluciones de Operacin

el uso

AI4.2 Transferencia de Conocimiento a la


Gerencia del Negocio
AI4.3 Transferencia de Conocimiento a

AI5 Adquirir recursos de TI

Parcialmente

Usuarios Finales
AI5.3 Seleccin de Proveedores
AI5.4 Adquisicin de Recursos de TI

AI6 Gestionar cambios


AI7 Instalar y acreditar

Si
Parcialmente

soluciones y cambios

AI7.3 Plan de Implantacin


AI7.5 Conversin de Sistemas y Datos
AI7.8 Promocin a Produccin
AI7.9 Revisin Posterior a la

DS1 Definir y gestionar los

Parcialmente

niveles de servicio

Implantacin
DS1.4 Acuerdos de Niveles de Operacin
DS1.6 Revisin de los Acuerdos de
Niveles de Servicio y de los Contratos

DS2 Gestionar los servicios

Si

de terceros
DS3 Gestionar el

Parcialmente

desempeo y la capacidad
DS4 Garantizar la

Si

Semestre: 2015-II

DS3.4 Disponibilidad de Recursos de TI


DS3.5 Monitoreo y Reporte

ISO/IEC 27000

UIGV FISCT
II

continuidad del servicio


DS5 Garantizar la

Ingeniera de Software

Si

seguridad
de los sistemas
DS6 Identificar y asignar

No

costos

DS6.1 Definicin de Servicios


DS6.2 Contabilizacin de TI
DS6.3 Modelacin de Costos y Cargos
DS6.4 Mantenimiento del Modelo de

DS7 Educar y entrenar a los

Parcialmente

usuarios
DS8 Gestionar la mesa de

Si

servicios y los incidentes


DS9 Gestionar la

Si

configuracin
DS10 Gestionar problemas

Parcialmente

Costos
DS7.3 Evaluacin del Entrenamiento
Recibido

DS10.3 Cierre de Problemas


DS10.4 Integracin de las
Administraciones de Cambios,
Configuracin y Problemas

DS11 Gestionar datos


DS12 Gestionar el ambiente

Si
Si

fsico
DS13 Gestionar las

Parcialmente

operaciones

DS13.2 Programacin de Tareas


DS13.3 Monitoreo de la Infraestructura de
TI
DS13.4 Documentos Sensitivos y

ME1 Monitorear y evaluar

Parcialmente

el desempeo de TI

Dispositivos de Salida
ME1.1 Enfoque del Monitoreo
ME1.3 Mtodo de Monitoreo
ME1.4 Evaluacin del Desempeo
ME1.5 Reportes al Consejo Directivo y a
Ejecutivos
ME1.6 Acciones Correctivas

ME2 Monitorear y evaluar

Si

el control interno
ME3 Garantizar el

Parcialmente

cumplimiento de requisitos
externos
ME4 Proporcionar
gobierno de TI

Semestre: 2015-II

ME3.2 Optimizar la Respuesta a


Requerimientos Externos

Parcialmente

ME3.5 Reportes Integrados


ME4.1 Establecimiento de un Marco de
Gobierno de TI

ISO/IEC 27000

UIGV FISCT
II

Ingeniera de Software

ME4.2 Alineamiento Estratgico


ME4.3 Entrega de Valor
ME4.4 Administracin de Recursos
ME4.5 Administracin de Riesgos
ME4.6 Medicin del Desempeo

Tabla Mapeo entre los Objetivos de Control de COBIT y los Controles de la Norma
ISO/IEC 27001
Se puede apreciar en la Tabla que varios objetivos de control de COBIT no son
considerados por la norma ISO/IEC 27001, es decir que si se desea utilizar COBIT para
la gestin de la seguridad de la informacin, se estara implementando objetivos de
control que no necesariamente aportaran a la proteccin de los activos de informacin,
significando esto un gasto innecesario de recursos y tiempo.
Como ventaja sobre COBIT la norma ISO/IEC 27001 es certificable, lo que incrementa
el prestigio y la confianza de usuarios y clientes en la organizacin certificada. Adems,
si lo que se desea es especficamente crear un sistema de gestin de seguridad, la mejor
opcin sera la norma ISO/IEC 27001 debido a que define su propio proceso de gestin
del riesgo y un conjunto de controles de seguridad. En cambio COBIT se encuentra en
un nivel ms alto de gestin y aunque tambin abarca la seguridad de la informacin
utiliza un enfoque ms orientado a las necesidades del negocio que especficamente a
gestionar la seguridad de la informacin desde un enfoque ms procedimental y
orientado a gestin de riesgos.

ISO 17799
ISO/IEC 17799 proporciona recomendaciones de las mejores prcticas en la gestin de
la seguridad de la informacin a todos los interesados y responsables en iniciar,
implantar o mantener sistemas de gestin de la seguridad de la informacin.
La versin de 2005 del estndar incluye las siguientes once secciones principales:
1. Poltica de Seguridad de la Informacin.
2. Organizacin de la Seguridad de la Informacin.
3. Gestin de Activos de Informacin.
Semestre: 2015-II

ISO/IEC 27000

UIGV FISCT
II

Ingeniera de Software

4. Seguridad de los Recursos Humanos.


5. Seguridad Fsica y Ambiental.
6. Gestin de las Comunicaciones y Operaciones.
7. Control de Accesos.
8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin.
9. Gestin de Incidentes en la Seguridad de la Informacin.
10. Gestin de Continuidad del Negocio.
11. Cumplimiento.
La norma ISO/IEC 27001 (Information technology - Security techniques - Information
security management systems - Requirements), s es certificable y especifica los
requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de
Gestin de la Seguridad de la Informacin segn el famoso Crculo de Deming:
PDCA - acrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es
consistente con las mejores prcticas descritas en ISO/IEC 17799 y tiene su origen en la
norma britnica British Standard BS 7799-2 publicada por primera vez en 1998 y
elaborada con el propsito de poder certificar los Sistemas de Gestin de la Seguridad
de la Informacin implantados en las organizaciones y por medio de un proceso formal
de auditora realizado por un tercero.
En toda organizacin que haga uso de las tecnologas de informacin se recomienda
implementar buenas prcticas de seguridad, pues en muchas ocasiones el no seguir un
proceso de implementacin adecuado como el que establece el ISO 17799 puede
generar huecos por la misma complejidad de las organizaciones, en ese sentido,
aumenta la posibilidad de riesgos en la informacin.
Este estndar internacional de alto nivel para la administracin de la seguridad de la
informacin, fue publicado por la ISO (International Organization for Standardization)
en diciembre de 2000 con el objeto de desarrollar un marco de seguridad sobre el cual
trabajen las organizaciones.

Semestre: 2015-II

ISO/IEC 27000

UIGV FISCT
II

Ingeniera de Software

El ISO 17799, al definirse como una gua en la implementacin del sistema de


administracin de la seguridad de la informacin, se orienta a preservar los siguientes
principios de la seguridad informtica:
Confidencialidad. Asegurar que nicamente personal autorizado tenga acceso a la
informacin.
Integridad. Garantizar que la informacin no ser alterada, eliminada o destruida por
entidades no autorizadas.
Disponibilidad. Asegurar que los usuarios autorizados tendrn acceso a la informacin
cuando la requieran.
Estos principios en la proteccin de los activos de informacin constituyen las normas
bsicas deseables en cualquier organizacin, sean instituciones de gobierno, educativas
e investigacin; no obstante, dependiendo de la naturaleza y metas de las
organizaciones, stas mostrarn especial nfasis en algn dominio o rea del estndar
ISO 17799.
El objetivo de la seguridad de los datos es asegurar la continuidad de las operaciones de
la organizacin, reducir al mnimo los daos causados por una contingencia, as como
optimizar la inversin en tecnologas de seguridad.
Como todo buen estndar, el ISO 17799 da la pauta en la definicin sobre cules
metodologas, normas o estndares tcnicos pueden ser aplicados en el sistema de
administracin de la seguridad de la informacin, se puede entender que estos
estndares son auxiliares y sern aplicados en algn momento al implementar el mismo.
La aplicacin de un marco de referencia de seguridad basado en el ISO 17799
proporciona beneficios a toda organizacin que lo implemente, al garantizar la
existencia de una serie de procesos que permiten evaluar, mantener y administrar la
seguridad de la informacin.
Las polticas, estndares locales y los procedimientos se encuentran adaptados a las
necesidades de la organizacin debido a que el proceso mismo de su elaboracin integra
mecanismos de control y por ltimo, la certificacin permite a las organizaciones
demostrar el estado de la seguridad de la informacin, situacin que resulta muy

Semestre: 2015-II

ISO/IEC 27000

UIGV FISCT
II

Ingeniera de Software

importante en aquellos convenios o contratos con terceras organizaciones que


establecen como requisito contractual la certificacin BS7799.
Es importante entender los principios y objetivos que dan vida al ISO 17799, as como
los beneficios que cualquier organizacin, incluyendo las instituciones pblicas,
privadas y ambientes educativos pueden adquirir al implementarlo en sus prcticas de
seguridad de la informacin.
El estndar de seguridad de la informacin ISO 17799, descendiente del BS 7799
Information Security Management Standard de la BSI (British Standard Institute) que
public su primera versin en Inglaterra en 1995, con actualizaciones realizadas en
1998 y 1999, consiste de dos partes:
Parte 1. Cdigo de prcticas.
Parte 2. Especificaciones del sistema de administracin de seguridad de la
informacin.
Por la necesidad generalizada de contar con un estndar de carcter internacional que
permitiera reconocer o validar el marco de referencia de seguridad aplicado por las
organizaciones, se elabor el estndar ISO17799:2000, basado principalmente en la
primera parte del BS 7799 conocida como Cdigo de Prcticas (BS 7799 Part 1: Code
of Practice).
El xito de la implementacin del estndar de seguridad ISO 17799 requiere de una
serie de procedimientos donde, inicialmente, el anlisis de riesgos identificar los
activos de la informacin y las amenazas a las cuales se encuentra expuesta.
El anlisis de riesgos guiar en la correcta seleccin de los controles que apliquen a la
organizacin; este proceso se conoce en la jerga del estndar como Statement of
Applicability, que es la definicin de los controles que aplican a la organizacin con
objeto de proporcionar niveles prcticos de seguridad de la informacin y medir el
cumplimiento de los mismos.
A continuacin, se describirn cada una de las diez reas de seguridad con el objeto de
esclarecer los objetivos de estos controles.

Semestre: 2015-II

ISO/IEC 27000

UIGV FISCT
II

Ingeniera de Software

Polticas de seguridad. El estndar define como obligatorias las polticas de seguridad


documentadas y procedimientos internos de la organizacin que permitan su
actualizacin y revisin por parte de un Comit de Seguridad.
Seguridad organizacional. Establece el marco formal de seguridad que debe integrar
una organizacin, tales como un foro de administracin de la seguridad de la
informacin, un contacto oficial de seguridad (Information System Security Officer
ISSO), revisiones externas a la infraestructura de seguridad y controles a los servicios
de outsourcing, entre otros aspectos.
Clasificacin y control de activos. El anlisis de riesgos generar el inventario de
activos que deber ser administrado y controlado con base en ciertos criterios de
clasificacin y etiquetado de informacin, es decir, los activos sern etiquetados de
acuerdo con su nivel de confidencialidad.
Seguridad del personal. Contrario a lo que uno se puede imaginar, no se orienta a la
seguridad del personal desde la ptica de proteccin civil, sino a proporcionar controles
a las acciones del personal que opera con los activos de informacin.
El objetivo de esta rea del estndar es contar con los elementos necesarios para mitigar
el riesgo inherente a la interaccin humana, es decir, establecer claras responsabilidades
por parte del personal en materia de seguridad de la informacin.
Seguridad fsica y de entorno. Identificar los permetros de seguridad, de forma que se
puedan establecer controles en el manejo de equipos, transferencia de informacin y
control de los accesos a las distintas reas con base en el tipo de seguridad establecida.
Comunicaciones y administracin de operaciones. Integrar los procedimientos de
operacin de la infraestructura tecnolgica y de controles de seguridad documentados,
que van desde el control de cambios en la configuracin de los equipos, manejo de
incidentes, administracin de aceptacin de sistemas, hasta el control de cdigo
malicioso.
Control de acceso. Habilitar los mecanismos que permitan monitorear el acceso a los
activos de informacin, que incluyen los procedimientos de administracin de usuarios,
definicin de responsabilidades o perfiles de seguridad y el control de acceso a las
aplicaciones.
Semestre: 2015-II

ISO/IEC 27000

UIGV FISCT
II

Ingeniera de Software

Desarrollo de sistemas y mantenimiento. La organizacin debe disponer de


procedimientos que garanticen la calidad y seguridad de los sistemas desarrollados para
tareas especficas de la organizacin.
Continuidad de las operaciones de la organizacin. El sistema de administracin de
la seguridad debe integrar los procedimientos de recuperacin en caso de contingencias,
los cuales debern ser revisados de manera constante y puestos a prueba con la finalidad
de determinar las limitaciones de los mismos.
Requerimientos legales. La organizacin establecer los requerimientos de seguridad
que deben cumplir todos sus proveedores, socios y usuarios; stos se encontrarn
formalizados en los contratos o convenios.
Cada una de las reas establece una serie de controles que sern seleccionados
dependiendo de los resultados obtenidos en el anlisis de riesgos, adems, existen
controles obligatorios para toda organizacin, como es el de las polticas de seguridad
cuyo nmero depender ms de la organizacin que del estndar, el cual no establece
este nivel de detalle.

CAPITULO II: IMPLEMENTACIN

Semestre: 2015-II

ISO/IEC 27000

UIGV FISCT
II

Ingeniera de Software

FASE 1: ORGANIZACIN
Determinar el Alcance del Sistema de Gestin de Seguridad de la
Informacin:
La presente Metodologa para el Sistema de Gestin de Seguridad de la Informacin
cubrir los aspectos de seguridad de los activos de la empresa, adaptando los controles
de la norma ISO 27001 en base a la realidad existente en la organizacin, con un
anlisis de riesgos, identificacin de amenazas y vulnerabilidades de los activos fsicos,
lgicos y de servicios, incluyendo todo tipo de informacin de la empresa.
A continuacin presentamos los activos de la empresa:
#
1

Activos a proteger
Servidores Web (Memoria, Disco duro, Procesador, Monitor,

Semestre: 2015-II

ISO/IEC 27000

UIGV FISCT
II

2
3
4
5
6
7
8
9

Ingeniera de Software

Mouse, Fuente de poder).


Bases de datos.(MySQL, SQL Server)
Servicios (Evaluacin Institucional, Sistema de recursos
Humanos, Sistema de autenticacin global E-mail).
Software (Software de aplicacin, programas fuente,
sistemas operativos).
Backup o respaldos
Dispositivos de red (Cableado, antenas, switch, hubs,
mdems, routers).
Personal (Usuarios o empleados).
Documentacin de programas,

hardware,

sistemas,

procedimientos administrativos, manuales, etc.


Insumos (cintas, cartuchos de tinta, tner,

papel,

formularios, etc.).

Determinar la declaracin de Polticas de Seguridad de la Informacin


y Objetivos:

1. Poltica de Manejo de Contraseas:

Objetivo:
Reglamentar la poltica de contraseas de acceso de los equipos informticos, correo y
sistemas de informacin.

Alcance:
Contraseas manejadas en todas las reas de la empresa.

Definiciones:
Contrasea: Sea secreta que permite el acceso

Aplicacin:

Semestre: 2015-II

ISO/IEC 27000

UIGV FISCT
II

Ingeniera de Software

-No utilizar la misma contrasea para las cuentas utilizadas en su ambiente laboral que

en sus cuentas y accesos personales.


-Las contraseas deben tener un grado de creacin:
Debe tener una longitud mnima de 7 caracteres.
Deben contener tanto minsculas y maysculas.
Deben contener dgitos.
Se debe cambiar la contrasea por lo menos 3 meses.

2. Poltica de Proteccin contra virus:

Objetivo:
Establecer los requerimientos que deben cumplir todas las computadoras y servidores
conectados a la red de la empresa para asegurar la prevencin y deteccin efectiva de
virus.

Alcance:
Esta poltica aplica a todas las computadoras y servidores de la empresa.

Definiciones:
-Virus: Los virus informticos son programas de computadora que se reproducen a s
mismo e interfieren con el hardware de una computadora o con su sistema operativo.
-Antivirus: Son programas que se encargan de encontrar y en lo posible eliminar o dejar
sin efecto la accin de los virus informticos y otro tipo de programas malignos.
-Spam: Se llama spam o correo basura a los mensajes no solicitados, habitualmente de
tipo publicitario, enviados en grandes cantidades (incluso masivas) que perjudican al
receptor.

Responsabilidades:
rea de Sistemas
-El rea de sistemas notificara a los empleados acerca de las amenazas.
-El rea de sistemas debe asegurarse que todas las computadoras y servidores de la
empresa, tengan instalado un antivirus y que se encuentre actualizado.
-Cada cierto tiempo se dar un mantenimiento para detectar algn tipo de virus.
Usuarios
-Cuando un empleado reciba un correo de fuente desconocida, sospechosa o no
confiable, no debe abrirlo y debe proceder a borrarlo.
Semestre: 2015-II

ISO/IEC 27000

UIGV FISCT
II

Ingeniera de Software

-Si el antivirus no se actualiza o no est instalado el empleado deber notificarlo al rea


de sistemas.
-Los empleados no debern descargar archivos de fuentes desconocidas o sospechosas.
No utilizar software sin autorizacin del rea de sistemas.
3. Poltica del control de acceso:

Objetivo:
Definir los lineamentos para que los diferentes accesos a las reas, informaciones y
sistemas de la organizacin se encuentren controlados y documentados.

Alcance:
-Acceso a las diferentes reas de la empresa.
-Acceso a la informacin almacenada en servidores.

Aplicacin:
-Cada empleado solo tendr acceso a aquellas reas, informacin y sistemas de la
empresa que son necesarias para el desempeo diario de sus labores.
-Se tendr instalado cmaras de seguridad que permitan monitores las
Instalaciones de la empresa y en caso se requiera ser visto por algn gerente.
-Se mantendr reportado el ingreso de personal externo a la empresa.
-Se mantendr registrado el ingreso y salida de aparatos informticos.

Semestre: 2015-II

ISO/IEC 27000

UIGV FISCT
II

Ingeniera de Software

4. Poltica de Clasificacin de la informacin:

Objetivo
Reglamentar la poltica de clasificacin de informacin de las distintas reas de la
empresa.

Alcance
Informacin manejada en toda la empresa.

Descripcin
Las reas de la empresa debern clasificar su informacin de acuerdo a su importancia.
Los documentos de confiabilidad debern ser de acceso restringido.
(Especificar las reas y sus archivos a clasificar).

5. Poltica de Disposicin de medios y equipos

Objetivo
Proveer los alineamientos para la disposicin de la mayora de los tipos de medios
incluyendo aquellos equipos que hayan cumplido su ciclo de vida.

Alcance
Esta poltica aplica a todos los empleados.

Aplicacin
Semestre: 2015-II

ISO/IEC 27000

UIGV FISCT
II

Ingeniera de Software

-Los equipos que estn deteriorados u obsoletos debern seguir unos pasos para una
posterior eliminacin del dispositivo o donacin del mismo.
-Los discos duros debern ser borrados en su totalidad utilizando el formateado.
-Las memoras USB debern ser destruidas.
-Los discos de grabacin debern ser cortados o triturados.
-Los documentos confiables debern ser cortados o triturados.
-Se tomara alguna decisin final sobre el dispositivo como Donacin, venta, Reciclaje.

6. Poltica de Backup

Objetivo
El rea de sistemas se encargara de proteger y garantizar que la informacin almacenada
en la empresa se mantenga respaldada y sean recuperables en el momento que se
necesite.

Alcance
Esta poltica aplica al rea de sistemas.

Aplicacin
1. Determinar o identificar el nmero de aplicativos y/o bases de datos para respaldo.
2. Determinar los mecanismos de copias de respaldo segn la base de datos a respaldar:
manual o automtico.
3. Verificar si el Backup es automtico el sistema asigna fecha de creacin de la base de
datos, si no se debe cambiar la fecha de creacin de la misma.
4. Verificar los archivos log del servidor.
5. Comprimir los archivos en formato .zip o .rar si la copia se realiza correctamente.
6. Verificar las copias comprimidas, para verificar que se pueden descomprimir cuando
se necesiten.
7. Volver a realizar copia por segunda vez, si el archivo log del servidor indica un error
8. Grabar diaria, semanal y anualmente, en un dispositivo de almacenamiento (CD)
todas las copias y guardar en la Oficina de Informtica.
Semestre: 2015-II

ISO/IEC 27000

UIGV FISCT
II

Ingeniera de Software

9. Grabar mensualmente en un dispositivo de almacenamiento (CD) todas las copias se


guarda una en la oficina de Informtica y se enva otra a un ente externo.

FASE 2: PLANIFICACION

Realizar Evaluacin de Riesgos:


El presente anlisis de riesgos es desarrollado con el propsito de determinar cul o
cules de los activos pertenecientes a la empresa tienen mayor vulnerabilidad ante
factores externos o internos que puedan afectarlos, identificando las causas potenciales
que faciliten o impidan alcanzar los objetivos, calculando la probabilidad de su
ocurrencia, evaluando sus probables efectos, y considerando el grado en que el riesgo
pueda ser controlado, de esta manera se garantiza la adaptacin efectiva y real en la
integracin de los controles de la norma ISO 27001.
Para generar esta informacin se desempe las siguientes actividades:
Anlisis de los Activos y factores de riesgo
Presentamos los distintos activos reconocidos en la empresa, asignando un valor a la
importancia que tienen en la institucin, ponderada en una escala del 1 al 10. Esta
importancia es un valor subjetivo que refleja el nivel de impacto que puede tener en la

Semestre: 2015-II

ISO/IEC 27000

UIGV FISCT
II

Ingeniera de Software

organizacin si un incidente afectara a los activos, sin considerar las medidas de


seguridad que existan sobre los mismos.
Importancia de 1 a10
#
1
2
3
4
5
6
7
8
9

Activos a proteger

Imp.

Servidores Web (Memoria, Disco duro. Procesador, Monitor, Mouse,


Fuente de poder).
Bases de datos.(MySQL, SQL Server)

10

Servicios (Evaluacin Institucional, Sistema de recursos Humanos,


Sistema de autenticacin global E-mail).
Software(Software de aplicacin, programas fuente, sistemas
operativos)
Backup o respaldos
Dispositivos de red(Cableado , antenas, switch, hubs, mdems, routers)
Personal(Usuarios o empleados)

9
9
8
9
7
6

Documentacin de programas, hardware, sistemas, procedimientos


administrativos, manuales, etc.
Insumos (cintas, cartuchos de tinta, tner, papel, formularios, etc.)

9
6

A continuacin se listan los factores de riesgo que pueden afectar a dichos activos,
indicando la probabilidad de que estas contingencias ocurran, en una escala del 1 al 3.
Esta probabilidad es evaluada teniendo en cuenta las medidas de segundad existentes en
la organizacin.
Probabilidad de 1 a 3
#

Factores de Riesgo

Probabilida
d
3

Acceso no autorizado a datos

Acceso no autorizado a los laboratorios

Aplicaciones sin licencia

Ausencia o falta de segmentacin

Complejidad en el diseo de las redes

Condiciones de trabajo adversas

Copia no autorizada de la informacin a un medio de datos

Corte de luz o variaciones de voltaje

Cracking de password

Semestre: 2015-II

ISO/IEC 27000

UIGV FISCT
II

Ingeniera de Software

10

Dao o destruccin de cables

11

Destruccin negligente de datos

12

E- mail bombing y spamming

13

Error de configuracin en los servidores

14

Errores de software

15

Errores en las funciones de encriptacin

16

Falla de Base de datos

17

Falla del sistema

18

Falta de autenticacin

19

Falta de espacio de almacenamiento

20

Incendios

21

Ingreso de polvo

22

Interferencias

23

Inundaciones o filtracin de agua

24

Lmite de vida til de equipos

25

Mal mantenimiento de los servidores

26

Mala administracin de cuentas de usuario

27

Mala integridad de los datos resguardados

28

Suspensin de servicios Web

29

Perdida de backups

30

Riesgo por el personal de limpieza o personal externo

31

Robo de dispositivos o equipos

32

Rtulos inadecuados en los medios de datos

33

Sabotaje

34

Software desactualizado

35

Spoofing y sniffing

36

Transporte inseguro de archivos

37

Usurpacin de usuarios

38

Utilizacin de claves o password simples por los usuarios

39

Virus

Semestre: 2015-II

ISO/IEC 27000

UIGV FISCT
II

Ingeniera de Software

Conducir un Anlisis entre los Riesgos Identificados y las Medidas


Correctivas Existentes:
En el presente cuadro se listan los activos de la empresa, los factores de riesgos que los
afectan directamente y las consecuencias que puede acarrear la ocurrencia de estos
factores. Se agrega informacin referida a las medidas que ha tomado la empresa para
mitigar estas consecuencias. Por ltimo mediante un anlisis se ha evaluado estas
medidas, indicando si son deficientes, mejorables o eficientes.

Acti
vo
S
E
R
V
I
D
O

Factor de Riesgo

Consecuencias?

Acceso no
autorizado a los
laboratorios

Robo, modificacin de
la informacin

Seguridad fsica, puertas


protegidas

Corte de luz, o
variaciones de
voltaje.
Incendios

Dao de los equipos o


parte de ellos
Dao total o parcial de
los equipos por el fuego
o altas temperaturas
Dao total o parcial de
los equipos por el agua

UPS, estabilizador,
disposicin de un pozo a
tierra, generador de luz
Equipos contra incendio
(extintores, fuentes de agua)
capacitacin del personal.
Seguridad fsica y buen
diseo del edificio

Deterioro en la
performance del sistema

Equipamiento actual y
asesoramiento permanente

Inundaciones o
filtracin de
agua
Limite de vida
til, maquinas
obsoletas

Semestre: 2015-II

Como se protege?

Es efectiva

e
m

ISO/IEC 27000

UIGV FISCT
II

R
E
S

Activ
o

B
A
S
E
S
D
E
D
A
T
O
S

Mal
mantenimiento de
los servidores
Robo de
dispositivos o
equipos

Ingeniera de Software

Interrupciones en el
funcionamiento del
sistema
Perdida de equipamiento
o informacin

Factor de Riesgo
Acceso no
autorizado a los
datos
Copia no
autorizada de un
medio dededatos
Errores
software
Falla de base de
datos
Falta de espacio de
almacenamiento
Mala integridad de
los datos
Perdida de confidencialidad en datos
privados y de
Virus
sistema

Semestre: 2015-II

Mantenimiento interno y
permanente
Controles de accesos
fsicos, guardias de
seguridad,alarmas

Consecuencias?

Como se protege?

Robo, modificacin de
la informacin

Seguridad lgica y
firewall

Divulgacin de
informacin
Inconsistencias en los
datos
Inconsistencias en los
datos
Falla en la aplicacin

Desabilitacin de
puertos y controles
lgicos internos y
Controles
backup de los datos.
Controles internos y
backup de los datos.
Recursos abundantes de
almacenamiento
Controles en las
aplicaciones
Controles
desarrolladas fsicos
y controles
de accesos
Herramientas
lgicos a datosantivirus
crticos
y firewall

Inconsistencias y
redundancia de datos
Divulgacin de
informacin
Perdida, modificacin o
divulgacin de datos,
perdida de tiempo, y
productividad.

Es efectiva

m
m
m
e
e
m

ISO/IEC 27000

UIGV FISCT
II

Activ
o
S
E
R
V
I
C

Factor de Riesgo

Activ
o
S
O
F
T
W

Acti
vo
B

Como se protege?

Servicio inactivo

Craking de password

Transporte inseguro
de archivos

Modificacin o
divulgacin de
informacin
Divulgacin de
informacin

Factor de riesgo

Consecuencias?

Como se protege?

Acceso no
autorizado a los
servidores

Mala administracin en
las cuentas de usuario o
divulgacin de claves

Error de
configuracin en los
servidores
Falla del sistema

Mal funcionamiento de
los servidores

Permisos mnimos
necesarios para el
desempeo de sus
funciones
Existen herramientas
de anlisis y personal
de mantenimiento
Backup y sistemas de
respaldo
Controles
de
accesos lgicos,
reforzando en datos
crticos.

A
R

Consecuencias?

Negacin de servicio
Web
Utilizacin de claves
o password simples
por los usuarios
Usurpacin de
usuarios

I
O

Ingeniera de Software

Mala
administracin
de control de acceso.

Factor de riesgo

Fcil descubrimiento
de claves
Cambio o robo de
informacin

Posibles demoras en el
desarrollo de las
Divulgacin
y
funciones
modificacin de
informacin.

Consecuencias?

Copia
no Robo de informacin
autorizada a un
medio de datos

Semestre: 2015-II

Responsable por cada


servicio
Capacitacin a
los usuarios con
polticas de buenos
Capacitacin
en la
password
confidencialidad de la
informacion
Utilizacin de
algoritmos complejos
Chequeo permanente
de puertos,
herramientas de
monitoreo de datos

Como se protege?
Controles de seguridad
fsica y controles de
accesos lgicos a los
servidores

Es efectiva

m
m

Es efectiva

m
e

Es
efectiva
e

ISO/IEC 27000

UIGV FISCT
II

A
C
K
U
P

Falta de
espacio
Perdida
backups
Rtulos
inadecuados
los medios

Activo
D
O
C
U
M
E
N
T
A
C
I
O
N

Ingeniera de Software

Falla en la generacin del


de backup
de Falta de datos, incapacidad
de
restaurarlos y divulgacin
Errores
durante
la
de la informacin
en restauracin de datos
de

Factor de riesgo

Consecuencias?

Borrado, modificacin o Documentacin


revelacin desautorizada incorrecta
de informacin

Existencia
de discos
redundantes para la copia
Backups redundantes

d
Rtulos
capaces
de
diferenciar cada medio de
datos como nico.

Como se protege?

Actualizacin
permanente
de
polticas
de
seguridad
Descripcin de archivos Documentacin
Formatos
bien
inadecuada
incorrecta
estructurados para
las
diferentes
Documentacin
Entorpecimiento de Actualizacin
insuficiente o faltante, la administracin y permanente
de la
funciones
no
uso del sistema
documentacin de
documentadas
los procesos
Robo de documentos
Divulgacin
de Controles de acceso
informacin
fsico a datos

Semestre: 2015-II

Es
efectiva
m

ISO/IEC 27000

UIGV FISCT
II

Ingeniera de Software

Desarrollar un Plan de Tratamiento de Riesgos:

Seguridad fsica y del Entorno:


Responde a la necesidad de proteger las reas, el equipo y los controles generales.
1. rea Administracin:
o Los componentes de computacin (Pantalla, CPU, mouse, teclado,
cables) debern estar bien conectados y unidos con alguna cinta.
o El acceso a la informacin deber estar definida por usuario y contrasea
o
o
o
o
o

personalizada.
Se deber tener un mximo de personas segn sea el espacio fsico.
Se tendr instalado 01 extintor en la entrada.
Deber instalarse 01 cmara de seguridad.
Se instalar detector de humo.
Se configurar el computador cuando tenga 10 minutos de inactividad se

bloquee y requiera ingresar usuario y contrasea personalizada.


o Los documentos estarn debidamente archivados.
o Se crear un registro de personas externas ingresadas a la empresa.
2. rea de Sistemas:

Semestre: 2015-II

ISO/IEC 27000

UIGV FISCT
II

Ingeniera de Software

o Los componentes de computacin (Pantalla, CPU, mouse, teclado,


cables) debern estar bien conectados y unidos con alguna cinta.
o El acceso a la informacin deber estar definida por usuario y contrasea
personalizada.
o Se deber tener un mximo de personas segn sea el espacio fsico. Solo
o
o
o
o

personal de sistemas podr ingresar.


Se tendr instalado 01 extintor en la entrada.
Deber instalarse 01 cmara de seguridad.
Se instalar detector de humo.
Se configurar el computador cuando tenga 10 minutos de inactividad se

bloquee y requiera ingresar usuario y contrasea personalizada.


o Solo el rea de sistemas maneja clave de administrador y de servidores.
o Se deber administrar el uso de contraseas con fecha de caducidad (3
meses) y el uso de una contrasea con mnimo de 6 caracteres. (letras,
nmeros, Mayscula, minscula, etc.).
o Se dar mantenimiento cada 3 meses a las computadoras.
3. rea de Servidores:
o Los componentes de computacin (Pantalla, CPU, mouse, teclado,
cables) debern estar bien conectados y unidos con alguna cinta.
o Se deber instalar aire acondicionado dentro del rea.
o El acceso a la informacin deber estar definida por usuario y contrasea
o
o
o
o

personalizada.(solo administrador)
Se tendr instalado extintores en la entrada y en el centro del rea.
Deber instalarse 01 cmara de seguridad.
Se instalar detector de humo.
Se configurar el computador cuando tenga 10 minutos de inactividad se
bloquee y requiera ingresar usuario y contrasea personalizada.

4. rea de Investigacin:
o Los componentes de computacin (Pantalla, CPU, mouse, teclado,
cables) debern estar bien conectados y unidos con alguna cinta.
o Se deber instalar aire acondicionado dentro del rea.
o El acceso a la informacin deber estar definida por usuario y contrasea
o
o
o
o

personalizada.
Se tendr instalado 01 extintor en la entrada.
Deber instalarse 01 cmara de seguridad.
Se instalar detector de humo.
Se configurar el computador cuando tenga 10 minutos de inactividad se
bloquee y requiera ingresar usuario y contrasea personalizada.

Semestre: 2015-II

ISO/IEC 27000

UIGV FISCT
II

Ingeniera de Software

o Los documentos estarn debidamente archivados.

CONCLUSIONES
1. El estudio realizado de polticas y reglamentos para la seguridad de la
informacin permite visualizar con mayor claridad la importancia y el valor de
la informacin para la Organizacin adaptados a la necesidad de proteccin de
datos.
2. Mediante la recopilacin de la informacin de los activos involucrados en los
sistemas de informacin pertenecientes al a empresa, se pudo constatar los
problemas actuales de falencias en el mantenimiento, organizacin y la falta de
una metodologa de seguridad de la informacin basadas en normas que
garanticen su seguridad.
3. El estudio de la Norma ISO 27001 ha permitido mejorar el conocimiento de los
sistemas de seguridad de la informacin, sus problemas y los medios de
proteccin adems cubre el vaco que ha generado la inexistencia de un mtodo
documentado, sobre cmo proceder a implantar un Sistema de Gestin de
Seguridad de la Informacin.
4. Al aplicar el ciclo (Plan, Do, Check, Act) en la elaboracin inicial de la
metodologa se obtiene eficiencia en sus contenidos y se ha logrado determinar
espacios de desarrollo para cada una de las actividades involucradas en la
gestin de un SGSI, es decir que la metodologa elaborada cubre estos aspectos
durante todo el proceso de desarrollo.
5. A travs de la creacin de la metodologa para un SGSI usando la norma ISO
27001, se pretende gestionar y concienciar el cumplimiento de la misma al
personal de la empresa para mejorar su compromiso con la seguridad de la
informacin en toda la organizacin.
6. Por medio de la aplicacin desarrollada se podr analizar el cumplimiento de los
elementos involucrados en la metodologa elaborada segn la norma ISO 27001,
para la toma correcta de decisiones por parte de los gestores de un SGSI.

Semestre: 2015-II

ISO/IEC 27000

UIGV FISCT
II

Ingeniera de Software

RECOMENDACIONES
1. Para llevar a cabo una buena gestin de la informacin es recomendable el
compromiso de todo el personal involucrado en el funcionamiento y
mantenimiento de los activos de la informacin en la organizacin.
2. Toda organizacin grande o pequea requiere de una metodologa de Seguridad
de Informacin acorde a sus necesidades para garantizar su confidencialidad,
integridad y disponibilidad.
3. La puesta en prctica de la metodologa requiere la autorizacin y colaboracin
de todas unidades operativas de las mismas sin diferenciar sean grandes o
pequeas.
4. Se recomienda poner en prctica el contenido de la metodologa y los aspectos
all descritos para la gestin de la seguridad de la informacin, de esta manera se
respalda el objetivo del trabajo que se convierte en los inicios del camino de
certificacin para la empresa bajo la Norma ISO 27001.
5. Es recomendable que una vez evaluada la gestin de seguridad de la empresa se
implemente las medidas necesarias para subir el nivel de eficiencia del mismo y
mantener altos niveles de seguridad de la informacin, este aspecto es motivo de
una nueva investigacin.
6. Se recomienda que la empresa dentro de su Organizacin Funcional, defina un
rea para la gestin de seguridades y pruebas del mantenimiento de la
informacin.

Semestre: 2015-II

ISO/IEC 27000

UIGV FISCT
II

Semestre: 2015-II

Ingeniera de Software

ISO/IEC 27000