Está en la página 1de 20

SISTEMAS DE GESTIN DE LA SEGURIDAD

DE LA INFORMACIN

Estructura de contenidos

1. Sistemas de informacin.........................................................3

1.1 Riesgos de los sistemas de informacin...................................4

2. Seguridad de la informacin ...................................................5

2.1 Tipos de controles para la seguridad de la informacin .............6

2.2 Caractersticas de la seguridad de la informacin .....................7

2.3 Niveles de proteccin de la informacin ..................................8

3. Sistemas de Gestin de la Seguridad de la Informacin (SGSI) ...8

3.1 Diseo de los SGSI...............................................................9

3.2 Implantacin de SGSI usando el ciclo PHVA ............................10

4. Procedimiento para anlisis del riesgo.......................................12

5. Tratamiento del riesgo............................................................13

5.1 Establecer controles para mitigar los riesgos (Reducir)..............14

5.2 Trasladar el riesgo a un tercero (Transferir).............................14

5.3 Aceptar el riesgo y establecer porque es imposible de eliminar


(Aceptar).................................................................................15

5.4 Quitar los procesos del negocio que generan el riesgo (Evitar)...15

6. Clasificacin de los controles para reducir el riesgo.....................15

6.1 Controles segn su finalidad..................................................15

6.2 Controles segn su forma de accionamiento............................15

FAVA - Formacin en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje


GESTIN DE INCIDENTES
Mapa conceptual

2
FAVA - Formacin en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestin de la Seguridad de la Informacin

INTRODUCCIN

El especialista en gestin de bases de datos, debe abordar el problema


de la seguridad de la informacin en los sistemas computacionales, desde
la perspectiva del anlisis y gestin del riesgo, puesto que se parte de
la premisa que ningn sistema digital est totalmente asegurado si est
conectado a una red, por cuanto se puede concluir que la seguridad de los
datos y del sistema mismo depende del continuo proceso de supervisin
y control de vulnerabilidades.

Las organizaciones que cuenta con sistemas computacionales para


la administracin de bases de datos requieren tener implementado un
Sistema de Gestin de la Seguridad de la Informacin (SGSI) que les
permita controlar efectivamente el proceso de gestin del riesgo.

Es un hecho que las organizaciones actuales dependen cada vez ms del


correcto tratamiento que se da a la informacin, por lo tanto que tener un
SGSI permite mitigar los riesgos asociados con el manejo de la informacin
y garantiza la continuidad del modelo de negocio mediante la generacin
de valor agregado en los productos y servicios que se suministran a los
clientes.

Los entornos de produccin que poseen sistemas de bases de datos


para el almacenamiento de la informacin necesitan de unos niveles de
confiabilidad, rendimiento y disponibilidad bastante altos; para alcanzarlos
se requieren de un SGSI desde el que se supervise constantemente el
estado de cada uno de los componentes lgicos, fiscos y humanos que
intervienen en el funcionamiento del sistema computacional.

Con el estudio de este objeto de contenido se introducirn al proceso de


implementar un SGSI con el fin de realizar efectivamente la gestin del
riesgo en sistemas computacionales que alberguen bases de datos.

Sistemas de Gestin de la Seguridad de la Informacin

1. Sistemas de informacin

El termino sistema de informacin es utilizado para referirse al


funcionamiento del conjunto de componentes (equipos informticos,

3
FAVA - Formacin en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestin de la Seguridad de la Informacin

software especializado, recurso humano y redes de datos) que tienen


por objeto el manejo, procesamiento, organizacin, almacenamiento y
recuperacin de la informacin para apoyar la toma de decisiones y el
mejoramiento de los procesos en las organizaciones.

La complejidad del funcionamiento y operacin de los elementos que


hacen parte de la arquitectura de los sistemas de informacin, expone a
riesgos la informacin que se transporta y se almacena en este tipo de
sistemas.

En la actualidad gran parte de la informacin de las organizaciones se


procesa, transporta y almacena de forma digital en los sistemas de
informacin, por lo que se ha vuelto indispensable utilizar tcnicas que
permitan el aseguramiento de estos sistemas a travs de procedimientos
de ingeniera criptogrfica y de proteccin de datos.

1.1 Riesgos de los sistemas de informacin

Los riesgos ms comunes a los que estn expuestos los sistemas de


informacin son:

1.1.1 Riesgos fsicos:

Accesos no autorizados


C atstrofes naturales: incendios, inundaciones, terremotos
tormentas, descargas atmosfricas

Vandalismo en infraestructura

Fallas en el flujo elctrico

Daos causados por humanos con o sin intencin

1.1.2 Riesgos lgicos

Software malicioso: virus, gusanos, caballos de troya y spyware

Errores o vulnerabilidades en el software

Ataques de denegacin de servicio

4
FAVA - Formacin en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestin de la Seguridad de la Informacin

Clientes Lneas de Servidores Sistemas


(usuarios) comunicaciones corporativos corporativos

Base
de
Datos

Hardware
Acceso no Intervencin Piratera informtica
telefnica Sistemas operativos
autorizado Virus y gusanos
Software
Errores Husmeo de Robo y fraude
Virus y la red Vandalismo
Robo de datos
spyware Alteracin de Ataques de
mensajes negacin Copiado de datos
Alteracin de datos
Robo y fraude del servicio
Radiacin Falla del hardware
Falla del software
Catstrofes naturales: incendios, inundaciones, terremotos, ...

2. Seguridad de la informacin1

El termino seguridad de la informacin hace referencia a todos los


procedimientos y controles que son implementados por las personas y
organizaciones para prevenir, proteger y resguardar la informacin del
acceso y utilizacin no autorizado.

La informacin tiene la caracterstica de ser uno de los activos ms


importantes para cualquier organizacin, debido a que de su tratamiento
confidencial depende la rentabilidad y continuidad de su modelo de
negocio, por esta razn la seguridad de la informacin resulta ser un
factor crtico para la estabilidad de las organizaciones.

La seguridad de la informacin es un tema que debe ser abordado por


la gerencia teniendo pleno conocimiento del impacto que puede tener
en la organizacin, si se materializan los riesgos que se ciernen sobre su
informacin.

El siguiente grfico nos muestra los aspectos ms importantes que deben


ser tenidos en cuenta por la gerencia para gestionar la seguridad de la
informacin de efectivamente:

1 http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n

5
FAVA - Formacin en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestin de la Seguridad de la Informacin

Caractersticas de la
seguridad de la informacin

SEGURIDAD
Niveles deproteccin
Controles fsicos DE LA
de la informacin
INFORMACIN

Controles lgicos

2.1 Tipos de controles para la seguridad de la informacin

Existen dos tipos de controles que se usan para preservar la seguridad de


la informacin:

2.1.1 Controles fsicos:

Son las barreras fsicas y procedimientos de control que se implementan


como medidas preventivas para preservar la integridad y el acceso no
autorizado a la informacin.

 roteccin perimetral de las instalaciones donde se encuentra la


P
informacin

 istemas Ininterrumpidos de potencia (UPS) para los servidores


S
que albergan las bases de datos y los sistemas de seguridad

6
FAVA - Formacin en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestin de la Seguridad de la Informacin

Control de acceso a personas

Sistemas de almacenamiento redundante ubicados en distintos


zonas geogrficas

Niveles de acceso a la informacin

2.1.2 Controles lgicos:

Son aquellas barreras y procedimientos que estn basados en la


implementacin de algn tipo de software o tcnica de ofuscacin y su
objetivo es que solo personas autorizadas tengan acceso a la informacin.

Uso de protocolos seguros para transmisin de la informacin

Implementacin de tcnicas de encriptacin para transportar y


almacenar la informacin

Autenticacin de usuarios en aplicaciones

Uso de contraseas seguras

Firewalls

Antivirus

Proxys

2.2 Caractersticas de la seguridad de la informacin

Autenticacin: capacidad de determinar la procedencia de la informacin,


para que el autor pueda realizar el reconocimiento de la misma.

Confidencialidad: cualidad que debe poseer los sistemas que almacenan


la informacin para que esta solo sea accedida de manera comprensible
por la persona o sistema que esta autorizado a hacerlo.

Disponibilidad: capacidad de la informacin para que sea accesible y


utilizable por los usuarios o procesos autorizados cuando estos lo requieran.

Integridad: cualidad de la informacin que permite establecer la


correspondencia entre los datos y los hechos que refleja.

7
FAVA - Formacin en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestin de la Seguridad de la Informacin

2.3 Niveles de proteccin de la informacin

Los siguientes niveles proporcionan en cada uno de ellos un grado creciente


de proteccin de la informacin:

Nivel bsico: este nivel de seguridad comprende la informacin


bsica de identificacin de las personas y las organizaciones.

Nivel medio: este nivel comprende los archivos que contengan


informacin relacionada con el comportamiento de los individuos,
procesos del modelo de negocio y proveedores de las organizaciones.

Nivel alto: este nivel de proteccin aplica para la informacin


relacionada con clientes, secretos industriales, mrgenes de utilidad
e informacin financiera de la organizacin.

3. Sistemas de Gestin de la Seguridad de la Informacin


(SGSI)

La sigla SGSI es utilizada para referirse a la gestin de los procesos y


mecanismos de control que son utilizados para custodiar y proteger de
amenazas la informacin sensible de las organizaciones.

Los SGSI permiten a la gerencia de las organizaciones determinar con


objetividad que informacin requiere ser protegida, por qu debe ser
protegida, de qu debe ser protegida y como protegerla mediante la
planificacin e implantacin de polticas, procedimientos y controles que
mantengan siempre el riesgo por debajo del nivel asumible por la propia
organizacin.

Los SGSI ofrecen una visin global sobre el estado de los sistemas
de informacin, las medidas de seguridad que se estn aplicando y
los resultados que se estn obteniendo de dicha aplicacin; con esta
informacin la gerencia de la organizacin tiene la capacidad de reaccionar
rpidamente ante cualquier incidente de seguridad, identificando la raz
del problema y tomando las decisiones pertinentes sobre la estrategia a
seguir.

8
FAVA - Formacin en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestin de la Seguridad de la Informacin

PROTECCIN PERIMETRAL

Controles lgicos

Polticas de seguridad

Protocolos seguros

Firewall Contraseas seguras

Documentacin
Category Product OrderDetail

Usuarios
Properties Properties Properties

Intercambio y Movilidad
CategoryID ProductID OrderID
CategoryName ProductName ProductID
Description SupplierID UnitPrice
Picture CategoryID Quantity
QuantityPerUnit Discount
UnitPrice
UnistsInStock
UnitsOnOrder
Supplier ReorderLevel
Discontinued
Properties Order
SupplierID
CompanyName Properties
ContactName Customer OrderID
ContactTitle CustomerID
Address Properties EmployeeID
City CustomerID OrderDate
Region CompanyName RequiredDate
PostalCode ContactName ShippedDate
Country ContactTitle ShipVia

Control de acceso
Phone Address Freight
Fax City ShipName
HomePage Region ShipAddress
PostalCode ShipCity
Country ShipRegion

Autenticacin
Phone ShipPostalCode
Fax ShipCountry

Niveles de acceso
010010
001000
110101 Antivirus
111100

Aplicaciones
UPS

Puestos de
Controles fsicos
trabajo
Soportes fsicos
Servidores
Servicios externos Proxy

Tcnicas de encriptacin

Desarrollo y mantenimiento

3.1 Diseo de los SGSI

El diseo de SGSI se basa en la necesidad de que la seguridad de la


informacin tiene requerimientos que cambian continuamente y que
dichos cambios adems de ser gestionados deben estar documentados.

3.1.1 Ciclo Deming o modelo PHVA

Los SGSI se disean especficamente para cada organizacin teniendo en


cuenta aspectos como: objetivos estratgicos, requisitos de seguridad,
modelo de negocio, procesos, empleados, tamao y estructura; los cuales
se abordan de forma organizada mediante la aplicacin del ciclo Deming
o modelo PHVA Planear, Hacer, Verificar y Actuar (PDCA por las siglas
en ingls Plan, Do, Check and Act ).

El ciclo PHVA es utilizado por las organizaciones para gestionar


sistemticamente la seguridad de la informacin mediante el
establecimiento, implementacin, operacin, supervisin, revisin,
mantenimiento y mejora continua de los SGSI.

9
FAVA - Formacin en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestin de la Seguridad de la Informacin

Hacer

Do

Planear

Check
Act
Verificar

Actuar

3.2 Implantacin de SGSI usando el ciclo PHVA

Las principales ventajas de que una organizacin tenga implementado un


SGSI es que este le ayuda a identificar los riesgos a los que est sometida
su informacin y le permite gestionarlos sistemticamente en un modelo
de mejoramiento continuo.

A continuacin se describen las faces de la implementacin de un SGSI


basado en el ciclo mencionado:

3.2.1 Establecimiento del SGSI (Planear)

En esta etapa se realiza la primera aproximacin a la situacin de la


organizacin en materia de seguridad, con el fin de estimar las medidas
que se van a implantar en funcin de las necesidades detectadas.

Las principales tareas que se realizan en esta etapa son:

Inicio del proyecto: se asegura el compromiso y los recursos por


parte de la gerencia para la ejecucin del proyecto de SGSI.

Definicin del SGSI: se establece el alcance y los procedimientos

10
FAVA - Formacin en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestin de la Seguridad de la Informacin

que tendr el SGSI.

 nlisis de Riesgos: se define una metodologa para clasificacin


A
de riesgos y se crea un inventario de activos para identificar cuales
deben ser protegidos.

 estin de riesgos: se seleccionan los controles adecuados que


G
permitan reducir el riesgo sobre los activos a un nivel aceptable y
se comienza a realizar el plan de gestin o tratamiento del riesgo.

3.2.2. Implantacin y Operacin (Hacer)

En esta fase se elabora el plan de tratamiento del riesgo detallando las


acciones que deben emplearse para implantar los controles de seguridad
tanto fsicos como lgicos que fueron seleccionados anteriormente. Se
realiza un proceso de formacin y concientizacin del personal de la
organizacin para que reconozcan los controles implantados.

Las principales tareas que se realizan en esta etapa son:

 ormacin y sensibilizacin: se informa y capacita al personal sobre


F
los nuevos controles que sern implantados.

Implantacin del SGSI: se implantan los controles, polticas y


procedimientos contemplados por el SGSI.

3.2.3. Monitorizacin y Revisin (Verificar)

Con la ayuda de las mtricas e indicadores que han sido dispuestos en


cada uno de los activos se evala la eficacia de los controles, esto con el
fin de verificar el correcto funcionamiento del SGSI.

Las principales tareas que se realizan en esta etapa son:

 onitorizacin del SGSI: se monitorea el funcionamiento del sistema,


M
para detectar errores de proceso e identificar fallos de seguridad
que deban ser corregidos rpidamente.

 evisin del SGSI: se realizan revisiones peridicas de la poltica,


R
alcance y eficacia del SGSI.

11
FAVA - Formacin en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestin de la Seguridad de la Informacin

3.2.4. Mantenimiento (Actuar)

En esta fase se realizan las acciones de mantenimiento que sean pertinentes


para el correcto funcionamiento del SGSI, las cuales pueden contemplar
desde la mejora de un proceso hasta la correccin de algn punto dbil
detectado en el sistema.

Las principales tareas que se realizan en esta etapa son:

antenimiento del SGSI: se adoptan acciones correctivas y


M
preventivas sobre el SGSI.

 ejora Continua: se mide el rendimiento del sistema y se implanta


M
las mejoras identificadas en las revisiones anteriores del SGSI.

4. Procedimiento para anlisis del riesgo

La siguiente grfica proporciona una visin general de los elementos que


deben ser tenidos en cuenta durante el procedimiento de anlisis del
riesgos:

aprovechan
Amenazas Vulnerabilidades
exponen
protegen de

aumentan aumentan

disminuyen
Controles Riesgos Activos

marcan aumenta

imponen tienen
Requerimientos impactan si se Valor de los
de seguridad materializan activos

12
FAVA - Formacin en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestin de la Seguridad de la Informacin

Los SGSI establecen el siguiente procedimiento para evitar que las


amenazas de seguridad se conviertan en incidentes de seguridad:

Se identificar los activos de informacin que se poseen.

Se establece su impacto en la rentabilidad del modelo de negocio.

e realiza un anlisis y evaluacin del riesgo (amenazas y


S
vulnerabilidades)

 e establecen controles sobre los activos en los que se desea mitigar


S
el riesgo y se formulan los siguientes planes:

* Plan de gestin o tratamiento del riesgo (PGR)

* Plan de respuesta a incidentes

* Plan de continuidad del negocio (PCN)

Se establece una mtrica sobre el activo que se desea mitigar el


riesgo, esto con el fin de verificar si los controles y planes estn siendo
efectivos.

5. Tratamiento del riesgo

El siguiente grfico nos nuestra los diferentes enfoques que existen para
abordar el tratamiento del riesgo:

13
FAVA - Formacin en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestin de la Seguridad de la Informacin

IDENTIFICAR Y ANALIZAR
PLANIFICAR
Identificar:
Definir:
Activos
Alcance
Amenazas
Poltica
Vulnerabilidades
Metodologa
Analizar:
Riesgos
Costo/beneficio
LA DIRECCIN
Decidir tratamiento de riesgos
Aceptar riesgos residuales

REDUCIR TRANSFERIR ACEPTAR EVITAR

Controles:
Seguros Cesar la actividad
Seleccionar No hacer nada
Proveedores que lo origina
Implantar

A continuacin se realiza una descripcin de cada una de las posibles


opciones para realizar tratamiento del riesgo:

5.1 Establecer controles para mitigar los riesgos (Reducir)

Se generan polticas, se implementan normas y se establecen


procedimientos que conlleven a la mitigacin del riesgo, para ello se afecta
la configuracin de todos los elementos que intervienen la generacin del
riesgo.

5.2 Trasladar el riesgo a un tercero (Transferir)

La adquisicin de plizas por las organizaciones es una figura utilizada


para trasladar el riesgo a un tercero; en este caso, es necesario tener
claro cul es la probabilidad de que el riesgo se materialice, esto con el
fin de realizar un balance entre el costo y el beneficio de adquirir una
pliza; otra figura que se utiliza para transferir el riesgo es contratar un
proveedor que realice la actividad que genera el riesgo por usted.

14
FAVA - Formacin en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestin de la Seguridad de la Informacin

5.3 Aceptar el riesgo y establecer porque es imposible de eliminar


(Aceptar)

La aceptacin del riesgo significa que la organizacin asume y conoce


perfectamente cul sera el impacto en el modelo de negocio si el riesgo
se materializa en algn instante.

5.4 Quitar los procesos del negocio que generan el riesgo (Evitar)

Eliminar el riesgo implica suprimir los procesos que lo generan, esto resulta
altamente inconveniente por que para conseguirlo se requiere cambiar el
modelo de negocio con que funciona la organizacin.

6. Clasificacin de los controles para reducir el riesgo

A continuacin se presenta la clasificacin de los controles que pueden ser


implementados en un activo con el fin de reducir el riesgo sobre el mismo

6.1 Controles segn su finalidad

 ontroles disuasorios: reducen la posibilidad que se produzca un


C
incidente (ej. cmaras de vigilancia).

 ontroles preventivos: reduce la vulnerabilidad (ej. parches en los


C
sistemas operativos o correccin de fallos en un componente del
sistema).

 ontroles detectores: detectan el incidente en curso (ej. sensores


C
IDS en las redes).

Controles correctivos: posterior al incidente (ej. copias de seguridad).

6.2 Controles segn su forma de accionamiento

Controles manuales

Controles Semiautomticos

Controles Automticos

15
FAVA - Formacin en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
GLOSARIO

Activo: recurso del sistema de informacin o relacionado con ste,


necesario para que la organizacin funcione correctamente y alcance los
objetivos propuestos por su direccin. AGR: Anlisis y Gestin de Riesgos

Amenaza: son los eventos que pueden desencadenar un incidente en la


organizacin, produciendo daos materiales o prdidas inmateriales en
sus activos de informacin, puede ser de dos tipos: Amenazas internas y
Amenazas externas

ALE: Annual Loss Expectancy, prdida anual esperada.

ARO: Annual Rate of Occurrence, tasa anual de ocurrencia.

BCP: Business Continuity Plan, plan de continuidad de negocio.

BIA: Business Impact Analysis, anlisis de impacto sobre el negocio.

BSI: British Standards Institute, Instituto Britnico de Estndares.

CID: Confidencialidad - Integridad - Disponibilidad

Confidencialidad: propiedad consistente en proporcionar acceso a los


sistemas de informacin nicamente a aquellos usuarios autorizados, en
tiempo y forma determinados.

Disponibilidad: capacidad de un servicio o sistema, de ser accesible


y utilizable por los usuarios o procesos autorizados cuando estos lo
requieran.

DLP: Data Leakage Protection - Proteccin de fuga de datos: son aquellas


medidas de seguridad que tratan de evitar que la informacin confidencial
o valiosa sea copiada o trasladada fuera del entorno de seguridad.

DRP: Disaster Recovery Plan, plan de recuperacin de desastres.

IEC: International Electrotechnical Commission, Comisin Electrotcnica


Internacional.

16
FAVA - Formacin en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestin de la Seguridad de la Informacin

Impacto: es la consecuencia negativa sobre un activo de la materializacin


de una amenaza.

Incidente: evento que atenta contra la confidencialidad, integridad o


disponibilidad de la informacin y los recursos tecnolgicos.

Integridad: medidas de seguridad que garantizan la exactitud de los


datos transportados o almacenados, evitando su alteracin, prdida o
destruccin.

ISMS: Information Security Management System, Sistema de gestin de


seguridad de la informacin.

ISO: International Organization for Standardization, Organizacin


Internacional de Estandarizacin.

ITIL: Information Technology Infrastructure Library - Biblioteca de


Infraestructura de Tecnologas de la Informacin

PCN: Plan de Continuidad de Negocio

PDCA: Plan-Do-Check-Act (Planear-Ejecutar-Verificar-Actuar)

PGR: Plan de Gestin de Riesgos

PRD: Plan de Recuperacin de Desastres

Riesgo: posibilidad o probabilidad de que se produzca un impacto sobre


algn activo de la informacin que pueda incurrir en prdidas del patrimonio.
El riesgo es igual al producto entre la probabilidad y el impacto:
Riesgo = Probabilidad X Impacto

Riesgo Intrnseco: clculo de un probable dao sin tener en cuenta las


medidas de seguridad que ha implantado la organizacin para proteger
los activos .

Riesgo residual: riesgo remanente que tiene en cuenta las deficiencias,


fallas o inadecuaciones, en el recurso humano, los procesos, la tecnologa,
la infraestructura o por la ocurrencia de acontecimientos externos.

Riesgo operativo: perdidas en las que se incurre por deficiencias, fallas


o inadecuaciones, en el recurso humano, los procesos, la tecnologa, la

17
FAVA - Formacin en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestin de la Seguridad de la Informacin

infraestructura o por la ocurrencia de acontecimientos externos.

SGSI: Sistema de Gestin de la Seguridad de la Informacin

SLE: Single Loss Expectancy - Prdida esperada

TI: Tecnologas de la informacin

UPS: Uninterruptible Power Supply - Sistema ininterrumpido de potencia

Vulnerabilidad: debilidad de un activo que puede ser aprovechada por


una amenaza.

18
FAVA - Formacin en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
BIBLIOGRAFA

Alberto G. Alexander. (2007). Diseo de un sistemas de gestin de


seguridad de informacin (1ra edicin). Bogot, Colombia: Editorial
Alfaomega.

Pressman, Roger S. (2002). Ingeniera del software : un enfoque prctico.


Editorial McGraw Hill, Captulo 6: Anlisis y Gestin del Riesgo.

Sommerville, Ian. (2005). Ingeniera del software. Editorial Pearson,


Seccin 5.4 Gestin de riesgos.

INTECO - CERT. (s.f.). Centro de Respuesta a incidentes de Seguridad


TIC. Recuperado el 22 de Junio de 2012, de Conceptos bsicos de SGSI:
http://cert.inteco.es/Formacion/SGSI/Conceptos_Basicos/

19
FAVA - Formacin en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Control de documento
Construccin Objeto de Aprendizaje
Sistemas de Gestin de la Seguridad de la Informacin
Desarrollador de contenido Alejandro Pinzn Roberto
Experto temtico
Asesor pedaggico Rafael Neftal Lizcano Reyes
Produccin Multimedia Luis Fernando Botero Mendoza
Victor Hugo Tabares
Programadores Daniel Eduardo Martnez
Francisco Jos Lizcano
Lder expertos temticos Ana Yaqueline Chavarro Parra
Lder lnea de produccin Santiago Lozada Garcs

20
FAVA - Formacin en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje