ARI - Sesion 2. 1.1. Al 1.4.

Análisis de Riesgos Informáticos
Profesor de la asignatura:
MASTI. Maricarmen García de Ureña
Sesión 2.
Contenido del Tema 1.
• Tema 1. Análisis y gestión de riesgos

Ø 1.1. ¿Cómo estudiar éste tema?.
Ø 1.2. Seguridad de la información y gestión de
riesgos.
Ø 1.3. Metodologías de análisis y gestión de riesgos.
Ø 1.4 Herramientas de análisis y gestión de riesgos.
Ø 1.5 UNE-ISO 31000: 2010 Gestión del Riesgo.
2
1.2. Seguridad de la Información y Gestión de
Riesgos.
Para proteger adecuadamente la

información de una organización,
primero, hay que dar respuesta a
cuatro preguntas clave:
É
QU DE
N
DÓ MO
CÓ NDO
Á
CU
Profesora: MASTI. Maricarmen García de Ureña 3

1.2. Seguridad de la Información y Gestión de Riesgos.
¿Qué?
•Dimensiones de la seguridad de la Información::

– Confidencialidad [C]
– Integridad [I]
– Disponibilidad [D]
•Algunas propiedades de la Información::
– Autenticidad [A]
– Trazabilidad [T]
– No repudio
•Aspectos para garantizar el acceso y la conservación de la información:

–Dimensión «disponibilidad»,

• ¿Cómo?
Implementando controles que pueden actuar de alguna de las

siguientes maneras:
– Minimizando la probabilidad de la materialización de una

amenaza.
– Disminuyendo el impacto en la organización, si no se ha podido

evitar la materialización de una amenaza.

1.2. Seguridad de la Información y
Gestión de Riesgos.
• ¿Cuándo?
• Durante todo su ciclo de vida.

¿Dónde?
Ø Gente (Partes Interesadas).
Ø La información es almacenada, procesada y transmitida por

las Tecnologías de la Información y Comunicaciones.
Ø Procesos de gestión de la información que una

organización necesita para alcanzar sus objetivos de negocio.
Ø Infraestructura de a Organización.

Gestión de riesgos
•Para que una organización pueda garantizar de forma adecuada la seguridad de
uno de sus principales activos, la información, es necesario que analice y
gestione los riesgos a los que está expuesta.
•Por medio del análisis de riesgos, una organización obtiene el conocimiento de a

que está expuesta, le permite identificar los riesgos que le podrían impedir lograr
sus objetivos de negocio, determinando su magnitud e identificando las áreas que
requieren medidas de salvaguarda o controles en función del riesgo detectado.
•El análisis de riesgos intenta que los criterios en los que se apoya la seguridad
sean más objetivos, permitiendo a la organización gestionar sus riesgos, y tomar
decisiones en base a los riesgos propios.

Gestión de riesgos.
•Tratar el riesgo hasta que sea asumibles por la alta dirección y debe:
– Ser una parte integral de todos los procesos de negocio.

– Crear y proteger el valor.
– Formar parte de la toma de decisiones.
– Tratar explícitamente la incertidumbre.
– Ser sistemática, estructurada y oportuna.
– Estar basada en la mejor información posible.
– Ser adaptable.
– Integrar factores humanos y culturales.
– Ser transparente y participada por las partes interesadas de la organización.
– Ser dinámica, iterativa y responde a los cambios.
– Facilitar la mejora continua.

1.3. Metodologías de Análisis y Gestión de Riesgos.
Profesora: Maricarmen García de Ureña

MASTI, CBCP, LA ISO27001, LA BS25999, LA ISO22301
1.3. Metodologías de análisis y gestión de riesgos
Nota: Imagen, sólo como referencia y no deberá considerarse como exhaustivo.

Fuente: Secure Information Technologies, 2010.

Gestión de riesgos en COBIT
•«Control Objectives for Information and Related Technologies», es una guía de

mejores prácticas presentada como un framework dirigida a la gestión de tecnologías
de la información. COBIT (mantenido por ISACA - Information Systems Audit and Control
Association) actualmente en su versión 5, se organiza alrededor de procesos que se
agrupan en cuatro áreas:
• Planificar y Organizar (PO)

• Adquirir e Implantar (AI)
• Entregar y dar Soporte (DS)
• Mantener y Evaluar (ME)

Capability Maturity Model

Integration.
Ø Integración de modelos de madurez de

capacidades, es un modelo para la mejora y
evaluación de procesos para el desarrollo,
mantenimiento y operación de sistemas de
software.
Ø En el área de gestión integrada del se considera

como un área de proceso independiente, el Área
Gestión del Riesgo (RSKM).

SPICE (Determinación de la Capacidad de Mejora

del Proceso de Software).
Ø Se utiliza para evaluar y mejorar los procesos de desarrollo

software. SPICE se encuentra relacionado con los
etñandares,
o ISO 15504 modelo de evaluación de procesos de ciclo de vida
de sistema.
o ISO/IEC 12207 ISO/IEC 12207 Information Technology /
Software Life Cycle Processes.
Ø SPICE queda organizado en una serie de etapas:

preparación, recolección o recogida de datos, recopilación y
análisis de documentos relevantes, y análisis de datos. Se
establecen un conjunto de niveles de capacidad, que
varían desde el Nivel 0 para Proceso Incompleto hasta el
Nivel 5 para Proceso Optimizado.
OCTAVE (Operationally Critical Thereat, Asset and Vulnerability Evaluation).
Ø Creado por la Universidad Carnegie-Mellon.

Ø El Software Engineering Institute ha publicado tres metodologías
basadas en OCTAVE, que son las siguientes:
q OCTAVE - destinada a grandes organizaciones.

q OCTAVE-S - para pequeñas organizaciones.
q OCTAVE Allegro - para realizar un análisis de riesgos basado
en activos de información.
OCTAVE es una técnica de planificación y consultoría estratégica en

seguridad basada en el riesgo como punto clave.

MAGERIT. Metodología de Análisis y Gestión de riesgos de los

Sistemas de Información.
Ø Metodología de carácter público, desarrollada por el Ministerio de

Administraciones Públicas (MAP) http://administracionelectronica.gob.es.
Ø Implementa un marco de trabajo para que los órganos de gobierno tomen

decisiones teniendo en cuenta los riesgos derivados del uso de
tecnologías de la información.
Ø Define la seguridad como la capacidad de las redes o de los sistemas de

información para resistir, con un determinado nivel de confianza, los
accidentes o acciones ilícitas o malintencionadas que comprometan la
disponibilidad, autenticidad, integridad y confidencialidad de los datos
almacenados o transmitidos y de los servicios que dichas redes y sistemas
ofrecen o hacen accesibles.

ISO 27005:2011.
•Provee guías para la gestión de riesgos de seguridad de

la información.
•Soporta los principales conceptos especificados en ISO/IEC

27001 y ha sido diseñado para asistir en la
implementación satisfactoria de seguridad de la
información basada en un enfoque de gestión de riesgos.
•Para un entendimiento completo de éste estándar, se

requiere el conocimiento de los conceptos, modelos,
procesos y terminologías descritas en ISO/IEC 27001.
•Aplica a todo tipo de organización que intente gestionar

riesgos que pudieran comprometer la seguridad de la
información de la organización.

Sesión 3
1.4. Herramientas de Análisis y Gestión de Riesgos.
Profesora: Maricarmen García de Ureña

MASTI, CBCP, LA ISO27001, LA BS25999, LA ISO22301
1.4. Herramientas de análisis y gestión de riesgos
Acuity STREAM
•Acuity STREAM es un paquete software completo, configurable, sencillo de utilizar

que automatiza los complejos procesos necesarios para gestionar el cumplimiento
normativo y realizar una gestión de riesgos eficaz.
•Acuity STREAM es una herramienta multiusuario, basada en roles, con un

repositorio central, que puede ser utilizada en tiempo real por los gestores de riesgo,
los analistas de riesgo, los responsables del negocio y los auditores internos. También
está disponible una versión monousuario para su utilización por parte de pequeñas
organizaciones y consultores.

Callio
Callio Secura 17799 es un producto de Callio technologies. Es una
herramienta software basada en web con soporte de base de datos que
permite al usuario realizar las tareas necesarias para implementar, gestionar y
certificar un sistema de gestión de seguridad de información.
Gestiona el cuerpo documental del SGSI, y permite la personalización tanto

de la base de datos como de los formatos de los documentos.

Casis
•CASIS es un producto de Aprico consultores. Es una herramienta de Análisis

Avanzado de Pistas de Auditoría de Seguridad, lo que significa que su finalidad
es la recopilación de datos de archivos de registro a través de múltiples
sistemas, la correlación de estos datos y producción de alertas de seguridad
basadas en las reglas definidas por el usuario. Permite al usuario definir
nuevas fuentes de datos, así como especificar las alertas.

Cobra
Cobra es una herramienta software que permite que las organizaciones

realicen por sí mismas el análisis de riesgos. Evalúa la importancia relativa de
todas las amenazas y vulnerabilidades, generando las recomendaciones y
soluciones adecuadas. Vincula automáticamente los riesgos identificados con
las posibles consecuencias para cada unidad de negocio. También permite que
ciertos aspectos o unidades de negocio puedan ser evaluados de forma
independiente, sin realizar ninguna asociación de impacto. Cobra dispone de
cuatro bases de datos de conocimientos que pueden personalizarse según las
necesidades de la organización.

CounterMeasures
La herramienta CounterMeasures ha sido desarrollada por Allion, para llevar a

cabo tareas de análisis y gestión del riesgo de acuerdo a las normas de la
serie NIST-800 y de la MB Circular A-130.
Esta herramienta permite normalizar los criterios de evaluación, utilizando
una lista de comprobación de evaluación que puede ser parametrizada por el
usuario, proporcionando criterios de evaluación objetiva para determinar el
grado de seguridad y el cumplimiento de las normas.

Cramm
La herramienta Cramm proporciona una manera fácil de implementar el

método Cramm, desarrollado por Insight Consulting. Soporta completamente
las tres etapas del método por medio de una aproximación ordenada y etapa
a etapa. La herramienta está disponible en tres versiones: CRAMM experto,
CRAMM express y BS 7799 revisión.

EAR / PILAR
• La herramienta para el soporte al análisis y la gestión de riesgos de un

sistema de información siguiendo la metodología Magerit.
• Está diseñada para apoyar el proceso de gestión de riesgo a lo largo de

períodos prolongados.
• ESR/PILAR dispone de una biblioteca estándar de propósito general, y es

capaz de realizar calificaciones de seguridad respecto de normas
ampliamente conocidas como son:

EBIOS
EBIOS es una herramienta de software desarrollada por L’Agence

Nationale de la Sécurité des Systèmes d’information (ANSSI) del gobierno
francés con el objeto de dar soporte a la metodología de análisis de
riesgos EBIOS. La herramienta ayuda al usuario a realizar todas las tareas
del análisis y gestión de riesgos de acuerdo a las cinco fases de la
metodología EBIOS es una herramienta de código abierto y libre.

ECIJA / SGSI
ECIJA| SGSI es una herramienta web, desarrollada por

ECIJA Holdings & Investments, S.L. que permite la gestión
integral de la seguridad de la información basado en un ciclo
de mejora continua (PDCA) y el seguimiento centralizado de
las obligaciones que establecen los estándares
internacionales, como la ISO 27001 e ISO 27002 en la
gestión de la misma. ECIJA | SGSI ayuda a medir el grado de
eficacia de los sistemas de gestión de la seguridad de la
información, valorando la seguridad de la información
mediante los impactos producidos en base a los términos de
confidencialidad, integridad y disponibilidad de la misma.

La herramienta ECIJA | SGSI integra las siguientes funcionalidades:
Ø Inventario de procesos y activos.

Ø Análisis y gestión de riesgos.
Ø Gestión de los controles de seguridad.
Ø Gestión de proyectos y acciones de un SGSI.
Ø Gestión de auditorías.
Ø Gestión de incidencias de seguridad.
Ø Gestión de la mejora continua y métricas de seguridad.
Ø Gestión documental del marco normativo.
Ø Cuadro de mandos integral.

GLOBAL SGSI
Ø GlobalSGSI es una herramienta de gestión integral de la norma ISO

27001, desarrollada por Audisec Seguridad de la Información S.L., que
cumple con el ciclo completo de la misma, desde las fases de inicio y
planificación del proyecto hasta el mantenimiento, pasando por el análisis
de riesgos y el cuadro de mandos.
Ø GlobalSGSI es una herramienta que permite gestionar de forma global el

ciclo completo de la norma ISO 27001. Ayuda a acompañar el proyecto
de realización de un SGSI desde su nacimiento. Apoyándolo y asistiéndolo
durante todo el proyecto. Permite gestionar el SGSI de forma muy intuitiva,
con ayudas a la implantación, propuesta de controles automática, etc.
Gracias a su módulo documental permite tener centralizada y controlada
toda la documentación del sistema de gestión. Sus principales
funcionalidades son:

ENTROPY bsi
Ø El Software Entropy de BSI le ayuda a sacar el máximo provecho de a su

organización y sistemas de gestión. Proporciona una solución de software y
gestión para ayudarle a gestionar de forma proactiva los riesgos, la
sustentabilidad y el desempeño, reduciendo costos y el esfuerzo que se dedica a
estas actividades, al tiempo que mejora la visibilidad en general dentro de su
organización.
Ø Ya sea usted nuevo o en proceso de implementar un sistema de gestión, si
necesita un poco de ayuda con la certificación o si ya esta certificado, nuestro
Software Entropy puede ayudarle en su viaje, en cualquier etapa que usted se
encuentre y maximizar su éxito.
Ø Entropy también puede ayudar en las áreas de gestión de la calidad, gestión
medioambiental, salud y seguridad y la gestión del complimiento de la cadena de
suministro. Proporciona un sistema de gestión de cumplimiento y riesgos que
cumpla con las normas reconocidad y ha sido diseñado para ayudar con
auditorías y certificación de las normas, tales como: ISO 27001, ISO 9001, ISO
14001 y otros requisitos internacionales.

GSTooL
Ø GStool ha sido desarrollado por Bundesamt für Sicherheit in der

Informationstechnik (BSI) del gobierno alemán para dar soporte a los
usuarios del Manual Básico de Protección de las TI (IT Baseline
Protection Manual).
Ø Después de recabar la información necesaria, los usuarios tienen a su

disposición un sistema de generación de informes, que les permiten
analizar la información y generar informes tanto en formato papel como en
formato electrónico.

GxSGSI
Ø GxSGSI es una herramienta desarrollada por SIGEA, con el objeto de

realizar el análisis de riesgos de seguridad que es necesario para la
certificación de un Sistema de Gestión de Seguridad de la Información, bajo
la norma ISO 27001.
Ø Se trata de una herramienta cliente servidor, multiempresa y multirevisión,

que
Ø incorpora módulos que permiten realizar de manera fácil e intuitiva
cualquiera de las tareas necesarias para la implantación de un SGSI:

ISAMM (Information Security Assessment and Monitoring Method)
Alineada con el conjunto de controles de las mejores prácticas en seguridad de

la información de la ISO/IEC 27002.
Un análisis y gestión de riesgo según ISAMM estácompuesto por tres partes

principales:
Ø Determinación del alcance

Ø Análisis de riesgo
Ø Informes

MIGRA Tool
Ø MIGRA Tool es una herramienta web basada en la metodología MIGRA

(GmbH Metodología per la Gestione del Rischio Aziendale).
Ø Está diseñada para apoyar al responsable de seguridad durante todo el

proceso de diseñar y mantener un sistema de protección eficaz y
eficiente, que contemple tanto la seguridad de los activos de información
como la de los bienes materiales.
Ø De hecho, si se adopta, se convierte en el núcleo del sistema de gestión de

la seguridad de la organización, que proporciona la información
necesaria para la toma de decisiones, así como para poder justificar dichas
decisiones y comprender sus consecuencias.

Módulo Risk Manager
La herramienta Módulo Risk Manager permite a las organizaciones optimizar y

automatizar los procesos que son necesarios en los proyectos internos de
análisis de riesgos y cumplimiento normativo, al recopilar y centralizar los
datos relativos a todos los activos de una organización, tanto de los activos
tecnológicos, como de software y hardware, como de los activos no
tecnológicos, como son las personas, procesos y las infraestructuras físicas,
para evaluar el riesgo y asegurar el cumplimiento.

Octave Automated Tool
Ø La herramienta Octave Automated Tool ha sido desarrollada por Advanced

Technology Institute (ATI) con el fin de ayudar a los usuarios a la hora de
utilizar las metodologías Octave y Octave-S.
Ø La herramienta proporciona ayuda al usuario durante la fase de

recopilación de datos, organiza la información recopilada y finalmente
produce los informes de resultado del estudio.

Proteus
Ø La herramienta Proteus Enterprise desarrollada por Information

Governance Ltd., es una herramienta de Gobierno Corporativo basada en
web, que da soporte completo a los procesos de cumplimiento
normativo, seguridad de la información y gestión de riesgos.
Ø La herramienta Proteus Enterprise permite a las organizaciones

implementar los controles de cualquier norma o reglamento, por ejemplo:
BS ISO/IEC 17799 y BS ISO/IEC 27001, BS 25999, SOX, CobiT, PCI DSS
etc.

Risicare
Ø Risicare da soporte a las tareas de análisis y gestión de riesgos de

información contempladas en la metodología MEHARI, las opciones y las
fórmulas que utiliza han sido desarrolladas por CLUSIF.
Ø Las funciones de Risicare simulan condiciones reales y permiten evaluar

múltiples escenarios o situaciones de amenaza.
Ø Como resultado la herramienta Risicare permite tanto el modelado de

escenarios de riesgo, como la gestión de un SGSI, utilizando un conjunto
de controles que incluye los de la norma ISO 27002.

RiskWatch
Ø La herramienta RiskWatch para Sistemas de Información e ISO 27002 es la solución

que ha desarrollado la empresa RiskWatch para dar soporte a la gestión de riesgos
de seguridad de la información. Esta herramienta realiza evaluaciones de
vulnerabilidad y análisis de riesgo de los sistemas de información de forma
automática.
Ø Las bases de datos de conocimientos que se proporcionan junto con el producto son
completamente personalizables por el usuario, lo que permite crear nuevas
categorías de activos, de amenazas, de vulnerabilidad, de salvaguardas. La
herramienta incluye controles tanto de la ISO 27002 como de NIST 800-26.

Risk Management Studio
Diseñada para dar soporte a empresas, instituciones y órganos de gobierno local que deban
garantizar la seguridad de la información. La herramienta se basa en las normas ISO/IEC
27002:2005 y ISO/IEC 27001:2005.
•Ayuda a identificar los activos.

•Ayuda a evaluar los activos.
•Proporcionas una lista predefinida de categorías de activos y amenazas.
•Sugiere posibles amenazas a los activos seleccionados.
•Incluye las cláusulas del estándar ISO/IEC 27001.
•Sugiere controles adecuados para protegerse contra los riesgos de seguridad.
•Ayuda a obtener el nivel de seguridad de la información deseado de conformidad con la norma
ISO/IEC 27001:
qProporciona diversos informes.

qAcelera los procesos de análisis de riesgos.
qFacilita el proceso de certificación.
qFacilita la gestión del riesgo.

S2GSI
Ø La herramienta S2GSI ha sido diseñada por el Grupo SIA para dar soporte
a la gestión eficiente de las principales actividades derivadas de la
implantación de un SGSI.
Ø S2GSI facilita el proceso de implantación y el mantenimiento del SGSI, con

independencia del ámbito de la organización. Entre las principales
funciones y características de S2GSI se encuentran:

Securia SGSI
Ø Securia SGSI es una herramienta integral, desarrollada bajo licencia GNU

por el Centro Europeo de Empresas e Innovación de Albacete, que cubre el
proceso automático de implantación, puesta en funcionamiento,
mantenimiento y mejora continua de un Sistema de Gestión de
Seguridad de la Información (SGSI) según la norma internacional ISO
27001.

Contenido del Tema 1
ACTIVIDAD 1.
La seguridad, los sistemas y la metodología de gestión de

riesgos en los programas informáticos
Profesora: MASTI. Maricarmen García de Ureña

LA ISO27001, LA BS25999, LA ISO22301
Actividad 1.
La seguridad, los sistemas y la metodología de
gestión de riesgos en los programas
informáticos.
El examen de ingreso a la empresa Banco Mexicano del Desarrollo consiste
en presentar una propuesta que eficiente el involucramiento de todo el personal de
la institución hacia la Protección de la Información del banco.
Por lo tanto, a efecto de ser uno de los primeros diez candidatos para ganar el
puesto.
Debes presentar una estrategia que cubra por lo menos los siguientes
puntos:
1. Plazo de implementación máximo de 6 meses.

2. Políticas necesarias.
3. Procesos a realizar.
4. Definición de personas a involucrar.
5. Métrica de evaluación.

Actividad 1.
La seguridad, los sistemas y la metodología de
gestión de riesgos en los programas
informáticos.
El alumno deberá entregar un reporte documental con:
Ø Objetivos.
Ø Fases.
Ø Alcances.
Ø Justificación de la metodología seleccionada.
Fecha límite de entrega: 25 de Noviembre, 2019.
Evaluación máxima: 2.85 de 10 puntos.

¿Preguntas?
UNIR México
GRACIAS
Maricarmen García de Ureña
MASTI, LA ISO27001, LA BS25999, LA ISO22301
mariadelcarmen.garcia@unir.net
@besair
UNIR México
www.unir.net

ARI - Sesion 2. 1.1. Al 1.4.

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ARI - Sesion 2. 1.1. Al 1.4.

Cargado por

Copyright:

Formatos disponibles

Análisis de Riesgos Informáticos

• Tema 1. Análisis y gestión de riesgos

Para proteger adecuadamente la

Profesora: MASTI. Maricarmen García de Ureña 3

•Dimensiones de la seguridad de la Información::

•Algunas propiedades de la Información::

•Aspectos para garantizar el acceso y la conservación de la información:

Profesora: MASTI. Maricarmen García de Ureña 4

Implementando controles que pueden actuar de alguna de las

– Minimizando la probabilidad de la materialización de una

– Disminuyendo el impacto en la organización, si no se ha podido

Profesora: MASTI. Maricarmen García de Ureña 5

• Durante todo su ciclo de vida.

Profesora: MASTI. Maricarmen García de Ureña 6

Ø Gente (Partes Interesadas).

Ø La información es almacenada, procesada y transmitida por

Ø Procesos de gestión de la información que una

Profesora: MASTI. Maricarmen García de Ureña 7

•Por medio del análisis de riesgos, una organización obtiene el conocimiento de a

Profesora: MASTI. Maricarmen García de Ureña 8

– Ser una parte integral de todos los procesos de negocio.

Profesora: MASTI. Maricarmen García de Ureña 9

Profesora: Maricarmen García de Ureña

Nota: Imagen, sólo como referencia y no deberá considerarse como exhaustivo.

Profesora: MASTI. Maricarmen García de Ureña 11

Gestión de riesgos en COBIT

•«Control Objectives for Information and Related Technologies», es una guía de

• Planificar y Organizar (PO)

Profesora: MASTI. Maricarmen García de Ureña 12

Capability Maturity Model

Ø Integración de modelos de madurez de

Ø En el área de gestión integrada del se considera

Profesora: MASTI. Maricarmen García de Ureña 13

SPICE (Determinación de la Capacidad de Mejora

Ø Se utiliza para evaluar y mejorar los procesos de desarrollo

Ø SPICE queda organizado en una serie de etapas:

Ø Creado por la Universidad Carnegie-Mellon.

q OCTAVE - destinada a grandes organizaciones.

OCTAVE es una técnica de planificación y consultoría estratégica en

Profesora: MASTI. Maricarmen García de Ureña 15

MAGERIT. Metodología de Análisis y Gestión de riesgos de los

Ø Metodología de carácter público, desarrollada por el Ministerio de

Ø Implementa un marco de trabajo para que los órganos de gobierno tomen

Ø Define la seguridad como la capacidad de las redes o de los sistemas de

Profesora: MASTI. Maricarmen García de Ureña 16

•Provee guías para la gestión de riesgos de seguridad de

•Soporta los principales conceptos especificados en ISO/IEC

•Para un entendimiento completo de éste estándar, se

•Aplica a todo tipo de organización que intente gestionar

Profesora: MASTI. Maricarmen García de Ureña 17

1.4. Herramientas de Análisis y Gestión de Riesgos.

Profesora: Maricarmen García de Ureña

•Acuity STREAM es un paquete software completo, configurable, sencillo de utilizar

•Acuity STREAM es una herramienta multiusuario, basada en roles, con un

Profesora: MASTI. Maricarmen García de Ureña 19

Gestiona el cuerpo documental del SGSI, y permite la personalización tanto

Profesora: MASTI. Maricarmen García de Ureña 20

•CASIS es un producto de Aprico consultores. Es una herramienta de Análisis

Profesora: MASTI. Maricarmen García de Ureña 21

Cobra es una herramienta software que permite que las organizaciones

Profesora: MASTI. Maricarmen García de Ureña 22

La herramienta CounterMeasures ha sido desarrollada por Allion, para llevar a

Profesora: MASTI. Maricarmen García de Ureña 23