SISTEMAS DE GESTIÓN DE LA SEGURIDAD

DE LA INFORMACIÓN

Estructura de contenidos

1. Sistemas de información.........................................................3

1.1 Riesgos de los sistemas de información...................................4

2. Seguridad de la información ...................................................5

2.1 Tipos de controles para la seguridad de la información .............6

2.2 Características de la seguridad de la información .....................7

2.3 Niveles de protección de la información ..................................8

3. Sistemas de Gestión de la Seguridad de la Información (SGSI) ...8

3.1 Diseño de los SGSI...............................................................9

3.2 Implantación de SGSI usando el ciclo PHVA ............................10

4. Procedimiento para análisis del riesgo.......................................12

5. Tratamiento del riesgo............................................................13

5.1 Establecer controles para mitigar los riesgos (Reducir)..............14

5.2 Trasladar el riesgo a un tercero (Transferir).............................14

5.3 Aceptar el riesgo y establecer porque es imposible de eliminar

(Aceptar).................................................................................15

5.4 Quitar los procesos del negocio que generan el riesgo (Evitar)...15

6. Clasificación de los controles para reducir el riesgo.....................15

6.1 Controles según su finalidad..................................................15

6.2 Controles según su forma de accionamiento............................15

FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje

GESTIÓN DE INCIDENTES
Mapa conceptual

2
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 Sistemas de Gestión de la Seguridad de la Información

INTRODUCCIÓN

El especialista en gestión de bases de datos, debe abordar el problema

de la seguridad de la información en los sistemas computacionales, desde
la perspectiva del análisis y gestión del riesgo, puesto que se parte de
la premisa que ningún sistema digital está totalmente asegurado si está
conectado a una red, por cuanto se puede concluir que la seguridad de los
datos y del sistema mismo depende del continuo proceso de supervisión
y control de vulnerabilidades.

Las organizaciones que cuenta con sistemas computacionales para

la administración de bases de datos requieren tener implementado un
Sistema de Gestión de la Seguridad de la Información (SGSI) que les
permita controlar efectivamente el proceso de gestión del riesgo.

Es un hecho que las organizaciones actuales dependen cada vez más del
correcto tratamiento que se da a la información, por lo tanto que tener un
SGSI permite mitigar los riesgos asociados con el manejo de la información
y garantiza la continuidad del modelo de negocio mediante la generación
de valor agregado en los productos y servicios que se suministran a los
clientes.

Los entornos de producción que poseen sistemas de bases de datos

para el almacenamiento de la información necesitan de unos niveles de
confiabilidad, rendimiento y disponibilidad bastante altos; para alcanzarlos
se requieren de un SGSI desde el que se supervise constantemente el
estado de cada uno de los componentes lógicos, fiscos y humanos que
intervienen en el funcionamiento del sistema computacional.

Con el estudio de este objeto de contenido se introducirán al proceso de

implementar un SGSI con el fin de realizar efectivamente la gestión del
riesgo en sistemas computacionales que alberguen bases de datos.

Sistemas de Gestión de la Seguridad de la Información

1. Sistemas de información

El termino sistema de información es utilizado para referirse al

funcionamiento del conjunto de componentes (equipos informáticos,

3
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 Sistemas de Gestión de la Seguridad de la Información

software especializado, recurso humano y redes de datos) que tienen

por objeto el manejo, procesamiento, organización, almacenamiento y
recuperación de la información para apoyar la toma de decisiones y el
mejoramiento de los procesos en las organizaciones.

La complejidad del funcionamiento y operación de los elementos que

hacen parte de la arquitectura de los sistemas de información, expone a
riesgos la información que se transporta y se almacena en este tipo de
sistemas.

En la actualidad gran parte de la información de las organizaciones se

procesa, transporta y almacena de forma digital en los sistemas de
información, por lo que se ha vuelto indispensable utilizar técnicas que
permitan el aseguramiento de estos sistemas a través de procedimientos
de ingeniería criptográfica y de protección de datos.

1.1 Riesgos de los sistemas de información

Los riesgos más comunes a los que están expuestos los sistemas de
información son:

1.1.1 Riesgos físicos:

• Accesos no autorizados

• 
C atástrofes naturales: incendios, inundaciones, terremotos
tormentas, descargas atmosféricas

• Vandalismo en infraestructura

• Fallas en el flujo eléctrico

• Daños causados por humanos con o sin intención

1.1.2 Riesgos lógicos

• Software malicioso: virus, gusanos, caballos de troya y spyware

• Errores o vulnerabilidades en el software

• Ataques de denegación de servicio

4
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 Sistemas de Gestión de la Seguridad de la Información

Clientes Líneas de Servidores Sistemas

(usuarios) comunicaciones corporativos corporativos

Base
de
Datos

Hardware
• Acceso no • Intervención • Piratería informática
telefónica Sistemas operativos
autorizado • Virus y gusanos
Software
• Errores • Husmeo de • Robo y fraude
• Virus y la red • Vandalismo
• Robo de datos
spyware • Alteración de • Ataques de
mensajes negación • Copiado de datos
• Alteración de datos
• Robo y fraude del servicio
Radiación • Falla del hardware
• Falla del software
• Catástrofes naturales: incendios, inundaciones, terremotos, ...

2. Seguridad de la información1

El termino seguridad de la información hace referencia a todos los

procedimientos y controles que son implementados por las personas y
organizaciones para prevenir, proteger y resguardar la información del
acceso y utilización no autorizado.

La información tiene la característica de ser uno de los activos más

importantes para cualquier organización, debido a que de su tratamiento
confidencial depende la rentabilidad y continuidad de su modelo de
negocio, por esta razón la seguridad de la información resulta ser un
factor crítico para la estabilidad de las organizaciones.

La seguridad de la información es un tema que debe ser abordado por

la gerencia teniendo pleno conocimiento del impacto que puede tener
en la organización, si se materializan los riesgos que se ciernen sobre su
información.

El siguiente gráfico nos muestra los aspectos más importantes que deben
ser tenidos en cuenta por la gerencia para gestionar la seguridad de la
información de efectivamente:

1 http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n

5
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 Sistemas de Gestión de la Seguridad de la Información

Características de la
seguridad de la información

SEGURIDAD
Niveles deprotección
Controles físicos DE LA
de la información
INFORMACIÓN

Controles lógicos

2.1 Tipos de controles para la seguridad de la información

Existen dos tipos de controles que se usan para preservar la seguridad de

la información:

2.1.1 Controles físicos:

Son las barreras físicas y procedimientos de control que se implementan

como medidas preventivas para preservar la integridad y el acceso no
autorizado a la información.

•  rotección perimetral de las instalaciones donde se encuentra la

P
información

•  istemas Ininterrumpidos de potencia (UPS) para los servidores

S
que albergan las bases de datos y los sistemas de seguridad

6
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 Sistemas de Gestión de la Seguridad de la Información

• Control de acceso a personas

• Sistemas de almacenamiento redundante ubicados en distintos

zonas geográficas

• Niveles de acceso a la información

2.1.2 Controles lógicos:

Son aquellas barreras y procedimientos que están basados en la

implementación de algún tipo de software o técnica de ofuscación y su
objetivo es que solo personas autorizadas tengan acceso a la información.

• Uso de protocolos seguros para transmisión de la información

• Implementación de técnicas de encriptación para transportar y

almacenar la información

• Autenticación de usuarios en aplicaciones

• Uso de contraseñas seguras

• Firewalls

• Antivirus

• Proxys

2.2 Características de la seguridad de la información

Autenticación: capacidad de determinar la procedencia de la información,

para que el autor pueda realizar el reconocimiento de la misma.

Confidencialidad: cualidad que debe poseer los sistemas que almacenan

la información para que esta solo sea accedida de manera comprensible
por la persona o sistema que esta autorizado a hacerlo.

Disponibilidad: capacidad de la información para que sea accesible y

utilizable por los usuarios o procesos autorizados cuando estos lo requieran.

Integridad: cualidad de la información que permite establecer la

correspondencia entre los datos y los hechos que refleja.

7
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 Sistemas de Gestión de la Seguridad de la Información

2.3 Niveles de protección de la información

Los siguientes niveles proporcionan en cada uno de ellos un grado creciente

de protección de la información:

• Nivel básico: este nivel de seguridad comprende la información

básica de identificación de las personas y las organizaciones.

• Nivel medio: este nivel comprende los archivos que contengan

información relacionada con el comportamiento de los individuos,
procesos del modelo de negocio y proveedores de las organizaciones.

• Nivel alto: este nivel de protección aplica para la información

relacionada con clientes, secretos industriales, márgenes de utilidad
e información financiera de la organización.

3. Sistemas de Gestión de la Seguridad de la Información

(SGSI)

La sigla SGSI es utilizada para referirse a la gestión de los procesos y

mecanismos de control que son utilizados para custodiar y proteger de
amenazas la información sensible de las organizaciones.

Los SGSI permiten a la gerencia de las organizaciones determinar con

objetividad que información requiere ser protegida, por qué debe ser
protegida, de qué debe ser protegida y como protegerla mediante la
planificación e implantación de políticas, procedimientos y controles que
mantengan siempre el riesgo por debajo del nivel asumible por la propia
organización.

Los SGSI ofrecen una visión global sobre el estado de los sistemas
de información, las medidas de seguridad que se están aplicando y
los resultados que se están obteniendo de dicha aplicación; con esta
información la gerencia de la organización tiene la capacidad de reaccionar
rápidamente ante cualquier incidente de seguridad, identificando la raíz
del problema y tomando las decisiones pertinentes sobre la estrategia a
seguir.

8
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 Sistemas de Gestión de la Seguridad de la Información

PROTECCIÓN PERIMETRAL

Controles lógicos

Políticas de seguridad

Protocolos seguros

Firewall Contraseñas seguras

Documentación
Category Product OrderDetail

Usuarios
Properties Properties Properties

Intercambio y Movilidad
CategoryID ProductID OrderID
CategoryName ProductName ProductID
Description SupplierID UnitPrice
Picture CategoryID Quantity
QuantityPerUnit Discount
UnitPrice
UnistsInStock
UnitsOnOrder
Supplier ReorderLevel
Discontinued
Properties Order
SupplierID
CompanyName Properties
ContactName Customer OrderID
ContactTitle CustomerID
Address Properties EmployeeID
City CustomerID OrderDate
Region CompanyName RequiredDate
PostalCode ContactName ShippedDate
Country ContactTitle ShipVia

Control de acceso
Phone Address Freight
Fax City ShipName
HomePage Region ShipAddress
PostalCode ShipCity
Country ShipRegion

Autenticación
Phone ShipPostalCode
Fax ShipCountry

Niveles de acceso
010010
001000
110101 Antivirus
111100

Aplicaciones
UPS

Puestos de
Controles físicos
trabajo
Soportes físicos
Servidores
Servicios externos Proxy

Técnicas de encriptación

Desarrollo y mantenimiento

3.1 Diseño de los SGSI

El diseño de SGSI se basa en la necesidad de que la seguridad de la

información tiene requerimientos que cambian continuamente y que
dichos cambios además de ser gestionados deben estar documentados.

3.1.1 Ciclo Deming o modelo PHVA

Los SGSI se diseñan específicamente para cada organización teniendo en

cuenta aspectos como: objetivos estratégicos, requisitos de seguridad,
modelo de negocio, procesos, empleados, tamaño y estructura; los cuales
se abordan de forma organizada mediante la aplicación del ciclo Deming
o modelo PHVA – Planear, Hacer, Verificar y Actuar – (PDCA por las siglas
en inglés – Plan, Do, Check and Act –).

El ciclo PHVA es utilizado por las organizaciones para gestionar

sistemáticamente la seguridad de la información mediante el
establecimiento, implementación, operación, supervisión, revisión,
mantenimiento y mejora continua de los SGSI.

9
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 Sistemas de Gestión de la Seguridad de la Información

Hacer

Do

Planear

Check
Act
Verificar

Actuar

3.2 Implantación de SGSI usando el ciclo PHVA

Las principales ventajas de que una organización tenga implementado un

SGSI es que este le ayuda a identificar los riesgos a los que está sometida
su información y le permite gestionarlos sistemáticamente en un modelo
de mejoramiento continuo.

A continuación se describen las faces de la implementación de un SGSI

basado en el ciclo mencionado:

3.2.1 Establecimiento del SGSI (Planear)

En esta etapa se realiza la primera aproximación a la situación de la

organización en materia de seguridad, con el fin de estimar las medidas
que se van a implantar en función de las necesidades detectadas.

Las principales tareas que se realizan en esta etapa son:

• Inicio del proyecto: se asegura el compromiso y los recursos por

parte de la gerencia para la ejecución del proyecto de SGSI.

• Definición del SGSI: se establece el alcance y los procedimientos

10
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 Sistemas de Gestión de la Seguridad de la Información

que tendrá el SGSI.

•  nálisis de Riesgos: se define una metodología para clasificación

A
de riesgos y se crea un inventario de activos para identificar cuales
deben ser protegidos.

•  estión de riesgos: se seleccionan los controles adecuados que

G
permitan reducir el riesgo sobre los activos a un nivel aceptable y
se comienza a realizar el plan de gestión o tratamiento del riesgo.

3.2.2. Implantación y Operación (Hacer)

En esta fase se elabora el plan de tratamiento del riesgo detallando las

acciones que deben emplearse para implantar los controles de seguridad
tanto físicos como lógicos que fueron seleccionados anteriormente. Se
realiza un proceso de formación y concientización del personal de la
organización para que reconozcan los controles implantados.

Las principales tareas que se realizan en esta etapa son:

•  ormación y sensibilización: se informa y capacita al personal sobre

F
los nuevos controles que serán implantados.

• Implantación del SGSI: se implantan los controles, políticas y

procedimientos contemplados por el SGSI.

3.2.3. Monitorización y Revisión (Verificar)

Con la ayuda de las métricas e indicadores que han sido dispuestos en

cada uno de los activos se evalúa la eficacia de los controles, esto con el
fin de verificar el correcto funcionamiento del SGSI.

Las principales tareas que se realizan en esta etapa son:

•  onitorización del SGSI: se monitorea el funcionamiento del sistema,

M
para detectar errores de proceso e identificar fallos de seguridad
que deban ser corregidos rápidamente.

•  evisión del SGSI: se realizan revisiones periódicas de la política,

R
alcance y eficacia del SGSI.

11
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 Sistemas de Gestión de la Seguridad de la Información

3.2.4. Mantenimiento (Actuar)

En esta fase se realizan las acciones de mantenimiento que sean pertinentes

para el correcto funcionamiento del SGSI, las cuales pueden contemplar
desde la mejora de un proceso hasta la corrección de algún punto débil
detectado en el sistema.

Las principales tareas que se realizan en esta etapa son:

• antenimiento del SGSI: se adoptan acciones correctivas y

M
preventivas sobre el SGSI.

•  ejora Continua: se mide el rendimiento del sistema y se implanta

M
las mejoras identificadas en las revisiones anteriores del SGSI.

4. Procedimiento para análisis del riesgo

La siguiente gráfica proporciona una visión general de los elementos que

deben ser tenidos en cuenta durante el procedimiento de análisis del
riesgos:

aprovechan
Amenazas Vulnerabilidades
exponen
protegen de

aumentan aumentan

disminuyen
Controles Riesgos Activos

marcan aumenta

imponen tienen
Requerimientos impactan si se Valor de los
de seguridad materializan activos

12
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 Sistemas de Gestión de la Seguridad de la Información

Los SGSI establecen el siguiente procedimiento para evitar que las

amenazas de seguridad se conviertan en incidentes de seguridad:

• Se identificar los activos de información que se poseen.

• Se establece su impacto en la rentabilidad del modelo de negocio.

• e realiza un análisis y evaluación del riesgo (amenazas y

S
vulnerabilidades)

•  e establecen controles sobre los activos en los que se desea mitigar

S
el riesgo y se formulan los siguientes planes:

* Plan de gestión o tratamiento del riesgo (PGR)

* Plan de respuesta a incidentes

* Plan de continuidad del negocio (PCN)

• Se establece una métrica sobre el activo que se desea mitigar el

riesgo, esto con el fin de verificar si los controles y planes están siendo
efectivos.

5. Tratamiento del riesgo

El siguiente gráfico nos nuestra los diferentes enfoques que existen para
abordar el tratamiento del riesgo:

13
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 Sistemas de Gestión de la Seguridad de la Información

IDENTIFICAR Y ANALIZAR
PLANIFICAR
Identificar:
Definir:
• Activos
• Alcance
• Amenazas
• Política
• Vulnerabilidades
• Metodología
Analizar:
• Riesgos
• Costo/beneficio
LA DIRECCIÓN
Decidir tratamiento de riesgos
Aceptar riesgos residuales

REDUCIR TRANSFERIR ACEPTAR EVITAR

Controles:
• Seguros • Cesar la actividad
• Seleccionar No hacer nada
• Proveedores que lo origina
• Implantar

A continuación se realiza una descripción de cada una de las posibles

opciones para realizar tratamiento del riesgo:

5.1 Establecer controles para mitigar los riesgos (Reducir)

Se generan políticas, se implementan normas y se establecen

procedimientos que conlleven a la mitigación del riesgo, para ello se afecta
la configuración de todos los elementos que intervienen la generación del
riesgo.

5.2 Trasladar el riesgo a un tercero (Transferir)

La adquisición de pólizas por las organizaciones es una figura utilizada

para trasladar el riesgo a un tercero; en este caso, es necesario tener
claro cuál es la probabilidad de que el riesgo se materialice, esto con el
fin de realizar un balance entre el costo y el beneficio de adquirir una
póliza; otra figura que se utiliza para transferir el riesgo es contratar un
proveedor que realice la actividad que genera el riesgo por usted.

14
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 Sistemas de Gestión de la Seguridad de la Información

5.3 Aceptar el riesgo y establecer porque es imposible de eliminar

(Aceptar)

La aceptación del riesgo significa que la organización asume y conoce

perfectamente cuál sería el impacto en el modelo de negocio si el riesgo
se materializa en algún instante.

5.4 Quitar los procesos del negocio que generan el riesgo (Evitar)

Eliminar el riesgo implica suprimir los procesos que lo generan, esto resulta
altamente inconveniente por que para conseguirlo se requiere cambiar el
modelo de negocio con que funciona la organización.

6. Clasificación de los controles para reducir el riesgo

A continuación se presenta la clasificación de los controles que pueden ser

implementados en un activo con el fin de reducir el riesgo sobre el mismo

6.1 Controles según su finalidad

•  ontroles disuasorios: reducen la posibilidad que se produzca un

C
incidente (ej. cámaras de vigilancia).

•  ontroles preventivos: reduce la vulnerabilidad (ej. parches en los

C
sistemas operativos o corrección de fallos en un componente del
sistema).

•  ontroles detectores: detectan el incidente en curso (ej. sensores

C
IDS en las redes).

• Controles correctivos: posterior al incidente (ej. copias de seguridad).

6.2 Controles según su forma de accionamiento

• Controles manuales

• Controles Semiautomáticos

• Controles Automáticos

15
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 GLOSARIO

Activo: recurso del sistema de información o relacionado con éste,

necesario para que la organización funcione correctamente y alcance los
objetivos propuestos por su dirección. AGR: Análisis y Gestión de Riesgos

Amenaza: son los eventos que pueden desencadenar un incidente en la

organización, produciendo daños materiales o pérdidas inmateriales en
sus activos de información, puede ser de dos tipos: Amenazas internas y
Amenazas externas

ALE: Annual Loss Expectancy, pérdida anual esperada.

ARO: Annual Rate of Occurrence, tasa anual de ocurrencia.

BCP: Business Continuity Plan, plan de continuidad de negocio.

BIA: Business Impact Analysis, análisis de impacto sobre el negocio.

BSI: British Standards Institute, Instituto Británico de Estándares.

CID: Confidencialidad - Integridad - Disponibilidad

Confidencialidad: propiedad consistente en proporcionar acceso a los

sistemas de información únicamente a aquellos usuarios autorizados, en
tiempo y forma determinados.

Disponibilidad: capacidad de un servicio o sistema, de ser accesible

y utilizable por los usuarios o procesos autorizados cuando estos lo
requieran.

DLP: Data Leakage Protection - Protección de fuga de datos: son aquellas

medidas de seguridad que tratan de evitar que la información confidencial
o valiosa sea copiada o trasladada fuera del entorno de seguridad.

DRP: Disaster Recovery Plan, plan de recuperación de desastres.

IEC: International Electrotechnical Commission, Comisión Electrotécnica

Internacional.

16
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 Sistemas de Gestión de la Seguridad de la Información

Impacto: es la consecuencia negativa sobre un activo de la materialización

de una amenaza.

Incidente: evento que atenta contra la confidencialidad, integridad o

disponibilidad de la información y los recursos tecnológicos.

Integridad: medidas de seguridad que garantizan la exactitud de los

datos transportados o almacenados, evitando su alteración, pérdida o
destrucción.

ISMS: Information Security Management System, Sistema de gestión de

seguridad de la información.

ISO: International Organization for Standardization, Organización

Internacional de Estandarización.

ITIL: Information Technology Infrastructure Library - Biblioteca de

Infraestructura de Tecnologías de la Información

PCN: Plan de Continuidad de Negocio

PDCA: Plan-Do-Check-Act (Planear-Ejecutar-Verificar-Actuar)

PGR: Plan de Gestión de Riesgos

PRD: Plan de Recuperación de Desastres

Riesgo: posibilidad o probabilidad de que se produzca un impacto sobre

algún activo de la información que pueda incurrir en pérdidas del patrimonio.
El riesgo es igual al producto entre la probabilidad y el impacto:
Riesgo = Probabilidad X Impacto

Riesgo Intrínseco: cálculo de un probable daño sin tener en cuenta las

medidas de seguridad que ha implantado la organización para proteger
los activos .

Riesgo residual: riesgo remanente que tiene en cuenta las deficiencias,

fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología,
la infraestructura o por la ocurrencia de acontecimientos externos.

Riesgo operativo: perdidas en las que se incurre por deficiencias, fallas

o inadecuaciones, en el recurso humano, los procesos, la tecnología, la

17
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 Sistemas de Gestión de la Seguridad de la Información

infraestructura o por la ocurrencia de acontecimientos externos.

SGSI: Sistema de Gestión de la Seguridad de la Información

SLE: Single Loss Expectancy - Pérdida esperada

TI: Tecnologías de la información

UPS: Uninterruptible Power Supply - Sistema ininterrumpido de potencia

Vulnerabilidad: debilidad de un activo que puede ser aprovechada por

una amenaza.

18
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 BIBLIOGRAFÍA

Alberto G. Alexander. (2007). Diseño de un sistemas de gestión de

seguridad de información (1ra edición). Bogotá, Colombia: Editorial
Alfaomega.

Pressman, Roger S. (2002). Ingeniería del software : un enfoque práctico.

Editorial McGraw Hill, Capítulo 6: “Análisis y Gestión del Riesgo”.

Sommerville, Ian. (2005). Ingeniería del software. Editorial Pearson,

Sección 5.4 “Gestión de riesgos”.

INTECO - CERT. (s.f.). Centro de Respuesta a incidentes de Seguridad

TIC. Recuperado el 22 de Junio de 2012, de Conceptos básicos de SGSI:
http://cert.inteco.es/Formacion/SGSI/Conceptos_Basicos/

19
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 Control de documento
Construcción Objeto de Aprendizaje
Sistemas de Gestión de la Seguridad de la Información
Desarrollador de contenido Alejandro Pinzón Roberto
Experto temático
Asesor pedagógico Rafael Neftalí Lizcano Reyes
Producción Multimedia Luis Fernando Botero Mendoza
Victor Hugo Tabares
Programadores Daniel Eduardo Martínez
Francisco José Lizcano
Líder expertos temáticos Ana Yaqueline Chavarro Parra
Líder línea de producción Santiago Lozada Garcés

20
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje