EL PROCESO Y LAS FASES DE LA

AUDITORIA DE SISTEMAS DE
INFORMACION

ANTECEDENTES
Viento en Popa es una empresa dedicada a la planificación de
actividades náuticas, así como a impartir clases teóricas y
prácticas de navegación que a su vez también Ofrece la posibilidad
de obtener la certificación de Patrón de E mb ar c a c io n e s d e R e c r eo
( P E R ) . L a p l a t a f o r m a e s t á d e s a rr o l l a da e n tecnología Java, la
infraestructura requerida para la publicación y mantenimiento de la
plataforma está ubicada en las instalaciones de la empresa , Dentro
de la estrategia empresarial, se desarrolló como canal de información y
venta un portal Web el cual consta de dos partes claramente diferenciadas:

 La zona de Administración, desde la cual se gestiona la información relativa

a cursos y alumnos

 La zona de clientes y alumnos, donde el usuario tiene acceso a la información

de Viento en Popa referente a actividades y cursos, y acceso a la parte privada
de cada uno, con la posibilidad de realizar exámenes, descargar temarios y
documentación, etc.

Desarrolla Los Siguientes Puntos

 Planificar y realizar una auditoría basada en riesgos del portal web Viento en
Popa. Para ello se debe comenzar con la identificación de «riesgos inherentes»
a partir de los cuales se establezcan objetivos de control, controles, etc.

 Redactar un informe dirigido a la Dirección de Viento en Popa, con los

resultados de la auditoría siguiendo las fases explicadas
Datos Importantes

 Equipo de dos auditores.

 Tiempo estimado del proceso completo 2 meses/hombre.
 La tecnologia en la que se desarrolla el portal es java
Nota importante
La solución se puede presentar considerando una de las siguientes dos opciones:

 Viento en Popa tiene subcontratado un hosting de los servicios ofrecidos en la Web

 Viento en Popa tiene en sus instalaciones los servidores que dan el servicio
ofrecido
en la web

Se considerarán ejercicios válidos si contestas a todos los apartados razonando

debidamente cada decisión tomada.

ANALISIS DE LA EMPRESA
La empresa Viento en Popa requiere brindar confianza a los usuarios de sus
servicios a los usuarios de su plataforma Web, para lo cual requiere realizar una
auditoría de sistemas de información. El Sitio Web, reside en servidores locales,
ubicados en su centro de datos, el cual corre sobre plataforma Linux y ha sido
desarrollado en lenguaje Java. La administración de la plataforma es realizada
por las áreas de Desarrollo y Mantenimiento.
 Las responsabilidades de las áreas respecto a la plataforma Web son:

Desarrollo

 Instalación, monitoreo y soporte de los servidores y de la plataforma

 Desarrollo y actualización del sitio Web

Mantenimiento

 Administrar la información que se publica en la página Web

 Administrar los accesos de los usuarios, en base a suscripciones y contenido
que pueden acceder
 Diseño gráfico del sitio
 Incorporación de contenidos
En el diagrama de la figura 2 se puede observar que hay 3 capas de seguridad que
dividen el servicio web, aplicaciones administrativas y servidores de base de datos.
La Dirección General está consciente que existen riesgos inherentes al tener un sitio
Web expuesto, estos los ha impulsado a solicitar esta auditoría, los principales
riesgos inherentes que se ellos determinan son:

 Disponibilidad del portal

 Acceso a la base de datos y daños o modificaciones
 Alteración de código del sitio web
 Interceptar, modificar y robar datos personales y sensibles
 Ataques de Denegación de Servicio (DoS)
 Espionaje político y empresarial

A nivel técnico los riesgos de programación web están descritos en el OWASP Top
10 – 2017 “Los diez riesgos más críticos en Aplicaciones Web Seguridad en
Aplicaciones Web (OWASP por sus siglas en inglés

RIESGOS DESCRIPCION

sube de la quinta posición a la categoría con el mayor

A01:2021 - Perdida de
Control de Acceso
A02:2021 - Fallas
Criptográficas
riesgo en seguridad de aplicaciones web; los datos
proporcionados indican que, en promedio, el 3,81% de
las aplicaciones probadas tenían una o más Common
Weakness Enumerations (CWEs) con más de 318.000
ocurrencias de CWEs en esta categoría de riesgo. Las 34
CWEs relacionadas con la Pérdida de Control de Acceso
tuvieron más apariciones en las aplicaciones que
cualquier otra categoría.
Sube una posición ubicándose en la segunda, antes
conocida como A3:2017-Exposición de Datos
Sensibles, que era más una característica que una
causa raíz. El nuevo nombre se centra en las fallas
relacionadas con la criptografía, como se ha hecho
implícitamente antes. Esta categoría frecuentemente
 conlleva a la exposición de datos confidenciales o al
compromiso del sistema.

Desciende hasta la tercera posición. El 94% de las

aplicaciones fueron probadas con algún tipo de
inyección y estas mostraron una tasa de incidencia

A03:2021-Inyección máxima del 19%, promedio de 3.37%, y las 33 CWEs

relacionadas con esta categoría tienen la segunda mayor
cantidad de ocurrencias en aplicaciones con 274.000
ocurrencias. El Cross-Site Scripting, en esta edición,
forma parte de esta categoría de riesgo

Nueva categoría para la edición 2021, con un enfoque

en los riesgos relacionados con fallas de diseño. Si
realmente queremos madurar como industria, debemos
"mover a la izquierda" del proceso de desarrollo las
A04:2021 - actividades de seguridad. Necesitamos más modelos de

Diseño amenazas, patrones y principios con diseños seguros y

arquitecturas de referencia. Un diseño inseguro no
Inseguro
puede ser corregida con una implementación perfecta
debido a que, por definición, los controles de seguridad
necesarios nunca se crearon para defenderse de ataques
específicos.

Asciende desde la sexta posición en la edición anterior;

A05:2021 - el 90% de las aplicaciones se probaron para detectar
Configuración algún tipo de configuración incorrecta, con una tasa de
de Seguridad incidencia promedio del 4,5% y más de 208.000 casos
Incorrecta de CWEs relacionadas con esta categoría de riesgo. Con
mayor presencia de software altamente configurable, no
es sorprendente ver qué esta categoría ascendiera.
El A4:2017-Entidades Externas XML(XXE),
ahora en esta edición, forma parte de esta categoría de
riesgo..
 Antes denominado como Uso de Componentes con
Vulnerabilidades Conocidas, ocupa el segundo lugar en
A06:2021 - el Top 10 de la encuesta a la comunidad, pero también
Componentes tuvo datos suficientes para estar en el Top 10 a través
Vulnerables y del análisis de datos. Esta categoría asciende desde la
Desactualizados novena posición en la edición 2017 y es un problema
conocido que cuesta probar y evaluar el riesgo. Es la
única categoría que no tiene ninguna CVE relacionada
con las CWEs incluidas, por lo que una vulnerabilidad
predeterminada y con ponderaciones de impacto de 5,0
son consideradas en sus puntajes.

previamente denominada como Pérdida de

A07:2021 - Fallas Autenticación, descendió desde la segunda posición, y
de ahora incluye CWEs que están más relacionadas con
Identificación y fallas de identificación. Esta categoría sigue siendo una
Autenticación parte integral del Top 10, pero el incremento en la
disponibilidad de frameworks estandarizados parece
estar ayudando.

Es una nueva categoría para la edición 2021, que se

A08:2021 - Fallas centra en hacer suposiciones relacionadas con
en el Software y actualizaciones de software, los datos críticos y los
en la Integridad pipelines CI/CD sin verificación de integridad.
de los Datos Corresponde a uno de los mayores impactos según los
sistemas de ponderación de vulnerabilidades
(CVE/CVSS, siglas en inglés para Common
Vulnerability and Exposures/Common Vulnerability
Scoring System). La A8:2017-Deserialización
Insegura en esta edición forma parte de esta extensa
categoría de riesgo.
 previamente denominada como A10:2017-Registro y
Monitoreo Insuficientes, es adicionada desde el Top
10 de la encuesta a la comunidad (tercer lugar) y
A09:2021 - Fallas ascendiendo desde la décima posición de la edición
en el Registro y anterior. Esta categoría se amplía para incluir más tipos
Monitoreo de fallas, es difícil de probar y no está bien representada
en los datos de CVE/CVSS. Sin embargo, las fallas en
esta categoría pueden afectar directamente la
visibilidad, las alertas de incidentes y los análisis
forenses.

Es adicionada desde el Top 10 de la encuesta a la

comunidad (primer lugar). Los datos muestran una tasa
A10:2021 - de incidencia relativamente baja con una cobertura de
Falsificación de pruebas por encima del promedio, junto con
Solicitudes del calificaciones por encima del promedio para la
Lado del capacidad de explotación e impacto. Esta categoría
Servidor representa el escenario en el que los miembros de la
comunidad de seguridad nos dicen que esto es
importante, aunque no está visualizado en los datos en
este momento.
 AUDITORIA DE SEGURIDAD DE LA INFORMACION
PLANIFICACION Y DESARROLLO

La auditoría se realizará a la infraestructura y servicios relacionados con el

portal Web de la empresa "Viento en Popa", el portal está dividido en 2
partes claramente diferenciadas

 La zona de Administración, desde la cual se gestiona la información

relativa a cursos y alumnos

 La zona de clientes y alumnos, donde el usuario tiene acceso a la

información de Viento en Popa referente a actividades y cursos, y
acceso a la parte privada de cada uno, con la posibilidad de realizar
exámenes, descargar temarios y documentación, etc

RECURSOS Y TIEMPO

La auditoría se llevará a cabo dentro de las instalaciones de la empresa,

p ara lo cual el equipo de tr ab ajo estará integrado por 2 auditores, lo s

cuales tienen conocimientos y experiencia en tecnología Java.

PERFIL RESPONSABILIDADES

1.Responsable de la planificación, ejecución y

finalización de la auditoría.

2.Diseñar el presupuesto y supervisar su

ejecución.
Lider de Auditoria
3.Supervisar y asesorar a los asistentes de la
auditoría, asegurándose de la comprensión de
los procedimientos asignados en los programas
de auditoría.

4.Revisa todos los papeles de trabajo y asegura

que la evidencia sea suficiente y adecuada.
 5.ejecutar los procedimientos de auditoria en
áreas complejas

6.identifica el problema y los comunica de forma

oportuna al gerente con las posibles soluciones

7.diseña y valida los informes a la gerencia

8. Se asegura de los compromisos adquiridos

con el cliente

9.Se encarga de revisar el paquete de estados y

sugiere un modelo de opinión de acuerdo con
los resultados de la auditoria

10. se sugiere mejoras en el proceso de auditoria

ASISTENTE DE AUDITORIA 1.Ejecutar y documentar los procedimientos

asignados en los programas de auditoria

2.saber administrar el tiempo asignado en el

presupuesto

3.Tener una comunicación oportuna con el líder

de auditoria sobre el avance del trabajo y
hallazgos sobre situaciones criticas encontradas

4.Realizar los ajustes requeridos por el líder en

los procedimientos y los papeles de trabajo

5.ejecutar otras tareas asignadas por el líder en

el desarrollo de trabajo

6.Sugrerir siempre mejoras para el proceso de

auditoria

Por parte de la empresa Viento en Popa el equipo de trabajo estará al mando

el Gerente de Tecnologias de información

Las partes de común acuerdo han fijado realizar la auditoria en un tiempo

estimado de 2 meses dado como fecha de inicio 10 de septiembre del 2022
 PLAN DE COMUNICACIÓN

Una vez finalizada la auditoría y el informe final, el Líder de Auditoría establecerá

contacto y enviará vía correo electrónico un borrador de dicho informe al Gerente de
Tecnologías de Información a fin que pueda realizar observaciones o comentarios en un
lapso no mayor a 3 días hábiles. Posterior a esto, el Auditor Líder y Gerente de
Tecnologías de Información convocarán a una reunión al director general y Gerentes
de Área para la presentación del Informe de Auditoría

PLAN DE TRABAJO

El trabajo de auditoría se basará en la evaluación de riesgos, asociándolos con controles

ISO 27001. A continuación, se presenta el plan de trabajo detallado realizado
 DESARROLLO

La auditoría realizada tuvo como objetivo la evaluación de los riesgos inherentes al portal
Web, así como otros riesgos que pudieron identificarse, p a r a esto en cada
actividad se cubrieron diferentes puntos de cumplimiento de
acuerdo a los controles ISO 27001.Presentación con la Dirección General La Dirección
General estableció la importancia de fortalecer el canal de negocios y su impacto
económico en la empresa, los servicios ofrecidos a t r a v é s d e l P o r t a l W e b
r e p r e s e n t a n e l 4 0 % d e l i n g r e s o m e n s u a l d e l a empresa y se estima que
dentro del próximo año llegará al 60% de los m i s m o s , r a z ó n p o r l a c u a l
e s d e s u m a i m p o r t a n c i a q u e l o s r i e s g o s inh erentes sean identificado s,
evaluado s y, en caso de s er necesario, establecer controles para minimizarlos.

RECOPILACION Y ANALISIS DE LA INFORMACION

Se solicitó y analizo la siguiente información:

 Organigrama funcional de la empresa (detalle específico del

departamento de informática)

 Objetivo, misión y visión empresarial

 Directorio del personal administrativo que tenga interacción directa

e indirecta con la operación de la página Web

 Inventario de activos informáticos (Hardware y Software) que tengan

relación con la página Web

 Documentación técnica del desarrollo de la página web

(requerimiento inicial, desarrollo, pruebas, mejoras - versiones,
bitácora de mantenimiento, reportes de fallas)

 Manuales de operación

 Políticas de seguridad de la empresa

  Políticas de roles y perfiles de los usuarios

 Informes de auditorías anteriores (internas y externas)

Entrevistas

Se establecieron reuniones con el personal de desarrollo y mantenimiento para

profundizar en la infraestructura que soporta el Portal Web y los controles
que están establecidos. Así también con Administración con el objetivo de
determinar sus funciones con relación al portal, sus actividades que interactúan con el
Portal Web, evaluar su conocimiento de la política de seguridad de la empresa.

Pruebas de Funcionalidad y Seguridad

Se realizaron pruebas de funcionalidad para determinar que los manuales de la

plataforma estén actualizados e identificar que estén apegados con los
requerimientos funcionales. Se realizaron pruebas de seguridad, para lo cual utilizaron
herramientas de hackeo ético para realizar pruebas de reconocimiento,
penetración interna Y externa, e identificar vulnerabilidades.

Discusión de hallazgos
Retroalimentación con las áreas involucradas de los hallazgos para evaluar
si se cumple o no se cumple lo que se está auditando.
Informe preliminar
Se realizó un informe preliminar por parte de los auditores que fue
discutido con las áreas de desarrollo y mantenimiento, para dar la
oportunidad de aportar información adicional que permitiera modificar el
resultado.
 Informe final
Las actividades anteriores dieron como resultado el descubrimiento de
deficiencias de seguridad las siguientes bases de seguridad:

 Falta de actualización de las políticas de seguridad de

l a información.

 Falta de procedimientos para alta y baja de usuarios.

 Documentos no actualizados para asignación de perfiles y roles.

 Los controles de seguridad informática y Portal Web, son generales y

no están basados en ningún estándar.

 Falta de concientización a los usuarios para resguardo

d e contraseñas.

 Falta de políticas para respaldo de información.

 Falta de licencias del software antivirus.

 Falta de capacitación del personal para el manejo y configuración del

firewall.

 Falta de licencias del software del firewall.

 Falta de infraestructura de seguridad para el resguardo físico del

centro de datos.

 Falta de políticas de versionamiento de las aplicaciones.

 No se cuenta con un ambiente de pruebas para los cambios que se aplican.

  No existe un plan de capacitación de buenas prácticas de desarrollo
de software seguro.

 Falta del aviso de privacidad en el manejo de datos personales.

 No hay personal asignado responsable de la seguridad de la

Información

 No se cuenta con un Plan de Recuperación de Desastres (DRP)

 No se cuenta con un Plan de Continuidad de Negocio (BCP)

 No se cuenta con redundancia en los sistemas para asegurar alta

 disponibilidad del Portal Web.

 Falta de políticas de cifrado de la información

El resultado general de la auditoria es grave debido a la falta de controles,

principalmente, de seguridad y manejo de la información, por lo cual se
deben tomar medidas urgentes para subsanar las vulnerabilidades
existentes. Se recomienda implementar y cumplir, gradualmente, controles ISO
27001:2013, a continuación, se sugieren los más urgentes, así como su estatus actual y
hallazgos que lo respaldan. La siguiente tabla se enlistan y explica los controles ISO
27001:2013 , así co mo las vulnerabilidades OWASP . La valoració n del
impacto o riesgo que tiene el cumplir con un control o la falta de este está
en un rango de 1 a 10, en donde 1 significa que es de bajo riesgo o poco impacto y 10 es
un riesgo alto o alto impacto
Control Impac
iso O Riesgo Control Cumplimi Hallazgo Recomendación
27001 Riesgo OWASAP ento
5.1 8 A02:2021 Política de seguridad de la No Falta de actualización Revisión y
información revisada cada 3 conforme de las políticas de actualización
meses -mayor seguridad de la cada 6 mese
información
6.1 10 Responsable de la No hay personal Asignar
A05:2021 configuración No responsable asignado a responsables a la
incorrecta de la conforme la seguridad de la seguridad de
información -mayor información información
7.1 5 N/A Requisitos de RR.HH se encarga de Implementar
contratación Conforme la evaluación del políticas de
deben incluir candidato y también asignación y
acuerdo de incluye perfil de roles
confidencialidad seguridad
7.3 9 A010:2021 Muestran la Implementar
Y seguridad de este No Falta de seguridad para procedimiento de
A03:2021 control y permite conforme los controles y a su ves seguridad de
mostrar las -mayor para las incidencias controles e
incidencias incidencias
 Se hacen las No No se han realizado las Asignar
pruebas de conforme pruebas y mucho responsables a
8.2 8 A03:2021 inyección para -mayor menos muestra las realizar las
mostrar el % de ocurrencias pruebas de
ocurrencias inyección y
ocurrencias
9 A03:2021 Gestión de No Falta de Implementar
9.2 y pruebas de conforme concientización para mejoras al
A05:2021 inyección -mayor poder realizar las momento de
pruebas de inyección hacer pruebas de
inyección
9.4 8 A03:2021 Pruebas de control No Los controles de Implementa
y y muestreo de conforme seguridad informática mejores
A10:2021 incidencias -menor y del portal web no controles de
están basado en seguridad y a su
ningún estándar vez los
estándares
10.1 8 A03:2021 Se muestra el % de No Falta de ocurrencias de Implementar
ocurrencias de conforme acuerdo con la para obtener un
acuerdo a la -mayor categoría de riesgo mejor análisis de
categoría de riesgo ocurrencias
 INFORME EJECUTIVO DE LA AUDITORIA

1.Identificación del informe

Auditoría basada en riesgos del portal web Viento en Popa

2.Identificación del Cliente

Empresa Viento en Popa

4.Objetivos
 Detectar puntos débiles para corregirlos.

 Potenciar los puntos fuertes.

 Analizar la usabilidad y navegabilidad optima de la web.

 Optimizar el sitio para poder ser indexado correctamente por los buscadores.

 Verificar la existencia de un plan de actividades previo al levantamiento de servicios.

 Verificar que los procesos de compra de Tecnología de Información deben esta
sustentados en Políticas, Procedimientos, Reglamentos y Normatividad en
General, que aseguren que todo el proceso se realiza en un marco de legalidad y
cumpliendo con las verdaderas necesidades de la organización para hoy y el
futuro, sin caer en omisiones, excesos o incumplimientos.

 Verificar si existen garantías para proteger la integridad de los recursos informáticos.

 Verificar la utilización adecuada de equipos acorde a planes y objetivos
 HALLAZGOS POTENCIALES

 Falta de actualización de las políticas de seguridad de la información

 No hay personal responsable asignado a la seguridad de la información
 RR. HH se encarga de la evaluación del candidato y también incluye perfil de
seguridad
 Falta de seguridad para los controles y a su vez para las incidencias
 No se han realizado las pruebas y mucho menos muestra las ocurrencias
 Falta de concientización para poder realizar las pruebas de inyección
 Los controles de seguridad informática y del portal web no están basado en
ningún estándar
 Falta de ocurrencias de acuerdo con la categoría de riesgo
 RECOMENDACIONES

dar a conocer las políticas de seguridad de la información al personal de la

empresa y ejecutar adecuadamente los diferentes controles que se plantean en ella
y de esta manera brindar mayor protección a los activos de información de la
empresa. Posteriormente, hacerles un seguimiento a esos controles, evaluar su
nivel de efectividad y hacerle las respectivas mejoras ya sea anualmente o cuando
surjan determinados factores que así lo ameriten

 Revisión y actualización cada 6 meses

 Asignar responsables a la seguridad de información
 Implementar políticas de asignación y roles
 Implementar procedimiento de seguridad de controles e incidencias
 Asignar responsables a realizar las pruebas de inyección y ocurrencias
 Implementar mejoras al momento de hacer pruebas de inyección
 Implementa mejores controles de seguridad y a su vez los estándares
 Implementar para obtener un mejor análisis de ocurrencias
 REPORTE EJECUTIVO DE LA AUDITORIA

Director General de Viento en Popa

Presente

En cumplimiento con el programa de auditoría vigente en el ejercicio 2020, proporcionamos

a ustedes el informe de auditoría realizado al portal servicios de certificación Náutica para
Viento en Popa. La auditoría de seguridad de la información fue realizada a su solicitud y la
misma determino el estado actual de los controles de seguridad en su aplicación, a través de
entrevistas de trabajo, análisis de documentación y test éticos de penetración a sus sistemas.
El plan de trabajo contempla un ejercicio con el listado de controles basados en ISO 27001.
Se auditaron los controles de seguridad asociados a riesgos inherentes de funcionamiento
del portal. Bajo la premisa mencionada, surge la necesidad de realizar y proporcionar
hallazgos y recomendaciones asociadas a la identificación de riesgos del portal web Viento
en Popa, así como las recomendaciones y nivel de riesgo/impacto que se adjudica a cada
punto, siendo 1 poco o ningún riesgo/impacto y 10 total impacto y riesgo público

ALCANCE DE LA AUDITORIA

Nuestra auditoria, comprende el presente periodo 2022 y se ha realizado

especialmente al Departamento de centro de cómputo de acuerdo a las normas y
demás disposiciones aplicables al efecto. El alcance ha de definir con precisión el
entorno y los límites en que va a desarrollarse la auditoria basada en riesgos del portal
web, se complementa con los objetivos de esta
 CONCLUCIONES

Como resultado de la Auditoria podemos manifestar que hemos cumplido con evaluar cada
uno de los objetivos contenidos en el programa de auditoria. El Departamento de centro de
cómputo presenta deficiencias sobre el debido cumplimiento de Normas de seguridad. La
escasez de personal debidamente capacitado. Cabe destacar que el sistema basada en riesgos
del portal web pudiera servir de gran apoyo a la organización, el cual no es explotado en su
totalidad por falta de personal capacitado, Así mismo la inadecuada gestión de los activos de
información debida a la falta de prácticas para su uso adecuado, no tener definidas las
responsabilidades del personal sobre ellos, ni tener establecidos controles que garanticen su
devolución al finalizar el contrato laboral de los empleados. Igualmente, que la
infraestructura tecnológica de la empresa no sea administrada por personal idóneo, los
programas de detención de software malicioso sean desactivados en ciertas ocasiones y su
configuración esté expuesta a la modificación de personas no autorizadas.

REFERENCIAS

Referencias
Andrew van der Stock, N. S. (24 de SEPTIEMBRE de 2021). Bienvenido al OWASP Top 10
- 2021. Obtenido de https://owasp.org/Top10/es/

CALDERÓN, L. M. (16 de febrero de 2015). AUDITORIA DE SEGURIDAD DE LA

INFORMACIÓN E INFRAESTRUCTURA DE TI,. Obtenido de
https://repository.ucc.edu.co/bitstream/20.500.12494/304/1/AUDITORIA%20D
E%20SEGURIDAD%20DE%20LA%20INFORMACI%C3%93N.pdf
Dirk Wetter, J. M. (14 de SEPTIEMBRE de 2013). OWASP Top 10 - 2017. Obtenido de
https://wiki.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf

EALDE Business School. (10 de junio de 2014). Obtenido de

https://www.ealde.es/auditoria-de-seguridad-informatica/

Marcelo Leon, X. M. (25 de abril de 2022). Auditoría y Seguridad de los Sistemas de

Información orientadas al sector empresarial. Obtenido de
https://www.medwave.cl/resumenescongreso/ci2022/sociedadydesarrollo/8662.h
tml

MISFSUT.E. (8 de julio de 2005). Obtenido de proceso de auditoria de seguridad de la

informacion : http://www.iimv.org/iimv-wp-1-
0/resources/uploads/2015/01/CNBSAuditoria.pdf

moderna, i. (12 de abril de 2008). Definición de información. Obtenido de

http://www.informaticamoderna.com/Info_dat.htm

Solutek. (17 de MAYO de 2015). Definición de mantenimiento correctivo. Obtenido de

http://www.solutekcolombia.com/servicios_tecnologicos/mantenimientos/correct
ivos/

tellez, v. (1988). Contratos informáticos. Ciudad universitaria: Universidad Nacional.

Obtenido de http://redyseguridad.fi-
p.unam.mx/proyectos/seguridad/DefinicionPolitica.php