DSSAC Semana 10 Tema 7 PDF

Desarrollo Seguro de Software y Auditoría de la Ciberseguridad
Javier Bermejo Higuera
Tema VII: Gobierno y gestión de la función de auditoría

Índice
► Introducción y objetivos
► Gestión de la función de auditoría
► Clasificación de los controles de los Sistemas de Información:
o Controles generales
o Controles de aplicación
o Controles por área
o Controles de productos informáticos
o Controles por motivos legales
► La regla de oro
TEMA 2.- Controles internos de los Sistemas de Información 2

Índice

Introducción y objetivos
1. Definir y explicar los conceptos relacionados con la gestión de

la función de auditoría.
2. Estudiar una clasificación de los diferentes tipos de controles
que se pueden auditar en una auditoría.
3. Aprender el concepto de la regla de oro.

Introducción
► Auditoría informática
Ron Weber: proceso de recoger, agrupar y evaluar evidencias

para determinar si un sistema informático:
► Salvaguarda los activos.
► Mantiene la integridad de los datos.
► Lleva a cabo los fines de la organización.
► Utiliza eficientemente los recursos.
5

Introducción
“Cuando realizamos una auditoria, siempre tenemos

que pedir evidencias. No todo es lo que parece…”
Gestión de la función de auditoría
Función de auditoría
► Asegurar que tareas realizadas y logradas por el equipo de auditoría
cumplirán los objetivos, mientras se preserva la independencia y

competencia de esta.
► Debe asegurar a la Alta Dirección las contribuciones al valor agregado
respecto a la eficiente gestión de TI y al logro de los objetivos del

negocio.

► Gestión de los recursos de auditoría de sistemas de información
o El auditor debe mantener su competencia técnica a través de
una educación profesional continua.
o Plan anual de capacitación del personal.
► Ubicación Departamento de Auditoría.

o Jerarquía suficiente.
o Tipo de funciones.
o Suficiente autoridad.

► Departamento de auditoría. Funciones:
Investigación Revisión del Revisión constante

constante de planes equilibrio de las de los métodos de
y objetivos. cargas de trabajo. control.
Analizar la eficiencia
Estudio de las
de la utilización de
políticas y sus
recursos humanos y
prácticas.
materiales.
Alta gerencia
Revisión constante Estudio constante

de la estructura de las operaciones
orgánica. de la empresa. Consejo de
administración
Auditoría interna
► Responsabilidades:
Empleados

► Estructura y atribuciones de una unidad de auditoría interna
Director de auditoría.
Gerente de auditoría
Supervisor de auditoría
Encargado de auditoría
Auditor ayudante
Auditor principiante

► Normas profesionales del equipos auditor
Objetividad Responsabilidad Integridad Confidencialidad
Institucionalidad Honestidad Equilibrio Compromiso
Criterio Iniciativa Imparcialidad Creatividad

Clasificación de los controles
Ejecución, Control y Auditoria
► Controles: son acciones y mecanismos definidos para prevenir o

reducir el impacto de los eventos no deseados que ponen en riesgo
a los activos de una organización.

Ejemplo de control

Filosofía de controles
Mapa de riesgos
inherentes
La gestión del riesgo en ciberseguridad rompe los modelos

tradicionales de probabilidad e impacto. Las ciberamenazas
responden a matrices asimétricas de baja probabilidad y máximo
impacto (cisnes negros).
PLANIFICACION AUDITORIA
Aspectos USO CONTROLES
Controles Identificar
Evaluar
Que auditar.
Cuando auditar
Revisar Como auditar
ATRIBUTOS REQUERIMIENTOS. ESENCIAL
Objetivos de control Calidad, Seguridad y confianza: Proporcionalidad entre

Descripción del control Eficacia. riesgo, control y coste
Frecuencia del control Eficiencia.
Ejecucción Confidencialidad.
Monitorización Integridad. REGLA DE ORO
Disponibilidad.
Confiabilidad
¿Qué debemos hacer con los controles?
Identificar Revisar
Evaluar

¿Planificación de una auditoría?
Qué auditar
oCumplimiento de requerimientos legales.
oSensibilidad de la organización a determinados riesgos o resultado de análisis
de riesgos.
oResultado de auditorías anteriores.
Cuándo auditar
oPriorizar las actuaciones detectadas y ajustando el alcance a los recursos
disponibles y las demandas de la dirección.
oElaborar el documento de planificación periódica de la unidad de auditoría.
oRevisión periódica del plan inicial para incorporar actuaciones no previstas.
Cómo auditar
oProceso de para planificar las actuaciones individuales.

Requerimientos
EFICACIA: La EFICIENCIA: CONFIDENCIALIDAD:

información recogida
La información debe La información y su
debe ser relevante y
proporcionarse con la cadena de custodia
pertinente para el
utilización óptima de debe estar protegida
proceso de auditoria,
recursos (más frente a la divulgación
siendo esta
productiva y no autorizada.
suministrada de
económica).
manera oportuna,
correcta y consistente.
INTEGRIDAD: CONFIABILIDAD:
La información debe Se debe proveer la
ser precisa, suficiente información apropiada
y válida conforme a los para poder realizar un
valores y expectativas informe objetivo.
de negocio y la
legislación vigente.

Descripción detallada
1 Objetivo de control 2
del control.
Clasificación por Frecuencia del

3
Atributos control
Monitorización
5 4 Operación

ESENCIAL (regla de oro)
La aplicación de los controles hasta ahora descritos deben estudiarse teniendo en cuenta que su
coste no exceda el coste que supondría asumir el propio riesgo.

NATURALEZA
Clasificación CLASIFICACIÓN GENERAL
Controles Voluntarios
Obligatorios
Preventivos
Detectivos
Manuales Correctivos
Automáticos Alternativos o
Generales compensatorios
De aplicación
APLICABILIDAD COMPORTAMIENTO Generales
Físicos u operacionales Defensivo Organización y operación

Lógicos o técnicos Salvaguardas Desarrollo de sistemas y
Administrativos o de gestión Contramedidas documentación
Ofensivos Hardware y software
Pasivos
Activos

Clasificación General
Voluntarios Obligatorios. Manuales
Automáticos. Generales De aplicación

Preventivos
Alternativos
o Naturaleza Detectivos
compensatorios
Correctivos

Ways of control Classification of controls

1 Install fire alarms Detective controls
2 Use fire proof building materials Preventative controls
3 Install sprinklers Preventative controls
4 Fire drill practices Preventative controls
5 Install smoke detection sensors Detective controls
6 Install escape route maps Preventative controls
7 Organize fire safety education workshops Preventative controls
8 Install fire extinguishers Corrective controls
9 No naked flame in the building Preventative controls
10 No smoking in the building Preventative controls
11 Backup system Corrective controls
12 Regular maintenance of devices Preventative controls
13 Regular fire department inspection Preventative controls
14 Get fire insurance Corrective controls
15 Install CCTVs Detective controls
TEMA 2.- Controles internos de los Sistemas de Información

Físicos
Lógicos
Gestión
Aplicabilidad

C o mp o rtamie nto
D efen sivo s O fe n sivo s
1 Salvaguardas 1 Pasivos
2 Contramedidas 2 Activos

► Generales
Hardware y
software
Desarrollo de
sistemas y
doc.
Organización
y operación

Acceso a datos y programas

Solicitar la política de seguridad para verificar su
I.A.1 Política de seguridad existencia, actualización y mecanismos de divulgación de
esta.
Concienciación de Revisar los mecanismos utilizados para concienciar a los
I.A.2
usuarios usuarios en materia de seguridad.
Independencia de la Verificar si las funciones de seguridad TI están segregadas
I.A.3
función de seguridad de las áreas de operaciones y desarrollo.
Revisar situación de la sociedad frente a la LOPD: ficheros
Cumplimiento
I.A.4 declarados, existencia de documento de seguridad,
normativo: LOPD
auditoría bienal.

Controles de aplicación
Podemos definir un control de aplicación como las actividades manuales y
automatizadas que aseguran que la información y los Sistemas de
Información, que la generan o procesan, cumplen con ciertos criterios o
requerimientos del negocio (COBIT):
Requerimientos
• Efectividad
• Eficiencia
• Confidencialidad
• Integridad
• Disponibilidad
• Cumplimiento
• Confiabilidad

Controles de aplicación
Las aplicaciones deben incorporar controles que garanticen la entrada,

actualización, validez y mantenimiento completos y exactos de la
información.
Controles Aplicaciones
Entrada de datos.
Tratamiento de datos.
Salida de datos.
Excel de controles de aplicaciones

Ejemplo Controles generales. Ejemplo consultora generalista ITGC
Acceso a Datos y Programas
I.A.1 Política de Seguridad Solicitar la política de seguridad para verificar su existencia, actualización y mecanismos de divulgación de la misma.
I.A.2 Concienciación de usuarios Revisar los mecanismos utilizados para concienciar a los usuarios en materia de seguridad
I.A.3 Independencia de la Función de Seguridad Verificar si las funciones de seguridad TI están segregadas de las áreas de operaciones y desarrollo.
I.A.4 Cumplimiento Normativo: LOPD Revisar situación de la sociedad frente a la LOPD: Ficheros declarados, existencia de documento de seguridad, auditoría bienal.
I.B.1 Procedimiento de acceso al CPD/ de Solicitar política o procedimientos de seguridad física y de acceso al CPD
medidas de seguridad física
I.B.2 Seguridad Perimetral y controles de acceso Revisar las medidas de seguridad perimetral y los mecanismos de control de acceso al CPD
al CPD
I.B.3 Medidas Medioamientales del CPD Revisar los mecanismos para garantizar la seguridad frente a amenazas de tipo medioambiental: Fuego, inundaciones, cortes de
suministro eléctrico, sobrecalentamiento servidores, etc.
I.C.1 Procedimiento de ABM de usuarios Solicitar el procedimiento de ABM para cada aplicación/sistema auditado. Tomar evidencias con las últimas ABM para verificar el ciclo
de solicitud, aprobación y entrega de contraseñas (garantizar confidencialidad). Que se tenga establecida la obligatoriedad de cambio
en primer login.
I.C.2 Revisión periódica de usuarios, perfiles y Verificar si existe un procedimiento establecido para la revisión periódica de los usuarios, perfiles y niveles de acceso. Tomar
niveles de acceso evidencias de los registros de las últimas revisiones realizadas. Cruzar usuarios dados de baja en el periodo y usuarios que han
cambiado de departamento con los usuarios activos.
I.C.3 Control de acceso Revisar cómo se establecen los niveles de acceso (perfiles) a la aplicacíon, a directorios y a recursos de red relevantes
I.D.1 Asignación usuarios no genéricos Verificar procedimiento de asignación de usuarios (identificación y autenticación), revisar listado de usuarios del sistema/aplicación.
(nominales)
I.D.2 Configuración contraseñas Verificar política o norma que establezca las características de las contraseñas, revisar si se tiene implantada en el sistema/aplicación.
Caducidad, número de caracteres, complejidad, bloqueo tras intentos fallidos, etc.
I.E.1 Monitorización: Logs de auditoría Revisar los mecanismos implantados para monitorizar las acciones relevantes (operación y seguridad) llevadas a cabo por los usuarios
en la aplicación/sistema.
I.F.1 Usuarios administradores Revisar procedimiento. Revisar listado de usuarios y perfiles y verificar que los usuarios privilegiados son los adecuados (que sólo
IT/seguridad tiene privilegios).
I.F.2 Monitorización de acciones Revisar procedimientos y mecanismos implantados para monitorizar a los administradores.
de usuarios administradores
Desarrollo
III.A.1 Metodología Desarrollo Revisar si se sigue una metología de desarrollo. Revisar si ésta obliga a tener aprobaciones de negocio, aprobaciones de IT, etc. cuando
se realizan nuevos desarrollos/adquisiciones y que especifique la realización de documentos de presupuesto, requisitos, diseño
funcional y técnico, pruebas, etc.

Ejemplo de modelos de control – Cybersecurity framework NIST - CSF
• Nació para ayudar a las organizaciones a gestionar los riesgos

de ciberseguridad en las infraestructuras críticas de la nación
estadounidense
https://www.nist.gov/cyberframework
Ejemplo de modelos de control – Cybersecurity framework NIST - CSF

Clasificación de los
controles
Ejemplo de modelos de control – ENS
El nuevo ENS 2022 y sus principales cambios (ciberseguridad.blog)

Ejemplo de modelos de control – CIS

• Control 1: Inventario de dispositivos autorizados y no

autorizados.
• Control 2: Inventario de software autorizado y no autorizado.
– Gestión activa (inventariar, rastrear y corregir) de:
• El acceso que se concede a los dispositivos.
• La instalación y ejecución de software.
– Impacto muy elevado sobre la mitigación de riesgos.

• Control 3: Bastionado del hardware y software de los
ordenadores portátiles, estaciones de trabajo y servidores.
– Establecimiento y gestión activa (inventariar, rastrear y corregir) de la
configuración de seguridad de portátiles, servidores y estaciones de trabajo.
– Muchas vulnerabilidades surgen de configuraciones inadecuadas de seguridad.
• Especialmente peligrosas las configuraciones por defecto en muchos productos.
– Diversas actividades.
• Establecimiento de configuración.
• Administración remota.
• Monitorización de las configuraciones.
• …
– Parámetros de configuración de su entorno de ejecución deben ajustarse de
modo que el software no sea innecesariamente expuesto a amenazas
potenciales, a esta tarea se le denomina “Bastionado”.

CONTROLES
Ejemplo DE
de modelos deCIBERSEGURIDAD
control – CIS
• Control 4: Evaluación continua de vulnerabilidades y su

remediación.
– Adquisición y valoración continua de sistemas para identificar
vulnerabilidades.
– Toma de decisiones en tiempo real para remediarlas.
– El objetivo es minimizar la ventana de oportunidad del atacante.
Fuente: CSC-MASTER 6.0

• Control 4: Evaluación continua de vulnerabilidades y su

remediación.
Inventario de
activos
Planeación de
Validación
análisis
Ejecución de
Remediación
análisis
Priorización de
vulnerabilidades

• Control 5: Uso controlado de privilegios administrativos.

– Muchos ataques provienen de un mal uso de los privilegios de
administración.
• E.g. Descarga de malware desde un sitio web malicioso.
– Es importante mantener una adecuada gestión de estos privilegios.
• Rastrear.
• Controlar.
• Prevenir.
• Corregir.

• Control 6: Mantenimiento, seguimiento y análisis de registros
de eventos de auditoría de seguridad.
– Los registros (logs) son esenciales para la CIBERSEGURIDAD.
• Es extremadamente difícil reaccionar ante “lo que no se ve”.
• A veces son la única evidencia de un ataque.
• Una configuración deficiente
puede dificultar la protección y defensa.
– Importante controlar todos aquellos
eventos que puedan ayudar a detectar,
entender y/o recuperarse de un ataque.
• Recolección de datos.
• Gestión de esos datos.
• Análisis de esos datos.

• Control 7: Protección de Navegadores Web y Correo

Electrónico.
– El eslabón más débil de la cadena de la CIBERSEGURIDAD es el usuario.
• Los atacantes pueden manipular a los usuarios para facilitar el acceso al sistema.
– Los puntos de entrada más comunes en los ataques a usuarios son los
navegadores web y el correo electrónico.
– Minimizar la “superficie de ataque”.

• Control 8: Defensas contra malware.

– El software malicioso (malware) es una de las amenazas más peligrosas.
• Cada vez más sofisticado (ofuscación, evitación de defensas).
• Rápidamente propagable y cambiante.
• Controlar la instalación, propagación y

difusión de este tipo de código.
• En múltiples puntos de la organización
(defensa en profundidad).
• De manera automatizada y eficiente:
Detección y defensa rápidas y flexibles.

CONTROLES DE CIBERSEGURIDAD
• Control 9: Limitación y control de los puertos, protocolos y
servicios.
– Los atacantes buscan vías de acceso remotas a las redes y sistemas.
• Servidores mal configurados y Protocolos inseguros.
• Gestión adecuada del uso de puertos,

protocolos y servicios en la
organización.
• Rastreo, control y corrección.
• De nuevo, minimizar las ventanas de
oportunidad de los atacantes.

• Control 10: Capacidad de recuperación de datos.
– La mayoría de amenazas (intencionadas o accidentales) implican cambios
significativos en los datos y configuración de los sistemas.
– La capacidad de almacenamiento y recuperación, por tanto, es crítica para la
respuesta a incidentes.

• Control 11: Configuraciones seguras para los Dispositivos

de red, firewalls, routers y switches.
– La configuración de los dispositivos de red es crítica para la seguridad.
• Firewalls: acceso no autorizado a la red de la organización.
• Routers: redirección / descarte de tráfico.
• Switches: captura de información (sniffing).
– Gestión rigurosa de la configuración de estos dispositivos.
• No confiar en la configuración
por defecto.

• Control 12: Defensa de los límites de la red.

– También llamado seguridad perimetral.
• Los atacantes se centran en máquinas “accesibles”.
• Tras ganar acceso a una máquina, pueden intentar “profundizar” en la red de la
organización ataque/defensa en profundidad.
– Control sobre el flujo de información entre redes de diferentes niveles de
seguridad/confianza.
– Veremos diferentes mecanismos más adelante
Firewalls, IDSs…

• Control 13: Protección de datos

– Relacionado con los anteriores (CSC-10, CSC-12).
– Prevención de fuga de datos: prevenir la exposición de información sensible
a partes no autorizadas.
– Aseguramiento de la integridad de la información sensible.
– Técnicas: cifrado, DLP…

• Control 14: Acceso controlado, basado en la necesidad de

conocer (need to know).
– ¿Qué personas/ordenadores/aplicaciones necesitan tener acceso a
información/sistemas/recursos que sean críticos para la organización?
– Control, prevención y corrección del acceso a dichos activos críticos.

• Control 15: Control de dispositivos inalámbricos.

– La interfaz inalámbrica es una vía de entrada cada vez más habitual para los
atacantes.
• Acceso inalámbrico desde fuera de los edificios.
• Ataque a dispositivos de la organización cuando están fuera de ella.
– Móviles, portátiles…
– Mucho más difícil de controlar.

• Control 16: Monitorización y control de cuentas de usuarios.

• Creación, uso, suspensión y/o borrado.

• Control 17: Formación de seguridad.

– ¿Recordáis lo del eslabón más débil?
– Las personas son una pieza crítica en la defensa
• Programadores, administradores de sistemas, gestores…
– Para todos ellos (y en especial los más críticos).

• Identificar los conocimientos que necesitan.
• Diseñar y ejecutar un plan de formación.

• Control 18: Seguridad de las aplicaciones software.

– Probablemente el segundo eslabón más débil.
• Muchos ataques explotan fallos (bugs) en software.
• Hablaremos de ello la semana que viene.
– Gestionar la seguridad en todo el “ciclo de vida” del software, tanto
desarrollado como adquirido.
• Políticas de parcheo/actualización.
• Auditoría de vulnerabilidades.
• Practicas de seguridad durante
todo su ciclo de vida de desarrollo.

• Control 19: Capacidad de respuesta a incidentes.

– No se trata de “si” seremos atacados, sino más bien de “cuándo” seremos
atacados.
• Y sobre todo, de qué haremos entonces.
– Desarrollar e implementar una infraestructura de respuesta.
• Planes de contingencia.
• Roles bien definidos.
• Simulacros.
– Proteger tanto la información
como la reputación.

• Control 20: Pruebas de penetración y ejercicios.

– Aun planificándolo y controlándolo todo pueden quedar “huecos”.
– Los test de penetración permiten detectar esos huecos (para luego
solucionarlos).
– Diversos tipos y estrategias.
• Desde fuera de la
organización o desde
la red interna.
• Por personal interno
o expertos
independientes.

Ejemplo de modelos de control – Similitudes.
Todos poseen el mismo fin, identificar riesgos, fraudes, vulnerabilidades,

impactos,…, Todos sirven para todas las empresas, siempre bajo una
adecuación a la casuística y naturaleza de la organización.
Recomendación:
►Comprender la compañía.
►Entender la problemática.
►Realizar un modelo de control adecuado a estos parámetros anteriores.
►Revisar con rigurosidad pero con proporcionalidad.
►Utilizar el sentido común.

Ejemplo de estándares de auditoria
►COSO. Committee of Sponsoring Organizations of the Treadway Commission.

►COBIT. IS Audit and Control Association (ISACA) and IT Governance Institute (ITGI).
►American Institute of Certified Public Accountants (AICPA).
►International Federation of Accountants (IFAC).
►Financial Accounting Standards Board (FASB) with Statement on Auditing Standards (SAS).
►Generally Accepted Accounting Principles (GAAP).
►Public Company Accounting Oversight Board (PCAOB) of the Securities and Exchange
►Commission, audit standards AS-1, AS-2, AS-3, AS-4, and AS-5.
►Sarbanes-Oxley, including the international implementation by the Japanese government and
►European Union (US-SOX, J-SOX and E-SOX).
►Organization for Economic Cooperation and Development (OECD).
►International Organization for Standardization (ISO).
►U.S. National Institute of Standards and Technology (NIST).
►U.S. Federal Information Security Management Act (FISMA).
►Basel Accord Standard II (Basel II), governing risk reduction in banking.

¿PREGUNTAS?
www.unir.net

DSSAC Semana 10 Tema 7 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

DSSAC Semana 10 Tema 7 PDF

Cargado por

Copyright:

Formatos disponibles

Desarrollo Seguro de Software y Auditoría de la Ciberseguridad

Javier Bermejo Higuera

Tema VII: Gobierno y gestión de la función de auditoría

TEMA 2.- Controles internos de los Sistemas de Información 2

TEMA 2.- Controles internos de los Sistemas de Información 3

1. Definir y explicar los conceptos relacionados con la gestión de

TEMA 2.- Controles internos de los Sistemas de Información 4

Ron Weber: proceso de recoger, agrupar y evaluar evidencias

TEMA 2.- Controles internos de los Sistemas de Información 5

“Cuando realizamos una auditoria, siempre tenemos

cumplirán los objetivos, mientras se preserva la independencia y

respecto a la eficiente gestión de TI y al logro de los objetivos del

TEMA 2.- Controles internos de los Sistemas de Información 7

► Ubicación Departamento de Auditoría.

TEMA 2.- Controles internos de los Sistemas de Información 8

Investigación Revisión del Revisión constante

Revisión constante Estudio constante

TEMA 2.- Controles internos de los Sistemas de Información 9

TEMA 2.- Controles internos de los Sistemas de Información 10

Objetividad Responsabilidad Integridad Confidencialidad

Institucionalidad Honestidad Equilibrio Compromiso

Criterio Iniciativa Imparcialidad Creatividad

TEMA 2.- Controles internos de los Sistemas de Información 11

► Controles: son acciones y mecanismos definidos para prevenir o

TEMA 2.- Controles internos de los Sistemas de Información 12

TEMA 2.- Controles internos de los Sistemas de Información 13

La gestión del riesgo en ciberseguridad rompe los modelos

ATRIBUTOS REQUERIMIENTOS. ESENCIAL

Objetivos de control Calidad, Seguridad y confianza: Proporcionalidad entre

¿Qué debemos hacer con los controles?

TEMA 2.- Controles internos de los Sistemas de Información 16

¿Planificación de una auditoría?

TEMA 2.- Controles internos de los Sistemas de Información 17

EFICACIA: La EFICIENCIA: CONFIDENCIALIDAD:

TEMA 2.- Controles internos de los Sistemas de Información 18

Clasificación por Frecuencia del

TEMA 2.- Controles internos de los Sistemas de Información 19

TEMA 2.- Controles internos de los Sistemas de Información 20

APLICABILIDAD COMPORTAMIENTO Generales

Físicos u operacionales Defensivo Organización y operación

TEMA 2.- Controles internos de los Sistemas de Información 21

Voluntarios Obligatorios. Manuales

Automáticos. Generales De aplicación

TEMA 2.- Controles internos de los Sistemas de Información 22

TEMA 2.- Controles internos de los Sistemas de Información 23

Ways of control Classification of controls

TEMA 2.- Controles internos de los Sistemas de Información

TEMA 2.- Controles internos de los Sistemas de Información 25

D efen sivo s O fe n sivo s

TEMA 2.- Controles internos de los Sistemas de Información 26

TEMA 2.- Controles internos de los Sistemas de Información 27

Acceso a datos y programas

TEMA 2.- Controles internos de los Sistemas de Información 28

TEMA 2.- Controles internos de los Sistemas de Información 29

Las aplicaciones deben incorporar controles que garanticen la entrada,

TEMA 2.- Controles internos de los Sistemas de Información 30

TEMA 2.- Controles internos de los Sistemas de Información 31

• Nació para ayudar a las organizaciones a gestionar los riesgos

TEMA 2.- Controles internos de los Sistemas de Información 33

El nuevo ENS 2022 y sus principales cambios (ciberseguridad.blog)

TEMA 2.- Controles internos de los Sistemas de Información 34

TEMA 2.- Controles internos de los Sistemas de Información 35

• Control 1: Inventario de dispositivos autorizados y no