Seguridad de la Informacin

Gestin de Vulnerabilidades
Pablo Palacios
Consultor de Seguridad de la Informacin y Cumplimiento PCI-DSS E-Gov Solutions ppalacios@e-govsolutions.net | pablo.palacios@moplin.com Web: seguridad.moplin.com Linkedin: http://www.linkedin.com/in/moplin/es Twitter: @moplin (593) 8 464-4844

Hablaremos de:
Introduccin a la vulnerabilidad Tendencias y estadsticas Gestin de Vulnerabilidades

http://es.wikipedia.org/wiki/Ataque_de_fuerza_bruta http://hackosis.com/projects/bfcalc/bfcalc.php

Introduccin a la vulnerabilidad
Informacin y Seguridad de la Informacin Por que se necesita la Seguridad de la Informacin Riesgos de la Informacin en la Organizacin Enemigo publico No 1 Vulnerabilidades Tipos de vulnerabilidades Ejemplos de sistemas vulnerables Top 10 OWASP y otros TOP 10 Quien puede abusar de una vulnerabilidad?

Informacin y Seguridad de la Informacin

La informacin se la puede definir como: Datos dotados de significado y propsito La informacin se ha convertido en un componente indispensable para realizar negocios en prcticamente todas las organizaciones. En un numero cada vez mayor de compaas, la informacin es el negocio*. De acuerdo con el Instituto Brookings, tanto la informacin como otros activos intangibles de una organizacin representan mas del 80% de su valor de mercado*. La Seguridad de la Informacin no es una materia especficamente tecnolgica, es de personas y por tanto es un problema organizacional de amplio espectro.
*Manual de Preparacin al examen CISM 2009 ISBN: 978-1-60420-040-9, Cap 1, Visin General de Gobierno de la Seguridad de la Informacin

Informacin y Seguridad de la Informacin

La Seguridad de la Informacin busca la proteccin de la informacin de un rango amplio de amenazas para poder asegurar la continuidad del negocio, minimizar el riesgo comercial y maximizar el retorno de las inversiones y oportunidades comerciales1. La seguridad de la Informacin se logra implementando un adecuado conjunto de controles; incluyendo polticas, procesos, procedimientos, estructuras organizacionales y funciones de software y hardware1.

1. Information Technology Security Techniques Code of practice for information Security Management, ISO/IEC 27002:2005(E)

Por que se necesita la Seguridad de la Informacin

La informacin, los procesos, sistemas y redes de apoyo son activos comerciales importantes. Definir, lograr, mantener y mejorar la Seguridad de la Informacin es esencial para mantener una ventaja competitiva, el flujo de caja, rentabilidad, observancia legal e imagen comercial1.

1. Information Technology Security Techniques Code of practice for information Security Management, ISO/IEC 27002:2005(E)

Riesgos de la Informacin en la Organizacin

Las organizaciones, sus sistemas y redes de informacin enfrentan amenazas de seguridad. Perdida de Confidencialidad, Disponibilidad o Integridad

Fuentes como: Fraude por computadora Espionaje Sabotaje Vandalismo Fuego o inundacin.

1. Information Technology Security Techniques Code of practice for information Security Management, ISO/IEC 27002:2005(E)

Riesgos de la Informacin en la Organizacin

Las causas de dao como: Cdigo malicioso Pirateo computarizado Negacin de servicio Acceso no autorizado Amenazas que se hacen cada vez ms comunes, ms ambiciosas y cada vez ms sofisticadas1.

1. Information Technology Security Techniques Code of practice for information Security Management, ISO/IEC 27002:2005(E)

Enemigo publico No 1
Las Vulnerabilidades Tecnolgicas afectan a todas las plataformas tecnolgicas y se convierten en uno de los riesgos mas extenso que afrontan los profesionales de la seguridad Explotar o abusar de una vulnerabilidad es el mecanismo agresivo ms efectivo con el que cuenta un atacante.
El 79% de todas las vulnerabilidades documentadas en la segunda mitad del 2006 fueron consideradas como fcilmente explotables.

Vulnerabilidades
DEFINICIONES Una deficiencia en el diseo, la implementacin, la operacin o la ausencia de los controles internos en un proceso, que podra explotarse para violar la seguridad del sistema1. El termino caracteriza la ausencia o riesgo de un control de reduccin de riesgo. Es la condicin que tienen el potencial de permitir que una amenaza ocurra con mayor frecuencia, gran impacto o cualquiera de los dos2. Debilidades de un sistema que permiten a un individuo malintencionado explotarlo y violar su integridad3.
1. Manual de Preparacin al examen CISM 2009; ISBN: 978-1-60420-040-9; Glosario 2. Official (ISC)2 Guide to CISSP Exam; ISBN: 0-8493-1518-2; 1.2 Risk Analisis and Assesment 3. Normas de Seguridad de Datos para las Aplicaciones de Pago y Normas Octubre de 2008 de Seguridad de Datos de la PCI; Glosario de trminos, abreviaturas y acrnimos 4. Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2

Vulnerabilidades
Cuando estas son expuestas o visibles, pueden ser objeto de abuso Su abuso puede resultar en:
Acceso no autorizado a la red Exposicin informacin confidencial Dao o distorsin de la informacin Proveer de datos para el hurto o secuestro de identidad Exponer secretos organizacionales Desencadenar fraudes Paralizar las operaciones del negocio.

1. Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2

Tipos de vulnerabilidades
Vulnerabilidades no Tecnolgicas1
Hacking no tecnolgico Ingeniera social Donde se considera que la vulnerabilidad es El individuo y El proceso mal definido

Vulnerabilidades Tecnolgicas que afectan a:

Procesos tecnolgicos Los medios de comunicacin (red lan, wan, voip, etc) Plataforma tecnolgica:
Sistemas operativos aplicaciones de escritorio aplicaciones cliente servidor Aplicaciones web Bases de datos Equipos de red Todo!

1. Jhony Long; No Tech Hacking: A Guide to Social Engineering ; ISBN 13: 978-1-59749-215-7 2. DefCon 15 - T112 - No-Tech Hacking (58 min); http://video.google.com/videoplay?docid=-2160824376898701015&hl=es

Ejemplos de sistemas vulnerables

Redes y Servicios Redes inalmbricas WIFI Aplicaciones de escritorio
WEP y falta de encripcin Office, Outlook, Acrobat, flash, Java JRE, etc. Apache, IIS, Websphere, Etc. Oracle, DB2, MySQL, MS SQL Server, etc.

Ftp, Telnet, Http, SSL

Servidores Web
Bases de datos

Aplicaciones Web

Mltiples errores de programacin (TOP 10 OWASP), Muchas ocasiones dependientes de la arquitectura establecida

http://www.owasp.org/index.php/Top_10_2007

Top 10 OWASP

http://www.owasp.org/index.php/Top_10_2007

Top 10 OWASP

http://www.owasp.org/index.php/Top_10_2007

Los TOP 10 Externos, Diciembre 2009

Las 10 Vulnerabilidades Externas ms comunes

1 HTTP method 'DELETE' Enabled 2 Microsoft Windows Server Service Could Allow Remote Code Execution 3 Microsoft SMB Remote Code Execution Vulnerability

4 Microsoft MSDTC and COM+ Remote Code Execution Vulnerability

5 Microsoft Windows DCO0M RPCSS Service Vulnerabilities

6 Microsoft Windows DCOM RPC Interface Buffer Overrun Vulnerability 7 Microsoft IIS FTP Server Remote Stack Based Overflow 8 Apache Chunked-Encoding Memory Corruption Vulnerability 9 Writeable SNMP Information

10 Debian OpenSSL Package Random Number Generator Weakness

N/A CVE-2008-4250 CVE-2008-4834 CVE-2008-4835 CVE-2008-4114 CVE-2005-1978 CVE-2005-2119 CVE-2005-1979 CVE-2005-1980 CVE-2003-0715 CVE-2003-0528 CVE-2003-0605 CVE-2003-0995 CVE-2003-0352 CVE-2009-3023 CVE-2009-2521 CVE-2002-0392 CVE-1999-0792 CVE-2000-0147 CVE-2001-0380 CVE-2001-1210 CVE-2002-0478 CVE-2000-0515 CVE-2008-0166

http://www.qualys.com/research/rnd/top10/

Los TOP 10 Internos, Diciembre 2009

Las 10 Vulnerabilidades Internas ms comunes

1 Adobe Flash Player Multiple Vulnerabilities

2 Adobe Flash Player Update Available to Address Security Vulnerabilities

3 Adobe Acrobat and Adobe Reader Multiple Vulnerabilities 4 Adobe Reader JavaScript Methods Memory Corruption Vulnerability
5 Sun Java Multiple Vulnerabilities

6 Microsoft Office PowerPoint Could Allow Remote Code Execution

7 Microsoft Excel Remote Code Execution Vulnerability 8 Sev4 Microsoft Word Multiple Remote Code Execution Vulnerabilities

9 WordPad and Office Text Converters Remote Code Execution Vulnerability

10 Vulnerabilities in Microsoft DirectShow Could Allow Remote Code Execution

CVE-2007-2022 CVE-2007-3456 CVE-2007-3457 CVE-2009-0519 CVE-2009-0520 Varios ms CVE-2008-2641 CVE-2009-1492 CVE-2009-1493 CVE-2008-2086 CVE-2008-5339 Varios ms CVE-2009-0556 CVE-2009-0220 Varios ms CVE-2009-0238 CVE-2009-0100 CVE-2008-4024 CVE-2008-4026 Varios ms CVE-2008-4841 CVE-2009-0087 Varios ms CVE-2009-1537 CVE-2009-1538 CVE-2009-1539

http://www.qualys.com/research/rnd/top10/

Quien puede abusar de una vulnerabilidad?

El hacker (el malo!) El estudiante de sistemas El desarrollador o programador La competencia El trabajador interno (resentido) El que ya no trabaja Cualquier estudiante con un computador e Internet El software El virus, troyano, spyware, etc. Ley de Murphy: Si algo puede salir mal, saldr mal. Si hay una vulnerabilidad ser usada

Hackers
Un firewall $100.000 dlares Un IPS $250.000 dlares Una vulnerabilidad, no tiene precio!
Por: moplin (CC) 2009

Vulnerabilidades
Solo puedes estar seguro de que aun hay ms !
Por: moplin (CC) 2009

Tendencias y estadsticas
Tendencias Vulnerabilidades por impacto Vulnerabilidades de da 0 Ataques comunes en aplicaciones WEB Virus, Spyware, Gusanos, Trojanos, etc Tiempo de explotacin de nuevas vulnerabilidades Herramientas disponibles en internet

Tendencias
En el pasado, la motivacin era solo diversin o demostracin. Existen factores econmicos que impulsan a miles de individuos a buscar la forma de atacar a las organizaciones y al sistema financiero (Banca electrnica, tarjetas de crdito) Existe un incremento del profesionalismo y la comercializacin de actividades maliciosas (crimen organizado) Convergencia en los mtodos de ataque Expansin en el numero de aplicaciones y plataformas de ataque.

Tendencias
Segn la encuesta Crmenes de Informticos y Encuesta de Seguridad del Instituto de Seguridad de Computo (CSI), las perdidas econmicas en las organizaciones se deben a:

Fraude financiero (31%) Virus/gusano/spyware (12%) Penetracin al sistema por un externo (10%) Robo de informacin confidencial (8%)

1. CIS; www.gocsi.com

Tendencias
99 % de los casos de intrusin a redes son el resultado del ataque en contra de vulnerabilidades conocidas o errores de configuracin solucionables
CERT, CARNEGIE MELLON UNIVERSITY

Organizaciones que implementan un proceso efectivo para gestin de vulnerabilidades experimentarn una reduccin del 60 % en ataques exitosos externos
GARNER 2007

25

Vulnerabilidades por impacto

FUENTE : SECUNIA 2008

26

Vulnerabilidades de da 0

FUENTE : SECUNIA 2008

Ataques comunes en aplicaciones WEB

Mtodo
Cross Site Scripting 12% Control de Aceso insuficiente 10% Inyeccin de SQL 20%

OtrosOther 18%

Fuga de Infromacin no intencional 17%

Prediccin de credenciales de sesion 8%

FUENTE : WHID 2008

Vulnerabilidades Conocidas 15%

Virus, Spyware, Gusanos, Trojanos, etc

La cantidad de Malware se incrementa cada ao
1,600,000 1,500,000 1,400,000 1,300,000 1,200,000 1,100,000 1,000,000 900,000 800,000 700,000 600,000 500,000 400,000 300,000 200,000 100,000 86 87 88 89 90 91 92 93 94 95 96 97 98 99 00 01 02 03 04 05 06 07 08

20x
En los ltimos 5 aos

3x
Tan solo en el ltimo ao

FUENTE : F-SECURE

Tiempo de explotacin de nuevas vulnerabilidades

Herramientas disponibles en internet

pharming Auto-coordinated AutoCross Site Scripting Intruder Knowledge Intruder Knowledge Stealth /Advanced Scanning Techniques Denial of Service Fraud phishing

High

Packet Spoofing Sniffers

Sweepers Back Doors Disabling Audits Attack Sophistication

SQL Injection Blended Blended Attacks Attacks Distributed Distributed Attack Tools Attack Tools www www Attacks Attacks Automated Probes/Scans GUI Probes/Scans GUI

Networked Management Diagnosis

Hijacking Sessions Burglaries

Low

Password Guessing

Exploiting Known Vulnerabilities Password Cracking Self- Replicating Code

1980 1980

1985 1985

1990 1990

1995 1995

2000 2000

2005 2005

SOURCE: Carnegie Mellon University

Gestin de Vulnerabilidades
A quienes les debe interesar Procesos de Gestin Seguridad de la Informacin Que es la Gestin de Vulnerabilidades Objetivos principales Preparacin inicial y requerimientos La Gestin de Vulnerabilidades

A quienes les debe interesar

Desarrolladores de software (Cliente-Servidor, Escritorio, Aplicaciones Web, Telfonos inteligentes) Seguridad de Infraestructura Seguridad de Aplicaciones Administradores de Proyectos Gerencias IT Gobierno Corporativo Otros Todos

Para un cyber-criminal, las vulnerabilidades en una red son los objetivos de mayor valor1!
1. An Approach to Vulnerability Management; Umesh Chavan ; Information Systems Audit and Control Association. All rights reserved. www.isaca.org. 2. Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2

Procesos de Gestin Seguridad de la Informacin

Forma parte parte del Gobierno de la Seguridad de la Informacin Gestin de Sistemas de Seguridad de la Informacin Gestin de Usuarios y Recurso Humano Gestin de Incidentes Gestin de Respaldos Gestin de Control de Cambios Gestin de Vulnerabilidades e Implementacin de Parches
1. An Approach to Vulnerability Management; Umesh Chavan ; Information Systems Audit and Control Association. All rights reserved. www.isaca.org. 2. Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2

Que es la Gestin de Vulnerabilidades

La Gestin de Vulnerabilidades, es el proceso que debe ser implementado para hacer que las plataformas de IT sean mas seguras y para mejorar la capacidad de cumplimiento de normas en la organizacin1. La adecuada gestin de la vulnerabilidad es la integracin de los actores, procesos y tecnologas que establecen y mantienen una lnea de base para la proteccin de una organizacin. El proceso de la gestin de la vulnerabilidad incluye el descubrimiento de la vulnerabilidad, anlisis de riesgos, medidas de mitigacin, y un infraestructura que permita una adecuado y continuo monitoreo, seguimiento y mejora.
1. Gartner Research; Improve IT Security With Vulnerability Management; Number: G00127481

Objetivos principales
Identificar y corregir las fallas que afectan la seguridad, desempeo o funcionalidad en el software. Alterar la funcionalidad o actuar frente a una amenaza de seguridad, como al actualizar una firma de antivirus Cambiar las configuraciones del software para hacerlo menos susceptible a una taque, que se ejecute con mayor velocidad o mejore su funcionalidad Utilizar los medios mas efectivos para afrontar los ataques automatizados (como gusanos, negacin de servicios, etc.) Habilitar la forma efectiva y gestin la gestin correcta de seguridad del riesgo Documentar el estado de seguridad para auditoria y cumplimiento con las leyes, regulaciones y polticas de negocio.
1. An Approach to Vulnerability Management; Umesh Chavan ; Information Systems Audit and Control Association. All rights reserved. www.isaca.org. 2. Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2

Preparacin inicial - Requerimientos

Establecimiento previo de Gestin de Polticas de Seguridad Establecer los roles y responsabilidades del personal involucrado en el proceso. Establecer un inventario de activos de la plataforma tecnolgica (Servidores, equipos, versiones de sistemas operativos, aplicaciones cliente - servidor, bases de datos, aplicaciones web, etc.) Establecer los roles de los activos del inventario Desarrollar mtricas de seguridad de la informacin Establecer la lnea base Donde se comienza y el GAP Donde se desea llegar

Pasos
Alineacin de la Poltica Identificacin
Paso 1, El inventario

Evaluacin
Paso 2. La Deteccin de vulnerabilidades Paso 3, Verificacin de la vulnerabilidad contra el inventario Paso 3, Verificacin de la vulnerabilidad contra el inventario Paso 4, Clasificacin y valoracin del riesgo

Remediacin
Paso 5, Remediacin

Monitoreo
Paso 6, Verificacin
1. An Approach to Vulnerability Management; Umesh Chavan ; Information Systems Audit and Control Association. All rights reserved. www.isaca.org. 2. Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2

Alineacin de la Poltica
La creacin de las polticas debe iniciar en la parte mas alta de la gerencia o presidencia de una organizacin, de forma que requiera de la observacin ejecutiva la que asegura una implementacin sistemtica. La creacin de normas y lineamientos de seguridad que respalden los controles adecuados en para la Gestin de Vulnerabilidades, aseguran la implementacin y funcionalidad de la Gestin de Vulnerabilidades.

Identificacin, Paso 1: El inventario

Crear el inventario y categorizar los activos Para encontrar y corregir adecuadamente las vulnerabilidades, es necesario primero identificar los elementos o activos tecnolgicos (servidores, estaciones de trabajo, equipos de comunicaciones, etc.) Es importante crear una base de datos, que relacione el activo a sus caractersticas tcnicas (IP, Sistema Operativo, Aplicaciones, ROL) Identificar en el inventario Es importante identificar en el inventario el Rol, criticidad de negocio, Unidad de negocio, agrupacin geogrfica o lgica.

Identificacin, Paso 1: El inventario

Priorizacin por impacto al negocio Es importante que el activo se lo categorice en base al riesgo e impacto de negocio. Que es ms critico para los objetivos del negocio!

La misma vulnerabilidad no tendr el mismo impacto en un sistema perteneciente al CORE de negocio que en un sistema con una funcin poco importante.

Identificacin, Paso 1: El inventario

Generacin del mapa por exploracin Detectar todos los elementos conectados a la red. Deteccin de los elementos Pblicos (Externos), Privados (Internos). Permite confirmar los elementos de la plataforma tecnolgica al compralo con el inventario Deteccin de elementos no contemplados (Conexiones inalmbricas, estaciones de trabajo, servidores, redes)

Evaluacin, Paso 2: La Deteccin de vulnerabilidades

La deteccin de vulnerabilidades es la tarea fundamental de bsqueda y clasificacin del las vulnerabilidades en cada sistema. Los productos comerciales y de cdigo abierto dedicados a la deteccin de vulnerabilidades no son la solucin, son la herramienta base del proceso Beneficios de los productos:
Las herramientas prueban sistemticamente y analiza a los elementos conectados a una red en bsqueda de errores, fallas y malas configuraciones Un reporte post-deteccin, revela con precisin las vulnerabilidades actuales y expone las formas de correccin de las mismas.

Evaluacin, Paso 2: La Deteccin de vulnerabilidades

La deteccin de vulnerabilidades debe ejecutarse de dos formas: Caja negra.- Sin conocimiento de autenticacin u otra informacin Caja blanca.- Con conocimiento de un usuario con privilegios de sistema e informacin adicional (Caja gris)

Evaluacin, Paso 3: Verificacin de la vulnerabilidad contra el inventario

Es importante revisar y verificar la existencia d una vulnerabilidad contra la base de datos del inventario, lo que permite reducir el esfuerzo que se dedica a controlar una vulnerabilidad que no aplica a la configuracin del la red. Eliminacin de falsos positivos Eliminacin de falsos negativos Se debe usar una segunda herramienta de deteccin de vulnerabilidades

El reporte de vulnerabilidades
Las herramientas de deteccin de vulnerabilidades deben tener la capacidad de generar reporte:
Que mantengan la asociacin del activo a las vulnerabilidades Que presenta la informacin de la vulnerabilidad y de la remediacin o control de la misma Que no reporte exceso de falsos positivos o falsos negativos Que se a de fcil comprensin Que muestre la asociacin del activo con un valor de riesgo de negocio

Evaluacin, Paso 4: Clasificacin y valoracin del riesgo

La remediacin de todos los activos es prcticamente imposible Las vulnerabilidades deben ser categorizadas, segmentadas y priorizadas en base a la criticidad del activo para el negocio Categorizacin

Critico: El abuso puede permitir la propagacin de un gusano sin intervencin humana, o la ejecucin de cdigo sin restriccin. Importante: El abuso puede permitir el compromiso de la confidencialidad, integridad o disponibilidad de los datos de usuario o de la integridad o disponibilidad de los recursos. Moderado: El abuso es serio, pero es mitigado por factores como configuracin, auditoria, la necesidad de accin del usuario o dificultad de ejecucin. Bajo: El abuso es extremadamente difcil o su impacto es mnimo.

www.microsoft.com/technet/community/columns/secmgmt/sm0404.mspx?pf=true

Paso 5: Remediacin
La remediacin es el proceso de control de la vulnerabilidad. La remediacin puede ser directa o indirecta Siempre se debe realizar pruebas antes de colocar un parche en produccin (pre-test), lo que evita la posibilidad de dao en el sistema Directa:
Aplicacin de un parche o programa de correccin (fix) Cambio de configuracin Actualizacin de versin
Implementacin de sistemas HIPS (Host Intrusion Prevencin System) Implementacin de sistemas SIEM (Security Information and Event Management) Sistemas de Parchado Virtual Control con IPS de red o firewalls de ultima generacin

Indirecta (Controles compensatorios)

Remediacin inicial y endurecimiento

1. Remover servicios, funciones, usuarios no requeridos. 2. Mantener solo una funcin por servidor (Controlados de dominio, Base de datos, Servidor Web, FTP, etc.) 3. Cambiar las configuraciones de fabrica (Sistema operativo y aplicaciones) 4. Instalar parches Sistema operativo 5. Instalar aplicaciones adicionales (Solo requeridas) 6. Instalar parches de aplicaciones adicionales 7. Aplicar plantillas de endurecimiento (Por producto) 8. Instalar y mantener un antivirus 9. Documentar estndar de configuracin 10. Implementar respaldos y bitcoras 11. Generar lista de revisin

Remediaciones posteriores
Revisar cumplimiento contra documento de estndar de configuracin Revisar cumplimiento contra lista de revisin Aplicar parches adicionales (Sistema Operativo y aplicaciones) realizar pre-test antes de instalaciones en produccin Aplicar remediaciones adicionales Documentar cambios en estndar de configuracin y lista de revisin

Monitoreo, Paso 6:Verificacin

La verificacin de los correctivos aplicados es importante, se debe demostrar que la plataforma ya no tiene la vulnerabilidad. Permite demostrar la eliminacin o permanencia de una vulnerabilidad Utilizacin de dos productos diferente
Descarta falsos positivos Muestra falsos negativos

Establecer el proceso continuo

Cronograma establecido por activos (3 meses) Revisar y ajustar el proceso continuamente Educar y concientizar al personal involucrado respecto al proceso Establecer roles de los involucrados Revisar la documentacin generada (demostrar cumplimiento) El proceso debe ser verificado y respaldado por la alta gerencia Suscripcin A BOLETINES DE ALERTA Recordar que el proceso si no es continuo, cclico y demostrable no permitir un nivel optimo en la seguridad de la plataforma tecnolgica

Herramientas de Gestin de Vulnerabilidades

Que buscar en la herramienta? Sistema de tickets y workflow Sistema de Reportera en el tiempo (CUBOS) Permita la clasificacin y el inventario de activos Permita la clasificacin correcta y valoracin del riesgo en los activos Permita el establecimiento de pruebas por cronograma Permita establecer los roles de los activos La creacin de los roles de personal involucrado en el proceso.

Importante
La Gestin de Vulnerabilidades no se puede llevar a cabo con un solo producto Los productos ofertados no son la panacea, son herramientas que permiten llevar a cabo el proceso La integracin del Proceso de Gestin de Vulnerabilidades y la educacin apropiada sobre el tema es muchas veces mas importante que cualquier producto La organizacin, visin, estrategia y procesos de integracin permiten la ejecucin apropiada de la Gestin de Vulnerabilidades

El Arte de la Guerra, Sun Tzu

El Arte de la Guerra nos ensea que no debemos depender de la posibilidad de que el enemigo no venga, sino que debemos estar siempre listos a recibirlo.
No debemos depender de la posibilidad de que el enemigo no nos ataque, sino del hecho de que logramos que nuestra posicin sea inatacable.

http://www.amazon.com/Arte-guerra-El-Spanish-Sunt-Zu/dp/8497775317

Preguntas?

FIN
Lista de referencias en los comentarios de la lamina