Gestión de la Calidad de la Seguridad de un Sistema Informático

Download Report

Transcript Gestión de la Calidad de la Seguridad de un Sistema Informático 

Escuela Técnica Superior de Informática
Universidad Nacional de Educación a Distancia
Gestión de la Calidad de la Seguridad
de un Sistema Informático
Modelo de Madurez de la Seguridad de un Sistema Informático
Autor: Roberto José Fernández García
Director: Jesús María Minguet Melián
30/11/07
Índice
I
II
III
IV
V
VI
VII
VIII
IX
2
Introducción
Concienciación en la Seguridad de la Información
Estado del Arte
Normalización de la Seguridad TIC
Legislación y Normativa Española
Medidas, Métricas y Auditorías
Modelo de Madurez de la Seguridad
de un Sistema Informático
Conclusiones
Líneas Futuras
Glosario de Términos y Lista de Acrónimos
Apéndices
Bibliografía
I.-
Introducción (I)
Estado del Arte en materia de seguridad. Auditoría
Antecedentes en Seguridad de la Información:
Protegernos contra ataques internos/externos
Proteger nuestro Know-how, Knowledge
Actualmente, son muchas las auditorías informáticas a las
empresas están sometidas regularmente, tanto internas como
externas, en línea con:
Evaluación y Administración de Riesgos Tecnológicos
Seguridad Informática
Mejora de Procesos
Análisis de Fraude Informático…
3
Noviembre 2007
I.-
Introducción (II)
Estado del Arte en materia de seguridad. Auditoría (II)
Las conclusiones, de estas auditorías, se resumen en una enumeración
de aspectos positivos y recomendaciones de mejora, sin llegar a evaluar
nuestro sistema
informático.
Por ejemplo:
Acotando el sistema
dentro de los niveles
de madurez sugeridos
por el CMMI
4
Noviembre 2007
I.-
Introducción (III)
DO
EA
N
I
AL
Tiempo
SE
GU
R
DO
RA
O
J
ME
Riesgos TI
Calidad de Servicio
Creación de un modelo, “Modelo de Madurez
de la Seguridad de un Sistema Informático”,
en línea con los objetivos generales de la
compañía:
Soporte al Negocio
•Objetivos del Proyecto
Tiempo
5
Noviembre 2007
Tiempo de Entrega
Coste del Servicio
Tiempo
ON
TR
OL
AD
A
Tiempo
DEPOSITARIO DEL
VALOR
MÁ
SB
AR
AT
O
IDA
DC
MÁ
SR
AP
IDO
Tiempo
I.-
Introducción (IV)
¿Qué áreas queremos cubrir dentro de las TI?
Asignación de responsabilidades
para el desarrollo de actividades
específicas destinadas a grupos
o individuos
Personal que soporta eficaz y
eficientemente la administración
de los servicios TI
Estructuras
&
Papeles
Personas
Métricas
Controles
Asignación de controles sobre los
procesos TI para asegurar que se
realizan eficaz y eficientemente
en línea con los requerimientos
de los clientes
6
Noviembre 2007
Asignación de medidas para
personas, procesos, tecnología
y controles para asegurar el
cumplimiento de aquello para
lo que están destinados
Procesos
Tecnología
Tecnología que se
está utilizando en la
entrega de servicios TI
Series interrelacionadas de
actividades, que
combinadas producen
productos o servicios para
clientes internos o externos
I.-
Introducción (V)
¿Qué ESTÁNDARES nos ayudarán a cubrir las áreas TI?
¿Dónde encaja nuestro Modelo SMMIS (objeto del proyecto)?
Asignación de responsabilidades
para el desarrollo de actividades
específicas destinadas a grupos
o individuos
ITIL V2
ISO27002 - Parcialmete
Personal que soporta eficaz y
Estructuras
eficientemente la administración
&
de los servicios TI
Papeles
SMMIS (Proyecto)
Personas
Métricas
?
Controles
Asignación de controles sobre los
procesos TI para asegurar que se
realizan eficaz y eficientemente
en línea con los requerimientos
de los clientes
COBIT 4.1
SMMIS (Proyecto)
7
Noviembre 2007
Asignación de medidas para
personas, procesos, tecnología
y controles para asegurar el
cumplimiento de aquello para
lo que están destinados
COBIT 4.1
SMMIS (Proyecto)
Procesos
Tecnología
Tecnología que se
está utilizando en la
entrega de servicios TI
ITIL V2 - Parcialmente
Series interrelacionadas de
actividades, que
combinadas producen
productos o servicios para
clientes internos o externos
ITIL V2
COBIT 4.1 - Parcialmente
ISO 27002 - Parcialmente
I.-
Introducción (VI)
Recomendaciones
 Usar CObIT 4.1 y SMMIS (Proyecto) para determinar el estado actual de
salud de la Seguridad
 Identificar debilidades en los Procesos y Controles. Usar ITIL V2 para
mejorar los Procesos y Controles TI, ayudándonos ISO27002 y SMMIS
(Proyecto) para mejorar los Procesos y Controles de Seguridad
 Usar ITIL V2 para determinar la Tecnología
 Usar Cobit 4.1 y SMMIS (Proyecto) para definir las Métricas
 Preguntar a ITIL V2 sobre posibles Estructuras
Respecto a los 4 estándares (CObIT 4.1,
ITIL V2, SMMIS & ISO27002):
No se producen contradicciones o
solapamientos reales, No se identifican
requisitos de personal
No son fuertes desde el punto de vista
organizativo (estructuras y roles)
No son fuertes del lado de la tecnología
8
Noviembre 2007
ITIL V2
ISO27002 - Parcialmete
SMMIS (Proyecto)
?
Estructuras
&
Papeles
Personas
Métricas
Controles
COBIT 4.1
SMMIS (Proyecto)
COBIT 4.1
SMMIS (Proyecto)
Procesos
Tecnología
ITIL V2 - Parcialmente
ITIL V2
COBIT 4.1 - Parcialmente
ISO 27002 - Parcialmente
II.-
Concienciación en
la Seguridad de la Información
Seguridad de la Información. 3 Pilares:
la Tecnología, los Procesos y las Personas
Implementación de un programa “Concienciación de los Usuarios”
Componentes:
Educación: Producir especialistas
en Seguridad TI
Entrenamiento: Producir
habilidades y competencias en
Seguridad
Concienciación: El proceso de
aprendizaje que establece las etapas
para el entrenamiento de la actitudes
individuales y organizacionales
9
Noviembre 2007
III.-
10
Estado del Arte (I)
*
CObIT 4.1
*
ITIL V2
*
Serie ISO 27000
*
CMMI. SSE-CMM. ISO/IEC 21827:2007
Noviembre 2007
III.-
Estado del Arte (II)
CObIT 4.1 Código de Buenas Prácticas para el manejo de la información.
Su misión: Investigar, desarrollar, publicar y promover un conjunto
internacional, autorizado y actual de objetivos de control en Tecnología de la
Información, generalmente aceptados, para el uso cotidiano de la dirección de la
empresa (Gerentes), usuarios y auditores.
11
Noviembre 2007
III.-
Estado del Arte (III)
ITIL
Código
Proceso
Proceso de la Gestión de Servicios
SD.1.0
Gestión del nivel de servicio (SLM)
SD.2.0
Gestión financiera de los servicios TI
SD.3.0
Gestión de la capacidad
SD.4.0
Gestión de la continuidad del servicio
(SCM) TI
SD.5.0
Gestión de la disponibilidad
SS.1.0
Service desk
SS.2.0
Gestión de incidentes
SS.3.0
Gestión de problemas
SS.4.0
Gestión de las configuraciones
SS.5.0
Gestión del cambio
SS.6.0
Gestión de entrega (liberación)
12
Noviembre 2007
ITIL V2 marco de procesos de Gestión de
Servicios de TI más aceptado, nace como un
código de buenas prácticas dirigidas a
alcanzar las metas TI mediante:
Un enfoque sistemático del servicio TI
centrado en los procesos y procedimientos
El establecimiento de estrategias para la
gestión operativa de la infraestructura TI
III.-
Estado del Arte (IV)
A semejanza de otras normas ISO, la 27000 es realmente una serie
de estándares.
1998
Nuevo
estándar
nacional
certificable
■ Certificable
■ No certificable
Centro de
Seguridad de
Informática
Comercial del
Reino Unido
(CCSC/DTI)
■Código de
prácticas
para
usuarios
1989
13
■
BS 7799-2
Revisión por:
• NCC (Centro
Nacional de
Computación)
• Consorcio
usuarios
■PD0003
Estándar nacional
británico
■
BS 7799
Código de
prácticas
para la
gestión de
la seguridad
de la
información
1993
Noviembre 2007
1995
1999
2002
Revisión y
acercamiento
a:
• ISO 9001
• ISO 14001
• OCDE
Revisión
conjunta de las
partes 1 y 2
■
1999
■
BS 7799-2
:2002
Revisión
conjunta de las
partes 1 y 2
BS 7799-1
:1999
Estándar
Internacional
■
BS 7799-2
:1999
■
2005
ISO/IEC 27001
:2005
Estándar Internacional
(Fast Track)
■
ISO/IEC 17799
:2000
2000
■
Revisión periódica
(5 años)
ISO/IEC 27002
(ant. ISO/IEC
17799 :2005)
2005
III.-
Estado del Arte (IV)
CMMI. SSE-CMM. ISO/IEC 21827:2007.
• Evaluar sus prácticas de ingeniería de seguridad y definir mejoras.
• Base para las organizaciones que evalúan ingeniería de seguridad, con
objeto de establecer confianzas organizativas basadas en la capacidad.
• Mecanismo estándar para que los clientes evalúen en un proveedor su
capacidad de ingeniería de la seguridad.
14
Noviembre 2007
IV.- Normalización en la Seguridad
TIC (I)
¿Qué es una Norma?
•Especificación Técnica
Voluntaria
Accesible al público
Elaborada por consenso de las partes interesadas
En el seno de un organismo reconocido
Basado en la experiencia y desarrollo tecnológico
Beneficios de la Normalización
•Para los fabricantes. Racionaliza productos, Disminuye el volumen de existencias, Mejora la
gestión de diseño, Agiliza pedidos, Facilita la comercialización y Simplifica las compras
•Para los consumidores. Establece niveles de calidad y seguridad, Informa del producto y
Facilita de comparación
•Para la Administración. Simplifica los textos legales, Facilita políticas, Ayuda al desarrollo
económico y Agiliza el comercio
15
Noviembre 2007
IV.-
Normalización en la Seguridad TIC (II)
Origen de las Normas
Las normas se elaboran en el seno de los comités técnicos compuestos,
de forma equilibrada, por todas las partes interesadas en ese campo.
La Normalización en Seguridad TI
En lo referente a TI, el comité conjunto Nº1 denominado JTC1 constituido
entre los dos organismos internacionales de
normalización:ISO & IEC.
En él participan 68 países, entre ellos España,
a través de AENOR.
JTC1 está estructurado en una serie de
Subcomités dedicados a un aspecto específico
de las TI, en concreto el número 27, es el
responsable de todos los aspectos de seguridad,
denominándose JTC1/SC27 "Técnicas de Seguridad". Su homólogo a
nivel español es el CTN71/SC27, que lleva el mismo nombre.
16
Noviembre 2007
V.-
Legislación y Normativa Española (I)
Legislación de Seguridad
•Ley Orgánica 15/1999, del 13 de Diciembre de Protección de Datos
de Carácter Personal –LOPD
Nivel básico, Medio y Alto
Real Decreto 994/1999, de 11 de Julio, Reglamento de Medidas
de Seguridad, quedando pendiente la aprobación el reglamento de
Medidas de seguridad derivado de la LOPD
•Ley 34/2002 del 11 de Julio, de Servicios de la Sociedad de la
Información y de Comercio Electrónico - LSSI-CE
Establece los criterios de servicios en Internet, cuando sean parte de
actividad económica:
• Mostrar en la web: Nombre, NIF, dirección, correo electrónico…
•Regulación del comercio electrónico: Prohibición de los spam…
17
Noviembre 2007
V.-
Legislación y Normativa Española (II)
Normativa de Seguridad
•UNE-75502:2004: Tecnología de la Información.
Especificaciones para los sistemas de Gestión de Seguridad de
la Información
•ISO 27002:2007, Sistema de Gestión de Seguridad de
Información
18
Noviembre 2007
V.-
Legislación y Normativa Española (III)
Criterios de Certificación de Productos de Seguridad
•Antecedentes: ORANGE BOOK-TCSEC & ITSEC (whitebook)
•Actualidad: COMMONCRITERIA v3.1 EDICION 2





1996. V1.0 Common Criteria(Criterios comunes USA-EUR)
Iniciativa conjunta para armonizar TCSEC e ITSEC
Reconocimiento mutuo de la certificación
Mayor interés del sector privado en productos certificados
Actualmente CC/CEM v3.1 Ed. 2
Niveles de Evaluación (EAL1 …EAL4…EAL7)*
19
Noviembre 2007
VI.-
Medidas, Métricas y Auditorías (I)
•Medidas
 Decidir de antemano que vamos a registrar
 Establecer un plan de destrucción progresiva de logs
 En cada destrucción hay que guardar parte de la información
bien en bruto o bien consolidada
 Hay que automatizar todo el proceso de captura y gestión de logs
para prevenir errores humanos, olvidos y ataques intencionados
January 05
100
90
80
70
60
50
40
30
20
10
0
20
Noviembre 2007
Total Error
Total Login/Logout
VI.-
Medidas, Métricas y Auditorías (II)
Gráfica 1
•Métricas
Medidas de
Seguridad
Las métricas materializan el rendimiento de los sistemas.
Pueden dividirse en dos grandes grupos:
•de efectividad:¿satisfacen los sistemas nuestras
necesidades?
•de eficiencia: muestra la proporción entre
•medios y resultados
Métricas de Seguridad
(significativas, reproducibles,
objetivas y progresivas)
Tiempo
•Métricas para la Seguridad de la Información
•De gestión: en qué medida se cubren todos los componentes del sistema y cuán
a menudo se revisan
•Técnicas: en los componentes técnicos hay múltiples aspectos de rendimiento
que son relativamente fáciles de medir
•Del Entorno Físico: un sistema existe en un entorno real
•Del Personal: las personas especifican, construyen,…y usan los sistemas
21
Noviembre 2007
VI.-
Medidas, Métricas y Auditorías (III)
Ej. Métricas Técnicas de Seguridad Tradicionales
Métrica
Supuesta Medición
Peligros
Número de virus o códigos
malignos detectados (T)
Eficacia de los controles antivirus
automáticos
¿Por qué pasan tantos virus en primer
lugar?¿Cuántos pasaron y nunca se
detectaron?
Número de incidentes e
investigaciones de
seguridad (T)
Nivel de actividad de la
monitorización de eventos de
seguridad
¿Qué umbral desencadena un incidente o una
investigación?¿Se desencadenan incidentes
por defectos en el procedimientos
organizativos?
Coste de las brechas de
seguridad (T)
Pérdidas económicas reales debidas
a fallos de seguridad
¿Qué riesgos residuales eligió asumir la
empresa?¿Es una medida de la respuesta ante
crisis o desastres, pero no necesariamente
función de las salvaguardas sensatas
implantadas?
Recursos asignados a las
funciones de seguridad
Coste económico real de utilizar un
programa de seguridad
¿Son ineficientes las herramientas, tareas
asignadas o procedimientos, llevando al
personal a perder tiempo?
Nivel de cumplimiento de los
objetivos del programa de
seguridad
¿Cómo se relaciona el cumplimiento con la
eficacia? ¿Cuál es el orden de cumplimiento?
Una vez logrado el cumplimiento, ¿se
“acaba” el programa de seguridad?
(T/P)
Cumplimiento de las
reglas de seguridad (T/E)
22
Noviembre 2007
VI.-
Medidas, Métricas y Auditorías (IV)
Indicadores
Abstrayéndose de los detalles, son capaces de transmitir el estado
general de salud del objeto.
Los indicadores suelen agruparse para su presentación en cuadros,
denominados "de mando" que típicamente resumen la salud de la
organización desde cuatro puntos de vista:
23

Salud financiera: gasto y capacidad

Percepción de los clientes y proveedores

Capacidad para una reacción rápida y efectiva

Capital humano: estabilidad, compromiso y capacidad
Noviembre 2007
VI.-
Medidas, Métricas y Auditorías (V)
Auditoría de Seguridad de las TI
desde la Perspectiva de la Normalización
Definición de Auditoría (ISACA).
Factores Críticos a considerar:
Distancia entre las políticas y directrices de alto
Las limitaciones de recursos técnicos y humanos
Legislación relacionada con las TI varía dependiendo del país
Planificación de la auditoría de la seguridad, teniendo en cuenta:
Objetivo: emitir una opinión o dictamen
Alcance: sistemas, infraestructura, información…
Etapas normales de cualquier auditoría de TI:
Análisis y evaluación de riesgos
Identificación de políticas
Procesos y procedimientos de control
24
Noviembre 2007
VII.- Modelo de Madurez de la Seguridad
de un Sistema Informático (I)
Modelos de Madurez de la Seguridad Publicados
Por alguna razón, cada uno ellos, tienen cinco niveles de madurez:
Modelo
Descripción
Comentarios
Modelo de Madurez
de Seguridad TI de
NIST CSEAT
Cinco niveles de Madurez progresiva:
1. Política
2. Procedimiento
3. Implantación
4. Prueba
5. Integración
Centrado en niveles de
documentación
Modelo de
Evaluación de la
Seguridad de la
Información de
Citigroup (CITIISEM)
Cinco niveles de Madurez progresiva:
1. Autocomplacencia
2. Reconocimiento
3. Integración
4. Prácticas Comunes
5. Mejora Continua
Centrado en concienciación y
adaptación por parte de la
organización
Modelo de Madurez
COBIT®
Cinco niveles de Madurez progresiva:
1. Inicial/ad hoc
2. Repetible pero intuitivo
3. Proceso definido
4. Gestionado y medible
5. Optimizado
Centrado en procedimientos
específicos de auditoría
25
Noviembre 2007
VII.- Modelo de Madurez de la Seguridad
de un Sistema Informático (II)
Modelos de Madurez de la Seguridad Publicados (II)
Modelo SSE-CMM
Cinco niveles de Madurez progresiva:
1. Realizado informalmente
2. Planificado y perseguido
3. Bien definido
4. Controlado cuantitativamente
5. Continuamente mejorado
Centrado en Ingeniería de
Seguridad y diseño de
software
Evaluación de la
Capacidad de la
Seguridad de
CERT/CSO
Cinco niveles de Madurez progresiva:
1. Existente
2. Repetible
3. Persona designada
4. Documentado
5. Revisado y actualizado
Centrado en la medición
de la calidad relativa a
niveles de
documentación
Estos modelos previos al SMMIS, sufren tres deficiencias clave:
•Confunden calidad con existencia
•Necesitan ser adaptados específicamente a la organización
•No dirigen necesariamente el programa hacia un objetivo organizacional
concreto, por lo que no funcionan bien para un programa de seguridad
26
Noviembre 2007
VII.- Modelo de Madurez de la Seguridad
de un Sistema Informático (III)
Controles Modelo de Madurez de la Seguridad de un Sist. Informático
5.- Política de Seguridad TI,
IT Security Policy
6.- Organización de la Seguridad de la Información,
Obj.Control 1, Controles 2
Obj.Control 2, Controles 11
Organizing Information Security
7.- Clasificación y Control de Activos,
Obj.Control 2, Controles 5
Asset Classification and Control
8.- Seguridad Relativa al Personal,
Obj.Control 3, Controles 10
Human Resources Security
9.- Seguridad Física y del Entorno,
Obj.Control 2, Controles 13
Physical and Environmental Security
10.- Control de Accesos,
Access Control
Obj.Control 10, Controles 32
11.- Desarrollo y Mantenimiento de Sistemas,
Obj.Control 7, Controles 27
Information Systems Development and Maintenance
12.- Gestión de comunicaciones y operaciones,
Obj.Control 6, Controles 18
Communications and Operations Management
13.- Gestión de Incidentes de la Seguridad de la Inforamción,
Obj.Control 2, Controles 5
Information Security Incident Management
27
14.- Gestión de Continuidad de Negocio,
Obj.Control 1, Controles 5
Business Continuity Management
15.- Conformidad,
Compliance
Obj.Control 3, Controles 10
Noviembre 2007
VII.- Modelo de Madurez de la Seguridad
de un Sistema Informático (IV)
Métricas Modelo de Madurez de la Seguridad de un Sist. Informático
Nivel de Capacidad 4 Procedimientos y Controles
Probados
Nivel de Capacidad 5 Procedimientos y Controles
Integrados
Nivel de Capacidad 3 Procedimientos y Controles
Implementados
Nivel de Capacidad 2 Procedimientos Desarrollados
Nivel de Capacidad 1 - Políticas
Desarrolladas
Propuesta para el Modelo de Madurez de la Seguridad de un
Sistema Informático
43 ptos. 58 ptos. 12 ptos.
3 ptos.
Puntos de Control (138 puntos)
22 ptos.
Nivel
Nivel
Nivel
Nivel
Nivel
Nivel
28
0
1
2
3
4
5
-
Realizado informalmente
Planificado y perseguido
Bien definido
Controlado cuantitativamente
Continuamente mejorado
Noviembre 2007
0
1
1
1
1
1
2
2
2
2
3
3
3
4
4
5
VII.- Modelo de Madurez de la Seguridad
de un Sistema Informático (V)
5.
5.1
5.1.2 Review and evaluation
6.1
Degree of task
fulfillment in percentage
Capability Level 5 Continuously Improving
70% Proceso: Objetivos anuales RRHH
65% Reuniones cuatrimestrales de seguridad con
el Grupo
6.1.3 Allocation of information security responsibilities
6.1.4 Authorisation process for information processing facilities
6.1.5 Confidentiality Agreements
6.1.6 Contact with authorities
65%
80%
70%
60%
Intranet: Descripción del Equipo
Procesos en los Sist. De Información
Como parte de la Política de Seguridad
Taking in account in the Level 3: Procedures
and Controls Implemented
60% Taking in account in the Level 3: Procedures
and Controls Implemented
60% Auditorías Internas, externas y corporativas
se llevan a cabo periódicamente
External Parties
6.2.1 Identification of risks related to external parties
6.2.2 Addressing security when dealing with customers
6.2.3 Addressing security in third party agreements
7.1
Capability Level 4 Quantitatively
Controlled
6.1.1 Management commitment to information security
6.1.2 Information security co-ordination
6.1.8 Independent review of information security
7.
70% Refxx: Normativa de Utilización de los SI
50% Auditorías Internas y Externas periódicas
Organizing Information Security
Internal Organization
6.1.7 Contact with special interest groups
6.2
Comments
IT Security Policy
Information security policy
5.1.1 Information security policy document
6.
Capability Level 3 - Well
Defined
IT Security Areas
Capability Level 2 Planned and Tracked
Division/BU:
Capability Level 1 Performed Informally
Implementación del Modelo:
60%
50%
50%
Asset Classification and Control
Responsability for assets
7.1.1 Inventory of assets
7.1.2 Ownership of assets
7.1.3 Acceptable use of assest
65% Como parte de la Política de Seguridad
65% Como parte de la Política de Seguridad
65% Como parte de la Política de Seguridad
Ejemplo: .\smmis_presentación.xls
29
Noviembre 2007
VII.- Modelo de Madurez de la Seguridad
de un Sistema Informático (VI)
Aportaciones del Modelo de Madurez de la Seguridad de un
Sistema Informático :

Separar 138 controles en 5 niveles dependiendo de la propia
definición de la ISO 27002, antigua ISO 27002.

Encajar las descripciones del Modelo ISO 21827:2002, antiguo
SSE-CMM, con las definiciones de controles de la ISO 27002.

Proponer perfiles de empresa dependiendo de factores como:
nº de empleados, ámbito de la empresa, etc.

La propia evaluación del modelo nos indicará:
Nivel alcanzado por la empresa
Puntos fuertes –sobrepasan el nivel de acreditación entregado –
Puntos débiles – aquellos por los que no se entrega un nivel de
acreditación mayor -.
30
Noviembre 2007
VIII.- Conclusiones
•Ventajas del Modelo
Evaluar sistemas de seguridad, respecto a estándares
reconocidos, y obtener el nivel de madurez del evaluado
“Modelo de Madurez de la Seguridad de un Sistema
Informático”. Explícito, sencillo y fácil de interpretar.
Versatilidad en su aplicación. Objetivo de madurez respecto
al perfil de la empresa o con ánimo de “mejora continua”.
•Inconvenientes del Modelo
Necesidad de personas independientes especializadas en el
área de seguridad TI
31
Noviembre 2007
IX.-
Líneas Futuras
1.-
Identificar perfiles de compañías para los distintos niveles
2.-
Mayor aproximación al Modelo SSE-CMM
Ej. 15.1.6 Regulation of cryptographic controls
3.-
Integración de nuestro Método con los nuevos estándares
ITIL & CobIT
4.-
Modelo de Gestión 27000: Modelo de Gestión de la
Seguridad de la Información
32
Noviembre 2007
Gracias por su atención…
¿Preguntas?
33
Noviembre 2007