Cátedra UNESCO de Gestión de Información Facultad de Economía
Universidad de la Habana
Maestría
Gestión de Información en las Organizaciones
“Protocolo de Investigación”
Autor
Tutor:
Titulo: Guía Metodológica para el uso de los recursos de información en la Gestión de Seguridad Informática del Nivel Operativo de ETECSA.
Autor:
Introducción.
ETECSA, es la Empresa de Telecomunicaciones de Cuba, Sociedad Anónima, considerada una de las empresas más fuertes en el mercado cubano. Se fundó como empresa mixta en agosto de 1994, como parte del amplio proyecto de reanimación económica llevado a cabo por el estado. Es la entidad encargada de la prestación de los servicios públicos de telecomunicaciones mediante la operación, instalación, explotación, comercialización y mantenimiento de las redes públicas de telecomunicaciones en todo el territorio nacional y para lo cual se encuentra organizada en Direcciones, Unidades de Negocios y Filiales Territoriales con un enfoque basado en los procesos que soportan su gestión. Se Anexa Diagrama de la Estructura Organizativa1.
Para la organización de la Seguridad Informática, ETECSA cuenta en su estructura organizativa con:
Gerencia de Seguridad y Control: Realiza tareas de control del cumplimiento de Políticas, Estrategias y Planes de Seguridad Informática.
Gerencia de Auditoria: Realiza auditorias a todas las áreas de la empresa para agregar valor y mejorar sus operaciones, contribuyendo a cumplir sus objetivos y metas, aportando un enfoque sistémico y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y dirección. Evalúa desde el punto de vista del control interno, previo a su implementación la seguridad de los procedimientos administrativos, métodos de trabajo, manuales contables y aplicaciones informáticas. Gerencia de Sistemas Informáticos: Elabora la política de seguridad informática,
considerando este aspecto en todo su ámbito de acción.
Unidad de Negocios de Tecnologías de la Información y el Software, Gerencia de Seguridad Informática: Garantiza la confidencialidad, integridad y disponibilidad de la información que se procesa e intercambia por medio de las tecnologías de la información, a través del desarrollo, implementación y comercialización de productos de seguridad informática.
Grupos de Sistemas Informáticos en las Unidades de Negocios: Garantiza y exige la aplicación de los procedimientos de seguridad implementados en el software de base, a fin de detectar riesgos que afecten los archivos informáticos. Administra la Red LAN de la UN.
Filiales Territoriales de TISW: Garantiza el cumplimiento de las políticas sobre seguridad informática emitidas por la empresa. Garantiza la confiabilidad de la información impidiendo su intervención.
Problema objeto de Estudio: ¿Como lograr una cultura de seguridad y una organización adecuada de los recursos de información para la Gestión de Seguridad Informática del Nivel Operativo de ETECSA?
Necesidad de la Investigación:
Constituye una amenaza al buen funcionamiento de los sistemas informáticos el insuficiente conocimiento que sobre seguridad informática poseen los usuarios que utilizan los medios informáticos; de ahí la necesidad de disponer de las herramientas de gestión que soporten eficazmente el funcionamiento de las políticas y procedimientos establecidas en esta materia en ETECSA y los órganos rectores de la Seguridad a nivel de país.
Propósito de la investigación:
El propósito de la investigación es generar una Guía Metodológica y una Base de Conocimientos que contribuya a un mayor uso los recursos de información existentes en la Gestión de Seguridad Informática; así como diseñar un conjunto de acciones para elevar la cultura de seguridad en el Nivel Operativo de ETECSA.
Beneficios esperados:
Los resultados de la investigación permitirán fomentar una cultura de seguridad entre todos los usuarios de las nuevas tecnologías de la información y las comunicaciones de ETECSA que tribute a la disminución de los incidentes de seguridad lo que se traduce en lograr mejoras en la gestión de la seguridad y por consiguiente la continuidad del negocio Disponer de una guía metodológica que contribuya al uso de los recursos de información y de una base de casos de apoyo a la toma de decisiones respecto a la seguridad.
Marco Conceptual:
El marco conceptual de la investigación está sustentado en varios temas pero centrado en lo fundamental en los conceptos principales de seguridad informática, información, recursos de información, incidentes de seguridad y gestión de información.
Además fueron revisados los documentos rectores de la Seguridad Informática en ETECSA, donde están definidos los deberes de cada unidad organizativa que interviene en el proceso de seguridad de los activos informáticos en correspondencia con el mapa de responsabilidades de las unidades organizativas descrito por la Dirección de Desarrollo Organizacional.
Conceptos definidos:
Al momento de hablar de seguridad informática, es necesario tener presentes y muy claro algunos conceptos.
Partimos del propio concepto de Seguridad Informática como el conjunto de medidas administrativas, organizativas, físicas, técnicas, legales y educativas dirigidas a prevenir, detectar y responder a acciones que pongan en riesgo la confidencialidad, integridad y disponibilidad de la información que se procese, intercambie, reproduzca y conserve a través de las tecnologías de información.3
Los recursos de información son los que están estrechamente relacionados con la informática, medios electrónicos, redes de comunicación, software de todo tipo, sistemas administrativos, hardware de todo tipo y datos4.
El concepto utilizado en la investigación sobre información es el que la define como el elemento fundamental en el desarrollo de las organizaciones, difundida a través de los nuevos ambientes y soportada en las nuevas tecnologías de información y comunicaciones.
Debe responder a ciertas características para que el análisis y las decisiones que se tomen, correspondan efectivamente a una situación real previamente identificada. Estas son:
Completa: Debe contener todos los datos y variables previamente establecidas para su análisis y procesamiento.
Confiable: Debe provenir de una fuente veraz y creíble.
Oportuna: La información debe generarse y notificarse a la par con los acontecimientos de tal manera que permita la toma de decisiones y la actuación inmediata.
Si consideramos a la información como un recurso, entonces es necesario que se gestione como tal y más aún por su valor estratégico ya que significa conocimiento y control; permite optimizar y aprovechar al máximo otros recursos además de su gran valor para la toma de decisiones a cualquier nivel.
Gestión de información: Es todo lo relacionado con la obtención de la información adecuada, en la forma correcta, para la persona indicada, al costo adecuado, en el tiempo oportuno, en el lugar apropiado, para tomar la acción correcta.5
Incidentes de Seguridad es definido como cualquier evento que se produzca, de forma accidental o intencional, que afecte o ponga en peligro las tecnologías de información o los procesos que con ellas se realizan6.
Sistema de Gestión de Seguridad de la Información (SGSI), es la abreviatura comúnmente utilizada para referirse a un ISMS; siglas equivalentes en el idioma inglés en relación a Information Security Management System y consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como los sistemas implicados en su tratamiento dentro de una organización7
Conocimientos existentes sobre el problema objeto de estudio:
En la última década la posición alcanzada por el sector de la información ha sido un factor clave para impulsar el desarrollo económico y social; como consecuencia de su acción, la forma de vida en la sociedad moderna ha cambiado de forma radical. Su crecimiento, más rápido que el de otro cualquiera de la economía, ha propiciado un mayor uso de la información, tanto como recurso, que contribuye a la competitividad de las organizaciones en su lucha por la eficiencia y la calidad de los bienes y servicios que generan, así como desde la perspectiva de su empleo por los individuos, quienes la necesitan para su educación y desarrollo en su carácter de seres sociales.
Las actuales sociedades avanzadas son denominadas frecuentemente sociedades de la información, pues el volumen de datos que es procesado, almacenado y transmitido es inconmensurablemente mayor que en cualquier época pretérita. Además, no sólo el volumen si no la importancia de esta información, para el desarrollo económico y social, no tiene paralelo con la que tuvo en cualquier otra época que consideremos. De hecho, en la actualidad, las empresas consideran que la información es un bien más de su activo y, en muchos casos, prevalece sobre los restantes.
Pero gran parte de estos datos han sido tratados, durante su proceso, o almacenamiento o transmisión, mediante las llamadas tecnologías de la información, entre las que ocupa una posición focal la informática.
Consiguientemente, la seguridad de las tecnologías de la información, y por ende de la informática, se convierte en un tema de crucial importancia para el continuo y espectacular progreso de nuestra sociedad.
Algunos especialistas prefieren definir la información desde el punto de vista de su existencia como fenómeno "en sí", pero que, a la vez, es inseparable de la conciencia humana información "para sí"; otros desde su perspectiva cognitiva, al parecer está en la mente de las personas en forma de configuraciones de las cosas; y, por otro lado, existen quienes ven la información como proceso social, al emplearse de modo consciente y planificado para informar o informarse, a partir de diferentes fuentes de información las cuales, a su vez, utilizan datos, y la experiencia obtenida mediante la observación directa del entorno.
Dicho enfoque concuerda con la primera y más simple de las acepciones registradas en el Diccionario de la Real Academia de la Lengua Española que plantea que es la "acción y efecto de informar o informarse".8
Si consideramos a la información como un recurso, entonces es necesario que se gestione como tal y más aún por su valor estratégico ya que significa conocimiento y control; permite optimizar y aprovechar al máximo otros recursos además de su gran valor para la toma de decisiones a cualquier nivel.
De esta manera Orozco10 destaca la importancia de la Gestión de la Información planteando que es la manera de lograr que cada cual en la organización disponga de la información necesaria, en el momento preciso, en el soporte apropiado, al menor costo posible.
A tales efectos Ponjuán11 subraya que la gestión de información constituye el proceso mediante el cual se obtienen, despliegan o utilizan recursos básicos (económicos, físicos, humanos, materiales) para manejar información (denominada también recurso de recursos) dentro y para la sociedad a la que sirve.
Cheng y Kanabar12 desarrollan un concepto que sitúa en la cabeza de la gestión de recursos de información a los sistemas automatizados de información con 3 componentes: software, hardware y el público. Estos 3 componentes conforman los recursos computarizados y humanos, que unidos a los elementos básicos de datos, la información y el conocimiento, son considerados los recursos de información.
Por otra parte se reconoce el papel que juega el recurso humano en el proceso de seguridad en las organizaciones, un estudio realizado por McAfee señala que el recurso humano no capacitado o que desconoce las políticas de seguridad es el principal riesgo para sus sistemas tecnológicos.13
Para desarrollar un sistema que permita la gestión de los recursos de información, lo primero que se requiere es conocer la organización: su estructura, funciones y personas que la integran. Es necesario también conocer cómo se utiliza la información, por quiénes y para qué y cómo fluye.
La doctora Nancy Fernández Rodríguez directora de la Oficina Nacional de Normalización (ONN), declaró al doctor Alan Bryden, Secretario General de la Organización Internacional de Normalización, conocida por su sigla ISO en inglés, en una visita realizada a nuestro país, que sugirió la idea de aumentar la participación de Cuba en la ISO y promover la aplicación de nuevas normas, entre ellas la 27001 sobre gestión de la Seguridad Informática17.
En este contexto la Oficina Nacional de Normalización (NC), que representa a Cuba ante las organizaciones internacionales y regionales de normalización, estableció la NC ISO/IEC 27001: 2007:Tecnología de la Información—Técnicas de Seguridad—Sistemas de Gestión de la Seguridad de la Información—Requisitos (ISO/IEC 27001: 2005, IDT)18, como adopción idéntica por el método de traducción de la Norma Internacional ISO/IEC 27001:2005 Information technology — Security techniques — Information security management systems — Requirements.
Para el licenciado José Bidot, director general de la Empresa de Consultoría y Seguridad Informática (Segurmática) el creciente uso de las modernas tecnologías de la información en Cuba puede conducir a una mayor vulnerabilidad en los sistemas de computadoras, si no sabemos las deficiencias existentes y contamos con los medios necesarios para protegerlas19.
Nuestro país, gracias al esfuerzo anónimo de muchos especialistas, está en condiciones de enfrentar de manera más efectiva el asedio de las diferentes modalidades de ataques cibernéticos, pues se conocen las debilidades más comunes detectadas en las redes nacionales de datos y se han incorporado nuevos productos y servicios especializados. Por otro lado existe el Modelo COBIT (Control Objectives for Information and related Technology), de aplicación en las funciones de Servicios de Sistemas de Información de toda la empresa y que es el resultado de una investigación con expertos de varios países, desarrollado por ISACA (Information Systems Audit and Control Association)
comienza en su marco referencial con una premisa simple y práctica: Con el fin de proporcionar la información que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados en forma natural20.
Este modelo COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los computadoras personales y redes. Está basado en la filosofía de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos y define un marco de referencia que clasifica los procesos de las unidades de tecnología de información de las organizaciones en cuatro “dominios” principales: - Planificación y organización, Adquisición e implantación, Soporte y Servicios y Monitoreo.
Se conoce además que en informe emitido en el marco de su novena conferencia anual, denominada "El Futuro de las TI", realizada en la ciudad de México la consultora Gartner21 especialista en pronósticos de las nuevas tecnologías, dio a conocer un conjunto de 10 tecnologías estratégicas, que tendrán alto impacto en los próximos años y donde se encuentra la Gestión de Información Empresarial (GIE); que unido a la estrategia de Arquitectura Orientada al Servicio (SOA), permitirá a las organizaciones conocer dónde está la información, cómo conectarla e integrarla para un uso más eficiente de la misma.
En ETECSA es conocido de la existencia de violaciones del Manual de Seguridad Informática y de las Políticas de Seguridad establecidas por el desconocimiento del marco legal tanto interno como externo en este tema22.
Por otra parte en la información brindada por la Gerencia de Seguridad Informática, de la Unidad de Negocios de Tecnología de Información y el Software23, se plantea que una insatisfacción durante el trabajo del 2005 fue el no contar con un Sistema de Información de la Seguridad Informática.”
Desde el punto de vista estructural, las responsabilidades sobre la seguridad están distribuidas en diferentes áreas organizativas, lo que eleva las necesidades de coordinación. Además la ausencia de herramientas estándares que permitan gestionar la seguridad informática.
Todo lo anterior ha contribuido a la falta de una cultura en la Seguridad Informática de los usuarios de las nuevas tecnologías de la información y las comunicaciones.
Hipótesis:
Objetivos de la investigación:
Objetivo General:
Elaborar una guía metodológica y una base de conocimientos que contribuyan al uso de los recursos de información existentes en la Gestión de Seguridad Informática del Nivel Operativo de ETECSA.
Objetivos Específicos:
Identificar cómo la información de Seguridad Informática se adquiere, se utiliza y se comunica.
Determinar si los usuarios de los medios informáticos están haciendo un uso efectivo de la tecnología y conocen los riesgos y responsabilidades involucradas. Diagnosticar si la fluctuación del personal está asociado al desconocimiento del
marco legal interno y externo de seguridad informática.
Identificar que factores tecnológicos contribuyen a explicar la carencia de una cultura de seguridad informática.
Identificar los principales aspectos vulnerables del sistema de seguridad.
Elaborar una base de conocimientos (Base de Casos) con conocimiento generado al efecto.
Población objeto de estudio:
Especialistas, directivos y trabajadores usuarios (tomar muestra representativa) pertenecientes a los ocho Grupos de Sistemas Informáticos que existen en cada Unidad de Negocios de Ciudad de La Habana.
Cada Grupo de Sistemas informáticos será la unidad objeto de análisis en la investigación.
En cada grupo se identifica un Jefe de Grupo, un Administrador de Red, un Responsable de Seguridad Informática y Especialistas en Ciencias Computacionales.
Las funciones relacionadas con la Gestión de Información y la Seguridad Informática que realizan los Grupos de Sistemas Informáticos de las Unidades de Negocio son: Ö Realizar la gestión centralizada de la información de la UN.
Ö Efectuar la recolección óptima y centralizada de la información de la UN. Ö Realizar el procesamiento y análisis estadístico de los datos.
Ö Efectuar la emisión y distribución oficial de la información consolidada y oportuna a clientes internos y externos.
Ö Administrar la plataforma informática de la UN.
Ö Realizar el mantenimiento de los sistemas informáticos de la UN.
Ö Controlar el cumplimiento de los métodos de seguridad de datos, con el objetivo de determinar su correcta aplicación.
Ö Administra la Red Informática de la Unidad de Negocios.
Indicadores a utilizar:
Para los Grupos de Sistemas Informáticos del Nivel Operativo de ETECSA,
Indicadores Expresión de Cálculo
1. Porcentaje de usuarios con acceso a la Intranet.
• Total de usuarios con acceso a la Intranet / Total de usuarios X 100.
2. Porcentaje de usuarios con acceso a Internet.
• Total de usuarios con acceso a Internet / Total de usuarios X 100.
3. Porcentaje de usuarios con cuentas de correo electrónico
• Total de usuarios con cuentas de correo electrónico/ Total de usuarios X 100. 4. Porcentaje de Pc conectadas en Red • Total de
P
c conectadas en Red / total dePc X 100. 5. Porcentaje de Especialistas
actualizados en las Tecnologías
• Especialistas actualizados en las Tecnologías / Total de especialistas X 100.
6. Porcentaje de las Acciones de Capacitación por trabajador en materia de Seguridad.
• Acciones de capacitación recibidas (De seguridad) / Total de acciones de capacitación X 100.
7. Índice de Fluctuación de los trabajadores.
• Cantidad de. Trabajadores de alta / Cantidad de trabajadores de baja X 100. 8. Porcentaje de Fluctuación del
personal.
• Bajas efectivas de los trabajadores por causal de la baja / Total de Trabajadores X 100
9. Porcentaje de los incidentes de seguridad Informática.
Variables, Fuentes y Confiabilidad de la Información.
VARIABLES FUENTE
CONFIABILIDAD
ALTA MEDIA BAJA
Número de trabajadores de las Unidades de
Negocios del Nivel Operativo. DRHH X
Número de acciones de capacitación realizadas en las Unidades de Negocios del Nivel Operativo.
DRHH X
Número de acciones de capacitación realizadas en las Unidades de Negocios del Nivel Operativo en materia de Seguridad Informática.
DRHH X
Total de Pc conectadas en Red en las
Unidades de Negocios del Nivel Operativo. UNTISW X Número de Usuarios con acceso a
INTERNET en las Unidades de Negocios del Nivel Operativo.
GSI X
Número de Usuarios con acceso a la Red Corporativa de las Unidades de Negocios del Nivel Operativo.
UNTISW X
Presupuesto de inversiones para Seguridad Informática en las Unidades de Negocios del Nivel Operativo.
DDAR X
Número total de bajas en las Unidades de
Negocios del Nivel Operativo. DRHH X
Causas que motivaron las bajas de los
trabajadores. DRHH X
DRRHH: Dirección de Recursos Humanos.
DDAR: Dirección de Desarrollo y Asuntos Regulatorios. GSI: Gerencia de Sistemas Informáticos.
Procedimientos de análisis
Revisión y análisis documental de las violaciones existentes del Manual y Políticas de Seguridad Informática.
Encuestas para determinar el grado de conocimiento y actualización de los usuarios en el Marco Legal vigente en Seguridad Informática.
Entrevistas que permitan conocer todo lo relacionado con la organización de la seguridad informática y las tecnologías que se utilizan para el procesamiento, organización y transmisión de la información.
Encuesta sobre equipamiento existente y uso de las Tecnologías de Información y Comunicación en los Grupos de Sistemas Informáticos de las Unidades de Negocios.
Hojas de trabajo, para organizar la información obtenida a través de las entrevistas. Diagramas de Flujos de Datos, para evaluar cómo fluye la información y los pasos
necesarios para que sea utilizada por el usuario final.
Mapas de información, para la representación de los recursos de información con vistas a tener una panorámica de la situación de los mismos y su uso.
Observación en el cumplimento de las políticas establecidas por los Grupos de Sistemas Informáticos de las Unidades de Negocios.
Técnica de Focus Group como técnica de recolección de datos para precisar la encuesta.
Recursos necesarios:
Disponibles:
1. Computadora para el procesamiento de los datos que permita agilizar la obtención de los resultados y disminuir los riesgos de error que si se procesaran manualmente.
2. Acceso a Internet para la realización de búsquedas relacionadas con la temática abordada.
3. Recursos Humanos: Para realizar la investigación y para obtener la información. 4. Hojas 8 ½ x 11: Para la presentación de los informes y realización de encuestas. No disponibles:
Cronograma de investigación.
TAREAS A DESARROLLAR FECHA
COMIENZO
FECHA DE TERMINACIÓN
PARTICIPANTES
1. Planeamiento
Protocolo de la investigación Búsqueda Bibliográfica Planeación de la entrevista Diseño de la encuesta a aplicar.
Febrero/07 Febrero/07 Maestrante
2. Recogida de los datos
Aplicación de Entrevistas y encuestas.
Marzo/07 Abril/07 Maestrante
3. Procesamiento de los datos Tabulación y Presentación de los datos.
Mayo/07 Mayo/07 Maestrante
4. Análisis de la información Elaboración del plan de análisis. Análisis de las entrevistas y encuestas.
Junio/07 Julio/07 Maestrante
5. Elaboración de las Bases
Metodológicas. Septiembre/07 Septiembre/07 Maestrante
6. Prueba piloto Octubre/07 Noviembre/07 Maestrante
7. Retroalimentación Diciembre/07 Diciembre/07 Maestrante
8. Rediseño de las Bases Metodológicas para la Gestión de Información sobre Seguridad Informática en ETECSA.
Enero/07 Enero/07 Maestrante
9. Elaboración del informe final Febrero/07 Febrero/07 Maestrante y Tutor.
Nota: Horario de trabajo en el período de la Investigación;Lunes, Miércoles y Viernes de 8:00 a.m. A 4:00 p.m.
Referencias Bibliográficas:
1
Mapa de Responsabilidades de Unidades Organizativas. [http://tel.etecsa.cu] (Consultada: 27
de Febrero del 2006).
2
Unidad de Negocios de Tecnología de la Información y el Software: Informe Estadístico Anual
2005. Informe and hoc, 2005.
3
Reglamento sobre Seguridad Informática 1996. Ciudad de La Habana: MININT; 1996.
(Resolución 06/1996 del MININT).
4
Bautista Flores Edith.¿Cómo citar recursos de información de internet?
[http://www.dgbiblio.unam.mx/servicios/dgb/publicdgb/bole/fulltext/volII2/bautista.html]
(Consultada: 21 de febrero del 2006)
5
Glosario de términos bibliotecológicos y de Ciencias de la Información. [http://www.uh.cu/]
(Consultada: 21 de febrero de 2006).
6
Políticas de Seguridad Informática del Ministerio de la Informática y las Comunicaciones2002.
Ciudad de La Habana, 2002. (Resolución 39/2002 del MIC).
7
Sistema de Gestión de Seguridad de la Información. [http://www.iso27000.es] (Consultada: 27
de febrero del 2006).
8
Real Academia Española. Diccionario de la lengua española. Madrid: Real Academia
Española, 1936. p.721.
9
Utilización de las metodologías en los procesos de planificación y desarrollo de sistemas de
información. [http://www.recursos-as400.com/] (Consultada: 27 de febrero del 2006).
10
Orozco E. Seminario Pre Taller. Auditoría de Información ¿QUÉ Y POR QUÉ? Presentado
en: 2002 III Taller Internacional de Inteligencia Empresarial y Gestión del Conocimiento en la
Empresa, IntemPress´2002, Ciudad Habana, Octubre 16, 2002. 11
Ponjuán Dante, Gloria. Gestión de información en las organizaciones: principios, conceptos y
aplicaciones. Santiago de Chile: CECAPI, 1998. p. 55.
12
Cheng, T. C. E.; V. Kanabar. "On Someissues of Information Resource Management in the
1990s". Information Resources Management Journal. 1(1992): p. 21-33. Citado por: Barrios N.
La gestión de información y sus recursos (Parte I). Ciudad Habana: Biblioteca José Martí; 2004.
13
Para McAfee, el empleado es la principal amenaza informática.
[http://www.infobaeprofesional.com/] (Consultada: 21 de febrero del 2006)
14 Horton F.W. Information Resources Management: Concept and Cases. Ohio: Association of
Systems Management, 1979. Citado por: Barrios N. La gestión de información y sus recursos
(Parte I). Ciudad Habana: Biblioteca José Martí; 2004.
15
Seguridad de la información.
16
Pérez Martín. “Noticias de Seguridad Informática”. [http://www.seguinfo.blogspot.com/]
(Consultada: 23 de octubre del 2006).
17
Cuba fomenta un turismo sostenible, dice experto internacional.
[http://www.vanguardia.co.cu/] (Consultada: 23 de enero del 2007).
18
NC ISO/IEC 27001: 2007. Tecnología de la Información—Técnicas de Seguridad—Sistemas
de Gestión de la Seguridad de la Información—Requisitos (ISO/IEC 27001: 2005, IDT).Comité
Técnico de Normalización NC/CTN 18 de Tecnología de la Información.
19
Peláez Orfilio. Artesanos de la seguridad informática. [http://www.granma.cubaweb.cu/]
(Consultada: 23 de octubre del 2006).
20
El modelo COBIT para auditoría y control de sistemas de información
[http://www.channelplanet.com/] (Consultada: 23/10/06).
21
Decálogo tecnológico. [http://www.eluniversal.com.mx/articulos/34348.html] (Consultada: 23
de octubre del 2006).
22
Unidad de Negocios de Tecnología de la Información y el Software: Informe Balance del
2005. Informe and hoc, 2005.
23
