Cartilla U1 PDF

GESTIÓN
DE SEGURIDAD

Principios de la Seguridad de la Información

• LA FUNCIÓN DE LA COMPRA

CONTENIDO

INTRODUCCIÓN
PRINCIPIOS Y MOTIVACIONES
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
COMPRENSIÓN
ESTRUCTURA Y COMPONENTES
BASES DE DISEÑO DE UN SISTEMA DE GESTIÓN
CICLO DE MEJORA CONTINUA
PLANEAR
HACER
VERIFICAR
ACTUAR
PROYECTOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
FACTORES DE ÉXITO DE LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
BIBLIOGRAFÍA.

2 [ POLITÉCNICO GRANCOLOMBIANO]

INTRODUCCIÓN

La Gestión de la Seguridad de la Información se puede comprender como la
adición de elementos de administración a temas técnicos, normativos, de
cumplimiento, legal y todo lo que tiene relación con la seguridad, en otras
palabras, la gestión consiste en orquestar todos y cada uno de los elementos de la
seguridad para que no funcionen de forma aislada sino que por el contrario, se
alinien de acuerdo a los objetivos de la organización, brinden valor y logren los
objetivos establecidos para la seguridad frente al negocio.
Durante esta unidad se abordarán las bases y conceptos fundamentales de la
Gestión de la seguridad y algunas recomendaciones de cómo abordar este tema
que puede ser complejo de acuerdo con el tipo de entorno y organización en que
se desarrolle.

METODOLOGÍA

El marco metodológico a seguir establece el desarrollo de lecturas en temas
conceptuales y estructurales, asociado a material multimedia y actividades
individuales y grupales como mecanismo de aplicación de conceptos y teoría.

[ GESTIÓN DE SEGURIDAD] 3

MAPA CONCEPTUAL

OBJETIVO GENERAL

Comprender la estructura y razon de ser de los sistemas de Gestión de Seguridad
de la Información así como su interacción con las organizaciones, gestión de
proyectos y factores críticos de éxito.

COMPETENCIAS

-‐ Comprende los elementos que conforman un sistema de Gestión de
Seguridad de la Información
-‐ Identifica¿cómo estructurar proyectos de Gestión de Seguridad de la
información
-‐ Generahabilidades de análisis en Seguridad de la Información permitiendo
identificar situaciones que pueden afectar la seguridad de la información y
sus procesos de implementación y gestión.


DESARROLLO TEMÁTICO

COMPONENTE MOTIVACIONAL
La comprensión de los sistemas de Gestión de Seguridad de la Información desde
su estructura, construcción de proyectos, así como sus factores de éxito son bases
fundamentales para gestionar de forma adecuada la seguridad de la información
de una organización obteniendo resultados positivos y optimizando los recursos
disponibles.

RECOMENDACIONES ACADÉMICAS
A nivel de seguridad de la información existen múltiples recursos disponibles tales
como los propuestos por INTECO (España), ESET (Argentina), así como cursos
virtuales ofrecidos bajo el esquema de COURSERA o EDX que abordan temas de
seguridad y pueden proveer otras perspectivas frente a Seguridad de la
Información. Por supuesto, no olvidar la amplia bibliografía moderna accesible a
través de la Google, Libros y bibliotecas. Finalmente, siempre estará el recurso de
conferencias, eventos y congresos ya sea asistiendo o accediendo a papers y
memorias de los mismos.

DESARROLLO DE CADA UNA DE LAS UNIDADES TEMÁTICAS

Principios y motivaciones

Por Gestión se hace referencia a la “coordinación y organización de actividades de
un negocio con el fin de lograr unos objetivos definidos”1. De acuerdo a las teorías
expuestas por Peter Drucker, la tarea principal de la Gestión consiste en el
mercadeo y la innovación.

La Gestión de la Seguridad de la Información no se encuentra ajena a la anterior
definición, ya que dentro de sus funciones, tal como se mencionó en la
introducción, se encuentra la organización de las actividades, recursos,
responsabilidades referente a seguridad de la información, es decir involucrando
factores relacionados a tecnología, personas y seguridad física, así como el marco
normativo establecido por medio de políticas, lineamientos, requerimientos y

1 Definición tomada del diccionario de negocios http://www.businessdictionary.com


todos aquellos mecanismos a través de los cuales se socializa las

responsabilidades y obligaciones frente a la seguridad de la información en una
organización.

Un ejemplo presentado por Shon Harris2 se encuentra en la ilustración 1, en la
cual se observan diversos componentes de la seguridad sobre los cuales se
establece toda una estructura o conformación basada en una primera parte con
los objetivos de la Seguridad de la Información representados por la triada CID
(Confidencialidad, Integridad y Disponibilidad). Seguido se encuentran las
actividades y procesos requeridos para lograr estos objetivos de seguridad, tales
como protecciones, medidas de contención, los cuales son posibles de identificar
gracias a actividades tales como la detección y clasificación de activos de
información, para posterior análisis de riesgos y amenazas asociadas, clasificación
de datos y determinación de requerimientos de protección de la organización.
Finalmente sobre la parte superior de la estructura se encuentran los objetivos del
negocio y es vital su aparición en este punto dado que son estos objetivos los que
determinan hacia donde se debe gestionar la seguridad de la información, es
decir, no se definirá un marco de acción sobre activos de información o
información misma que no tiene importancia alguna en la consecución de los
objetivos empresariales.

2.All in One CISSP Exam Guide.


Ilustración 1. Componentes de la Gestión de Seguridad de la Información

Dentro de las definiciones inicialmente presentadas se habló de innovación y

mercadeo y este es otro aspecto que usualmente es descuidado al hablar de
Gestión de la Seguridad de la Información y se debe a que la literatura existente
no aborda temas de motivación con innovación al realizar actividades en torno a
la generación de conciencia o en los mecanismos como se entregan los controles
de seguridad para protección del negocio, por nombrar unos ejemplo, es por ello
que temáticas como la gestión del cambio son vitales para este punto.

Ahora, en cuanto a las motivaciones en torno a la Gestión, se debe hablar de que
la implementación de sistemas de Gestión de la Seguridad de la Información, (los
cuales explicaremos más adelante), nacen como respuesta a necesidades
organizacionales tales como proteger información debido a su sensibilidad o
criticidad, en otros casos puede deberse a requerimientos regulatorios, un
ejemplo de este último en Colombia son los requisitos establecidos a instituciones


financieras por su ente rector, es decir la SuperIntendencia Financiera3, que en

unas circulares de publicación cada determinado tiempo ha solicitado a las
organizaciones la implementación de controles de seguridad, incluso al punto de
hablar de implementación de sistemas de Gestión de Seguridad de la Información
basados en normas ISO 27001. En otros casos se pueden encontrar organizaciones
cuyo objetivo de implementación de seguridad gestionada es la debida diligencia
al salvaguardar de forma óptima sus activos y brindar confianza a clientes,
inversionistas y partes interesadas del negocio.

Vale la pena hacer una corta descripción del término recién mencionado: partes
interesadas, el cual según como lo define ISO4 como personas u organizaciones
que pueden afectar, son afectadas o pueden percibir afectación a causa de una
actividad o decisión. La razón de mención de este término se debe a que entrando
a la definición de lo que es un sistema de Gestión de Seguridad de la Información,
las partes interesadas juegan un papel fundamental en el apoyo, asignación de
recursos, así como la implementación de controles y participación en cada una de
las actividades ya que así como se busca lograr los objetivos de la organización,
también es necesario solventar las necesidades de estos interesados, al fin y al
cabo, son patrocinadores y su apoyo a la Gestión de la Seguridad es determinante
como un factor de éxito.

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

• Comprensión
De acuerdo a la definición presentada por ISO, un sistema de Gestión de
Seguridad de la Información, en adelante SGSI, es un conjunto de elementos
interrelacionados o interactuantes (estructura organizativa, políticas, planificación
de actividades, responsabilidades, procesos, procedimientos y recursos) que
utiliza una organización para establecer una política y unos objetivos de seguridad
de la información y alcanzar dichos objetivos, basándose en un enfoque de
Gestión del Riesgo y de mejora continua.

3 Se recomienda la revisión de las publicaciones de esta Entidad Pública tales como: la
circular 052 de 2007, 022 de 2010 y 042 de 2012.
4 Traducción de la definición presente en la Norma BS – ISO 22301 relacionada con
Seguridad de las Sociedades y continuidad de Negocio. Reino Unido: SGSI.


En el año 1995 con la publicación del estándar británico BS 7799 se emplea por
primera vez el concepto de sistema de Gestión de Seguridad de la Información,
teniendo presente que en ese momento este documento no era un estándar sino
por el contrario, era una guía de buenas prácticas para implementación de
seguridad. Sin embargo, sólo hasta la publicación del estándar ISO 27001 en el
año 2005 (proveniente del estándar BS 17999) se adicionó la estructura basada en
el ciclo Deming o PHVA (Planear, Hacer, Verificar y Actuar). Gracias a esta
inclusión se habla en que la Gestión de la Seguridad de la Información basada en
dicha norma busca el mejoramiento continuo, este ciclo será revisado más
adelante en el presente documento.

Cabe realizar la aclaración que un sistema de Gestión de Seguridad de la
Información no se encuentra directamente relacionado con el estándar ISO 27001
u otros documentos o normas de la familia 27000, ya que existen otras
metodologías, como lo es O-‐ISM3 que desde un enfoque de mejora continua
aborda la Gestión de la Seguridad como sistema siguiendo las recomendaciones
de otros estándares o guías de buenas prácticas como COBIT e ITIL.

• Estructura y componentes
Al tomar como guía de construcción o implementación de un SGSI al estándar ISO
27001, se deben tener en cuenta dos componentes fundamentales:

• Estructura general y documental del SGSI
• Gestión de la Seguridad basada en objetivos de control.
El primer componente se encuentra conformado por aquella documentación
relacionada con el marco de acción sobre el cual se estructura el sistema de
Gestión, esto hace referencia a:

• Política de seguridad de la información: entendido como el documento
global ejecutivo que establece las obligaciones a tener en cuenta en cuanto
a seguridad de la información (en virtud de la triada CID) dentro de una
organización.
• Objetivos del sistema: entendido como el documento que define la razón
de ser del sistema de Gestión de Seguridad de la Información y a que
necesidades busca responder, estos objetivos deben ser acordes a los


objetivos de la organización, así como buscar cumplir las necesidades de las
partes interesadas mencionadas anteriormente.
• Alcance: entendido como el documento que engloba cuales procesos o
actividades serán contempladas dentro del SGSI y sobre las que se realizará
Gestión de activos, riesgos, tratamiento, entre otras actividades.
• Políticas de segundo nivel: hace referencia a las Normas derivadas de la
política de seguridad y buscan abordar aspectos específicos de la seguridad
tales como: Seguridad física, control de acceso, gestión de operaciones y
comunicaciones, entre otros. Estas políticas indican el ¿qué se debe hacer?
más no el ¿cómo se debe hacer?, para esto se encuentran los planes de
tratamiento u otros documentos complementarios.
• Procesos, procedimientos, instructivos, guías:estos documentos tienen por
finalidad el establecimiento de ¿cómo deben ser implementados y
operados los requerimientos establecidos por la política general y las
políticas de segundo nivel?En esta documentación se puede llegar a
desarrollar temas técnicos y/o administrativos para ejecución de las
actividades de la organización aplicando seguridad de la información, un
ejemplo de esto pueden ser los requerimientos en la contratación de
personal frente a seguridad de la información, aplicando controles como
revisión de antecedentes, estudios, etc., haciendo una adición a actividades
existentes y así integrando la seguridad a las actividades del día a día de la
organización.

Por otra parte, los componentes relacionados con la Gestión de la Seguridad
establecen los requerimientos operativos y de mantenimiento de un sistema de
Gestión de Seguridad de la Información, es decir, aquellas actividades que son
parte constante del hacer del sistema, a continuación algunos ejemplos:
• Gestión de activos de información
• Clasificación de activos de información
• Identificación y gestión de riesgos de seguridad de la información
• Planes de tratamiento de riesgos
• Gestión de Incidentes
• Entre otros.


Es necesario hacer la distinción que el esquema aquí presentado no se basa

estrictamente en lo que establece la familia de Normas 27000, sino que toman
elementos comunes de varias metodologías con el fin de presentar una gestión
global no específica. Así mismo, al hablar de Gestión de la Seguridad de la
Información no se hace referencia a que toda acción o actividad se orienta a
documentar y establecer un esquema en que el sistema de gestión consiste en un
gran grupo de documentos. Esta visión ha cambiado con el tiempo a tal punto de
presentarse cambios como lo que incluyó la versión 2013 del estándar 27001 el
cual ya no exige un número de documentos presentes en versiones anteriores
para demostrar gestión, sino por el contrario, se deja en potestad del responsable
del sistema, el establecimiento de procesos, actividades y documentación que sea
acorde a las necesidades de la organización y se requiere observar que se realice
una gestión visible y tangible de riesgos de seguridad identificados, no sólo
documentación.

• Bases de diseño de un sistema de Gestión
El diseño de un sistema de Gestión puede variar de acuerdo a las necesidades,
objetivos, requerimientos, metodología que se determine, sin embargo basado en
lo presentado anteriormente, las siguientes actividades y preguntasofrecen una
guía práctica de ¿qué tener en cuenta al diseñar un sistema de Gestión de
Seguridad de la Información:

Actividad Pregunta
¿En qué medio o mercado se encuentra la
Determinar contexto organización?
organizacional. ¿Puede ser la seguridad una ventaja
estratégica para la organización?
¿Han ocurrido eventos que afecten la
Determinar necesidades del Seguridad en organizaciones del mismo
Negocio frente a Seguridad. mercado o medio?
¿Ha enfrentado la empresa situaciones que
afecten la Seguridad de la información?
¿Existe Legislación a nivel país o ciudad que
Determinar Legislación y tenga relación con seguridad de la
Regulación existente y aplicables. información?
¿Le aplica a la organización la Legislación


existente?
¿A Nivel de mercado o sector existe
regulación sobre seguridad de la
información?
¿Está incumpliendo alguna Legislación frente
a seguridad la organización?
¿Quiénes pueden versen beneficiados o
Identificar partes interesadas. afectados a la implementación de Seguridad?
¿Puede mejorar la confianza en la
organización la implementación de
Seguridad de la Información?
¿Inversionistas y/o socios han exigido la
implementación de Seguridad de la
Información en la organización?
¿Qué debe protegerse a nivel de Seguridad
Establecer objetivos del Sistema de la Información en la organización?
de Gestión. ¿Cómo puede aportar la Seguridad de la
Información al alcance de los objetivos de la
organización?
¿Qué actividades o procesos requieren o
Establecer alcance del Sistema de solicitan la implementación de Seguridad de
Gestión. la Información?
¿Quiénes son los dueños, productores o
creadores de la Información en la
Organización?
¿Quiénes son responsables de custodiar la
Información de la Organización?
¿Quiénes son los usuarios de la Información
en la Organización?
¿Quiénes son afectados por un evento o
situación negativa debido a falta de
¿Existen trabajos previos en Seguridad de la
Determinar Metodologías y Información en la organización?
Marcos de trabajo a emplear. ¿Existe una metodología para Gestión de
Seguridad en la organización?


¿Existen Metodologías establecidas por

entes de control o reguladores para
¿Qué metodologías de Gestión de Seguridad
de la Información se conocen?
¿Con qué recurso humano se cuenta para
Definir Plan de Trabajo. implementar Seguridad de la Información?
¿Con qué recursos económicos se cuenta
para implementar Seguridad de la
Información?
¿Se tienen fechas establecidas de
implementación de Seguridad por regulación
o Legislación aplicable?
¿Cómo se realizará la división del trabajo por
equipos o grupos?

De acuerdo con la anterior tabla con base en una actividad de preguntas y
respuestas, es posible identificar información valiosa para la definición de las
bases sobre las que se diseñará y construirá el sistema de gestión. El consejo más
valioso en estas actividades es la solicitud de diversas opiniones desde diferentes
perspectivas de la organización, es por ello que entrevistas de definición de
alcance o de conocimiento de la organización son de utilidad para responder a las
preguntas propuestas y entender necesidades y expectativas.

Dentro de las actividades realizadas con mayor frecuencia se cuenta con los
análisis de brecha o análisis GAP que consisten en auditorías que toman como
plan de auditoría normas o estándares y a partir de ellos se realiza una validación
de cumplimiento, nivel de madurez de los controles existentes, entre otros
factores, permitiendo obtener una imagen del estado de la organización frente a
seguridad de la información, cumplimiento regulatorio u otros temas que
apliquen. Los resultados obtenidos de estos análisis son entradas de información
valiosa para la construcción de planes de trabajo dado que ofrecen una medición
que brinda herramientas de juicio para priorizaciones dentro del plan de trabajo o
fortalecimiento de controles existentes y avanzar en la implementación de
seguridad de la información y así gestionarla oportunamente.


Ciclo de mejora continua
El ciclo PHVA se conoció originalmente como ciclo PHCA, pero a principios de la

década de 1990 se estandarizó como PHVA. En ocasiones se denomina ciclo
Shewhart,porque Walter A. Shewhart discutió el concepto en su libro Statistical
Meted fromViewpoint of Quility Control, o ciclo Deming, debido a que W. Edwards
Deming introdujo el concepto en Japón.
Este proceso de cuatro pasos para mejora continua establece a grandes rasgos las
siguientes actividades:En el primer paso(Planificar), se desarrolla un plan para
realizar la mejora, en el segundo paso se analizan los efectos del plan, de
preferencia a pequeña escala. En el tercer paso (Verificar), se analizan los efectos
del plan. En el último paso (Actuar), se estudian los resultados para determinar
¿qué se ha aprendidoy ¿qué se puede predecir?.

Ilustración 2. Gráfica de los pasos del ciclo PHVA


Basado en la anterior explicación, se puede establecer un listado de actividades a
tener en cuenta o como guía para realizar en cada una de las etapas o fases del
ciclo PHVA:

Etapa Actividades
Planear. • Definir la política de seguridad del SGSI
• Definir el alcance del SGSI
• Definir los objetivos del SGSI
• Definir el nivel de aceptación del riesgo de seguridad
• Definir la estructura documental del SGSI
• Definir la metodología para la identificación, valoración,
clasificación y tratamiento de los activos de información
• Identificar, valorar y clasificar los activos de información
de los procesos dentro del alcance
• Definir la metodología para la identificación y valoración
del riesgo de seguridad
• Identificar y valorar el riesgos sobre los activos de
información de procesos dentro del alcance
• Determinar el tratamiento para aquellos riesgos en
franjas de tratamiento
• Definir el proceso de gestión de incidentes
• Definir el plan de capacitación y sensibilización en temas
de seguridad de la información.
• Definir el marco para la medición de la efectividad del
SGSI y sus controles
• Definición del procedimiento de acciones correctivas
• Definición del procedimiento de auditoría.
Hacer • Gestionar el marco legal, regulatorio y normativo del
SGSI
• Gestionar incidentes de Seguridad de la información

• Gestionar Activos de Información
• Gestionar el Riesgo sobre los Activos de Información

• Gestionar el Comportamiento y la Cultura de Seguridad


de la Información
• Gestionar la Eficacia del Sistema de Gestionar de
• Gestionar la Documentación del SGSI.
Verificar • Realizar verificación de cumplimiento e implementación
sobre los aspectos de:
• Marco general de cumplimiento del marco de trabajo
establecido
• Gestión del marco normativo del SGSI
• Gestión de Incidentes de Seguridad de la información
• Gestión de Activos de Información
• Gestión del Riesgo sobre los Activos de Información
• Gestión del Comportamiento y la Cultura de Seguridad
de la Información
• Gestión de la Eficacia del Sistema de Gestión de
• Gestión de la Documentación del SGSI.
Actuar • Ejecución y verificación de cumplimiento de plan de
acción de cierre de acciones correctivas y preventivas
derivadas del SGSI
• Revisión de resultados de incidentes de seguridad y
definición de planes de acción.

En la fase de verificar se encuentran disponibles varios mecanismos, sin embargo
el más realizado consiste en auditorías, estas pueden ser realizadas por fuentes
internas o externas a la organización y que tienen por objetivo identificar la
Gestión de la Seguridad de la Información.

Al revisar en la unidad dos con mayor detalle las actividades de un SGSI se
obtendrá explicación de cada una de las actividades antes mencionadas.


Proyectos de Gestión de Seguridad de la Información

La interpretación de la Gestión de la Seguridad de la Información como proyectos
es válida ya que como todo proyecto, debe contar con un inicio y un final
temporalmente hablando y es así con la seguridad, donde la gestión cambia a
través del tiempo de acuerdo con nuevos retos, riesgos, factores amenazantes y
no se trata de entornos estáticos o sin cambios.

La visión de proyecto ofrece unos componentes tales como la definición de
recursos requeridos a través del tiempo, a su vez permiten la definición
estructurada de objetivos, metas y requerimientos en la implementación de
componentes del SGSI, de esta forma es posible realizar la gestión de un proyecto
puntual dentro de los planes establecidos para tratamientos de riesgos de
seguridad o megaproyectos que involucran más de un control a tratar.

Los proyectos a su vez permiten contar con indicadores de Gestión para
determinar grados de avance de implementación de controles, retrasos y otras
situaciones que puedan afectar negativamente el SGSI y sus actividades y así
poderles tratar a tiempo controlando estas situaciones o riesgos de proyecto.

A continuación una tabla de ejemplo de planeación de un proyecto de diseño e
implementación de un sistema de Gestión de Seguridad de la Información
desarrollado para una Organización Colombiana:

Fase del proyecto Recurso Tiempo requerido
requerido (semanas)
(personas)
1. Análisis de brecha o GAP basado en 2 3
ISO 27001-‐27002.
2. Identificación, inventario y 3 10
clasificación de activos de información
de 20 procesos del Negocio.
3. Identificación de riesgos asociados a 2 6
activos de información críticos o
sensibles y definición de planes de
tratamiento.


4. Definición de estructura y 2 6
documentación necesaria del SGSI.
5. Implementación de controles y 5 24
requerimientos de seguridad.
6. Auditorías internas para 3 3
seguimiento de planes de trabajo.
7. implementación de planes de 3 6
mejora continua en seguridad.

Esta sencilla propuesta es una aproximación a lo que debe incluir
un plan de trabajo en seguridad y que debe ser presentado a la dirección para
contar con su compromiso y apoyo

Factores de éxito de la Gestión de la Seguridad de la Información

Finalmente en asociación con los conceptos de proyectos establecidos para la
implementación de controles de seguridad y su ordenamiento bajo el esquema de
Gestión de Seguridad de la Información es necesario identificar que factores
pueden permitir un desarrollo satisfactorio de las actividades y situaciones
establecidas dentro del marco de proyecto.

Los factores que afectan el éxito en este tipo de proyectos suelen estar
relacionados a ausencia de recursos económicos o recurso humano para la
implementación de controles, indisponibilidad de agendas y espacios para
desarrollo de actividades de entendimiento de procesos o definición de
requerimientos de seguridad. Otro ejemplo es la continuidad del recurso humano
a lo largo del proyecto, ya que pueden presentarse situaciones que generen
pausas en la ejecución de los proyectos y esto afecte el libre desarrollo de los
mismos.

Sin lugar a duda, el mayor factor de éxito en la Gestión consiste en lograr el apoyo
y compromiso de la dirección5 con el trabajo en curso, labor que resulta compleja,

5 Se recomienda el artículo denominado “Sin la gerencia no hay paraíso” en que se abordan
varios puntos a tener en cuenta al llegar a la dirección. Disponible

en:http://revista.seguridad.unam.mx/numero-‐14/sin-‐la-‐gerencia-‐no-‐hay-‐para%C3%ADso


sin embargo, que de acuerdo a la tabla presentada anteriormente de preguntas

para diseñar el sistema, puede ser más simple.

Para la definición de factores de éxito, es necesario también identificar
mecanismos a través de los cuales la dirección, socios o figura responsable de la
administración sientan que sus necesidades, dudas y comentarios sean abordados
satisfactoriamente y a tiempo.

Así pues, antes de cada proyecto o programa (unión de varios proyectos) es
necesario identificar estos factores así como mecanismos de medición de si se
presentan riesgos que afecten estos factores y planes de tratamiento que eviten la
afectación en la ejecución de los proyectos. Recordar que los recursos para un
proyecto son finitos y nunca son ilimitados, especialmente en lo referente a
presupuesto, recurso humano y tiempo.
Un último punto a tener presente es recordar que al trabajar en la
implementación de SGSI no sólo se abarca el trabajo con puntos de contactos
técnicos o tecnológicos sino que también existe un amplio trabajo con personas,
para los que es necesario manejar diversas técnicas de Gestión del cambio para
lograr mejores resultados, esto se abordará con mayor detalle en la siguiente
unidad.

GLOSARIO

Remitirse al glosario del Inicio ?

BIBLIOGRAFÍA
[HARRIS13] Harris, Shon. "All in One CISSP Exam Guide". Sixth Edition. Nueva York:
McGraw-‐Hill, 2013.
[BSI12] BSI Standard Publication Societal Security. Business Continuity

Management Systems. Reino Unido: ISO/TC 223.Requirements: 2012.


Cartilla U1 PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cartilla U1 PDF

Transféré par

Droits d'auteur :

Formats disponibles

GESTIÓN

• LA FUNCIÓN DE LA COMPRA

todos aquellos mecanismos a través de los cuales se socializa las

Dentro de las definiciones inicialmente presentadas se habló de innovación y

financieras por su ente rector, es decir la SuperIntendencia Financiera3, que en

Es necesario hacer la distinción que el esquema aquí presentado no se basa

¿Existen Metodologías establecidas por

Ciclo de mejora continua

El ciclo PHVA se conoció originalmente como ciclo PHCA, pero a principios de la

Proyectos de Gestión de Seguridad de la Información

varios puntos a tener en cuenta al llegar a la dirección. Disponible

sin embargo, que de acuerdo a la tabla presentada anteriormente de preguntas

[BSI12] BSI Standard Publication Societal Security. Business Continuity

Vous aimerez peut-être aussi