Un Proceso Prctico de Anlisis de Riesgos de Activos de Informacin

Mg. Marcos Sotelo Bedn

1,2
Jos Torres Utrilla
3
Juan Rivera Ortega
4

1
Gerencia de Tecnologas de Informacin, Banco Central de Reserva de Per (BCRP)
2
Universidad Nacional Mayor de San Marcos (UNMSM)
3
Universidad Nacional de Ingeniera (UNI)
4
Universidad de San Martin de Porres (USMP)

Marcos.sotelo@bcrp.gob.pe, jdtorresu@uni.pe, river.rbk@gmail.com

Resumen
El artculo presenta un proceso de anlisis de riesgos de activos de informacin, en el contexto de un Sistema
de Gestin de Seguridad de Informacin (SGSI) alineado al estndar ISO/IEC 27001:2005; y un software
(prototipo) que le brinda soporte, aunado a un portal cuyo contenido tiene por finalidad sensibilizar en gestin
de riesgos y seguridad de informacin. Este proceso sigue los lineamientos de los principales estndares y
buenas prcticas en gestin de riesgos y seguridad de la informacin, y viene siendo aplicado en el pas en los
ltimos cinco aos; el presente proceso utiliza el marco referencial Magerit (Metodologa de Anlisis y
Gestin de Riesgos de Tecnologas de I nformacin) como eje de la propuesta, no obstante cabe mencionar
que a diferencia de este marco, el proceso en mencin incorpora el Anlisis de I mpacto de Negocio(BI A), el
cual tiene por objetivo evaluar el impacto sobre los procesos de negocio, debido a la no disponibilidad de los
servicios de tecnologas de informacin, lo que posteriormente se deriva en la obtencin del nivel de criticidad
para cada activo de informacin, lo cual es indispensable para establecer el nivel de riesgo de los mismos.
Abstract

The article presents a process of risk analysis of information assets, in the context of a System of Information
Security Management (ISMS) aligned to ISO / IEC 27001:2005, and software (prototype) that supports it. This
process follows the guidelines of the major standards and best practices in risk management and information
security, and has been applied in the country over the past five years, this process uses the frame of reference
Magerit (Handbook of Risk Management Information Technology) as the core of the proposal, however it is
noteworthy that unlike this framework, the process in question incorporates the Business Impact Analysis (BIA),
which aims to assess the impact on business processes, due to the unavailability of information technology
services, which subsequently leads to obtaining the level of criticality for each information asset, which is
essential to establish the level of risk for them.

1. Introduccin
La incorporacin acelerada de las tecnologas de informacin
en las entidades privadas y pblicas ha dado paso a nuevos
retos, siendo uno de los relevantes la gestin de la seguridad
de sus activos de informacin, toda vez que son crticos para
su competitividad o supervivencia [1].En una gestin por
procesos, las organizaciones son representadas por un
conjunto de procesos (estratgicos, tcticos y operativos), los
cuales son asistidos por diversos activos de informacin, tales
como los Servicios TI, constituidos por un conjunto de
activos TI, como se aprecia en la Figura 1.
Figura 1. Procesos asistidos por Servicios
TI.
En estos procesos, la informacin es uno de los recursos ms
importantes, por lo que su gestin eficiente constituye un
factor crtico para el desempeo empresarial, debido a ello,
requiere una adecuada proteccin. Una estrategia para darle
esa proteccin es implantando un sistema de gestin de
seguridad de informacin (SGSI), alineado al estndar
ISO/IEC 27001 [2], es decir, un proceso sistemtico,
documentado y conocido por toda la organizacin. Para el
xito de estos proyectos es fundamental la participacin de la
alta direccin y el desarrollo de una cultura de seguridad de la
informacin. [3]
En muchas organizaciones existe un compromiso intrnseco
de implantar un sistema SGSI. En el caso del sector pblico,
la reciente aprobacin de la Norma Tcnico Peruana NTP-
ISO/IEC 27001:2008 EDI Tecnologa de la Informacin.
Tcnicas de Seguridad. Sistemas de Gestin de
Seguridad de la Informacin. Requisitos, mediante la Resolucin Ministerial N 129-2012-PCM [4], establece
su implementacin obligatoria en las Instituciones estatales, siendo la Oficina Nacional de Gobierno Electrnico
e Informtica (ONGEI) el organismo encargado de supervisar dicha implementacin; ello origina la disyuntiva
de cmo iniciar un proceso que permita su implementacin exitosa. Es en este contexto que surge la propuesta,
el cual pretende contribuir en la solucin de dicha problemtica, a travs de la descripcin de un proceso de
anlisis de riesgos de activos de informacin.
En lneas generales, implantar un SGSI comprende los procesos o actividades ilustradas en la Figura 2, que
pueden descomponerse en:

1. Identificar los objetivos del negocio.
2. Obtener el patrocinio de la alta direccin.
3. Establecer el alcance (algunos procesos del negocio).
4. Realizar un diagnstico (Gap Analysis).
5. Asignar recursos y capacitar al equipo.
6. Analizar los riesgos de activos de informacin.
7. Elaborar y ejecutar un plan de tratamiento de riesgos.
8. Establecer la normativa para controlar el riesgo.
9. Monitorizar la implantacin del SGSI.
10. Prepararse para la auditora de certificacin.
11. Llevar a cabo auditoras internas peridicas.

Siendo uno de los ms relevantes el proceso de Anlisis de riesgos, que comprende la identificacin, estimacin
y evaluacin de riesgos. Es por ello, que este artculo presenta un proceso de anlisis de riesgos de activos de
informacin y un software (prototipo) que lo asiste.

La estructura del artculo, comienza con una breve introduccin, en el cual se describe la problemtica y la
propuesta de solucin, consistente en la formulacin de un proceso de Anlisis de Riesgos de activos de
Informacin, en la seccin 2 se hace un recuento breve de trabajos relacionados y de los estndares de Gestin
de Riesgos y Seguridad de Informacin, para luego pasar a detallar el proceso propuesto, continuando con el
anlisis de resultados y las posteriores conclusiones.


Figura 1. Procesos asistidos por
Servicios TI.
Figura 2. Actividades del SGSI
2. Trabajos Previos
En el contexto local casi no existen publicaciones relacionadas con la propuesta, la mayora de informacin
concerniente al tema, es abordada por los estndares y manuales de buenas prcticas en Gestin de Riesgos y
seguridad de la informacin, sin embargo un estudio denominado ISRAM: information security risk analysis
method [5], brinda un enfoque cuantitativo de anlisis de Riesgos de Informacin.

La gestin integral de riesgos ha ganado impulso en los ltimos aos, especialmente a partir de la dcada de los
noventa, lo que ha conllevado la aparicin de Modelos de Gestin de Riesgos, algunos de ellos de carcter
general como los estndares Australiano /neozelands (AS/NZS 4630) e ISO/IEC 31000, y otros de carcter ms
especfico, tales como: Commitee of Sponsoring Organizations (COSO), ISO 14000, ISO 22000, ISO 27005 y
Occupational Health and Safety Advisory Services (OHSAS).

A. Estndar Australiano /neozelands (AS/NZS 4360:2004)
El proceso de gestin de riesgos propuesto por la norma AS/NZS 4360:2004 [6], contempla los siguientes sub
procesos:
Establecimiento del contexto
Identificacin de riesgos
Anlisis de riesgos
Evaluacin de riesgos
Tratamiento de los riesgos
B. ISO 31000:2009
Este estndar propone unas pautas genricas sobre cmo gestionar los riesgos de forma sistemtica y
transparente. El enfoque est estructurado en tres elementos claves para una efectiva gestin de riesgos:
1. Los principios para la gestin de riesgos.
2. La estructura de soporte.
3. El proceso de gestin de riesgos.
C. ISO/IEC 27005:2008
El estndar ISO/IEC 27005:2008, define las directrices para elaborar el proceso de anlisis de riesgos. Este
forma parte de la familia ISO 27000, y sirve de complemento a las dos primeras normas de la familia, ISO/IEC
27001:2005 e ISO/IEC 27002:2005. La propuesta es similar al AS/NZS y contempla los siguientes sub
procesos:
Establecimiento del contexto
Valoracin de riesgos
Tratamiento de riesgos
Aceptacin de riesgos
Comunicacin de riesgos.
Monitorizacin y revisin de riesgos.

D. Metodologa de Anlisis y Gestin de Riesgos de
Tecnologas de Informacin (MAGERIT)
La metodologa MAGERIT [7], desarrollada por el
Consejo Superior de Administracin Electrnica, y
publicada por el Ministerio de Administraciones Pblicas
de Espaa, comprende dos grandes procesos: El anlisis de
riesgos y la gestin de riesgos.
El anlisis de riesgos permite determinar que tiene la
organizacin y que podra pasar, para ello toma en
Figura 3. Elementos en el anlisis de
riesgos [7].
consideracin los elementos ilustrados en Figura 3.
Los subprocesos comprendidos son:
Identificar los activos a tratar, las relaciones entre ellos y la valoracin que merecen.
Identificar las amenazas significativas sobre aquellos activos y valorarlos en trminos de frecuencia de
ocurrencia y degradacin que causan sobre el valor del activo afectado.
Identificar las salvaguardas existentes y se valorar la eficacia de su implementacin.
Estimar el impacto y el riesgo al que estn expuestos los activos del sistema.
Interpretar el significado del impacto y el riesgo.
La gestin de riesgos consiste en la estructuracin de las acciones de seguridad para satisfacer las necesidades
detectadas por el anlisis. Comprende las actividades:
Elegir una estrategia para mitigar el impacto y riesgo.
Determinar las salvaguardas oportunas para el
objetivo anterior.
Determinar la calidad necesaria para dichas salvaguardas.
Disear un plan de seguridad (plan de accin o plan director) para llevar el impacto y el riesgo a niveles
aceptables.
Llevar a cabo el plan de seguridad.
E. National Institute of Standards and Technology Special Publication (NIST SP 800-30): Gua de
gestin de riesgos para sistemas de tecnologas de la informacin
El National Institute of Standards and Technology (NIST) ha dedicado una serie de publicaciones especiales a la
seguridad de la informacin (SP 800). Esta serie incluye una metodologa para el anlisis y gestin de riesgos de
seguridad de la informacin, NIST SP 800-30 [8], que comprende los siguientes subprocesos:
1. Caracterizacin de Sistemas
2. Identificacin de amenazas
3. Identificacin de vulnerabilidades
4. Anlisis de controles
5. Determinacin de probabilidades.
6. Anlisis de impacto
7. Determinacin del riesgo
8. Recomendacin de controles
9. Documentacin de resultados

4. Proceso propuesto
La gestin de riesgos de activos / servicios TI se relaciona con el
Sistema de Gestin de Seguridad de la Informacin (SGSI), donde la
evaluacin de riesgos es una actividad relevante. Asimismo, se
relaciona con la Gestin del Riesgo Operacional (GRO / ORM
Operational Risk Management), toda vez que este proceso aborda los
riesgos en sus operaciones y en la seguridad de sus activos (incluido
los de TI). En ese sentido, el proceso de evaluacin de riesgos TI
provee el riesgo de los servicios TI al SGSI y GRO.

E l proceso de Anlisis de riesgos de activos de informacin se
desarrollo sobre la base de su aplicacin en una Institucin financiera
del sector estatal, obtenindose resultados satisfactorios, lo cual ha
permitido validar la propuesta, haciendo esta propuesta factible de
aplicar a las dems organizaciones del sector. El proceso de Anlisis
de riesgos de activos de informacin, definido siguiendo los
lineamientos de los estndares descritos en la seccin anterior, inicia
Figura 4. Anlisis de riesgos de activos
de informacin.
con el establecimiento del contexto y contina con la identificacin,
estimacin y evaluacin de riesgos, ilustrado en la Figura 4. El que se
complementa con el tratamiento, monitorizacin y comunicacin de
riesgos, para permitir la gestin de riesgos.

1. Establecimiento del contexto
Cuando el proceso de evaluacin de riesgos es parte del SGSI, su alcance est acotado por el del SGSI, es decir,
un conjunto de activos/ Servicios de informacin - A
i
/ S
i
, que asisten a los procesos de negocio, P
k
.
En este proceso, el riesgo se determina en forma cualitativa, a partir de la Probabilidad, de que se materialice una
amenaza, por el Impacto, que ocasione en la institucin, a travs de los procesos que asiste. La valoracin de los
dos factores se realiza con base en escalas de 5 valores, consignados en la Tabla 1, Tabla 2 y Tabla 3. El riesgo
resultante se clasifica en 4 niveles, como se ilustra en la Figura 5.


Figura 5. Mapa de riesgos Tabla 1. Valoracin de la Probabilidad


Aceptacin/Tolerancia
Valor Nivel Descripcin
1 Aceptable Retenido
2 Tolerable
Para activos no crticos, pero
intolerable para crticos
3 Intolerable
Atencin inmediata y monitoreo
permanente.
4 Extremo
Tratado como intolerable, pero a
nivel de Gerencia General.

Tabla 3. Valoracin del Nivel de Aceptacin/Tolerancia

Tabla 2. Valoracin del Impacto

1.1. Nivel de aceptacin o tolerancia al riesgo
Con base en el resultado del anlisis de riesgos y lo consignado en la Tabla 1, los activos con riesgo extremo e
intolerable deben ser llevados por lo menos al nivel tolerable; y aquellos activos crticos con nivel de riesgo
tolerable deben ser llevados al nivel aceptable.
2. Identificacin de riesgos
Comprende la identificacin de los riesgos de los activos de informacin, por lo que demanda del inventario de
activos de informacin [9], incluyendo su valor, determinado a partir de sus tres dimensiones de seguridad
(Disponibilidad, Integridad y Confidencialidad) como mnimo. Para este proceso los activos son agrupados en
Probabilidad
Valor Grado Descripcin
1 Raro
Puede ocurrir una vez cada 2
aos
2 Muy baja Al ao
3 Baja En 6 meses
4 Media Al mes
5 Alta A la semana
Impacto
Valor Nivel Descripcin
1 Insignificante
Impacta levemente en la
operatividad del proceso
2 Menor
Impacta en la operatividad del
proceso
3 Moderado
Impacta en la operatividad del
macro proceso
5 Mayor
Impacta en la operatividad de los
procesos
8 Desastroso
Impacta fuertemente en la
operatividad de los procesos
las categoras consignadas en la Tabla 4.

Tabla 4. Clasificacin de Activos de Informacin

Categoras de Activos de Informacin
Identificador Categora Ejemplos
STI Servicios TI
Aplicacin + infraestructura TI de soporte.
SW Software / Aplicaciones
Aplicaciones, sistemas operativos, herramientas de desarrollo y
utilitarios
HW Hardware / equipos
Servidores (S.O.), PCs, routers, hubs, firewalls, medio magntico,
gabinetes, cajas fuertes, salas, mobiliario, sistema de alarma, etc.
SI Soportes de informacin
SAN, discos, cintas, USB, CD, DVD.
COM Redes de comunicaciones
Medios de transporte que llevan datos de un sitio a otro
DAT Datos / Informacin
BD, archivos de datos, contratos y acuerdos, documentacin del
sistema, informacin de investigacin, manuales de usuario, material
de entrenamiento, de operacin, procedimientos de soporte, planes de
continuidad y contingencia, acuerdos
AUX Equipamiento auxiliar
Equipamiento de soporte a los sistemas de informacin (UPS,
Generados, Aire acondicionado, cableado, etc.)
INS Locales / Instalaciones
Lugares donde se hospedan los sistemas de Informacin, registros
vitales y comunicaciones
PER Personal / RR.HH.
Personas, calificaciones, experiencia y capacidades (usuarios,
proveedores, personal de TI)
SRV Servicios generales
Vigilancia, servicios de impresin, computacin, telecomunicaciones,
elctrica, agua, etc.

Los activos estn expuestos a amenazas, que pueden materializarse (explotando vulnerabilidades) con
determinada frecuencia o probabilidad, dependiendo de la eficacia de los controles o salvaguardas vigentes.
Para la determinacin de riesgos, este proceso utiliza el catlogo de amenazas de MAGERIT, y las
vulnerabilidades y controles identificados por los administradores de activos, con base en su experiencia e
informacin de los fabricantes. Las amenazas estn organizadas en las categoras consignadas en la Tabla 5, y
pueden afectar a ms de un tipo de activo.

Tabla 5. Clasificacin de las Amenazas.

Categoras de Amenazas
Identificador Tipo
N
Desastres naturales
I De origen industrial
E Errores y fallos no intencionados
A Ataques intencionados

3. Estimacin de riesgos
El equipo de anlisis de riesgos (especialistas en riesgos, en seguridad, y administradores de activos) determina
el impacto y probabilidad, calcula el riesgo actual, establece los controles recomendados, y determina el riesgo
residual, es decir, el riesgo resultante luego de que se implementen los controles establecidos. El resultado es el
Informe de Anlisis de Riesgos, que establece el modo de tratamiento y los controles recomendados. El Riesgo
de un servicio de informacin S
i
, denominado riesgo repercutido (RR) [2], es obtenido a partir de sus activos,
por medio de una funcin, tal como promedio (simple o ponderado) o mximo.
3.1. Determinacion del Impacto
En este proceso, el impacto de un activo, I(A
j
), es igual al impacto
mayor de los servicios donde participa; a su vez, el impacto de un
servicio, I(S
i
) es igual al impacto mayor de los procesos que
asiste. El impacto de un proceso, I(P
k
) se determina en el proceso
de anlisis de impacto en el negocio (BIA - Business Impact
Analysis).
El proceso BIA permite determinar la criticidad de los
procesos, P
k
, y los Servicios TI, Si, que lo asisten. Asimismo, los
tiempos de recuperacin objetivo (RTO-Recovery Time
Objective), y el impacto asociado con la interrupcin de los
procesos por un determinado periodo de tiempo. Este proceso se
realiza con la participacin de los dueos de procesos.
El impacto de la interrupcin de un proceso I(P
k
), ocasionado por
un incidente en uno de sus servicios Si, se determina a partir de
tres (3) factores:

a) El impacto de su macro proceso, en el cumplimiento de los objetivos de la entidad;
b) El nivel de dependencia del proceso P
k
, con relacin a sus servicios S
i
.
c) El impacto del proceso P
k
en funcin a los tiempos de recuperacin objetivo (RTO-Recovery Time
Objective).
Para el factor (a), los dueos de macro procesos asignan un valor de impacto (Alto, Medio, Bajo) para cada
macro proceso. Para el factor (b), utilizando la matriz Procesos vs. Servicios se asigna un valor de dependencia
(Alto, Medio, Bajo).
Para el factor (c), se trabaja con las reas de impacto y valores de RTO consignados en las Tabla 6, asignndose
los valores de impacto (con base en la Tabla 2 ), para cada una de las reas. El factor resulta de la sumatoria del
producto del peso relativo de cada rea por el impacto acumulado correspondiente.

3.2. Determinacin de la probabilidad
Esta labor se realiza con el formato de trabajo
ilustrado en la Figura 6, con base en el juicio experto
del equipo, sabiendo la probabilidad de una amenaza
podemos decidir qu medidas establecer para
reducirlas, medidas que conllevan un coste [10].
La informacin obtenida en la identificacin, y la
documentacin de vulnerabilidades, incidentes y
seguimiento de riesgos.
4. Evaluacin de riesgos
Con base en los resultados obtenidos en el anlisis y
la poltica de aceptacin / tolerancia al riesgo, se
procede a la evaluacin. Para cada activo, si el nivel
de riesgo es aceptable, el proceso concluye, caso
contrario, se define
la estrategia de tratamiento (evitar, transferir o mitigar) y se establecen los controles (salvaguardas) necesarios,
pero los mismos no aseguran que el nivel de riesgo sea mnimo, la ejecucin de simulaciones permiten conocer
reas de Impacto
N reas Peso Relativo
1 Objetivo Estratgicos / Funciones 30%
2 Financiero 20%
3
Objetivo y Metas del Proceso u otros
Procesos Vinculados
10%
4 Reputacin / Imagen / Credibilidad 30%
5 Situacin y Bienestar del Personal 10%

1 2 3 4 5 6 7 8 9 10
RTO TR 10' 30'
1
h
2
h
4
h
8
h
2
d
5
d
15d
Impacto
Tabla 6. reas de impacto y RTO
Figura 6. Formato de anlisis de riesgos de activos TI
el estado real de la implementacin de los controles [11]. En el caso de mitigacin, los controles pueden ser
preventivos o correctivos, en el ltimo caso, ser necesario definir un Plan de Continuidad de Servicios TI
(denominado tradicionalmente PRD - Plan de Recuperacin ante Desastres). En esta actividad se concluye el
informe de evaluacin de riesgos de activos de informacin, a partir del cual se elabora el Plan de Tratamiento
de Riesgos (PTR).

5. Discusin de la Propuesta
El proceso establece una secuencia metdica para realizar exitosamente el Anlisis de Riesgos de activos de
informacin, ste ha sido desarrollado bajo las directrices de los estndares y buenas prcticas en gestin de
riesgos y seguridad de informacin, cabe mencionar que la diferencia sustancial entre la propuesta y dichos
estndares, se centra en que el proceso explica de manera detallada como realizar lo que los estndares indican,
en ese sentido la propuesta del proceso basa su importancia en la contribucin que significa plasmar las
metodologas en un aporte concreto donde su aplicacin sea el objetivo ulterior; teniendo en cuenta esa
premisa el proceso propuesto fue aplicado en una Organizacin estatal, observndose resultados favorables,
consistente en la obtencin oportuna del informe del nivel de Riesgos de los servicios y activos de informacin
con el cual se elabor un Plan de tratamiento de Riesgos; garantizando el soporte a los procesos estratgicos de
la Organizacin; bajo este escenario y con el objetivo de incrementar el desempeo del proceso se concibi el
inicio del diseo y desarrollo del software de anlisis de riesgos de activos de informacin, el cual corresponde a
la primera etapa del proyecto Una Herramienta Peruana para la Gestin del Riesgo Operacional y de TI, con
el objetivo de contribuir a la generacin de ventajas competitivas en las organizaciones. La idea de la
elaboracin del software yace sobre el concepto de soporte al proceso propuesto, mediante la automatizacin de
puntos operativos del proceso, y proporcionando informacin relevante al especialista en riesgos, la misma que
se sintetiza en un mapa de riesgos de activos de informacin.
Esta herramienta se viene desarrollando con tecnologa Java EE, bajo una arquitectura distribuida. El
componente que asiste al proceso de anlisis de riesgos presentado, est constituido por los mdulos:

a) Catlogo:
Facilita la gestin de la informacin sobre los procesos, los servicios TI que los asisten, y los activos
TI que constituyen dichos servicios, permitiendo la generacin de reportes y consultas de dicha
informacin.
b) Anlisis de impacto:
Asiste al sub proceso de Anlisis Impacto al Negocio (BIA), facilitando la solucin de cuestionarios
en lnea, a partir de los cuales se determina el impacto de los procesos en el negocio y la criticidad de
los servicios TI.
c) Anlisis de riesgos:
Asiste al subproceso de anlisis de riesgos de activos de informacin, donde el especialista de TI
asignado para el anlisis de riesgos del activo, registra en lnea su evaluacin en el sistema a travs de
una interface de usuario.
Con esta informacin se realiza la determinacin del nivel de riesgo y se genera el informe de anlisis
de riesgos.
La clasificacin de las amenazas, se encuentran definida en base a la tipologa establecida en [6],

Tal como se mencion en la introduccin del artculo, la concepcin del proceso responde a la necesidad
creciente de las Organizaciones de implementar proyectos de Seguridad de Informacin, en los cuales la
actividad de Anlisis de riesgos es fundamental, y dnde la participacin de la alta direccin es determinante,
por consiguiente el inicio de un programa de sensibilizacin a travs de la difusin de documentacin
relacionada, se constituye de vital importancia, por ende el proceso propuesto se complementa con un portal
[12] para facilitar sensibilizar e involucrar a todos los miembros de la Organizacin, mediante
publicaciones peridicas en materia de Gestin de riesgos y seguridad de informacin.
6. Conclusiones

El nmero de implantaciones de SGSI alineados al estndar ISO 27001 en el pas es muy bajo, y ms an las
empresas que han alcanzado la certificacin. Entre las causas principales estn la poca conciencia en seguridad
de la informacin y la adopcin de estndares.

Los pocos proyectos en el rubro tienden a fracasar usualmente debido a la falta de patrocinio y madurez en los
procesos para ejecutar estos proyectos.

El artculo pretende reducir esta brecha dando los lineamientos generales para abordar un proyecto SGSI, y
tratando en detalle el proceso clave Anlisis de riesgos.

El proceso propuesto ha sido aplicado en un Organizacin estatal, obtenindose resultados satisfactorios, lo
cual nos permite inferir, que el proceso en mencin es factible de aplicarse en las dems organizaciones del
sector, en un contexto donde existe la necesidad cada vez mayor de las Organizaciones de implementar
proyectos de Seguridad de Informacin.

Referencias

[1]. Jos M. Huidobro Moya, David Roldn Martnez; Seguridad en redes y sistemas informticos
editorial, Thomson Paraninfo, Madrid 2005.

[2]. ISO27000.es: Portal de ISO 27001 en espaol.

[3]. Alberto G. Alexander; Diseo y Gestin de un sistema de Seguridad de Informacin, ptica ISO
27001:2005, editorial: Alfaomega , 2007.

[4]. Presidencia del Consejo de Ministros (PCM/ ONGEI), Resolucin Ministerial N 129-2012-PCM

[5]. Bilge Karabacaka, Ibrahim Sogukpinarb; ISRAM: information security risk analysis method
,National Research Institute of Electronics & Cryptology (UEKAE), P.O Box 74, 41470 Gebze,
Kocaeli, Turkey; Gebze Institute of Technology, 41400 Gebze, Kocaeli, Turkey; July 2004.

[6]. AS/NZS 4360:2004. Estndar Australiano / Neozelands para la gestin de riesgos.

[7]. Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin de las Administraciones
Pblicas MAGERIT.

[8]. NIST - Risk Management Guide.

[9]. Eduardo Fernndez, Medina Patn; Roberto, Moya Quiles, Seguridad de las tecnologas de
informacin, Construccin de la confianza para una sociedad conectada. Editorial: AENOR, Madrid,
2003.

[10]. Vicente Aceituno Canal; Seguridad de la informacin, Expectativas, Riesgos y Tcnicas de
proteccin, Editorial Limusa, Mxico 2006.

[11]. Pedro Andrs, Morales Zamudio; Diseo de una solucin de un sistema de seguridad
informtica en empresas estatales, Informe de Suficiencia profesional, Lima, 2010.

[12]. Portal de difusin de la documentacin del Proceso propuesto y de Seguridad de Informacin,
www.EmprendedorTIC.net/sgsi