domingo, 11 de enero de 2015

3. Marco Teórico


Antecedentes de la Investigación


La investigación utilizó como antecedente cuatro estudios relacionados con modelos de madurez y seguridad de sistemas de información.

En primer lugar se tiene la investigación de Hernández (2011), en su trabajo de grado de Maestría en Sistemas de Información, de la Universidad Católica Andrés Bello, titulado “Desarrollo de un Modelo de Madurez para las Contingencias y Recuperación de la Información en las Pequeñas y Medianas Empresas del Sector Salud en Venezuela”, plantea como problema la creación de un modelo de madurez para la contingencia y la recuperación de la información en las Pymes (Pequeñas y Medianas Empresas) dedicadas a prestar servicios de salud en Venezuela. El diseño de la investigación realizado por este autor fue de tipo mixto, combinando la investigación de campo y documental. Entre las principales conclusiones que se obtuvieron con esta investigación se tiene:
  • Las deficiencias de seguridad existentes en este sector se deben a la vulnerabilidad y riesgos de los procesos vitales.
  • El modelo de madurez obtenido con esta investigación contiene seis niveles que van desde (0) No existente; (1) Inicial; (2) Crecimiento; (3) Desarrollo; (4) Madurez; (5) Inteligencia. Además ofrece dos instrumentos como lo son la Guía de Diagnóstico, que permite ubicar a determinada empresa del sector salud en el nivel de madurez correspondiente, y el instrumento de Métricas de Disponibilidad, que permite conocer el porcentaje de disponibilidad de los servicios que poseen.
El principal aporte de esta investigación fue la bibliografía consultada para su elaboración, el uso de normas y estándares utilizados, además de presentar un modelo de madurez debidamente validado por caso de estudio. Los procedimientos de validación y elaboración del modelo de madurez fueron de gran importancia para la presente investigación. En la Figura 1 se muestra el modelo de madurez propuesto por Hernández (ibid.).


Figura 1. Modelo de Madurez para las Contingencia y Recuperación de la Información en la Pequeña y Mediana Empresa del Sector Salud. Por Hernández, 2011. p. 160.

La segunda tesis utilizada como antecedente fue la de Calderón (2011), trabajo de grado de Maestría en Sistemas de Información, de la Universidad Católica Andrés Bello, titulado “Modelo de Madurez para la Calificación y Cuantificación del Riesgo Tecnológico en las Instituciones Bancarias de Venezuela”. El problema planteado fue la formulación de un modelo de madurez que permitió calificar y cuantificar el riesgo tecnológico en las instituciones bancarias venezolanas. El diseño de investigación utilizado fue de tipo mixto. Entre las principales conclusiones que se obtuvieron con dicha investigación se tiene:
  • Un modelo de madurez que consta de seis etapas como lo son. (0) Inexistente; (1) Inicial; (2) Repetible; (3) Formalizado; (4) Gestionado y (5) Optimizado.
  • Implementación de un modelo que permite organizar de manera sistemática los procesos de inspección, incrementando la eficiencia de los recursos de fiscalización.
  • Se obtuvieron un conjunto de estrategias y herramientas enfocadas a la administración y creación de conocimientos que permite apoyar los procesos de toma de decisiones por medio de la inteligencia organizacional (Business Intelligence BI).
El principal aporte de esta investigación, además de la bibliografía consultada, fue el modelo de madurez propuesto, las variables tomadas en cuenta, así como el procedimiento utilizado para formular dicho modelo.

En tercer lugar se encuentra la investigación de Ortiz (2012), trabajo de grado de Maestría en Sistemas de Información, de la Universidad Católica Andrés Bello, titulado “Modelo de Gestión de los Procesos de Servicios de Tecnología de Información Basado en Librerías de Infraestructura de Tecnologías de Información (ITIL) para la Administración Pública Nacional”. Dicho trabajo plantea como problema, la creación de un modelo de gestión de procesos de servicios de tecnología de información basado en ITIL para la Administración Pública Nacional, con el objeto de hacerle frente a imprevistos, fallas y amenazas que puedan afectar negativamente la operatividad de los servicios tecnológicos. El diseño fue de tipo investigación acción, es decir, el investigador observa y participa de la acción, por lo que el conocimiento obtenido se aplica inmediatamente. Las principales conclusiones de dicho estudio son las siguientes:
  • El estudio determinó el inventario de los principales procesos de Tecnología de Información (TI), tales como: (1) Gestión de Catálogo de Servicios; (2) Gestión de Proveedores; (3) Gestión de Cambio; (4) Validación y Pruebas de Servicio; (5) Gestión de Seguridad; (6) Gestión de Incidentes; (7) Gestión de Problemas.
  • Al contrastar los principales procesos de TI con la situación actual de la organización, se obtuvo un cuadro comparativo que permitió detectar las semejanzas y diferencias con el ambiente ideal, permitiendo trazar el camino desde la situación actual hasta la situación deseada.
  • Se formuló un modelo que parte del diagnóstico de la situación actual, asignación de roles y responsabilidades. También ofrece una lista de verificación que permite medir el grado de madurez de los procesos.
  • El modelo no sólo indica qué hacer, sino también cómo, por lo que incluye un plan de implementación que define: Requisitos, alcances, fases de aplicación, actividades a realizar, así como posibles limitaciones que pueden impedir en determinado momento la implantación del modelo.
El principal aporte de este trabajo radica en el modelo resultante de la investigación, aunque está orientada a la gestión de servicios, identifica claramente las necesidades de los procesos de gestión de TI en una organización de carácter público, además ofrece una lista de verificación que mide el grado de madurez de los procesos.

El cuarto trabajo utilizado como antecedente se trata de uno elaborado previamente por el autor del presente estudio, Jaspe (2011), trabajo de grado de Especialización en Sistemas de Información, de la Universidad Católica Andrés Bello, titulado “Diseño de un Sistema de Seguridad para Redes de Datos del Ministerio del Poder Popular para la Educación”. En dicho trabajo se plantea como problema el diseño de un sistema de seguridad para las redes de datos de dicho Ministerio, basado en las mejores prácticas y estándares internacionales. El diseño fue de tipo mixto, mezclando investigación documental e investigación de campo. Entre las principales conclusiones que se obtuvieron con dicho estudio se encuentran:
  • No existe un estándar que sea mejor que otro, entre sí se complementan.
  • En principio la investigación tenía por objetivo cubrir aspectos netamente técnicos, que podían resolverse con la implementación de dispositivos, programas y herramientas tecnológicas, sin embargo, luego del estudio se hizo evidente que la seguridad era un problema de gestión. Este resultado fue el punto de partida de esta investigación.
  • La investigación arrojó como resultado que la seguridad posee características holísticas, que no puede ser vista parcialmente sino en su totalidad. 
El principal aporte fue la forma en que se complementaron las normas CobiT 4.1, ISO/IEC 27002 e ITIL V 3.0, en un conjunto coherente de recomendaciones, pero dentro de un marco de gestión que sirven como motor para impulsar el diseño de seguridad. El sistema de seguridad propuesto se resume en la Figura 2.

Figura 2. Sistema del Sistema de Seguridad para las Redes de Datos del MPPE. En la cual se integran CobiT 4.1, ITIL V3 e ISO/IEC 27002, dentro del marco de los procesos administrativos. Por Jaspe, 2011. p. 128.


Bases Teóricas


A continuación se presentarán las bases teóricas que sustentan la investigación, permitiendo establecer el marco referencial, compuesto por un conjunto coherente de conceptos que faciliten el abordaje de la investigación. La estructura de dichas bases teóricas se pueden observar en la Figura 3.



Figura 3. Mapa Mental de las Bases Teóricas de la Investigación.


Sistemas de información.

Los sistemas de información se pueden definir, según Laudon y Laudon (2008), como el conjunto de elementos que recolecta, procesa, almacena y distribuye información, con el objetivo de dar soporte a los procesos de toma de decisiones, además provee los medios necesarios para implementar controles en las organizaciones. Así mismo los sistemas de información permiten a los miembros de la organización, gerentes y trabajadores, analizar problemas, visualizar asuntos complejos y crear nuevos productos.

Seguridad de la información.

Según Wheeler (2011), la seguridad de la información tiene por objetivo asegurar la confidencialidad, integridad, disponibilidad, así como la rendición de cuentas de aquellos recursos de la cual es responsable, por lo que se hace necesario medir adecuadamente el nivel de tolerancia al riesgo en la organización. Está compuesta por los siguientes elementos:
  • Confidencialidad: Garantiza que la información no será revelada a personas, procesos o dispositivos no autorizados.
  • Integridad: Es la protección necesaria contra la creación, modificación o destrucción de información de manera fraudulenta.
  • Disponibilidad: Permite poner a disposición de los usuarios debidamente autorizados, los datos o servicios que éstos requieren en determinado momento.
  • Rendición de cuentas o auditabilidad: Es el proceso que permite trazar el origen de todas las actividades de un sistema y localizar inequívocamente a su responsable.

Definición de ataques.

Los ataques son incidentes provocados por actores externos y según Andress (2011), se pueden clasificar en cuatro tipos básicos: (1) Interceptación: Son ataques en los cuales usuarios no autorizados acceden a datos, aplicaciones y entornos, afectando principalmente la confidencialidad; (2) Interrupción: Este tipo de ataque origina la caída temporal o permanente de los sistemas o servicios; (3) Modificación: Implica la manipulación indebida de los datos, este tipo de ataque afecta principalmente la integridad y ocasionalmente la disponibilidad de la información. Si la modificación implica alterar la forma de encriptación de archivos, también puede afectar la confidencialidad; (4) Fabricación: Implica la generación fraudulenta de datos, procesos, comunicaciones u otras actividades propias de un sistema o servicio.

Amenazas, vulnerabilidades, riesgos e impactos.

Los ataques están asociados principalmente a una forma particular de afectación de los sistemas, tales como amenazas, vulnerabilidades y riesgos asociados que pudieran en determinado momento acompañarla, según Andress (2011), se definen como:

  • Amenazas: Es una situación que potencialmente puede causar daño a los sistemas.
  • Vulnerabilidades: Son debilidades de los sistemas de información que pueden ser utilizados para causar daño, el ciclo de mitigación de las vulnerabilidades se puede observar en la Figura 4.
  • Riesgo: Es la probabilidad de que algo malo suceda, para tener un riesgo en un entorno en particular, es necesario la existencia tanto de una amenaza como una vulnerabilidad asociada que pueda ser explotada. 
  • Impacto: Al trinomio anterior se puede añadir el impacto como un cuarto factor, definido como el valor del activo bajo amenaza, si la información de dicho activo es insignificante, su impacto es menor, ya que los datos expuestos no causarían problemas, por lo que disminuye el riesgo.

Figura 4. Ciclo de Mitigación de las Vulnerabilidades. Donde a partir de la detección se inician una serie de procesos tal como: El aislamiento del sistema afectado (de ser posible), la notificación o alerta que indica que dicho sistema se encuentra vulnerable y finalmente la corrección a la que será sometida el sistema. Por Vacca, 2010, p. 274.


Definición de Controles.

Según Andress (2011), existen tres medidas fundamentales a tomar con la finalidad de disminuir los riesgos:
  • Controles físicos: Son controles que protegen el medio ambiente físico de los sistemas, principalmente regulan la entrada y salida de dichos entornos. Además de factores como la temperatura, humedad, sistemas de extinción de incendios, generadores eléctricos de emergencia entre otros.
  • Controles lógicos: También denominados controles técnicos, son los que protegen los sistemas, redes y entornos que procesan, transmiten y almacenan datos. Incluyen contraseñas, cifrado, controles de acceso lógico, cortafuegos (firewalls), así como sistemas de detección de intrusos.
  • Controles administrativos: Son básicamente reglas, políticas, normas y procedimientos que sirven como directrices para ejecutar los procesos asociados a los sistemas.
Gestión del riesgo.

Dentro del marco de gestión del riesgo de la información, Wheeler (2011), propone el siguiente ciclo de vida, que se puede observar en la Figura 5.




Figura 5. Proceso de gestión de los riesgos de la seguridad de la información. Adaptado por Wheeler (2011), p. 46.

El flujo de trabajo, según Wheeler (2011), se inicia con los perfiles de recursos, mediante la categorización de la información según su sensibilidad, luego la valoración del riesgo identifica las amenazas y vulnerabilidades para un recurso determinado, posteriormente la evaluación realiza un análisis de riesgos que permite gestionar decisiones como aceptar, mitigar, evitar o transferir el riesgo. Una adecuada gestión debe basarse en documentos escritos que permitan establecer las guías de acción ante determinados eventos, este aspecto está incluido en la documentación, donde no sólo se exponen los planes de mitigación, sino también las excepciones a que haya lugar.  

En la fase de mitigación según Wheeler (ibid.), se desarrollan los planes, incluyendo los controles establecidos en la documentación. Una vez mitigado el riesgo se requiere validar el éxito de los planes desarrollados, para ello se realizan pruebas con el objeto de verificar que la reducción del riesgo se ha logrado. Finalmente el monitoreo y la auditoria permiten hacer ajustes a aquellos controles que no funcionen según lo previsto, es posible que el perfil de los recursos a resguardar cambie en el tiempo, que la sensibilidad de algún tipo de información se incremente debido a cambios en el entorno, en estos casos se requiere de una acción inmediata que permite adaptar los planes a la nueva realidad.


Ingeniería de la seguridad.

La ingeniería de la seguridad, según Anderson (2008), se enfoca en la construcción de sistemas capaces de hacer frente a errores, ataques e infortunios. Como disciplina está centrada en herramientas, procesos y métodos necesarios para diseñar, implementar y probar sistemas completos, así como de la adaptación de los sistemas existentes al ambiente que les rodea. La ingeniería de la seguridad requiere de la confluencia de varias disciplinas, como la criptografía, la seguridad informática, electrónica, economía, psicología aplicada, jurisprudencia en asuntos relacionados a la seguridad de datos entre otras. También envuelve habilidades relacionadas a la ingeniería de sistemas, análisis de procesos de negocios e ingeniería del software. Para Anderson (ibid.), la ingeniería de la seguridad requiere la articulación de cuatro elementos fundamentales que interactúan entre, como lo son:
  • Políticas: Las cuales guían hacia el objetivo que se desea alcanzar.
  • Mecanismos: Son sistemas como el cifrado, los controles de acceso, el hardware, entre otros; que permiten la implementación de las políticas.
  • Seguridad: Es el grado de confianza que se deposita en cada mecanismo en particular.
  • Incentivo: Es la motivación que poseen los individuos que custodian y mantienen los sistemas para realizar su trabajo adecuadamente. También incluye la motivación de los individuos que realizan ataques para penetrar la seguridad de los sistemas.

Gerencia de la seguridad de la información.

La gerencia de la seguridad de la información, según Wheeler (2011), es el conjunto de procesos que se llevan a cabo dentro de la organización con la finalidad de gestionar los riesgos para datos y recursos sensibles, asegurando la confidencialidad, integridad, disponibilidad y rendición de cuentas de dichos recursos. A su vez la gestión de la seguridad de la información cuenta con un amplio conjunto de funciones que incluyen desde la capacitación, sensibilización, hasta el análisis forense digital. 

Ámbito de la gestión de la seguridad de la información.

La gestión de la seguridad de la información, según Vacca (2010), debe enfocarse como un problema de negocio, en el sentido que toda la organización debe participar en la formulación y resolución de los problemas de seguridad en base a sus propios controles estratégicos y no solamente en controles técnicos dirigidos a mitigar un tipo de ataque. La evolución del paradigma basado en el riesgo, en oposición al paradigma de seguridad basado en soluciones técnicas, ha dejado claro que la seguridad de una organización no se debe basar en la infraestructura técnica por sí sola, ya que esto proporciona una falsa sensación de seguridad. 

Elementos que Debe Contener un Plan de Gestión de Seguridad.

Según Vacca (2010), los elementos que debe contener un plan de gestión para la seguridad de la información son los siguientes:
  • Seguridad física: Se ocupa de proteger de las amenazas y riesgos aquellas instalaciones que contienen hardware, datos, equipos de telecomunicaciones y personal relacionado con los sistemas de información. Incluye la delimitación de áreas restringidas, detección de intrusos, sistemas de detección y extinción de incendios, guardias de seguridad, etc. Se definen objetivos, políticas, normas y procedimientos que atienden a las medidas físicas de seguridad, también se incluyen medidas de protección medioambientales, tales como temperatura, humedad, medidas contra inundación, terremotos, entre otros. La seguridad física debe contemplar los siguientes elementos:
    • Requisitos de las instalaciones: Restringe y controla el acceso a las instalaciones, especificando detallada y completamente lo que está permitido y lo que no. Si los parámetros están medio definidos, la batalla contra la inseguridad estará medio ganada. A su vez este elemento debe contar con las siguientes especificaciones:
      • Operaciones de contingencia: Establece procedimientos que facilitan el acceso a las instalaciones, del personal de apoyo a las operaciones de restauración y recuperación de dentro del plan de emergencia.
      • Plan de protección a las instalaciones: Implementa políticas y procedimientos para salvaguardar las instalaciones y los equipos de accesos no autorizados, manipulación y robos.
      • Control de acceso y procedimientos de validación: Implementa procedimientos de control y validación para el personal que ingresa a las instalaciones, basado en los roles que ejercen dentro de la organización. Incluye control de visitas y acceso de programadores y equipo de personal técnico para revisión y pruebas de sistemas.
      • Registros de mantenimientos: Implementa políticas y procedimientos para documentar las reparaciones y modificaciones de las instalaciones físicas donde se ubican los equipos informáticos, tales como modificaciones de hardware, mantenimiento de pisos, techos, paredes, puertas, cerraduras, lámparas, entre otras.
    • Controles administrativos, técnicos y físicos:
      • Controles administrativos: Incluye la simulación de eventos de emergencia por parte del recurso humano, tales como: Simulacros de incendio, cortes de energía, así como la concientización en temas relacionados con la seguridad.
      • Controles técnicos: Incluyen sistemas de detección de intrusos físicos, detectores de límites, equipos de control de acceso, como por ejemplo biometría, capta huellas, entre otros.
      • Controles físicos: Incluyen cámaras de video, puertas custodiadas y control de vehículos que acceden a las instalaciones de la organización, entre otros.
    • Seguridad de Datos: Lo conforma el núcleo de lo que debe ser protegido en términos de seguridad de la información y sistemas de misión crítica. Son los datos que la organización necesita proteger. Para poder clasificarlos correctamente se necesita saber cómo se acceden dichos datos, es decir, se debe establecer si son consultados por una persona, por un proceso u otra aplicación, denominado objeto.
      • Clasificación de los datos: Es la gradación que se le dan a los datos de acuerdo a lo sensible que son para la organización, en términos de confidencialidad.
      • Modelos de control de acceso: Existen tres modelos fundamentales de control de acceso:
      • Control de acceso basado en roles (RBAC Role Based Access Control), donde la función de trabajo del individuo determina el grupo al que es asignado y determina el nivel de acceso que puede tener para determinados sistemas y datos. 
      • Control de acceso discrecional (DAC Discretional Access Control), el usuario final o el creador de los objetos de datos es quien define quien puede o no acceder a ellos.
      • Control de acceso obligatorio (MAC Mandatory Access Control), los permisos son asignado a todos por igual, según el ámbito del usuario o su categoría dentro de la organización. 
    • El control de acceso debe atender a las siguientes necesidades:
      • Autentificación frente a autorización: Un usuario autenticado no necesariamente está autorizado para ver ciertos datos, por lo cual debe existir un mecanismo que lo limite.
      • Los datos sensibles deben ser protegidos mediante criptografía, esto con el fin de minimizar los daños en caso de robo de información.
      • Prevención de fuga de datos, el método consiste en prevenir la fuga de documentos, mediante la clasificación de aquellos que están autorizados a salir de la organización, colocándolos en cuarentena para su inspección antes de que lleguen a la Internet pública.
      • Garantizar el sistema de correo electrónico: Es la protección adecuada que debe dársele a los servidores de correo electrónico para prevenir la fuga de información.
    • Seguridad Basada en la Red: La red es generalmente el medio de comunicación que interconecta todos los sistemas dentro de la organización, todos los datos transitan por ellas, por lo que puede ser vulnerable a cualquier ataque. Se compone a su vez de:
      • Detección de intrusos: Es el proceso de seguimiento de los eventos que ocurren en un sistema informático o red, permitiendo establecer signos de posibles violaciones o amenazas.
      • Prevención de intrusiones: Es un sistema que permite el bloqueo de ataques activos en la red, permitiendo bloquearlos antes de que logren alcanzar su objetivo, por lo general se refieren a equipos cortafuegos o firewall.
  • Seguridad de las Comunicaciones con Socios del Negocio: Es la seguridad que envuelve a los socios comerciales de la organización, que en función de los objetivos del negocio requieren de un trato especial para acceder a los sistemas de información, por lo que dicha actividad debe ser regulada.
  • Seguridad Inalámbrica: Se refiere a la seguridad de las redes inalámbricas existentes en la organización, debido a su medio de transmisión por ondas de radio electromagnéticas, representa un serio riesgo.
  • Seguridad de Aplicaciones Web: Las aplicaciones Web representan un punto vulnerable para los sistemas de información. Sobre todo porque la mayoría de ellas acceden directamente a la información contenida en las base de datos. Lo recomendable es implementar sistemas de seguridad para dichas aplicaciones desde el inicio de su desarrollo.
  • Políticas, Normas y Procedimientos de Seguridad: La calidad de un buen programa de seguridad de la información comienza y termina con el enunciado de las políticas de seguridad correctas. Las políticas son un medio costoso de control y en ocasiones difíciles de implementar. Las políticas de seguridad son planes que influyen y determinan las acciones que deben tomar los empleados ante determinados eventos. Para que las políticas sean eficaces deben contar con la aprobación de los niveles directivos de la organización, deben ser difundidas, leídas, comprendidas y aceptadas por los usuarios.
  • Formación y Concientización de los Usuarios: La capacitación de los usuarios es un componente crítico del programa de seguridad de la información, es el vehículo para la difusión de la información de seguridad que los usuarios y administradores necesitan tener para que realicen su trabajo, ya que le proporcionan las herramientas necesarias para proteger los recursos vitales de los sistemas de información.

Modelo de Madurez.


Definición.

Los modelos de madurez son una representación simplificada de la realidad, según Software Engineering Institute (2010), se centran específicamente en los procesos y buscan su optimización, bajo la premisa que la calidad de un producto o servicio, depende directamente de los procesos que le dan origen. Por regla general los modelos de madurez son escalares, poseen niveles que permiten ubicar la madurez de la organización en el referido modelo de acuerdo a los requisitos de cada peldaño. Según Software Engineering Institute (ibid.), dentro de las organizaciones, las personas, los métodos y los procedimientos, así como las herramientas y el equipamiento, giran en torno a los procesos que tienen asociados, de allí la importancia de la madurez de los proceso, como se puede observar en la Figura 6.


Figura 6. Las Tres Dimensiones Críticas de una Organización. Tomado de CMMI para Desarrollo, Versión 1.3, por Software Engineering Institute, 2010. p. 4.

Origen de los modelos de madurez.

Según Software Engineering Institute (ibid.), Philip Crosby fue el autor de la estructura escalonada del marco de madurez, expuesta en su libro “La Calidad no Cuesta”. La madurez la describe en cinco etapas: Incertidumbre, Despertar, Ilustración, Sabiduría y Certeza, donde la calidad toma valores absolutos, se tiene o no se tiene.

Este marco de trabajo, según Software Engineering Institute (ibid.), fue adoptado por Ron Radice y Watts Humphrey en IBM Corporation, inicialmente para el desarrollo de software, sin embargo, Humphrey se dio cuenta que este modelo no estaba teniendo éxito a largo plazo, debido a la cultura imperante en la organización, por lo que las mejoras debían tener como base un proceso estadístico que indicara como cada proceso se estaba realizando, también observó que la mejora de las prácticas dependía directamente del cambio del comportamiento organizacional.

En consecuencia diseñó un marco de madurez de los procesos en cinco etapas que permite la mejora continua, además incluye una lista de mejores prácticas, es decir, una guía que permite a la organización realizar una serie de transformaciones culturales para la implementación de procesos más sofisticados y maduros.  

Madurez, calidad y seguridad.

La madurez, la calidad y la seguridad son conceptos que están íntimamente relacionados, tal como lo describe Crosby (1987), donde parte del principio que la calidad no cuesta, lo que verdaderamente cuesta en dinero son las cosas que no tienen calidad, no hacer las cosas bien desde el principio. La calidad consiste en el cumplimiento de requisitos previamente establecidos, también es medible por el gasto ocasionado en virtud de no cumplir con los requisitos. En consecuencia la calidad y la madurez están relacionadas con la seguridad, los fallos están directamente relacionados a la falta de previsión, de requisitos que no se cumplen, así los tres conceptos se relacionan.

Objetivo de los modelos de madurez.

Según Lessing (2012), los modelos de madurez de una organización deben describir los siguientes aspectos:
  • Generar medidas reproducibles y válidas.
  • Establecer el progreso real de la seguridad.
  • Medir los logros en materia de seguridad de la organización en relación a otras.
  • Determinar el orden en el cual los controles deben ser aplicados.
  • Establecer los recursos necesarios para la aplicación de los programas de seguridad.
Modelos de madurez y métricas.

Según Saleh (2012), los modelos de madurez se caracterizan por poseer métricas que permiten predecir comportamientos futuros. Siendo dichos modelos una herramienta que permiten hacer repetibles comportamientos exitosos, se valen de las métricas para medir las desviaciones de los planes originales dictados por el modelo. Así las métricas de seguridad establecen controles que permiten conocer e identificar las posibles fallas o anomalías relacionadas con la seguridad de la información.

Modelos de madurez para la seguridad de la información.

La mayoría de los modelos para la seguridad de la información establecen principalmente tres procesos como lo son: La prevención, la detección y sistemas de recuperación. La capacidad de respuesta ante eventos que comprometan la seguridad de la información es la necesidad que busca satisfacer cualquier modelo. Según Phillips (2012), la presencia de procesos no garantiza que el resultado de un proyecto tenga éxito, pero la presencia de los procesos y la adhesión a los mismos por parte de la organización debería proporcionar una idea de la capacidad de la organización para predecir con exactitud los resultados, además debería permitir repetir el éxito logrado en proyectos anteriores. En líneas generales, según Information Security Assurance Training and Rating Program ISATRP (2012), un modelo de madurez describe las etapas por las que un proceso evoluciona, a medida que son definidos, implementados y mejorados, logrando convertirlo en un proceso maduro y definido.


Principales Modelos de Madurez de Seguridad de la Información.

Entre los principales modelos de madurez se encuentran:
  • Modelo SSE-CMM (System Security Engineering Capability Maturity Model)
  • Modelo CobiT
  • Modelo Information Security Maturity Model (ISSM)
Dichos modelos son de tipo escalar, enfocados a la optimización de procesos y servirán de base para la propuesta de la investigación.

Modelo SSE-CMM (System Security Engineering Capability Maturity Model).

La ISSEA (International Systems Security Engineering Association), fundada en 1999, es una organización sin fines de lucro dedicada a los temas de Ingeniería de Seguridad de Sistemas, según ISSEA (2012), enfoca la seguridad de los sistemas como una disciplina definida y mesurable, mediante el desarrollo de su teoría y práctica. El modelo SSE-CMM proporciona a las organizaciones orientación en materia de seguridad de la información, sin especificar cómo estas soluciones son implementadas, por lo que su finalidad es la de generar los principales requisitos de seguridad. Este modelo adopta el mismo principio el modelo SE-CMM (Systems Engineering Capability Maturity Model), de la Universidad Canegie Mellon, define cinco niveles de capacidad. Este modelo puede observarse más detalladamente en la Figura 7.


Figura 7. Niveles del Modelo SSE-CMM. Adaptado de SSE-CMM, 2012. p. 44.



Para lograr el nivel 1 de capacidad, según ISSEA (ibid.), el modelo SSE-CMM requiere del 100% de cumplimiento de las mejores prácticas establecidas para dicho nivel. Todos los niveles de capacidad se obtienen al cumplir el 100% de las prerrogativas del nivel anterior, para obtener el nivel de madurez actual, basta con cumplir el 80% de dichas prerrogativas.

Modelo CobiT.

El modelo de Objetivos de Control para Tecnologías de Información Relacionadas (CobiT Control Objetives for Information and related Technology), según ITGI (2007), es un compendio de mejores prácticas para el manejo de información. El modelo de madurez CobiT es un derivado del modelo propuesto por el Instituto de Ingeniería del Software de la Universidad Carnegie Mellon, dicho modelo se puede observar en la Figura 8.




Figura 8. Modelo de Madurez CobiT 4.1. Por ITGI, 2007. p. 18.


Modelo ISMM.

La esencia del modelo de Information Security Maturity Model (ISSM), según ISACA (2012-b), tiene por objeto permitir a las organizaciones madurar en los aspectos relativos a la seguridad de la información, con la finalidad de mejorar el rendimiento del negocio y en consecuencia la continuidad del negocio. El modelo refleja tantos los aspectos técnicos de ingeniería como los aspectos sociales que envuelven la seguridad de la información, basándose en tres aspectos fundamentales: Prevención, detección y recuperación. En la Figura 9 se puede observar su representación gráfica.


Figura 9. Modelo ISMM. Compuesto por cinco niveles de madurez, donde el grado de sofisticación es inversamente proporcional a la visibilidad de las medidas tomadas. Adaptado de ISACA, 2012. p. 2.

A continuación, en la Tabla 2, se presenta un resumen del modelo ISMM, según ISACA (ibid.).

Tabla 2. Descripción de los Niveles del Modelo ISMM.

Nivel
Características
1.     Seguridad Física y medioambiental.
Su objetivo es impedir el acceso físico no autorizado o la interferencia con los equipos de TI y activos de información. Este tipo de controles (cámaras, cerraduras, cerca perimetral, etc.), son más visibles que otros controles.
2.     Sistemas de Seguridad de Front-End
Abarca la seguridad que protege las aplicaciones y la interfaz del usuario final. Se sugiere que los datos de aplicación deben estar protegidos contra daño o pérdida. El índice de visibilidad de las medidas tomadas es menor al nivel 1.
3.     Sistemas de Seguridad de Back-End
Incluye sistemas de seguridad que van más allá de los componentes del nivel de aplicación (hardware y software). La infraestructura de red, comunicaciones internas y externas constituyen los principales niveles de este nivel.
4.     Concientización en Seguridad Integral
Este nivel se ve afectado por la gente que interactúa con el sistema. Este nivel sugiere la toma de conciencia de la necesidad de la seguridad, incluye a todos los miembros de la organización y encapsula la práctica de las medidas de seguridad de los niveles anteriores.
5.     Seguridad Definida
La medición de la seguridad resultan siempre ser una medida subjetiva. Por tal motivo, la seguridad definitiva nunca puede ser alcanzada, en su lugar, la seguridad es un proceso continuo, que sólo facilita detectar y recuperarse de muchos incidentes conocidos casi inmediatamente.


Según ISACA (ibid.), los cuatro primeros niveles del modelo, se fundamentan en tres procesos de seguridad, estos son:
  • Prevención: Los activos de información, se deben proteger según su valor, evitando modificaciones no autorizadas, destrucción o divulgación, ya sea accidental o intencional.
  • Detección: Este sistema lo componen mecanismos que permitan detectar irregularidades de los sistemas en las etapas tempranas de un ataque. La gestión de riesgos es parte de este proceso.
  • Recuperación: Una vez ocurrido un incidente, debe haber una respuesta oportuna, la cual debe estar bien planeada desde el principio y ensayada de antemano. El objetivo de este proceso es la recuperación efectiva de los sistemas a su estado original.

El modelo, según ISACA (ibid.), también posee una dimensión humana compuesto por:
  • Índice de visibilidad: El índice de visibilidad demuestra el alcance de la exposición de los controles de seguridad, el índice aumenta cuando se mueve hacia abajo en la jerarquía, ya que los niveles inferiores están más expuestos que los superiores.
  • Índice de sofisticación: Se relaciona con la profundidad de los conocimientos, habilidades y destrezas necesarias para la implementación de las medidas de seguridad, dicho índice aumenta a medida que se sube en la escala propuesta por el modelo.

ITIL V 3.0.

Según De Jong et al. (2008), la Biblioteca de Infraestructura de Tecnologías de Información (Information Technology Infrastructure Library ITIL), ofrece una aproximación sistemática para la prestación de servicios Tecnología de Información de calidad. De esta manera ITIL proporciona no sólo un mejor marco de trabajo para la práctica basada en la gestión de TI, sino también un enfoque y una filosofía compartida por las personas que trabajan con ella. 

ISO/IEC 27002.

Según International Organization for Standardization ISO2700.es (2011), ISO/IEC 27000 es un conjunto de estándares desarrollados que establecen un marco de trabajo para la seguridad de la información y que puede ser adaptada por cualquier organización sin importar su naturaleza o su magnitud. Fundamentalmente está centrada en los siguientes aspectos:
  • La protección y la no divulgación de datos personales.
  • Protección de la información interna.
  • Protección de los derechos de propiedad intelectual.
Las mejores prácticas mencionadas en la norma incluyen:
  • La política de seguridad de la información.
  • Asignación de la responsabilidad de seguridad de la información.
  • Escalamiento de problemas.
  • Gestión de la continuidad del negocio.

Críticas a los modelos de madurez.

Los modelos de madurez tienen muchas críticas y detractores, según Rush (2012), por las siguientes razones:
  • Los modelos de madurez no tratan los aspectos sociales dentro de una organización, donde precisamente el objeto de todo modelo de madurez es la transformación de la cultura organizacional, tales como valores, ideologías, metas, entre otras. La cultura organizacional se define según Rush (ibid.) como la base sobre la cual se construyen las acciones organizativas.
  • Los modelos de madurez no abordan el tema de la creatividad dentro de la organización, haciendo que ésta última se convierta en rígida, burocrática, restringiendo la capacidad de los individuos en encontrar soluciones creativas a los problemas, desmoralizan la fuerza de trabajo y limitan las innovaciones. Esta problemática afecta directamente al recurso humano. No mencionan la forma de contratar, retener y motivar a los trabajadores, aspectos esencial para el éxito de las organizaciones.
  • Los costos involucrados y el tiempo que se tarda implementar un modelo de madurez es mayor a lo esperado, lo que implica que las organizaciones no conocen qué resultado esperar al implementar el modelo, además de desilusionarse con la falta de progreso realizado.
  • El modelo de madurez no le proporciona a las organizaciones la orientación necesaria para su aplicación, sólo se hace énfasis en lo que se debe hacer y no cómo hacerlo.
  • Los modelos de madurez reciben duras críticas por no estar diseñados para organizaciones de todos los tamaños, funcionan bien en grandes organizaciones pero no en las pequeñas. En principio funcionan bien en organizaciones grandes porque en sus inicios los modelos de madurez estaban dirigidos a grandes proyectos militares.
  • Los modelos de madurez requieren un compromiso a largo plazo, si una organización busca resultados rápidos, su objetivo puede verse frustrado.
  • Los modelos de madurez requieren incrementar la estructura de gestión, lo que provoca el incremento de los costos, que en muchos casos una organización no puede permitirse. La disponibilidad de recursos y personal son uno de los principales modelos de la aplicación de los modelos de madurez.
  • En ocasiones ha ocurrido que una misma evaluación realizada por dos equipos de trabajo simultáneamente arroja resultados distintos, este tipo de inconsistencias son inaceptables.

Modelo de Madurez para la Gestión de Proyectos.

La gestión de proyectos puede ser definida, según Kerzner (2009), como la adecuada planificación, organización, dirección y control de los recursos de una empresa para el logro de objetivos específicos relativamente a corto plazo. En este aspecto difiere de la gestión de línea, la cual implementan técnicas administrativas durante todo el periodo de vida de la organización. Sin embargo, el último estado de todo modelo de madurez es la mejora continua, además, cada nivel del modelo pretende lograr objetivos específicos en periodos cortos de tiempo, en este sentido la gestión de proyectos puede ser adaptada en aquellas organizaciones que deseen implementar algún tipo de modelos de madurez, redundando en una gestión más efectiva.

La gestión de proyectos en sí misma posee su propio modelo de madurez, esto surge como necesidad a que los resultados obtenidos con la simple aplicación de técnicas de gestión de proyectos no fueron los esperados, según Kerzner (ibid.). Dicho autor propone un modelo clásico de madurez compuesto por cinco etapas o niveles como se puede observar en la Figura 10.

  • Nivel 1 - Lenguaje Común: En este nivel la organización reconoce la importancia de la gestión de proyectos y la necesidad de una buena comprensión de los conocimientos básicos al respecto, así como el adecuado manejo de su lenguaje y terminología.
  • Nivel 2 - Procesos Comunes: En este nivel la organización reconoce que los procesos comunes deben definirse y desarrollarse de tal manera que los éxitos de los actuales proyectos puedan ser repetidos en el futuro. Así como los principios de gestión de proyectos pueden ser aplicados a otros ámbitos y dar soporte a las metodologías empleadas por la organización.
  • Nivel 3 - Metodología Única: En este nivel la organización reconoce el efecto sinérgico de la combinación de todas las metodologías corporativas en una metodología cuyo centro es la gestión de proyectos. Los efectos sinérgicos también hacen más fácil el control de los procesos bajo el esquema de metodología única.
  • Nivel 4 - Benchmarking: Este nivel se reconoce la necesidad de realizar procesos de Benchmarking para mantener la ventaja competitiva. Se entiende por Benchmarking la comparación de las características propias de la organización con otras de similar o igual índole, según Kerzner (2009). La organización debe decidir contra quién y qué comparar.
  • Nivel 5 - Mejora Continua: En este nivel la organización evalúa la información obtenida mediante la evaluación comparativa o Benchmarking, debiendo decidir si esta información será implementada para mejorar su actual metodología única. El nivel 5 retroalimenta los niveles 3 y 4, debido a las continuas mejoras que se realizan a la metodología única.



Figura 10. Niveles del Modelo de Madurez Gestión de Proyectos. Adaptado por Kerzner (2009), p. 931

Modelo de madurez de contenido.

Entre los modelos de madurez para la gestión, Cameron (2011) propone el modelo ECM (Enterprise Content Management), o de gestión de contenido empresarial. Está basada en la gestión de la información en todas sus formas a través de una organización, esto debido a la premisa que las decisiones gerenciales están basadas en el conocimiento. Su objetivo es capturar, preservar y distribuir la información como un activo corporativo y de manera coherente, natural y reutilizable, así una organización puede mantener, mejorar y optimizar su inversión en conocimiento. Además ECM se enfoca en las estrategias, métodos y herramientas relacionadas con la gestión organizacional. 

El ámbito del Modelo de Madurez de Contenido componen, según Cameron (ibid.) los siguientes elementos:

  • La perspectiva empresarial, donde se describen todas las funciones de distribución, aplicación, publicación, adquisición de la organización, se centra en responder el cómo y dónde hacer.
  • El contenido describe todos los componentes de información, datos (estructurados y no estructurados), registros, reglas, tópicos y plantillas. Se preocupa por responder el qué hacer. El contenido evoluciona de simples datos, unidimensionales y abundantes, posteriormente son sintetizados en información, compleja y multidimensional, una vez asimilada la información esta se reduce una vez más para convertirse en conocimiento.
  • La gestión como disciplina, se preocupa por la comunicación, flujos de trabajo, la colaboración, interacción e intercambios de los actores que intervienen en dichos procesos. Se describe quién está involucrado en el ECM, y por qué y cuándo tales individuos interactuarán.
El modelo propuesto por Cameron (ibid.), consta de cinco etapas basadas mayormente en la competencia y no en la capacidad, por ejemplo, una persona o una gran multinacional poseen diferentes capacidades para la gestión de la información, sin embargo, ambos poseen un conjunto de habilidades que le permiten gestionar sus organizaciones. Las cinco etapas son: (1) Individuo; (2) Equipo; (3) Empresa; (4) Optimización; (5) Innovación.

El modelo es matricial, es decir, cada etapa mide tres dimensiones, tales como: (1) Las personas; (2) Los procesos y (3) Los sistemas, tal como lo muestra la Figura 11.


Figura 11. Modelo de Madurez de Contenido. Tomado y adaptado de Cameron (2011), p. 23.

Las etapas del modelo de madurez de contenido, según Cameron (ibid.), se describen a continuación:
  • Individuo: Es la perspectiva que posee un individuo propietario de la información y que está en control diario de la misma, ocupándose de los problemas de mantenimiento. Es común en organizaciones pequeñas donde el individuo puede llegar a ser más importante que los equipos de trabajo. Se caracteriza por un líder carismático con la autoridad de tomar decisiones en base a la información que sólo él posee, el uso de la información no es uniforme. La organización se torna en una colección de intereses individuales, existe una clara falta de innovación organizacional. Hay una gran cantidad de esfuerzo perdido y capacidad ociosa.
  • Equipo: Representa los grupos que, de forma espontánea, surgen dentro de la organización, bien sean equipos de trabajo o de proyectos. Se crean de manera ad-hoc. El conocimiento se comparte entre las personas, las cuales trabajan con fuentes comunes de información. Sin embargo se hace un esfuerzo en llevar dicha información a tales equipos para que pueda ser utilizada, además la calidad de la información es deficiente.
  • Empresa: Cuando la información se gestiona a nivel empresarial, se orienta a satisfacer las necesidades organizacionales de sus objetivos de negocio, midiendo la eficacia de los indicadores claves de rendimiento. Se incrementa el flujo y los canales de información, la organización se hace consciente del valor del contenido de la información, determinando dónde y cuál información es requerida para crear valor. Todavía carece de incentivos para la libre transferencia de conocimientos entre departamentos.
  • Optimización: En esta etapa la organización puede adoptar modelos de negocios y fuentes de información externas, una vez que se desarrollan estas habilidades para optimizar la adquisición de conocimiento, se está preparado para gestionar la fase final de innovación. Así la organización queda plenamente capacitada para la incorporación de nuevos modelos de negocios y de mecanismos para adoptar y optimizar nuevos procesos.
  • Innovación: El proceso de innovación continua ocurre dentro de la dinámica organizacional, todos sus componentes se optimizan y se adaptan al cambio. La innovación es la clave principal para el crecimiento, así la organización adquiere características proactivas que conducen al cambio, el objetivo final de toda organización es definir su mercado. 
Debido al carácter matricial del modelo ECM, según Cameron (ibid.), sus dimensiones son las siguientes:
  • Personas: Compuesto por múltiples factores, tales como los conocimientos, habilidades y destrezas que poseen, el adiestramiento, las relaciones interpersonales, las motivaciones así como el rendimiento. También forman parte de esta dimensión la cultura organizacional, el entorno colaborativo. 
  • Procesos: Los procesos están íntimamente relacionados con los objetivos de negocio de la organización, para lo cual se requiere de un continuo flujo de información, dicho flujo de información puede tomar diferentes formas, tales como: Políticas, normas, procedimientos, estándares, registros y demás proceso cotidianos cuya información fluye diariamente a través de toda la organización. 
  • Sistemas: Los sistemas están compuestos por hardware, software y demás aplicaciones creados para almacenar y gestionar la información. El alcance de los sistemas es muy amplia, desde archivos basados en papel hasta complejos sistemas y bases de datos electrónicas totalmente automatizadas. 

Análisis Gap.

Para evaluar la aplicación de un modelo de madurez en una organización, se ha desarrollado el análisis gap (diferencias o brechas), de esta forma mediante una serie de criterios establecidos se compara la situación presente con la situación deseada, además permite trazar las estrategias para alcanzar el estado deseado, según Al-Mayahi y Mansoor (2012). El análisis gap o de brechas permite a una organización comparar su desempeño actual con los estándares establecidos por el modelo de madurez. 

Análisis de los resultados obtenidos en la investigación documental.

Según la información recabada en la etapa de investigación documental expuesto en el marco teórico, se tiene: 
  • Los modelos de madurez deben ser flexibles, permitiendo a la organización adaptarse a ellos, además indican qué hacer, mas no cómo hacerlo, eso dependerá de la metodología propia desarrollada por cada organización en particular.
  • Los modelos de madurez buscan modificar la cultura organizacional mediante un proceso escalar de cinco pasos que incluye el desarrollo de actividades y la gestión de recursos en un tiempo determinado, estas son características de propias de la gestión de proyectos. De esta forma la aplicación de un modelo de madurez para la gestión de proyectos es fundamental para el éxito. El objetivo ulterior de todo modelo de madurez es lograr el desarrollo y mantenimiento de una metodología óptima de procesos dentro de la organización.
  • Las decisiones gerenciales están basadas en el conocimiento, sin éste es imposible tomar decisiones acertadas, además la metodología propia desarrollada por la organización, a través de la unificación de sus procesos, genera un conjunto de conocimientos que además de ser registrados, deben ser distribuidos en toda la organización para alcanzar el éxito deseado. Si dicho conocimiento no es compartido, se desaprovechará la sinergia del trabajo en equipo y la organización se hará dependiente de individualidades. 
  • Para evaluar el grado de cumplimiento de los enunciados de un modelo de madurez, se hace necesario aplicar un análisis gap o de brechas que permita establecer la situación presente de la organización, trazando las estrategias necesarias para alcanzar el estado deseado.

Referencias Bibliográficas

  • Anderson, R. (2008). Security Engineering: A Guide to Building Dependable Distributed Systems. (2ª Ed.). Indianapolis. Wiley Publishing Inc.
  • Andress, J. (2011). The Basics of Information Security Understanding the Fundamentals of InfoSec in Theory and Practice. EEUU. Elsevier Inc.
  • Calderón, A. (2011). Modelo de Madurez para la Calificación y Cuantificación del Riesgo Tecnológico en las Instituciones Bancarias de Venezuela. Trabajo de grado de Maestría no publicado. Universidad Católica Andrés Bello. Caracas. Venezuela.
  • Crosby, P. (1987). La Calidad no Cuesta. México. McGraw-Hill.
  • De Jong, A., Kolthof, A., Pieper, M., Tjassing, R., Van Der Veen, A., Verheijen, T. (2008). ITIL V3 Foundation Exam - The Study Guide. Scotland. Van Haren Publishing.
  • Hernández, F. (2011). Desarrollo de un Modelo de Madurez para las Contingencias y Recuperación de la Información en las Pequeñas y Medianas Empresas del Sector Salud en Venezuela. Trabajo de grado de Maestría no publicado. Universidad Católica Andrés Bello. Caracas. Venezuela.
  • Jaspe, H. (2011). Diseño de un Sistema de Seguridad para Redes de Datos del Ministerio del Poder Popular para la Educación. Trabajo de Especialización no publicado. Universidad Católica Andrés Bello. Caracas. Venezuela.
  • Kerzner, H. (2009). Project Management a Systems Approach to Planning, Scheduling and Controlling. (10ª Ed.). New Jersey. John Wiley & Sons, Inc.
  • Laudon, K. y Laudon J. (2008). Sistemas de Información Gerencial, Administración de la Empresa Digital. (10ª Ed.). México. McGraw-Hill.
  • Ortiz, L. (2012). Modelo de Gestión de los Procesos de Servicios de Tecnología de Información Basado en Librerías de Infraestructura de Tecnologías de Información (ITIL) para la Administración Pública Nacional. Trabajo de Maestría no publicado. Universidad Católica Andrés Bello. Caracas. Venezuela.
  • Software Engineering Institute. (2010). CMMI para Desarrollo, Versión 1.3. USA. Carnegie Mellon University.
  • Vacca, J. (2010).  Managing Information Security. USA. Elsevier.
  • Wheeler, E. (2011). Security Risk Management Building an Information Security Risk Management Program from the Ground Up. EEUU. Elsevier Inc.

Fuentes Electrónicas en Línea

  • Al-Mayahi, I., Mansoor, S. (2012). ISO 27001 Gap Analysis - Case Study. Recuperado en Noviembre 10, 2012 de http://elrond.informatik.tu-freiberg.de/papers/WorldComp2012/SAM9779.pdf
  • Cameron, S. (2011). Enterprise Content Management. A Business and Technical Guide. Swindon, United Kingdom. British Informatics Society Limited.
  • ISACA. (2012-b). A New Approach for Assessing the Maturity of Information Security. Recuperado en Octubre 31, 2012 de http://www.isaca.org/Journal/Past-Issues/2006/Volume-3/Documents/jpdf0603-A-New-Approach.pdf
  • ISATRP. (2012), Information Security Assurance Training and Rating Program, CMM Version 3.1. Recuperado en Octubre 22, 2012 de http://www.isatrp.org/IA-CMMv3_1.pdf
  • ISO27000.es. (2011). ISO2700. Recuperado en Junio 07, 2011, de http://www.iso27000.es/iso27000.html#section3a
  • ISSEA (2012), International Systems Security Engineering Association, Recuperado en Octubre 14, 2012 de http://www.issea.org
  • ITGI. (2007). CobiT 4.1, Marco de Trabajo, Objetivos de Control, Directrices Generales, Modelo de Madurez. Recuperado en Octubre 22, 2012 de http://www.isaca.org.
  • Lessing, M. (2012). Best Practices Show the Way to Information Security Maturity. Recuperado en noviembre, 03, 2012 de: http://researchspace.csir.co.za/dspace/bitstream/10204/3156/1/Lessing6_2008.pdf.
  • Phillips, M. (2012), Using a Capability Maturity Model to Derive Security Requirements, SANS Institute. Recuperado en Octubre 14, 2012 de http://www.sans.org/reading_room/whitepapers/bestprac/capability-maturity-model-derive-security-requirements_1005.
  • Rush, S. (2012). An Analysis of the Capability Maturity Model. Recuperado en Diciembre 16, 2012 de http://www.cs.fsu.edu/research/reports/TR-051221.doc.
  • Saleh, M. (2012). Information Security Maturity Model. Recuperado en noviembre, 03, 2012 de: http://www.cscjournals.org/csc/manuscript/Journals/IJCSS/volume5/Issue2/IJCSS-422.pdf.


Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)