1

Unidad 1: Fase 1- Planificación

Video explicativo https://youtu.be/Qn9cTnJaLXo

Jonathan Navia.
Javier Marmolejo Serrano.
Adrián Pastrana.
Roberth Rojas.
Cesar Daniel Rincon

Agosto 2017.

Universidad Nacional Abierta y a Distancia Unad.

Ingeniería de sistemas.
Fundamentos de seguridad informática
 2

Tabla de Contenidos

Preguntas desarrolladas ....................................................................................................... 3

1. ¿Describir con sus propias palabras qué es la seguridad informática? ¿Qué es seguridad

de la información? ¿Qué diferencia existe entre las dos? Generar un gráfico para explicar

de una forma más didáctica................................................................................................. 3

2. Describir con sus propias palabras qué función y características tienen: ¿COBIT, ITIL,

ISO27000, ISO 27001?, posteriormente generar una tabla comparativa entre las 4 normas

propuestas. .......................................................................................................................... 4

La serie de normas ISO 27000 ........................................................................................ 7

3. Determinar y describir cada uno de los conocimientos mínimos que requiere tener un

profesional en seguridad informática. ................................................................................. 9

4. ¿Qué es la seguridad física y la seguridad tecnológica? Incorporar gráficos en cada

explicación para que sea claro y preciso. .......................................................................... 11

5. ¿De qué trata la defensa en profundidad o más conocida como (DiD)? ....................... 12

6. ¿Cómo define un sistema de control de acceso? ¿Qué clases y tipo de controles

existen? Incorpore imágenes y costo de los controles de acceso que investiguen............ 15

7 ¿Cómo define un sistema de control de acceso? ¿Qué clases y tipo de controles existen?

Incorpore imágenes y costo de los controles de acceso que investiguen. ......................... 18

9. ¿A qué hacen mención con los black hackers y los White hackers? ............................ 21

10. ¿Es lo mismo un hacker a un delincuente informático? Debe generar un debate por lo

menos de media página sobre esta comparación. ............................................................. 21

Lista de referencias ........................................................................................................... 24

 3

Preguntas desarrolladas

1. ¿Describir con sus propias palabras qué es la seguridad informática? ¿Qué es

seguridad de la información? ¿Qué diferencia existe entre las dos? Generar un

gráfico para explicar de una forma más didáctica.

¿Qué es la seguridad informática?

Son los mecanismos que se puedan utilizar contra cualquier operación que altere el

buen funcionamiento y seguridad en un sistema informático y ayuden a minimizar la

vulnerabilidad de bienes y recursos de la organización.

¿Qué es seguridad de la información?

Es la preservación de la confidencialidad, la integridad y la disponibilidad de la

información, así como la definición del nivel de importancia que se desea brindar.

¿Qué diferencia existe entre las dos?

La seguridad de la información define el nivel de importancia que se le desea brindar

a la preservación de la confidencialidad, integridad y disponibilidad de la información,

todo esto dependiendo del tipo de información manejada se le puede conceder más o
 4

menos importancia a cada uno de estos pilares de la seguridad, a diferencia de la

seguridad informática, que define las medidas y controles a implementar para cumplir

con los objetivos de la seguridad de la información.

2. Describir con sus propias palabras qué función y características tienen: ¿COBIT,

ITIL, ISO27000, ISO 27001?, posteriormente generar una tabla comparativa entre

las 4 normas propuestas.

Cobit

Objetivos de Control para Información y Tecnologías Relacionadas (COBIT, en

inglés: Control Objectives for Information and related Technology).

Modelo de control y monitoreo de la tecnología de la información es una guía de

mejores prácticas presentada como un Framework (Marco de Trabajo).

 5

Abarca controles desde la perspectiva de los negocios.

Identifica los requerimientos de negocio en cuanto a la información como lo son:

 Efectividad

 Confidencialidad

 Integridad

 Disponibilidad

 Eficiencia

 Cumplimiento

 Confiabilidad

Permite gobernar y administrar de manera integral toda la empresa componentes

 Organización

 Procesos

 Personas

 Factores humanos

 Tecnología

 Cultura.

Cobit se divide en tres fases:

 6

 Dominios

 Procesos

 Actividades

Itil

Respalda a los servicios de TI para que estén alineados con las necesidades del negocio y

apoyen sus procesos centrales.

Proporciona métodos de control y mejoras para los servicios/productos

Fig.1: Diagrama de procesos de ITIL v2011.

Itil Foundation abarca cinco libros (Fases) en su versión ITIL V3:

 7

 Estrategia del Servicio

 Diseño del Servicio

 Transición del Servicio

 Operación del Servicio

 Mejora continua del Servicio

Y en su última versión ITIL 2011. Se incorporan cuatro nuevos procesos:

 gestión estratégica de servicios

 gestión de relaciones con el negocio

 coordinación del diseño y

 evaluación de cambios

La serie de normas ISO 27000

La serie ISO 27000 aglomera todas las normas de seguridad de la información, entre ellas

las normas ISO 27001 e ISO 27002.

ISO 27000 ISO/IEC 27000

ISO 27000: Es una especia de diccionario/vocabulario estandard para todas las normas de

la familia

ISO 27001 ISO/IEC 27001

 8

Se basa en un marco de trabajo para los Sistemas de información

Se enfoca en gestionar los requisitos de implementación para la solución de problemas de

seguridad.

Para establecer, supervisar, mantener y mejorar su Sistema de Gestión de Seguridad de la

Información realiza:

 Identificación de requisitos de seguridad.

 Evaluación sobre las amenazas de los activos de información.

 Identificación de factores de vulnerabilidad ante la probabilidad de una amenaza a

los activos.

 Análisis de impacto potencial de incidentes de SI.

 Evaluación de los riesgos de SI Seleccionar y aplicar controles de la SI. Controlar,

mantener y mejorar los controles de SI.

 9

3. Determinar y describir cada uno de los conocimientos mínimos que requiere tener

un profesional en seguridad informática.

El profesional de seguridad informática según, M. Farias-Elinos (2004), tiene como

principal responsabilidad de administrar y coordinar diariamente el proceso de seguridad

Informática de la institución donde labora.

Tiene como responsabilidad asegurar el buen funcionamiento del proceso de

Seguridad Informática de la institución. Debe ser el punto de referencia para todos los

procesos de seguridad y ser capaz de guiar y aconsejar a los usuarios de la institución

sobre cómo desarrollar procedimientos para la protección de los recursos de software y

hardware.

Una tarea clave para el OSI (Profesional de seguridad informática) es guiar al cuerpo

directivo y a la administración de la

Organización ante incidentes de seguridad mediante un Plan de Respuesta a incidentes,

con el fin de atender rápidamente este tipo de eventualidades.

El OSI es responsable de proponer y coordinar la realización de un análisis de

Riesgos formales en seguridad de la información que abarque toda la organización.

‰Es deber del OSI el desarrollo de procedimientos de seguridad detallados que

Fortalezcan la política de seguridad informática institucional.

‰El OSI debe ser miembro activo del grupo de seguridad de, y mantener contacto con

los OSI de otras organizaciones, estar suscrito a listas de discusión y de avisos de

seguridad.

‰Es responsabilidad del OSI promover la creación y actualización de las políticas

 10

De seguridad informática, debido al comportamiento cambiante de la tecnología

Que trae consigo nuevos riesgos y amenazas.

Es responsabilidad del OSI el desarrollo de un Plan de Seguridad de la Información.

El OSI debe atender y responder inmediatamente las notificaciones de sospecha de

un incidente de seguridad o de incidentes reales.

Es responsabilidad del OSI la elaboración de un Plan de respuesta a Incidentes de

Seguridad, con la finalidad de dar una respuesta rápida, que sirva para la investigación

del evento y para la corrección del proceso mismo.

El OSI debe crear una base de datos para el registro de incidentes en su red, la cual

debe poder ser accedida por los miembros del grupo de seguridad.

Es responsabilidad del OSI coordinar la realización periódica de auditorías a las

Prácticas de seguridad informática, así como, dar seguimiento al corto plazo de las

Recomendaciones que hayan resultado de cada auditoria.

El OSI debe ser el punto central dentro de la organización para la revisión de

Problemas de seguridad de la información existentes y de aquellos que se consideran

potenciales.

El OSI debe establecer la misión y metas internas en cuanto a la seguridad de la

Información, de acuerdo a la misión y metas organizacionales.

El profesional de seguridad informática según, M. Farias-Elinos (2004), debe contar

con el respaldo de los directivos de la organización, se recomienda que tenga un puesto

donde reporte directamente al director de Sistemas, Telemática o la entidad responsable

de los servicios de redes e informáticos de la Organización.

 11

Es prioritario que no sea una sola persona quien se encargue de la Seguridad, debe

ser apoyarlo por 2 técnicos que faciliten las labores del OSI, tambien se puede asignar

colaboradores técnicos en otros departamentos que tengan la responsabilidad de colaborar

con el OSI cuando éste lo requiera.

Es de suma importancia que las auditorias informáticas se lleven a cabo por un grupo

ajeno al OSI, de preferencia el departamento de Contraloría interna, Auditorias o algo

similar, de existir en la organización; en su defecto se contraten como servicio externo.

4. ¿Qué es la seguridad física y la seguridad tecnológica? Incorporar gráficos en

cada explicación para que sea claro y preciso.

La Seguridad Física Según, Villalón (2000), consiste en la "aplicación de barreras

físicas y procedimientos de control, como medidas de prevención y contramedidas ante

amenazas a los recursos e información confidencial". Se refiere a los controles y

mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios

de acceso remoto al y desde el mismo; implementados para proteger el hardware y

medios de almacenamiento de datos.

 12

La seguridad tecnológica según, Ianux (2009), se define como un conjunto de reglas,

planes y acciones que permiten asegurar la información contenida en uno o varios

sistemas de la empresa.

Pero para garantizar esta seguridad no es suficiente con un conjunto de software

avanzado capaz de proteger nuestra red, sino que la labor principal reside en la persona

física que administra el sistema, la cual debe ser capaz de analizar situaciones futuras y

tomar decisiones, previendo de esta forma posibles ataques, porque la mejor forma de

combatir al enemigo es anticipándose a sus movimientos.

5. ¿De qué trata la defensa en profundidad o más conocida como (DiD)?

La defensa en profundidad no deja la defensa en un solo sistema, sino que se basa

en varias barreras independientes que aportan a la seguridad global y se aplica en tres

ámbitos: el militar, el industrial y en la seguridad de los sistemas de información.

Existe un procedimiento para determinar las barreras que se deben instalar de

acuerdo a las amenazas y los bienes a proteger, para luego determinar el nivel de

gravedad de los incidentes de seguridad que son provocados por la superación de las
 13

barreras con el fin de agruparlas de acuerdo al nivel de gravedad, apareciendo así las

líneas de defensa.

El procedimiento debe combinar el enfoque deductivo, es decir los recursos, con

el inductivo, es decir las amenazas, de manera iterativa hasta que sea posible validar la

arquitectura con los medios de protección determinando los riesgos residuales calificando

el sistema estudiado.

Una barrera es un medio de seguridad capaz de proteger una parte del sistema de

información contra una amenaza, esta barrera pude ser humana, de procedimiento o

técnica, estática o dinámica, manual o automática.

Una línea de defensa es un conjunto de barreras y su superación provoca un

incidente cuya gravedad dependerá de la cantidad de barreras que queden por superar y

también depende del valor de los bienes protegidos.

La defensa en profundidad del sistema de información es una defensa global y

dinámica que coordina varias líneas de defensa cubriendo toda la profundidad del

sistema. Entendiendo el termino profundidad en la organización del sistema de

información, en su implementación y en las tecnologías implementadas.

 14

El concepto de defensa en profundidad obedece a seis grandes principios

generales: globalidad, coordinación, dinamismo, suficiencia, exhaustividad y

demostración.

En la globalidad la defensa debe ser global, lo que significa que engloba todas las

dimensiones del sistema de información. En la coordinación la defensa debe ser

coordinada, lo que significa que los medios implementados actúan gracias a una

capacidad de alerta y difusión, y tras una correlación de los incidentes. En el dinamismo

la defensa es dinámica, lo que significa que el sistema de información dispone de una

política de seguridad que identifica una capacidad de reacción, una planificación de las

acciones y una escala de gravedad. En la suficiencia la defensa debe ser suficiente, lo que

significa que cada medio de protección debe contar con una protección propia, un medio

de detección y los procedimientos de reacción. En la exhaustividad la defensa debe ser

completa, lo que significa que los bienes que deben protegerse se protegen en función de

su criticidad, que cada uno de estos bienes está protegido por tres líneas de defensa como

mínimo y se formaliza la experiencia adquirida y en la demostración la defensa debe ser

demostrada, lo que significa que se califica la defensa, que existe una estrategia de

homologación y la homologación acompaña el ciclo de vida del sistema de información.

Una forma gráfica de explicarlo mejor en el contexto de la seguridad en sistemas

de información es:
 15

6. ¿Cómo define un sistema de control de acceso? ¿Qué clases y tipo de

controles existen? Incorpore imágenes y costo de los controles de acceso que

investiguen.

Un control de acceso es un sistema que verifica la identidad de un usuario para

dar acceso a recursos físicos o lógicos de un sistema, usualmente un control de acceso

consta de tres componentes: un mecanismo de autenticación de la identidad, un

mecanismo de autorización y un mecanismo de trazabilidad.

Básicamente los controles de acceso se clasifican en dos tipos: sistemas de control

de acceso autónomos y en red, los autónomos son los que controlan una o más puertas sin

estar conectados a un PC o sistema central, estos no guardan registros de eventos, algunos

tampoco pueden limitar el acceso por horarios, mientras que los controles de acceso en
 16

red son sistemas integrados a un PC local o remoto, donde con ayuda de un software de

control, permite llevar un registro de todas las operaciones con fecha, hora, autorización,

entre otros.

También existen diferentes técnicas de identificación y autenticación definiendo

la identificación como la acción por parte del usuario de presentar su identidad a un

sistema usualmente con un identificador y la autenticación es la verificación de que el

usuario que trata de identificarse es válido usualmente con una contraseña, existen cuatro

técnicas de autenticación de la identidad del usuario:

1. Algo que solamente el individuo conoce: por ejemplo una contraseña.

2. Algo que la persona posee: por ejemplo una tarjeta magnética.

3. Algo que el individuo es y que lo identifica unívocamente: por ejemplo las

huellas digitales.

4. Algo que solo el individuo es capaz de hacer: por ejemplo los patrones de

escritura.

A esta autenticación se le puede aumentar la fortaleza añadiendo más factores

como pueden ser:

1 factor = contraseña

2 factores = contraseña + token

3 factores = contraseña + token + biometría

4 factores = contraseña + token + biometría + localización geográfica (GPS)

5 factores = contraseña + token + biometría + localización geográfica + perfil

de usuario
 17

Buscando en la red controles de acceso encontré los siguientes

Control De Acceso

Biométrico Tiempo Y

Asiste Alvis T5 Pro $458.900=

Llave Token Fado U2f Y

ubico Cubique Google

$175.000=
Facebook Twitter

Kit De Sistema De Control

De Acceso Raid Puerta +

280kg $373.990=

Control De Acceso Alvis

Vf30 Huella Clave Y

Tarjetas

$529.000=
 18

7 ¿Cómo define un sistema de control de acceso? ¿Qué clases y tipo de controles

existen? Incorpore imágenes y costo de los controles de acceso que investiguen.

Es un mecanismo de seguridad que nos permite realizar una identificación ya sea a

un usuario o sistema información con el fin validar o autenticar que ningún extraño tenga

acceso a los datos o recursos de una organización.

Básicamente los controles de acceso se clasifican en dos tipos:

a) Sistemas de Control de Acceso Autónomos: tipo de sistemas permiten el control

de puertas, horarios o identificación mediante claves o biometría.

b) Sistemas de Control de Acceso en Red: son sistemas que se integra mediante el

uso de un software que permite llegar un registro de todas las actividades

realizadas en un sistema.

CONTROLES DE ACCESOS
NOMBRE DESCRIPCIÓN COSTO IMAGEN
Cerradura electrónica
diseñada para instalar
tanto en hogares como
oficinas. La novedad
que ofrece Anviz con
este dispositivo de
biométrico L100 $ 399.000
seguridad, es que
permite abrir las puertas
tan solo un segundo
después de ser activado
por medio del toque de
un dedo del usuario
 19

Para continuar hablando

sobre biométricos,
enumeramos algunas
de las características
Face Pass Pro de nuestro producto $ 1.250.000
Face Pass Pro, especial
para el registro de
usuarios en base a la
captura de rostros

Biométrico de acceso
profesional, diseñado
para la seguridad de
pequeñas y medianas
empresas. Este sistema
se caracteriza
biométricos por contar con acceso a
879.900
Anviz VP30 través de tarjeta de
control, y además,
incorpora la opción de
identificación dactilar,
RFID, alarma, tiempo de
atención y las funciones
de control de asistencia

8. ¿Cuáles son los pilares de la seguridad informática? De un ejemplo de cada pilar.

Los pilares de la seguridad informática son los siguientes:

Integridad: es cuando la información no ha sufrido ninguna modificación no

autorizada y se mantiene igual desde su origen hasta su lectura. Por ejemplo, si a nivel de

bases de datos tengo información almacenada la cual no es integra, es decir, que por x o y

motivo tiene errores dado el mal manejo y/o tratamiento que se le ha dado a la misma,

como podemos esperar que nuestros clientes confíen en la misma.

 20

Confidencialidad: es la propiedad que impide la divulgación de información a

personas o sistemas no autorizados. Por ejemplo, para toda empresa la información que

reside en sus bases de datos empresariales y la cual es manejada a través de los diferentes

aplicativos que posee la empresa, lo cual la hace en algunos casos, sino se tienen o se

cuentan con la medidas preventivas, que la misma peligre o llegue a manos de personas

que le pueden dar un mal uso, hacerla llegar a competidores, los cuales podrían

aprovecharse de la misma.

Disponibilidad: cuando la información puede ser accedida y obtenida en completitud

en cualquier momento que se requiera, es decir, que la información sea accesible. Por

ejemplo, cuando que tenemos todo un sistema de información, el cual debe funcionar

24x7 y el mismo el día lunes, deja de funcionar, o no le permite el acceso a los usuarios

de la empresa, ya que la misma tuvo un ataque externo el cual debido a lo débil de la

seguridad implementada en la empresa, bloquea que los mismos administradores del

sistema puedan entrar a verificar el problema. La disponibilidad en este caso, adquiere un

significado importante, ya que tener un sistema que no podamos accederlo en el momento

que se necesita servicios del banco y de llegar a enterarse de que el banco no está

disponible debido a problemas de seguridad

 21

9. ¿A qué hacen mención con los black hackers y los White hackers?

White Hackers: conocidos como los hackers blanco, son los hackers éticos o son las

personas buenas en la, al contrario de los black hackers usan sus conocimientos para

buscar fallos en los sistemas con la intención de reforzarlos y protegerlos, y usan ahora

sus amplios conocimientos para ayudar a particulares y empresas.

Black Hackers: conocidos como los hackers negro son los más temidos de Internet,

dado que usan sus amplios conocimientos con fines malignos para vulnerar la seguridad

de los sistemas, crear virus, etcétera con algún fin oscuro y mayormente lucrativo sin

importarles las consecuencias causadas en la víctima.

10. ¿Es lo mismo un hacker a un delincuente informático? Debe generar un debate

por lo menos de media página sobre esta comparación.

El término “Hacker”, hace alusión una persona apasionada por el conocimiento en

profundidad de alguna técnica u oficio. También hace referencia al interés en llevar al

límite de su funcionamiento dispositivos de todo tipo o llevarlos a cumplir funciones para

las cuales no fueron creados originalmente. · No es correcto asociar este término a ningún
 22

tipo de señalamiento delincuencial, pues la actividad del Hacking no está concebida

como una actividad ilegal desde su principio conceptual. Desde el momento mismo en

que se diferencia Hacking de Hacking Ético, HACKING ETICO, es una actividad que

incluye diversos ataques a redes de computadores en ambientes controlados donde los

responsables de los sistemas a atacar han sido previamente informados y han autorizado

los mismos con el fin de establecer el estado de inseguridad de su sistema y conocer

detalladamente sus vulnerabilidades y que son practicados por profesionales en Seguridad

Informática. Un delincuente informático es aquella persona que tiene un perfil muy

similar a los expertos en hacking ético, pero que por razones diversas se dedican a servir

a organizaciones delincuenciales, la subversión o intereses económicos propios. Aquellos

que pertenecen a organizaciones delincuenciales, generalmente, se dedican al fraude

financiero, cuyas víctimas son entidades bancarias o aseguradoras, las cuales no

denuncian el delito, sino que hacen sus propias investigaciones, evitando que se conozca

lo sucedido para proteger su derecho al buen nombre. De otra parte, los que se encuentran

al servicio de la subversión se dedican a la extorsión, robando información de las

empresas y exigiendo dinero a sus víctimas para recuperar sus datos.

Los términos no se relacionan a una misma definición, el término hacker realmente

hace referencia a estudiar algo con mayor profundidad, no importa el área de

conocimiento, no solo en la informática, este ha sido un tema muy controversial donde la

misa RAE lo define como pirata informático pero actualmente se realizan muchas

peticiones para dar claridad a su significado y hacerlo más alusivo al estudio de las

diferentes tecnologías de información. Por el otro lado el delincuente informático es una

 23

persona que accede ilegalmente a la información para beneficiarse o afectar el

funcionamiento de una entidad o dispositivo, en el mundo se ha utilizado mucho la

palabra hacker para hacer referencia a actividades criminales debido al folclor que se

maneja en la sociedad donde hace que se controle más a las personas tergiversando lo que

realmente sucede, se han visto casos donde utilizan estos términos para favorecer

campañas políticas, afectarlas o desprestigiar entidades privadas y gubernamentales.

El delincuente informático se define si su actividad criminal es tipificada y ha

utilizado herramientas tecnológicas para llevar a cabo su objetivo, los casos más comunes

son la interceptación de cuentas bancarias y tarjetas de crédito para realizar compras o

transferencias no autorizadas, violación a la privacidad, y divulgación o destrucción de

información.
 24

Lista de referencias

CERT/CC (1998). Statistics. Recuperado de http: //www.cert.org/stats/cert_stats.html,

2004

M. Farias-Elinos (2003), Ma. C, Mendoza-Diaz & L. Gómez-Velazco. “Las Políticas de

Seguridad como Apoyo a la Falta de Legislación Informática”, Techno-Legal

Aspects of Information Society and New Economy: an Overview, Marzo 2003

HUERTA, Antonio Villalón. "Seguridad en Unix y Redes". Versión 1.2 Digital - Open

Publication License v.10 o Later. 2 de Octubre de 2000. http://www.kriptopolis.org

Ianux (2009). Seguridad tecnológica. Recuperado de

http://www.ianux.com/Seguridad%20Tecnologica

Muchohacker (2014). Ataques informáticos. Recuperado de: http://blog.segu-info.com.ar/

High Tech. (2015)¿Qué es un servidor proxy? ¿Cómo puedo configurar el servidor

proxy? Recuperado de: http://es.ccm.net/contents/297- servidores-proxy-y-servidores-de-

proxy-inversos

Todobytes (2011): Los 10 virus más destructivos de la historia. Recuperado de:

http://todobytes.es/2011/08/los-10-virus-informaticos-mas-daninos-de-la-historia/
 25

Rojas, C. I. S. (2009). Trabajo de auditoría normas COBIT. Argentina: El Cid Editor |

apuntes. Recuperado de:

http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?ppg=1&docID=10317

247&tm=1466006089973

López, M. Y. (2009). Los virus informáticos: una amenaza para la sociedad. Cuba:

Editorial Universitaria. Recuperado de:

http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?ppg=4&docID=10357

400&tm=1466006227313

Paredes, F. C. I. (2009). Hacking. Argentina: El Cid Editor | apuntes. Recuperado de:

http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?ppg=1&docID=10316

240&tm=1466006313060

Gómez, V. Á. (2014). Seguridad en equipos informáticos. España: RA-MA Editorial.

Recuperado de:

http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?ppg=13&docID=1104

6412&tm=1466006343174

Quintero, J. (2016). OVI Unidad1. Bogotá, Colombia: UNAD - Universidad Nacional

Abierta y a Distancia. Recuperado de http://hdl.handle.net/10596/9956

 26

Referencias bibliográficas complementarias

Escrivá, G. G., Romero, S. R. M., & Ramada, D. J. (2013). Seguridad informática.

España: Macmillan Iberia, S.A. Recuperado de:

http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?ppg=2&docID=10820

963&tm=1466006456772

Costas, S. J. (2014). Seguridad y alta disponibilidad. España: RA-MA Editorial.

Recuperado de:

http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?ppg=1&docID=11046

042&tm=1466006479002

Álvarez, M. G., & Pérez, G. P. P. (2004). Seguridad informática para empresas y

particulares. España: McGraw-Hill España. Recuperado de:

http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?ppg=1&docID=10498

593&tm=1466006497840

Modelo para el gobierno de las TIC basado en las normas ISO. (2012). España: AENOR

- Asociación Española de Normalización y Certificación. Recuperado de:

http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?ppg=1&docID=10637

138&tm=1466006518026