Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI.

.

1

Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI para la empresa “Exportadora Pacas”

Yanira Elizabeth Ascencio García

e-mail: ascencio80@gmail.com

Cecilia Verónica Cáceres Contreras e-mail: cecivec9@gmail.com

Celenia Evelyn González de Alvarenga e-mail: cegalvarenga@gmail.com

David Eliseo Martínez Castellanos e-mail: eliseo.martinez@gmail.com

Boris Alexander Martínez Díaz e-mail: bmartinezdiaz@gmail.com

Luis Ernesto Pérez Figueroa e-mail: lepf_luis@msn.com

RESUMEN: Este es un caso de estudio el cual se

elaboró para la “Exportadora Pacas” usando el modelo del BMIS y los diez dominios para la seguridad en base a estos métodos se efectuó una evaluación diagnostica de la seguridad de la empresa el cual nos demostró el porcentaje obtenido en su seguridad e identificar aquellas que algún déficit con el fin de trabajarlas y mejorar su calidad. También fue elaborado el mapa de proceso basado en seguridad con el fin de poder documentar el proceso de la organización en seguridad así como el organigrama de esta

PALABRAS CLAVE: BMIS, Dominio de seguridad,

procesos y fichas.

1 INTRODUCCIÓN

El presente trabajo comprende el diseño de una

herramienta de evaluación diagnostica del estado de la seguridad en la empresa “Exportadora Pacas” y el diseño de un mapa de procesos para la implementación de un Sistema de Gestión de la Seguridad de La Información.

Ambas herramientas se basan en la integración de conceptos de seguridad provenientes de los 10 Dominios de Seguridad del CBK y del Modelo de Negocio para la Seguridad de la Información (BMIS, por sus siglas en inglés).

Se incluye la especificación de 3 procesos a través de sus respectivas fichas de proceso y el resultado de la aplicación de la herramienta de evaluación.

Todos estos aspectos mencionados son muy importantes para la organización ya que en la seguridad de la información se debe de tener la integridad, disponibilidad y confidencialidad.

2 PROBLEMA

2.1 DELIMITACIÓN Y PLANTEAMIENTO DEL

PROBLEMA

Con la presente investigación se pretende definir

procesos de seguridad, a través de un mapa de procesos, el cual es una forma gráfica de visualizar la gestión de la seguridad de la información en la Exportadora Pacas.

El mapa de procesos permite obtener una vista simplificada de cómo fluye la información a través de todas las áreas funcionales de la empresa identificando los puntos más críticos y vulnerables de la misma.

Gracias a esto se pueden empezar a definir estrategias y planes de contingencia que vayan encaminadas salvaguardar la información cuidando sus principios básicos como son: Integridad, Disponibilidad y Confidencialidad. Ficha de proceso

Para el presente estudio se han tomado 3 procesos que consideramos claves para elaborar un detalle de los mismos con el fin de identificar más a fondo los riesgos inherentes concernientes a la seguridad de la información.

Se presentaran tres fichas de procesos las cuales son:

- Gestión de la Documentación - Monitorear el Registro de Datos - Auditoria de la información

Cuestionario de evaluación.

También elaboraremos una guía metodológica basada en las 10 preguntas de Dominio para identificar el estado actual de la seguridad de la información de nuestra empresa de estudio.

Exportadora PACAS se dedican al cultivo y

procesamiento del café y su exportación fue fundada en 1991 y ha tenido un crecimiento constante desde esa fecha hasta la actualidad, debido a este crecimiento se ha tomado conciencia cada vez más, de lo importante que es

Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI.

.

2

mantener una adecuada gestión de la información ya que es una activo valioso que hoy por hoy, no están resguardando de la mejor forma basado en estándares y mejores prácticas reconocidas internacionalmente.

La empresa está invirtiendo en tecnología, pero al crecer y querer convertirse en la mejor exportadora de café, identifican que uno de sus Activos más valiosos que es la Información no se ha efectuado el tratamiento adecuado en cuanto a Seguridad. Por lo cual se considera oportuno contratar un servicio de consultoría de Gestión de la Seguridad de la Información para que le ayude a minimizar riesgos potenciales, identificar y mitigar vulnerabilidades y establece procesos y procedimientos para el adecuado tratamiento de la información.

2.2 JUSTIFICACIÓN DEL PROYECTO Para determinar el grado de madurez de la Gestión

de la Seguridad de la Información (GSI), en la organización analizada “Exportadora Pacas” en el caso de estudio, se ha realizado un análisis. Se ha utilizado como herramientas los 10 dominios de CBK por sus siglas en Ingles (Common Body of Knowledge) y BMIS por sus siglas en inglés (Business Model for Information Security) para elaborar una guía de autoevaluación.

Este documento permitirá identificar más

claramente de forma cuantitativa y cualitativamente la madurez de la organización en cuanto la GSI con la tabulación de los resultados de la guía de autoevaluación y la elaboración de un mapa de procesos de las actividades que involucran a la GSI además de un organigrama propuesto para el área GSI dentro de la organización sujeta de estudio.

2.3 OBJETIVOS

2.3.1 Objetivo General

Desarrollar un diagnóstico de la situación actual de la Gestión de la Seguridad de la Información basada en los dominios, tabular los resultados y cuantificarlos; así como elaborar un mapa de procesos referente a cómo debe estar enfocado un adecuado manejo de la información para la empresa Exportadora Pacas.

2.3.2 Objetivos Específicos

1) Elaborar una matriz de dominio de la información con al menos 5 preguntas por dominio y ponderar cada posible respuesta.

2) Luego de elaborar la matriz de domino, se deberá pasara a cada una de las personas que tienen que ver con el tema de la seguridad de la información, para que anoten sus consideraciones respecto del tema.

3) Obtener un resultado cuantificable de las respuestas de los encuestados, lo cual determinará de una forma clara y objetiva la situación actual se seguridad de la información vista desde dentro de la organización.

4) Elaborar un diagrama de mapa de procesos, en el cual se identifiquen los procesos y/o sub-procesos Críticos, Operacionales y de Apoyo correspondientes a la seguridad de la información y presentar a la Dirección de la empresa para tomar medidas de acción.

5) Con base a los procesos definidos o identificados de seguridad de la información, preparar las fichas correspondientes de los principales procesos.

3 MARCO TEORICO DE LA INVESTIGACIÓN

3.1 Dominios de la Seguridad Informática

1. Prácticas de Gestión de la Seguridad:

Identificación de los activos de una organización y desarrollo, documentación e implementación de políticas, estándares, procedimientos y guías.

2. Arquitectura y Modelos de Seguridad:

Conceptos, principios, estructuras y estándares empleados para diseñar, monitorizar y asegurar sistemas, equipos, redes, aplicaciones y controles usados para reforzar los diversos niveles de la disponibilidad, integridad y confidencialidad.

3. Sistemas y Metodología de Control de Acceso:

Conjunto de mecanismos que permiten crear una arquitectura segura para proteger los activos de los sistemas de información.

4. Seguridad en el Desarrollo de Aplicaciones y

Sistemas: Define el entorno donde se diseña y

desarrolla el software y engloba la importancia crítica del software dentro de la seguridad de los sistemas de información.

5. Seguridad de las Operaciones: Usado para

identificar los controles sobre el hardware, medios y los operadores y administrador con privilegios de acceso a algún tipo de recurso.

6. Criptografía: Los principios, medios y métodos de

protección de la información para asegurar su integridad, confidencialidad y autenticidad.

7. Seguridad Física: Técnicas de protección de

instalaciones, incluyendo los recursos de los sistemas de información.

8. Seguridad en Internet, Redes y

Telecomunicaciones: Incluye los dispositivos de

la red, los métodos de transmisión, formatos de transporte, medidas de seguridad y autenticación.

9. Recuperación ante Desastres y Planificación

de la Continuidad del Negocio: Dirige la

preservación del negocio en el caso de producirse situaciones de parada para la restauración de las operaciones.

10. Leyes, investigaciones y Ética: Engloba las

leyes y regulaciones de los crímenes informáticos, las técnicas y medidas de investigación, recuperación de evidencias y códigos éticos.

Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI.

.

3

3.2 Modelo de Negocios Para la Seguridad Informática

Los cuatro elementos del modelo son: 1. Diseño organizacional y estrategia: Una

organización es una red de personas, bienes y procesos interactuando entre sí con un rol definido y trabajando por una meta común. La estrategia de una empresa especifica sus metas y objetivos así como los valores y misiones a perseguir. Es su fórmula empresarial para el éxito. La estrategia debe adaptarse a factores internos como externos. El diseño establece cómo la organización implementa su estrategia.

2. Personas: Este elemento representa el recurso

humano y los problemas de seguridad que los rodean.

3. Procesos: Incluye los mecanismos formales e

informales de realizar el trabajo y provee un enlace vital a todas las interconexiones dinámicas.

4. Tecnología: El elemento de tecnología está

compuesto por las herramientas, aplicaciones e infraestructura que hacen que los procesos sean más eficientes.

Las interconexiones dinámicas son: 1. Gobernanza: Gobernanza es la dirección de la

empresa y demanda liderazgo estratégico, se asegura que los objetivos de la empresa son determinados y definidos, asegurándose que los riesgos son manejados apropiadamente y asegurándose que los recursos empresariales son utilizados responsablemente.

2. Cultura: Es un patrón de comportamientos,

creencias, asunciones, actitudes y formas de hacer las cosas. La cultura influye considerablemente en qué se considera información, cómo es interpretada y qué se hará con ella.

3. Habilitación y Soporte: Interconecta los elementos

de tecnología y proceso. Políticas, estándares y guías deben diseñarse para soportar las necesidades de negocio reduciendo o eliminando los conflictos de interés, permaneciendo flexibles a cambios en los objetivos de negocio y siendo aceptables y fáciles de seguir para las personas.

4. Surgimiento: Se refiere a los patrones que surgen

en la vida de la empresa y que aparentemente no tienen una causa obvia y cuyos efectos parecen imposibles de predecir y controlar.

5. Factor humano: Representa la interacción y la

brecha entre tecnología y personas y como tal, es crítico a un programa de seguridad de la información.

6. Arquitectura: La infraestructura de seguridad es una

encapsulación comprensiva y formal de las personas, procesos, políticas y tecnología que conforman las prácticas de seguridad empresariales.

4 DESARROLLO DEL CASO

4.1 Diseño de la Herramienta de Autoevaluación La herramienta de autoevaluación se diseñó sobre

la base de los 10 dominios de la Seguridad Informática, los elementos e interconexiones dinámicas del Modelo de Negocios para la Seguridad Informática (BMIS). El resultado fue un cuestionario que implementa la escala Likert para evaluaciones psicométricas. La Tabla 1 muestra las preguntas que conforman el cuestionario diseñado

No. Pregunta

Sistemas y metodologías para el control de acceso

1 En nuestra empresa el acceso a personas no

autorizadas está restringido.

2 En nuestra empresa las áreas restringidas están

debidamente señalizadas.

3 En nuestra empresa se lleva un registro del

ingreso de los visitantes.

4 El diseño organizacional de la empresa

considera metodologías de control de acceso.

5 El control de acceso es parte de la cultura

organizacional de la empresa.

6 Los procesos de la empresa se realizan de

forma óptima a pesar de los controles de

acceso.

Seguridad de las telecomunicaciones y redes

7 La empresa posee una cultura de

confidencialidad en las comunicaciones.

8 Los empleados se encuentran comprometidos

con la confidencialidad de la información de la

empresa.

9 La empresa cuenta con tecnología de

comunicaciones seguras.

10 La empresa cuenta con políticas normalizadas

de telecomunicaciones y redes.

11 Los usuarios de los servicios de red conocen las

normas de telecomunicaciones y redes.

Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI.

.

4

12 La empresa cuenta con adecuados

mecanismos de recuperación en caso de fallas

en los servicios de comunicaciones y redes.

Prácticas de administración de seguridad

13 Las políticas de seguridad esta divulgadas y son

respetadas por nuestros empleados cumpliendo

con nuestro valor de integridad.

14 la empresa tiene estratificada las áreas de

acceso con medidas de seguridad que impiden

que personal no autorizado ingrese a dichas

áreas.

15 la seguridad de la organización es debidamente

promovida a los empleados .

16 Todos los usuarios cambian las contraseñas de

red por lo menos 1 vez al mes.

17 se hacen respaldos de los sistemas críticos

todos de la compañía todos los días incremental

y una vez a la semana completo.

18 Siempre se hacen pruebas de restauración de

cada respaldo.

Seguridad en el desarrollo de aplicaciones y

sistemas

19 Se considera que existe concientización al

personal sobre el cumplimiento de los procesos

de desarrollo asignados.

20 Se puede afirmar que los procesos de desarrollo

de aplicaciones apoyan la estrategia de la

empresa.

21 Se considera que los programadores muestran

un comportamiento y actitudes de acuerdo con

los valores de la empresa.

22 Se garantiza que la empresa aplica una

adecuada metodología para el desarrollo de

aplicaciones y sistemas.

23 En nuestra empresa antes de poner en

producción un aplicativo o sistema se ha

realizado un exhaustivo control de calidad del

mismo con base a las mejores prácticas.

24 En la empresa únicamente los programadores

asignados tienen acceso a los programas

fuentes respectivas.

Criptografía

25 La información más crítica de la empresa se

asegura con métodos especiales

(criptográficos) para protegerla de amenazas.

26 Se utilizan técnicas especiales para

salvaguardar los documentos críticos de la

empresa, tales como formulas, recetas, planes

de contingencia, experiencias, etc.

27 La información que se trasmite entre las

diferentes fincas viaja de forma segura,

aplicando métodos y técnicas de encriptación.

28 La empresa utiliza algún tipo de encriptación

para proteger su información.

29 El tipo de encriptación que se usa para proteger

la telefonía IP es el más adecuado.

30 La empresa utiliza el tipo de encriptación

asimétrica para proteger sus archivos.

Arquitectura y modelos de seguridad

31 El modelo de seguridad de la empresa (planes

de evacuación, áreas señalizas, divulgación del

comité de emergencia, etc.) está vinculado a la

visión y misión de la empresa.

32 El comité de emergencia actúa según la misión

y la visión de la empresa.

33 Hay capacitaciones programadas para el

mejoramiento de la seguridad de la

organización.

34 Equipos semanalmente actualizados con las

últimas definiciones disponibles.

35 Los documentos son clasificados en función de

la sensibilidad de su información.

36 Los controles de monitoreo están debidamente

aplicados a la seguridad de la red establecidos

según la organización.

Seguridad de las operaciones

37 Todos los empleados cuentan con el equipo y

herramientas adecuadas necesarias para

realizar sus tareas dentro de la empresa de

forma segura.

Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI.

.

5

38 Se cuenta con toda la documentación de los

procesos y manuales de funciones

actualizadas.

39 Todo el empleado nuevo que se incorporan a la

empresa pasa por un adecuado y proceso de

inducción.

40 Todos los usuarios tienen un rol bien definido en

el sistema.

41 Se cuenta con un correcto manejo de

transacciones y nunca quedan transacciones

inconsistentes o incompletas.

42 se garantiza que cada usuario tiene acceso

únicamente a los sistema, módulos y opciones

a los cuales tienen derechos en virtud de sus

funciones dentro de la empresa.

Planeamiento de continuidad del negocio

43 Los empleados cuentan con el empoderamiento

necesario para tomar decisiones ante eventos

que afecten al continuidad del negocio.

44 Los empleados están comprometidos.

45 Los empleados están comprometidos a adquirir

nuevos conocimientos para hacer crecer la

organización.

46 La empresa cuenta con planes de recuperación

que garanticen la continuidad del negocio ante

eventos extremos (Terremoto, Incendio,

Inundación, etc.).

47 Los empleados conocen el plan de continuidad

del negocio y saben cómo actuar ante un evento

extremo (Terremoto, Incendio, Inundación,

etc.).

48 Los procesos de la empresa que requieren alta

disponibilidad están claramente identificados.

Leyes, investigaciones y ética

49 La organización está comprometida a cuidar del

medio ambiente y cuenta con certificaciones

que la avalan.

50 Se promueven los valores en la empresa para

mejor la calidad de vida de las personas.

51 Se innova en métodos y/o sistemas para

mejorar la productividad.

52 Estamos seguros que la información no es

divulgada ni filtrada bajo algún medio de la

organización.

53 Las leyes establecidas para la organización

están cumplidas debidamente.

54 El software utilizado por la empresa está

debidamente licenciado.

Seguridad física

55 Los empleados se sienten seguros en las

instalaciones de la compañía.

56 Los empleados pueden realizar su trabajo sin

que esto dañe o afecte su salud.

57 En la empresa se posee una cultura de

seguridad física tanto para el empleado como

para la información.

58 Cuenta la empresa con una infraestructura

adecuada para el DataCenter.

59 Actualizaciones recientes instaladas

frecuentemente a los servidores.

60 Ce cumplen los niveles temperatura

establecidos según la organización para el

DataCenter.

Tabla 1. Cuestionario de Evaluación Situación de la

Seguridad en Exportadora Pacas.

4.2 Aplicación de la Herramienta El cuestionario elaborado fue aplicado utilizando la escala Likert y puntajes siguientes: Muy de acuerdo = 5 puntos Algo de acuerdo = 4 puntos Ni en acuerdo ni en desacuerdo = 3 puntos Algo en desacuerdo = 2 Muy en desacuerdo = 1 Luego de realizar la evaluación, los resultados por dominio de seguridad de información se resumen en la tabla 2.

Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI.

.

6

Dominio Puntaje Obtenido Porcentaje con respecto al puntaje

máximo

Sistemas y metodologías para el

control de acceso

26 87%

Seguridad de las telecomunicaciones

y redes

25 83%

Prácticas de administración de

seguridad

26 87%

Seguridad en el desarrollo de

aplicaciones y sistemas

24 80%

Criptografía 18 60%

Arquitectura y modelos de seguridad 26 87%

Seguridad de las operaciones 27 90%

Planeamiento de continuidad del

negocio

22 73%

Leyes, investigaciones y ética 23 77%

Seguridad física 26 87%

Total 243 81%

Tabla 2. Resultados de la evaluación por dominio de seguridad de la información.

Los resultados se muestran gráficamente en la figura 2. Se observa el menor puntaje en el dominio de Criptografía y el mejor puntaje en el dominio de Seguridad de las Operaciones

Figura 2. Gráfico de los resultados obtenidos.

Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI.

.

7

5 ORGANIGRAMAS

5.1 Organigrama de la Organización

5.2 Organigrama de la Gerencia de Seguridad de la Información

Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI.

.

8

5.3 Mapa de procesos SGSI

5.4 Fichas de Procesos

5.4.1 Proceso Estratégico

Nombre del Proceso: Gestión de la Documentación

Ficha de proceso.

Ficha ID: PE0001____

Tipo de proceso: Estratégico Apoyo Operativo

Indicador del Proceso: Archivos almacenados

Descripción : Se encarga de garantizar que todos los documentos que se manejan en los procesos se traten de la manera más segura posible, para evitar errores o fugas de información en su flujo de negocio.

Responsable Técnico/ingeniero agrícola;

Clientes del Proceso: - Dirección - Compras - Inventarios

Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI.

.

9

Objetivo del proceso: Garantizar que los archivos electrónicos se almacenen de forma segura, que solo los usuarios autorizados tengan acceso, que se cuente con políticas de respaldo adecuadas, que se garantice la disponibilidad de los mismos, que no haya fugas de información o alteraciones de los mismos.

Proveedores.

Nombre Teléfono de contacto SLA (Si / No)

<nombre del proveedor de licencias de Microsoft Excel> XXXX-XXXX Si

Auditoria.

Fecha de Creación. Fecha de Verificación. Fecha de Aprobación.

26-02-2015 26-02-2015

f/nombre: Boris Martínez

5.4.2 Proceso Operativo

Nombre del Proceso:

Monitoreo de Registro de los Datos.

Ficha de proceso.

Ficha ID: PO0001____

Tipo de proceso:

Estratégico Apoyo Operativo

Indicador del Proceso:

Descripción :

Proceso utilizado para evaluar los registros que el receptor recibe del técnico del campo, el cual sirve para evaluar activos

y tomas de decisiones.

Responsable

Clientes del Proceso:

Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI.

.

10

Objetivo del proceso:

Es el monitoreo de los datos es el cuadre de la información digitada por el receptor versus la documentación manual del

técnico de campo que recopila en rondas de la finca.

Proveedores.

Nombre Teléfono de contacto SLA (Si / No)

Aldemaro Gonzalez + 503 7790-0990 Si

Auditoria.

Fecha de Creación. Fecha de Verificación. Fecha de Aprobación.

26-02-2015 26-02-2015

f/nombre:Luis Perez Figueroa

5.4.3 Proceso de Apoyo

Nombre del Proceso:

Auditoria de la Seguridad de la

Información

Ficha de proceso.

Ficha ID: PA0001______

Tipo de proceso:

Estratégico Apoyo Operativo

Indicador del Proceso:

Informes presentados.

Descripción :

Realizar evaluaciones trimestrales y cuando sea requerido por la alta Dirección a efecto de identificar riesgos,

vulnerabilidades y la efectividad de la gestión de la seguridad de la información, utilizando herramientas previamente

definidas, por lo que deberá realizar el programa de la Auditoria, plan de Auditoria, inicio de la Auditoria, revisión de la

documentación, actividades de auditoría in situ, así como la preparación, aprobación y distribución del informe resultado

de la visita y los respectivos seguimientos.

Verificar la efectividad y eficiencia de los controles establecidos para asegurar la confidencialidad, disponibilidad e

integridad de la información de la empresa Pacas, que incluye listas de control de acceso, bitácoras, configuraciones,

procedimientos de respaldos y custodia de la información, planes de contingencia, controles de seguridad física,

Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI.

.

11

autenticación, acceso, entre otros, teniendo como referencias la ISO 19011 Auditoria basada en procesos y la ISO/IEC

27002 controles de Gestión de la seguridad de la información.

Herramientas:

- Entrevistas

- Cuestionarios

- Software para análisis de vulnerabilidades

- otros

Características del Informe de auditoría:

- Completo, conciso y claro.

- Definir el objetivo de la auditoría

- Definir el alcance

- Fechas y lugares donde se realizó la auditoría

- Metodología aplicada en la Auditoría

- Hallazgos identificando conformidades y no conformidades

- Conclusiones de la Auditoría.

Responsable Ing. Celenia Evelyn Gonzalez

Clientes del Proceso:

Presidencia, Organización.

Objetivo del proceso:

Identificar debilidades, huecos de seguridad, que posibles atacantes puedan aprovechar para acceder a información

poniendo en riesgo la confidencialidad, disponibilidad e integridad y comprometiendo económica y legalmente a la

organización.

Proveedores.

Nombre Teléfono de contacto SLA (Si / No)

Auditoria.

Fecha de Creación. Fecha de Verificación. Fecha de Aprobación.

21-Febrero-2015 21-Febrero-2015 21-Febrero-2015

f/nombre: Ing. Eliseo Martínez

Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI.

.

12

6 CONCLUSIONES

Luego del ejercicio de evaluación de la empresa

Exportadora Pacas observamos un resultado mejor de lo que originalmente esperábamos en cuanto al nivel de madurez en seguridad de la información.

La percepción original que tuvimos sobre el nivel de madurez de la empresa se basó principalmente en la falta de documentación al respecto, sin embargo observamos que muchas medidas de seguridad han sido implementadas y que existe conciencia sobre el tema de seguridad, por lo que la recomendación de mejora es realizar la documentación apropiada de todas las acciones que ya han sido realizadas para mejorar la seguridad de la información

7 BIBLIOGRAFIA

An Introduction to the Business Model for

Information Security ISACA www.isaca.org

Los 10 dominios del (ISC)² CISSP CBK INFORC ECUADOR http://www.inforc.ec/los-10-dominios-del-isc%C2%B2-cissp-cbk/

Certificaciones Profesionales en Seguridad de la Información Ing. Reynaldo C. de la Fuente http://agesic.gub.uy/innovaportal/file/1065/1/Certificaciones_Profesionales_en_Seguridad_de_la_Informacion.pdf

Certified Information Systems Security Professional Wikipedia http://es.wikipedia.org/wiki/Certified_Information_Systems_Security_Professional