FACULTAD DE INFORMATICA
UNIVERSIDAD COMPLUTENSE DE MADRID
INGENIERIA INFORMATICA
AUDITORIA INFORMATICA
Auditoria Informatica - Tema AI03 Analis y gestion de riesgos
1. AI03 AGR
AI03 1
Análisis y Gestión
de Riesgos TI
Mª Carmen Molina Prego
Pedro Luis García Repetto
Auditoría Informática
Grado Ingeniería Informática
DACYA – FDI – UCM
3. AI03 AGR
AI03 3
1 Introducción I
ISO/IEC 38500 Gobierno corporativo de las TI
Las decisiones de gobierno se fundamentan en el
conocimiento de los riesgos.
GRC: Marco equilibrado de Gobierno, gestión del
Riesgo y Cumplimiento
Gobernanza trata todos los riesgos, incluidos los TIC,
de una forma integral.
Confianza: 1. f. Esperanza firme que se tiene de
alguien o algo. (www.rae.es)
4. AI03 AGR
AI03 4
1 Introducción II
Conocer los riesgos para poder afrontarlos y
controlarlos.
Riesgo: estimación del grado de exposición a que una
amenaza se materialice sobre uno o más activos
causando daños o perjuicios a la organización
Análisis de riesgos: proceso sistemático para evaluar
la magnitud del riesgo a que está expuesta la
organización
Tratamiento o gestión de los riesgos: proceso
destinado a modificar el riesgo
Ausencia de incidentes
Confianza en que los
incidentes están bajo control
5. AI03 AGR
AI03 5
1 Introducción III
MAR
•Método de Análisis de Riesgos
PGR
•Proceso de Gestión de Riesgos
PAR
•Proyecto de Análisis de Riesgos
PS
•Plan de Seguridad
7. AI03 AGR
AI03 7
2 MAGERIT
2.1 MAR Método de Análisis de Riesgos
2.2 PGR Proceso de Gestión de Riesgos
2.3 PAR Proyecto de Análisis de Riesgos
8. AI03 AGR
AI03 8
2.1 MAGERIT- Método de Análisis de Riesgos
Análisis de riesgos: aproximación metódica para
determinar el riesgo
1 Activos y
su valor
2 Amenazas
sobre activos
3
Salvaguardas
4 Impacto
residual
5 Riesgo
residual
Riesgo e
impacto
potencial
9. AI03 AGR
AI03 9
2.1 MAGERIT- Método de Análisis de Riesgos
Análisis de riesgos potenciales 1
2
11. AI03 AGR
AI03 11
2.1 MAGERIT- Método de Análisis de Riesgos
Paso 1: Dependencias entre Activos
Grafos de dependencias: la seguridad de los activos
superiores depende de la seguridad de los inferiores
Dependencia: incidente de seguridad en un activo
afecta a los activos superiores
Amenaza: Materialización en un activo afecta a los
activos superiores
Activos se estructuran en capas donde las superiores
dependen de las inferiores
12. AI03 AGR
AI03 12
2.1 MAGERIT- Método de Análisis de Riesgos
Imagen – Reputación - Brand
13. AI03 AGR
AI03 13
2.1 MAGERIT- Método de Análisis de Riesgos
Paso 1: Dimensiones de los activos
Servicios
Finales
Internos
Externos
Dimensiones
Confidencialidad
Datos
Integridad
Datos
Disponibilidad
Servicios
Dimensiones
Autenticidad
Servicios-datos
Trazabilidad
Uso del servicio
Trazabilidad
Acceso datos
14. AI03 AGR
AI03 14
2.1 MAGERIT- Método de Análisis de Riesgos
Paso 1: Valor de los activos
¿Por qué nos
interesa un activo?
Por lo que vale
Valor propio
Valor acumulado:
se acumula hacia
abajo en el árbol de
dependencias de
activos
€
€€€€€€
€€
€€€
€€€€
€€€€€
15. AI03 AGR
AI03 15
2.1 MAGERIT- Método de Análisis de Riesgos
Paso 1: Valor de los activos
Valoración económica: €/$
MA Muy alto
A Alto
M Medio
B Bajo
MB Muy bajo
10 Extremo Daño extra grave
9 Muy Alto Daño muy grave
6-8 Alto Daño grave
3-5 Medio Daño importante
1-2 Bajo Daño menor
0 Desprec. Irrelevante
Valoración
cualitativa Valoración cuantitativa
16. AI03 AGR
AI03 16
2.1 MAGERIT- Método de Análisis de Riesgos
Paso 1: Valor del activo servicio
Coste de la (interrupción de la) disponibilidad
17. AI03 AGR
AI03 17
2.1 MAGERIT- Método de Análisis de Riesgos
Paso 2: Amenazas
Amenaza: Causa potencial de un incidente que puede
causar daños a un SI o a organiz. (UNE 71504:2008)
Amenaza: “cosas que ocurren” y afectan los a activos
18. AI03 AGR
AI03 18
2.1 MAGERIT- Método de Análisis de Riesgos
Paso 2: Valoración de Amenazas
Probabilidad: cuán probable o improbable es que se
materialice la amenaza
Degradación: cuán perjudicado resultaría (el valor)
del activo si se materializa una amenaza
19. AI03 AGR
AI03 19
2.1 MAGERIT- Método de Análisis de Riesgos
Paso 2: Valoración de Amenazas - Impacto
20. AI03 AGR
AI03 20
2.1 MAGERIT- Método de Análisis de Riesgos
Impacto potencial
Impacto potencial: medida
del daño sobre el activo
derivado de la
materialización de una
amenaza
Impacto acumulado: valor
acumulado y sus amenazas
Impacto repercutido: valor
propio y amenazas de
todos los activos de los que
depende
€
€€ Amenaza
€
Amenaza€
21. AI03 AGR
AI03 21
2.1 MAGERIT- Método de Análisis de Riesgos
Paso 2: Valoración de Amenazas - Riesgo
22. AI03 AGR
AI03 22
2.1 MAGERIT- Método de Análisis de Riesgos
Riesgo potencial
Riesgo: Probabilidad de que
una amenaza se materialice
en un activo provocando un
impacto
Riesgo potencial: medida del
daño probable sobre un activo
Riesgo acumulado: impacto
acumulado y Prob ( amenaza)
Riesgo repercutido: impacto
repercutido y Prob (amenazas)
€
€€ Amenaza
€
Impacto
acumulado
Impacto
repercutido
€ Amenaza
23. AI03 AGR
AI03 23
2.1 MAGERIT- Método de Análisis de Riesgos
Salvaguarda o contramedida o control: procedimientos
o mecanismos tecnológicos que reducen el riesgo
Paso 3: Salvaguardas
Seleccionar
salvaguardaTipo de
activo
Dimensión a
proteger
Amenazas
¿Existen
salvaguardas?
24. AI03 AGR
AI03 24
2.1 MAGERIT- Método de Análisis de Riesgos
Seleccionar salvaguarda: principio de proporcionalidad
Declaración de aplicabilidad (SOA): aplica o no aplica
Si no aplica: se justifica por qué no aplica
Paso 3: Salvaguardas
Proporcio-
nalidad
Valor
propio del
activo
Valor
acumulado
del activo
Probabilidad de
que ocurra una
amenaza
Riesgo
cubierto por
salvaguardas
existentes
25. AI03 AGR
AI03 25
2.1 MAGERIT- Método de Análisis de Riesgos
Paso 3: Efecto de las salvaguardas – Riesgo residual
26. AI03 AGR
AI03 26
2.1 MAGERIT- Método de Análisis de Riesgos
Paso 3: Tipos de salvaguardas
27. AI03 AGR
AI03 27
2.1 MAGERIT- Método de Análisis de Riesgos
Paso 3: Eficacia y madurez de las salvaguardas
28. AI03 AGR
AI03 28
2.1 MAGERIT- Método de Análisis de Riesgos
Vulnerabilidad: debilidad de los activos o de sus
salvaguardas que facilitan el éxito de una amenaza
potencial.
Vulnerabilidad: ausencia, ineficacia o funcionamiento
parcial de una salvaguarda.
Insuficiencia: la eficacia medida de una salvaguarda
es insuficiente para proteger el valor de un activo
expuesto a una amenaza.
Paso 3: Salvaguardas
29. AI03 AGR
AI03 29
2.1 MAGERIT- Método de Análisis de Riesgos
Con la implantación de la salvaguarda:
1. Se ha reducido el impacto desde un valor potencial
a un valor residual
2. El activo, su valor y sus dependencias no han
cambiado
3. Se ha reducido la magnitud de la degradación
Impacto residual
1. Acumulado sobre los activos inferiores
2. Repercutido sobre los activos superiores
Paso 4: Impacto residual
30. AI03 AGR
AI03 30
2.1 MAGERIT- Método de Análisis de Riesgos
Con la implantación de la salvaguarda:
1. Se ha reducido el riesgo desde un valor potencial
a un valor residual
2. El activo, su valor y sus dependencias no han
cambiado
3. Se ha reducido la magnitud de la probabilidad
Riesgo residual
1. Acumulado sobre los activos inferiores
2. Repercutido sobre los activos superiores
Paso 5: Riesgo residual
31. AI03 AGR
AI03 31
2.1 MAGERIT- Método de Análisis de Riesgos
MAR – Método de Análisis de Riesgos
Modelo de valor
Mapa de riesgos
SOA
Eval. salvaguardas
Insuficiencias
Estado del riesgo
32. AI03 AGR
AI03 32
2 MAGERIT
2.1 Método de Análisis de Riesgos
2.2 Proceso de Gestión de Riesgos
2.3 Proyecto de Análisis de Riesgos
33. AI03 AGR
AI03 33
2.2 MAGERIT- Proceso de Gestión de Riesgos
Calificar cada riesgo residual según si es:
1. Crítico: requiere atención urgente
2. Grave: requiere atención
3. Apreciable: se puede estudiar para su tratamiento
4. Asumible: no se toman acciones para atajarlo
1. Riesgo asumible
2. Impacto residual es asumible
3. Riesgo residual es asumible
Coste de la salvaguarda es desproporcionado frente
1. Al valor del activo a proteger
2. Al impacto y riesgo residual
34. AI03 AGR
AI03 34
2.2 MAGERIT- Proceso de Gestión de Riesgos
Decisiones de tratamiento de riesgos
35. AI03 AGR
AI03 35
2.2 MAGERIT- Proceso de Gestión de Riesgos
Se tratan los riesgos: zonas de riesgos
Zona 1: Gestionar
Zona 2: Gestionar y
monitorizar
Zona 3: Obviar
Zona 4: Reacción y
recuperación
36. AI03 AGR
AI03 36
2.2 MAGERIT- Proceso de Gestión de Riesgos
Opciones en el tratamiento de los riesgos
Eliminar la fuente del riesgos: No para información y
servicios. Ej. Cambio SO, cambio arquitectura, etc.
Mitigación del riesgo: Reducir la degradación o
probabilidad con nuevas salvaguardas
Compartir o transferir el riesgo: seguros o
contratación
Financiación: fondos de contingencia
37. AI03 AGR
AI03 37
2.2 MAGERIT- Proceso de Gestión de Riesgos
Análisis de
Riesgos
PLAN
ACT
CHECK
DO
39. AI03 AGR
AI03 39
2 MAGERIT
2.1 Método de Análisis de Riesgos
2.2 Proceso de Gestión de Riesgos
2.3 Proyecto de Análisis de Riesgos
40. AI03 AGR
AI03 40
2.3 MAGERIT- Proyecto de Análisis de Riesgos
Roles y funciones
Comité de seguimiento: RSERV, RINFO, RSIS y RSEG
Equipo de proyecto: RSIS y RSEG
Director del Proyecto: directivo alto nivel
Interlocutores: TI y gestión
Enlace operacional: entre equipo de proyecto y gestión
PAR – Proyecto de Análisis de Riesgos
42. AI03 AGR
AI03 42
3 PILAR
Descargar en www.ccn-cert.es e instalar
PILAR BASIC 5.2.3 – Modo trabajo–Lic. Temp. 30 días
Disponible Windows, unix, mac
Disponible es, en, ens
Análisis cualitativo
Guía de Seguridad de las TIC (CCN-STIC-470D)
Manual de Usuario PILAR versión 5.1
Ejemplos (*.mgr)
En la herramienta: Unidad administrativa biblioteca
En CCN-CERT:
Análisis de riesgos
Continuidad de operaciones
43. AI03 AGR
AI03 43
3 PILAR
Ejemplo AR
MAGERIT versión 2
Libro I – El Método
Anexo 7. Caso Práctico
PILAR: ejemplo_ens_mgr
Nivel: básico
44. AI03 AGR
AI03 44
3 PILAR
Enunciado I - Introducción
Administración electrónica
Pequeña ciudad en la que se prestan servicios
administrativos a los administrados:
Presencial (ventanilla)
Desplazándose a los locales del ayuntamiento
Servicio www
En Internet, en casa o fuera de la ciudad
Los avisos se reciben por e-mail
El sistema de información maneja expedientes
administrativos
45. AI03 AGR
AI03 45
3 PILAR
Enunciado II – Servicios internos
Los expedientes se almacenan localmente mientras
están abiertos
Hay una VPN a la capital de la provincia
Los expedientes se descargan cuando se
requieren
Los expedientes se remiten a la capital cuando
se cierran
La disponibilidad a largo plazo la proporcionan
en la capital
46. AI03 AGR
AI03 46
3 PILAR
Enunciado III – Servicios internos
La mensajería electrónica se usa asiduamente:
Coordinación interna
Anuncios a los administrados
Los mensajes se guardan en el servidor central
No hay mensajes almacenados en los PC
Enunciado III – Servicios externos
Gestión de expedientes por internet
Gestión de expedientes de manera presencial
49. AI03 AGR
AI03 49
3 PILAR
Proyecto AR con PILAR
D-Proyecto
A-Análisis de
riesgos
T-Tratamiento
(gestión) de
riesgos
R-Informes
E-Perfiles de
seguridad
50. AI03 AGR
AI03 50
3 PILAR
Proyecto AR con PILAR
(D) Definir el proyecto
(D.1) Datos del proyecto
(D.2) Dominios de seguridad: agrupación de activos
por ej. una sede, dependencia, delegación o CPD.
Usar: Dominio Base para la oficina local
51. AI03 AGR
AI03 51
3 PILAR
Proyecto AR con PILAR - A-Análisis de riesgos
A.1-Activos
A.1-Identificación activos
A.2-Clases de activos
A.3-Dependencias entre activos
A.4-Valoración de activos en ACIDT
A.2-
Amenazas
A.3-Impacto y
riesgo
52. AI03 AGR
AI03 52
3 PILAR
Proyecto AR con PILAR
(A) Análisis de riesgos - (A.1) Activos
(A.1.1) Identificación: Capa estándar de activos:
[B] Capa de negocio
[IS] Servicios internos
[E] Equipamiento
[SW] Aplicaciones
[HW] Equipos
[COM] Comunicaciones
[AUX] Elementos auxiliares
[SS] Servicios subcontratados
[L] Instalaciones
[P] Personal
53. AI03 AGR
AI03 53
3 PILAR
Proyecto AR con PILAR
(A) Análisis de riesgos - (A.1) Activos
(A.1.1) Identificación
(A.1.2) Clases de activos: propiedades de los
activos según las clases a las que pertenezcan.
Activo “Expedientes”
Clase esencial - información
Clase datos/información
adm: datos de interés
Per.M: datos carácter personal, nivel medio
Activo “Tramitación de expedientes”
Clase aplicaciones software
Sub: Desarrollo a medida
54. AI03 AGR
AI03 54
3 PILAR
Proyecto AR con PILAR
(A)Análisis riesgos - (A.2) Clases Activos - Servidor
Clase datos/información
conf: datos de configuración
log: registro de actividad
Clase aplicaciones/estándar
www: servidor de presentación
App: servidor de aplicaciones
Email: servidor de correo electrónico
File: servidor de ficheros
Av: antivirus
Clase aplicaciones/sistema operativo
Os: windows
55. AI03 AGR
AI03 55
3 PILAR
Proyecto AR con PILAR
(A)Análisis riesgos - (A.2) Clases Activos - Servidor
…./…
Clase aplicaciones/sistema operativo
Os: windows
Clase equipamiento informático
Mid: equipos medios
Data: almacena datos
Clase soportes de información/electrónicos
Disc: discos
Activo “Sala de equipos”
Clase Instalaciones
Local: cuarto
56. AI03 AGR
AI03 56
3 PILAR
Proyecto AR con PILAR
(A.1) Activos (A.1.3) Dependencias
57. AI03 AGR
AI03 57
3 PILAR
Proyecto AR con PILAR
(A) Análisis de riesgos - (A.1) Activos
(A.1.1) Identificación (A.1.2) Clases de activos
(A.1.3) Dependencias (A.1.3) Valoración activos
Se valoran los activos de la capa de negocio
(información y servicios) en las dimensiones A-CID-T:
Información: A, C, I y T
Servicios: A , D y T
Valoración cualitativa: Alta, Media o Baja
Sub escalas: A+,A,A- M+,M,M+ B+,B,B-
Visualizar: valor propio o acumulado (descendente)
58. AI03 AGR
AI03 58
3 PILAR
Proyecto AR con PILAR - A-Análisis de riesgos
A.1-Activos
A.2-Amenazas
A.2.1 Vulnerabilidades
A.2.2 Identificación
A.2.3 Valoración
A.3-Impacto y
riesgo
Cambio de ejemplo
Proyecto PILAR:
ejemplo_ens.mgr
59. AI03 AGR
AI03 59
3 PILAR
Proyecto AR con PILAR
(A) Análisis de riesgos - A.2 Amenazas - A.2.1 Vulnerabilidades
Criterios: entorno donde se encuentra los activos
Vulnerabilidades se implementan mediante criterios
que se asignan a los dominios (Ej. Dominio base):
Identificación atacante – Público en general
Identificación atacante – Personal interno
Motivación atacante – Competidor comercial
Motivación personal interno – Sobrecarga de trabajo
Conectividad del SI – Conectado a internet
Ubicación SI – zona segura (en casa)
60. AI03 AGR
AI03 60
3 PILAR
Proyecto AR con PILAR
(A) Análisis de riesgos - A.2 Amenazas - A.2.2 Identificación
Gestión automática de amenazas sobre cada activo según los
criterios asignados al dominio del activo. Ejemplos:
61. AI03 AGR
AI03 61
3 PILAR
Proyecto AR con PILAR
(A) Análisis de riesgos - A.2 Amenazas - A.2.3 Valoración
Las amenazas se valoran en dos dimensiones (Gestión automática):
Frecuencia de materialización. Por defecto por niveles: B-M-A-MA
Impacto: pérdida de valor del activo en cada dimensión A-CID-T.
62. AI03 AGR
AI03 62
3 PILAR
Proyecto AR con PILAR - A-Análisis de riesgos
A.1-Activos A.2-Amenazas
A.3-Impacto y riesgo
A.3.1 Impacto
A.3.2 Riesgo
Muestra por A-CID-T los
impactos y riesgos
potenciales que sufrirían
los activos si no se
aplican salvaguardas
63. AI03 AGR
AI03 63
3 PILAR
Proyecto AR con PILAR
(A) Análisis de riesgos - A.3 Impacto - A.3.1 Impacto
Impacto acumulado de amenazas sobre activos en A-CID-T
Impacto propio e impacto de activos hijos de los que depende
Valor acumulado del activo x Degradación por la amenaza
Impacto máximo es el valor del activo
64. AI03 AGR
AI03 64
3 PILAR
Proyecto AR con PILAR
(A) Análisis de riesgos - A.3 Impacto - A.3.2 Riesgo
Riesgo de la materialización de las amenazas en los activos
Riesgo = impacto * materialización de la amenaza
En la dimensión C hay un riesgo 5 (crítico) de que se
materialice la amenaza Acceso no autorizado en el activo
Expedientes
65. AI03 AGR
AI03 65
3 PILAR
Proyecto AR con PILAR - T-Tratamiento de riesgos
T.1 Fases del
proyecto
T.2 Salvaguardas
T.2.1 Identificación
T.22. Valoración
T.3 Impacto y riesgo residual
T.3.1 Impacto
T.3.2 Riesgo
Situación actual
Plan urgente a 3
meses
Plan de seguridad a
1 año
Objetivo a largo
plazo
66. AI03 AGR
AI03 66
3 PILAR
Proyecto AR con PILAR - T-Tratamiento de riesgos
T.2.1 Salvaguardas – T.2.2 Identificación
67. AI03 AGR
AI03 67
3 PILAR
Proyecto AR con PILAR - T-Tratamiento de riesgos
T.2.1 Salvaguardas – T.2.Valoración
68. AI03 AGR
AI03 68
3 PILAR
Proyecto AR con PILAR - T-Tratamiento de riesgos
T.3 I/R residual – T.3.1 Impacto residual
Por fases del proyecto: potencial (sin salvaguardas= A.3.1
impacto), actual, 3 meses, 1 año, objetivo final
Impacto residual va decreciendo según aumenta el nivel de
madurez de las salvaguardas aplicadas
69. AI03 AGR
AI03 69
3 PILAR
Proyecto AR con PILAR - T-Tratamiento de riesgos
T.3 I/R residual – T.3.1 Impacto residual
71. AI03 AGR
AI03 71
3 PILAR
Proyecto AR con PILAR - T-Tratamiento de riesgos
T.3 I/R residual – T.3.2 Riesgo residual
Por fases del proyecto: potencial (sin salvaguardas= A.3.2
riesgo), actual, 3 meses, 1 año, objetivo final
Riesgo residual va decreciendo según aumenta el nivel de
madurez de las salvaguardas aplicadas
72. AI03 AGR
AI03 72
3 PILAR
Proyecto AR con PILAR - I- Informes
Texto: Modelo de valor, amenazas, salvaguardas, análisis de
impacto, estado del riesgo y perfil de seguridad
Gráficos: Valor activos, salvaguardas, impacto y riesgo
Proyecto AR con PILAR - E- Perfiles de seguridad
UNE-ISO/IEC 27002:2009
RD 1720 Protección de datos de carácter personal
SP800-53 Controles de seguridad NIST
73. AI03 AGR
AI03 73
3 PILAR
Otros ejemplos
Ejemplo_ens: en PILAR
BICINET
TRABAJOS EN GRUPO
Definir una organización/empresa/negocio sencillo con
un único dominio y una sola capa
Con servicios internos (Correo, nóminas y pedidos)
Red LAN para usuarios
Cortafuegos y conexión ADSL a internet
Servidor WEB/Aplicación/BD
Realizar AR y obtener informes principales
75. AI03 AGR
AI03 75
4 BICINET
Venta bicis presencial e internet
Misión: comercio sostenible de bicicletas
Valores: ética y responsabilidad social
Sede: única en Cabárceno (Cantabria)
Oficinas personal para venta presencial y por internet
Sala con equipamiento informático
Servicio externos
Venta presencial
Venta por internet
Red social pública
Servicio internos
Gestión y promoción
del personal
Red social privada
Otros servicios
Internet, correo y almacenamiento nube, contingencia
76. AI03 AGR
AI03 76
4 BICINET
Infraestructura
Red área local, PC, servidor, cortafuegos, ADSL
Locales
Oficina y sala en edificio compartido con seguridad de
la comunidad.
Sala en ambiente oficina sin medidas especiales
Aplicaciones
Desarrollo propio con software libre
Acceso NIF/Contraseña sin políticas especiales
salvaguardas: esporádicas en el propio servidor
Personal
4 vendedores, 1 administrativo, 1 TIC, 1 gerente
77. AI03 AGR
AI03 77
4 BICINET
Activos y dependencias A.1.[1-3]
Depende de
D_BICIS
D_ADMIN
S_PRESENCIA
L
S_REMOTO
S_ADMIN
APLIC_BICIS
APLIC_ADMI
N
PC
LAN
SERVIDOR
ADSL
OFICINA
SALA
PERSVENTA
PERTIC
GERENTE
D_BICIS D D I I I I I I I D
D_ADMIN D I I I I I I D
S_PRESENCIAL D D D D I I D
S_REMOTO D D D D D D I D
S_ADMIN D D D D I I D
APLIC_BICIS D
APLIC_ADMIN D
PC D D I D
LAN D D D
SERVIDOR D D
ADSL D D
OFICINA D
SALA D
PERS VENTA
PER TIC
GERENTE
D: Dependencia directa
I: Dependencia indirecta
82. AI03 AGR
AI03 82
4 Bibliografía
administracionelectronica.gob.es
www.ccn.cni.es
Otras metodologías o estándares de AGR
CRAMM CCTA Risk Analysis and Management Method
ISO/IEC 27005 Information Security Risk Management
NIST 800-30 Risk Management Guide for ITS
NIST 800-37 Guide for Applying the Risk Managamente
Framework to Federal ITS
NIST 800-39 Managing Information Security Risk
OCTAVE Managing IS Risk – SEI Carnegie Mellon
ISACA RISK IT Gestión de Riesgos en TI
UNE 71504 Análisis y gestión de riesgos para los SI