Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI...
-
Upload
david-eliseo-martinez-castellanos -
Category
Technology
-
view
91 -
download
0
Transcript of Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI...
Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI.
.
1
Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI para la empresa “Exportadora Pacas”
Yanira Elizabeth Ascencio García
e-mail: [email protected]
Cecilia Verónica Cáceres Contreras e-mail: [email protected]
Celenia Evelyn González de Alvarenga e-mail: [email protected]
David Eliseo Martínez Castellanos e-mail: [email protected]
Boris Alexander Martínez Díaz e-mail: [email protected]
Luis Ernesto Pérez Figueroa e-mail: [email protected]
RESUMEN: Este es un caso de estudio el cual se
elaboró para la “Exportadora Pacas” usando el modelo del BMIS y los diez dominios para la seguridad en base a estos métodos se efectuó una evaluación diagnostica de la seguridad de la empresa el cual nos demostró el porcentaje obtenido en su seguridad e identificar aquellas que algún déficit con el fin de trabajarlas y mejorar su calidad. También fue elaborado el mapa de proceso basado en seguridad con el fin de poder documentar el proceso de la organización en seguridad así como el organigrama de esta
PALABRAS CLAVE: BMIS, Dominio de seguridad,
procesos y fichas.
1 INTRODUCCIÓN
El presente trabajo comprende el diseño de una
herramienta de evaluación diagnostica del estado de la seguridad en la empresa “Exportadora Pacas” y el diseño de un mapa de procesos para la implementación de un Sistema de Gestión de la Seguridad de La Información.
Ambas herramientas se basan en la integración de conceptos de seguridad provenientes de los 10 Dominios de Seguridad del CBK y del Modelo de Negocio para la Seguridad de la Información (BMIS, por sus siglas en inglés).
Se incluye la especificación de 3 procesos a través de sus respectivas fichas de proceso y el resultado de la aplicación de la herramienta de evaluación.
Todos estos aspectos mencionados son muy importantes para la organización ya que en la seguridad de la información se debe de tener la integridad, disponibilidad y confidencialidad.
2 PROBLEMA
2.1 DELIMITACIÓN Y PLANTEAMIENTO DEL
PROBLEMA
Con la presente investigación se pretende definir
procesos de seguridad, a través de un mapa de procesos, el cual es una forma gráfica de visualizar la gestión de la seguridad de la información en la Exportadora Pacas.
El mapa de procesos permite obtener una vista simplificada de cómo fluye la información a través de todas las áreas funcionales de la empresa identificando los puntos más críticos y vulnerables de la misma.
Gracias a esto se pueden empezar a definir estrategias y planes de contingencia que vayan encaminadas salvaguardar la información cuidando sus principios básicos como son: Integridad, Disponibilidad y Confidencialidad. Ficha de proceso
Para el presente estudio se han tomado 3 procesos que consideramos claves para elaborar un detalle de los mismos con el fin de identificar más a fondo los riesgos inherentes concernientes a la seguridad de la información.
Se presentaran tres fichas de procesos las cuales son:
- Gestión de la Documentación - Monitorear el Registro de Datos - Auditoria de la información
Cuestionario de evaluación.
También elaboraremos una guía metodológica basada en las 10 preguntas de Dominio para identificar el estado actual de la seguridad de la información de nuestra empresa de estudio.
Exportadora PACAS se dedican al cultivo y
procesamiento del café y su exportación fue fundada en 1991 y ha tenido un crecimiento constante desde esa fecha hasta la actualidad, debido a este crecimiento se ha tomado conciencia cada vez más, de lo importante que es
Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI.
.
2
mantener una adecuada gestión de la información ya que es una activo valioso que hoy por hoy, no están resguardando de la mejor forma basado en estándares y mejores prácticas reconocidas internacionalmente.
La empresa está invirtiendo en tecnología, pero al crecer y querer convertirse en la mejor exportadora de café, identifican que uno de sus Activos más valiosos que es la Información no se ha efectuado el tratamiento adecuado en cuanto a Seguridad. Por lo cual se considera oportuno contratar un servicio de consultoría de Gestión de la Seguridad de la Información para que le ayude a minimizar riesgos potenciales, identificar y mitigar vulnerabilidades y establece procesos y procedimientos para el adecuado tratamiento de la información.
2.2 JUSTIFICACIÓN DEL PROYECTO Para determinar el grado de madurez de la Gestión
de la Seguridad de la Información (GSI), en la organización analizada “Exportadora Pacas” en el caso de estudio, se ha realizado un análisis. Se ha utilizado como herramientas los 10 dominios de CBK por sus siglas en Ingles (Common Body of Knowledge) y BMIS por sus siglas en inglés (Business Model for Information Security) para elaborar una guía de autoevaluación.
Este documento permitirá identificar más
claramente de forma cuantitativa y cualitativamente la madurez de la organización en cuanto la GSI con la tabulación de los resultados de la guía de autoevaluación y la elaboración de un mapa de procesos de las actividades que involucran a la GSI además de un organigrama propuesto para el área GSI dentro de la organización sujeta de estudio.
2.3 OBJETIVOS
2.3.1 Objetivo General
Desarrollar un diagnóstico de la situación actual de la Gestión de la Seguridad de la Información basada en los dominios, tabular los resultados y cuantificarlos; así como elaborar un mapa de procesos referente a cómo debe estar enfocado un adecuado manejo de la información para la empresa Exportadora Pacas.
2.3.2 Objetivos Específicos
1) Elaborar una matriz de dominio de la información con al menos 5 preguntas por dominio y ponderar cada posible respuesta.
2) Luego de elaborar la matriz de domino, se deberá pasara a cada una de las personas que tienen que ver con el tema de la seguridad de la información, para que anoten sus consideraciones respecto del tema.
3) Obtener un resultado cuantificable de las respuestas de los encuestados, lo cual determinará de una forma clara y objetiva la situación actual se seguridad de la información vista desde dentro de la organización.
4) Elaborar un diagrama de mapa de procesos, en el cual se identifiquen los procesos y/o sub-procesos Críticos, Operacionales y de Apoyo correspondientes a la seguridad de la información y presentar a la Dirección de la empresa para tomar medidas de acción.
5) Con base a los procesos definidos o identificados de seguridad de la información, preparar las fichas correspondientes de los principales procesos.
3 MARCO TEORICO DE LA INVESTIGACIÓN
3.1 Dominios de la Seguridad Informática
1. Prácticas de Gestión de la Seguridad:
Identificación de los activos de una organización y desarrollo, documentación e implementación de políticas, estándares, procedimientos y guías.
2. Arquitectura y Modelos de Seguridad:
Conceptos, principios, estructuras y estándares empleados para diseñar, monitorizar y asegurar sistemas, equipos, redes, aplicaciones y controles usados para reforzar los diversos niveles de la disponibilidad, integridad y confidencialidad.
3. Sistemas y Metodología de Control de Acceso:
Conjunto de mecanismos que permiten crear una arquitectura segura para proteger los activos de los sistemas de información.
4. Seguridad en el Desarrollo de Aplicaciones y
Sistemas: Define el entorno donde se diseña y
desarrolla el software y engloba la importancia crítica del software dentro de la seguridad de los sistemas de información.
5. Seguridad de las Operaciones: Usado para
identificar los controles sobre el hardware, medios y los operadores y administrador con privilegios de acceso a algún tipo de recurso.
6. Criptografía: Los principios, medios y métodos de
protección de la información para asegurar su integridad, confidencialidad y autenticidad.
7. Seguridad Física: Técnicas de protección de
instalaciones, incluyendo los recursos de los sistemas de información.
8. Seguridad en Internet, Redes y
Telecomunicaciones: Incluye los dispositivos de
la red, los métodos de transmisión, formatos de transporte, medidas de seguridad y autenticación.
9. Recuperación ante Desastres y Planificación
de la Continuidad del Negocio: Dirige la
preservación del negocio en el caso de producirse situaciones de parada para la restauración de las operaciones.
10. Leyes, investigaciones y Ética: Engloba las
leyes y regulaciones de los crímenes informáticos, las técnicas y medidas de investigación, recuperación de evidencias y códigos éticos.
Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI.
.
3
3.2 Modelo de Negocios Para la Seguridad Informática
Los cuatro elementos del modelo son: 1. Diseño organizacional y estrategia: Una
organización es una red de personas, bienes y procesos interactuando entre sí con un rol definido y trabajando por una meta común. La estrategia de una empresa especifica sus metas y objetivos así como los valores y misiones a perseguir. Es su fórmula empresarial para el éxito. La estrategia debe adaptarse a factores internos como externos. El diseño establece cómo la organización implementa su estrategia.
2. Personas: Este elemento representa el recurso
humano y los problemas de seguridad que los rodean.
3. Procesos: Incluye los mecanismos formales e
informales de realizar el trabajo y provee un enlace vital a todas las interconexiones dinámicas.
4. Tecnología: El elemento de tecnología está
compuesto por las herramientas, aplicaciones e infraestructura que hacen que los procesos sean más eficientes.
Las interconexiones dinámicas son: 1. Gobernanza: Gobernanza es la dirección de la
empresa y demanda liderazgo estratégico, se asegura que los objetivos de la empresa son determinados y definidos, asegurándose que los riesgos son manejados apropiadamente y asegurándose que los recursos empresariales son utilizados responsablemente.
2. Cultura: Es un patrón de comportamientos,
creencias, asunciones, actitudes y formas de hacer las cosas. La cultura influye considerablemente en qué se considera información, cómo es interpretada y qué se hará con ella.
3. Habilitación y Soporte: Interconecta los elementos
de tecnología y proceso. Políticas, estándares y guías deben diseñarse para soportar las necesidades de negocio reduciendo o eliminando los conflictos de interés, permaneciendo flexibles a cambios en los objetivos de negocio y siendo aceptables y fáciles de seguir para las personas.
4. Surgimiento: Se refiere a los patrones que surgen
en la vida de la empresa y que aparentemente no tienen una causa obvia y cuyos efectos parecen imposibles de predecir y controlar.
5. Factor humano: Representa la interacción y la
brecha entre tecnología y personas y como tal, es crítico a un programa de seguridad de la información.
6. Arquitectura: La infraestructura de seguridad es una
encapsulación comprensiva y formal de las personas, procesos, políticas y tecnología que conforman las prácticas de seguridad empresariales.
4 DESARROLLO DEL CASO
4.1 Diseño de la Herramienta de Autoevaluación La herramienta de autoevaluación se diseñó sobre
la base de los 10 dominios de la Seguridad Informática, los elementos e interconexiones dinámicas del Modelo de Negocios para la Seguridad Informática (BMIS). El resultado fue un cuestionario que implementa la escala Likert para evaluaciones psicométricas. La Tabla 1 muestra las preguntas que conforman el cuestionario diseñado
No. Pregunta
Sistemas y metodologías para el control de acceso
1 En nuestra empresa el acceso a personas no
autorizadas está restringido.
2 En nuestra empresa las áreas restringidas están
debidamente señalizadas.
3 En nuestra empresa se lleva un registro del
ingreso de los visitantes.
4 El diseño organizacional de la empresa
considera metodologías de control de acceso.
5 El control de acceso es parte de la cultura
organizacional de la empresa.
6 Los procesos de la empresa se realizan de
forma óptima a pesar de los controles de
acceso.
Seguridad de las telecomunicaciones y redes
7 La empresa posee una cultura de
confidencialidad en las comunicaciones.
8 Los empleados se encuentran comprometidos
con la confidencialidad de la información de la
empresa.
9 La empresa cuenta con tecnología de
comunicaciones seguras.
10 La empresa cuenta con políticas normalizadas
de telecomunicaciones y redes.
11 Los usuarios de los servicios de red conocen las
normas de telecomunicaciones y redes.
Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI.
.
4
12 La empresa cuenta con adecuados
mecanismos de recuperación en caso de fallas
en los servicios de comunicaciones y redes.
Prácticas de administración de seguridad
13 Las políticas de seguridad esta divulgadas y son
respetadas por nuestros empleados cumpliendo
con nuestro valor de integridad.
14 la empresa tiene estratificada las áreas de
acceso con medidas de seguridad que impiden
que personal no autorizado ingrese a dichas
áreas.
15 la seguridad de la organización es debidamente
promovida a los empleados .
16 Todos los usuarios cambian las contraseñas de
red por lo menos 1 vez al mes.
17 se hacen respaldos de los sistemas críticos
todos de la compañía todos los días incremental
y una vez a la semana completo.
18 Siempre se hacen pruebas de restauración de
cada respaldo.
Seguridad en el desarrollo de aplicaciones y
sistemas
19 Se considera que existe concientización al
personal sobre el cumplimiento de los procesos
de desarrollo asignados.
20 Se puede afirmar que los procesos de desarrollo
de aplicaciones apoyan la estrategia de la
empresa.
21 Se considera que los programadores muestran
un comportamiento y actitudes de acuerdo con
los valores de la empresa.
22 Se garantiza que la empresa aplica una
adecuada metodología para el desarrollo de
aplicaciones y sistemas.
23 En nuestra empresa antes de poner en
producción un aplicativo o sistema se ha
realizado un exhaustivo control de calidad del
mismo con base a las mejores prácticas.
24 En la empresa únicamente los programadores
asignados tienen acceso a los programas
fuentes respectivas.
Criptografía
25 La información más crítica de la empresa se
asegura con métodos especiales
(criptográficos) para protegerla de amenazas.
26 Se utilizan técnicas especiales para
salvaguardar los documentos críticos de la
empresa, tales como formulas, recetas, planes
de contingencia, experiencias, etc.
27 La información que se trasmite entre las
diferentes fincas viaja de forma segura,
aplicando métodos y técnicas de encriptación.
28 La empresa utiliza algún tipo de encriptación
para proteger su información.
29 El tipo de encriptación que se usa para proteger
la telefonía IP es el más adecuado.
30 La empresa utiliza el tipo de encriptación
asimétrica para proteger sus archivos.
Arquitectura y modelos de seguridad
31 El modelo de seguridad de la empresa (planes
de evacuación, áreas señalizas, divulgación del
comité de emergencia, etc.) está vinculado a la
visión y misión de la empresa.
32 El comité de emergencia actúa según la misión
y la visión de la empresa.
33 Hay capacitaciones programadas para el
mejoramiento de la seguridad de la
organización.
34 Equipos semanalmente actualizados con las
últimas definiciones disponibles.
35 Los documentos son clasificados en función de
la sensibilidad de su información.
36 Los controles de monitoreo están debidamente
aplicados a la seguridad de la red establecidos
según la organización.
Seguridad de las operaciones
37 Todos los empleados cuentan con el equipo y
herramientas adecuadas necesarias para
realizar sus tareas dentro de la empresa de
forma segura.
Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI.
.
5
38 Se cuenta con toda la documentación de los
procesos y manuales de funciones
actualizadas.
39 Todo el empleado nuevo que se incorporan a la
empresa pasa por un adecuado y proceso de
inducción.
40 Todos los usuarios tienen un rol bien definido en
el sistema.
41 Se cuenta con un correcto manejo de
transacciones y nunca quedan transacciones
inconsistentes o incompletas.
42 se garantiza que cada usuario tiene acceso
únicamente a los sistema, módulos y opciones
a los cuales tienen derechos en virtud de sus
funciones dentro de la empresa.
Planeamiento de continuidad del negocio
43 Los empleados cuentan con el empoderamiento
necesario para tomar decisiones ante eventos
que afecten al continuidad del negocio.
44 Los empleados están comprometidos.
45 Los empleados están comprometidos a adquirir
nuevos conocimientos para hacer crecer la
organización.
46 La empresa cuenta con planes de recuperación
que garanticen la continuidad del negocio ante
eventos extremos (Terremoto, Incendio,
Inundación, etc.).
47 Los empleados conocen el plan de continuidad
del negocio y saben cómo actuar ante un evento
extremo (Terremoto, Incendio, Inundación,
etc.).
48 Los procesos de la empresa que requieren alta
disponibilidad están claramente identificados.
Leyes, investigaciones y ética
49 La organización está comprometida a cuidar del
medio ambiente y cuenta con certificaciones
que la avalan.
50 Se promueven los valores en la empresa para
mejor la calidad de vida de las personas.
51 Se innova en métodos y/o sistemas para
mejorar la productividad.
52 Estamos seguros que la información no es
divulgada ni filtrada bajo algún medio de la
organización.
53 Las leyes establecidas para la organización
están cumplidas debidamente.
54 El software utilizado por la empresa está
debidamente licenciado.
Seguridad física
55 Los empleados se sienten seguros en las
instalaciones de la compañía.
56 Los empleados pueden realizar su trabajo sin
que esto dañe o afecte su salud.
57 En la empresa se posee una cultura de
seguridad física tanto para el empleado como
para la información.
58 Cuenta la empresa con una infraestructura
adecuada para el DataCenter.
59 Actualizaciones recientes instaladas
frecuentemente a los servidores.
60 Ce cumplen los niveles temperatura
establecidos según la organización para el
DataCenter.
Tabla 1. Cuestionario de Evaluación Situación de la
Seguridad en Exportadora Pacas.
4.2 Aplicación de la Herramienta El cuestionario elaborado fue aplicado utilizando la escala Likert y puntajes siguientes: Muy de acuerdo = 5 puntos Algo de acuerdo = 4 puntos Ni en acuerdo ni en desacuerdo = 3 puntos Algo en desacuerdo = 2 Muy en desacuerdo = 1 Luego de realizar la evaluación, los resultados por dominio de seguridad de información se resumen en la tabla 2.
Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI.
.
6
Dominio Puntaje Obtenido Porcentaje con respecto al puntaje
máximo
Sistemas y metodologías para el
control de acceso
26 87%
Seguridad de las telecomunicaciones
y redes
25 83%
Prácticas de administración de
seguridad
26 87%
Seguridad en el desarrollo de
aplicaciones y sistemas
24 80%
Criptografía 18 60%
Arquitectura y modelos de seguridad 26 87%
Seguridad de las operaciones 27 90%
Planeamiento de continuidad del
negocio
22 73%
Leyes, investigaciones y ética 23 77%
Seguridad física 26 87%
Total 243 81%
Tabla 2. Resultados de la evaluación por dominio de seguridad de la información.
Los resultados se muestran gráficamente en la figura 2. Se observa el menor puntaje en el dominio de Criptografía y el mejor puntaje en el dominio de Seguridad de las Operaciones
Figura 2. Gráfico de los resultados obtenidos.
Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI.
.
7
5 ORGANIGRAMAS
5.1 Organigrama de la Organización
5.2 Organigrama de la Gerencia de Seguridad de la Información
Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI.
.
8
5.3 Mapa de procesos SGSI
5.4 Fichas de Procesos
5.4.1 Proceso Estratégico
Nombre del Proceso: Gestión de la Documentación
Ficha de proceso.
Ficha ID: PE0001____
Tipo de proceso: Estratégico Apoyo Operativo
Indicador del Proceso: Archivos almacenados
Descripción : Se encarga de garantizar que todos los documentos que se manejan en los procesos se traten de la manera más segura posible, para evitar errores o fugas de información en su flujo de negocio.
Responsable Técnico/ingeniero agrícola;
Clientes del Proceso: - Dirección - Compras - Inventarios
Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI.
.
9
Objetivo del proceso: Garantizar que los archivos electrónicos se almacenen de forma segura, que solo los usuarios autorizados tengan acceso, que se cuente con políticas de respaldo adecuadas, que se garantice la disponibilidad de los mismos, que no haya fugas de información o alteraciones de los mismos.
Proveedores.
Nombre Teléfono de contacto SLA (Si / No)
<nombre del proveedor de licencias de Microsoft Excel> XXXX-XXXX Si
Auditoria.
Fecha de Creación. Fecha de Verificación. Fecha de Aprobación.
26-02-2015 26-02-2015
f/nombre: Boris Martínez
5.4.2 Proceso Operativo
Nombre del Proceso:
Monitoreo de Registro de los Datos.
Ficha de proceso.
Ficha ID: PO0001____
Tipo de proceso:
Estratégico Apoyo Operativo
Indicador del Proceso:
Descripción :
Proceso utilizado para evaluar los registros que el receptor recibe del técnico del campo, el cual sirve para evaluar activos
y tomas de decisiones.
Responsable
Clientes del Proceso:
Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI.
.
10
Objetivo del proceso:
Es el monitoreo de los datos es el cuadre de la información digitada por el receptor versus la documentación manual del
técnico de campo que recopila en rondas de la finca.
Proveedores.
Nombre Teléfono de contacto SLA (Si / No)
Aldemaro Gonzalez + 503 7790-0990 Si
Auditoria.
Fecha de Creación. Fecha de Verificación. Fecha de Aprobación.
26-02-2015 26-02-2015
f/nombre:Luis Perez Figueroa
5.4.3 Proceso de Apoyo
Nombre del Proceso:
Auditoria de la Seguridad de la
Información
Ficha de proceso.
Ficha ID: PA0001______
Tipo de proceso:
Estratégico Apoyo Operativo
Indicador del Proceso:
Informes presentados.
Descripción :
Realizar evaluaciones trimestrales y cuando sea requerido por la alta Dirección a efecto de identificar riesgos,
vulnerabilidades y la efectividad de la gestión de la seguridad de la información, utilizando herramientas previamente
definidas, por lo que deberá realizar el programa de la Auditoria, plan de Auditoria, inicio de la Auditoria, revisión de la
documentación, actividades de auditoría in situ, así como la preparación, aprobación y distribución del informe resultado
de la visita y los respectivos seguimientos.
Verificar la efectividad y eficiencia de los controles establecidos para asegurar la confidencialidad, disponibilidad e
integridad de la información de la empresa Pacas, que incluye listas de control de acceso, bitácoras, configuraciones,
procedimientos de respaldos y custodia de la información, planes de contingencia, controles de seguridad física,
Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI.
.
11
autenticación, acceso, entre otros, teniendo como referencias la ISO 19011 Auditoria basada en procesos y la ISO/IEC
27002 controles de Gestión de la seguridad de la información.
Herramientas:
- Entrevistas
- Cuestionarios
- Software para análisis de vulnerabilidades
- otros
Características del Informe de auditoría:
- Completo, conciso y claro.
- Definir el objetivo de la auditoría
- Definir el alcance
- Fechas y lugares donde se realizó la auditoría
- Metodología aplicada en la Auditoría
- Hallazgos identificando conformidades y no conformidades
- Conclusiones de la Auditoría.
Responsable Ing. Celenia Evelyn Gonzalez
Clientes del Proceso:
Presidencia, Organización.
Objetivo del proceso:
Identificar debilidades, huecos de seguridad, que posibles atacantes puedan aprovechar para acceder a información
poniendo en riesgo la confidencialidad, disponibilidad e integridad y comprometiendo económica y legalmente a la
organización.
Proveedores.
Nombre Teléfono de contacto SLA (Si / No)
Auditoria.
Fecha de Creación. Fecha de Verificación. Fecha de Aprobación.
21-Febrero-2015 21-Febrero-2015 21-Febrero-2015
f/nombre: Ing. Eliseo Martínez
Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI.
.
12
6 CONCLUSIONES
Luego del ejercicio de evaluación de la empresa
Exportadora Pacas observamos un resultado mejor de lo que originalmente esperábamos en cuanto al nivel de madurez en seguridad de la información.
La percepción original que tuvimos sobre el nivel de madurez de la empresa se basó principalmente en la falta de documentación al respecto, sin embargo observamos que muchas medidas de seguridad han sido implementadas y que existe conciencia sobre el tema de seguridad, por lo que la recomendación de mejora es realizar la documentación apropiada de todas las acciones que ya han sido realizadas para mejorar la seguridad de la información
7 BIBLIOGRAFIA
An Introduction to the Business Model for
Information Security ISACA www.isaca.org
Los 10 dominios del (ISC)² CISSP CBK INFORC ECUADOR http://www.inforc.ec/los-10-dominios-del-isc%C2%B2-cissp-cbk/
Certificaciones Profesionales en Seguridad de la Información Ing. Reynaldo C. de la Fuente http://agesic.gub.uy/innovaportal/file/1065/1/Certificaciones_Profesionales_en_Seguridad_de_la_Informacion.pdf
Certified Information Systems Security Professional Wikipedia http://es.wikipedia.org/wiki/Certified_Information_Systems_Security_Professional