AUDITORIA DE SISTEMAS – TELECOMUNICACIONES Las telecomunicaciones pueden ser definidas como la serie de actividades electrónicas, eléctricas, y mecánicas que

permiten a la gente y a las máquinas comunicarse unas con otras no importando las distancias. Los siguientes tres tipos de comunicaciones son facilitadas por las telecomunicaciones:
. Persona a persona. . Persona a máquina. . Máquina a máquina. Frecuentemente, las telecomunicaciones son consideradas sólo en términos de la tecnología que respalda las comunicaciones, tales como modems, multiplexores, computadoras y terminales; sin embargo, el sistema total es algo más que simplemente la interconexión de sus componentes. La gente, las políticas, los procedimientos y las prioridades son tan críticos como la tecnología en la composición de un efectivo sistema de comunicaciones. En el pasado, las telecomunicaciones estaban limitadas a la interconexión de dos sistemas. Con el advenimiento de los sistemas de procesamiento en línea, distribuido y cooperativo, el enlace de las telecomunicaciones ha pasado a ser una parte integral de la aplicación misma. Cuando la aplicación es crítica, el enlace o infraestructura de las telecomunicaciones es también crítico. El propósito de este módulo es identificar los temas de auditoría relacionados con los sistemas de telecomunicaciones; concentrándose en los riesgos y controles de cada componente. Cada capítulo comienza con una discusión técnica básica y continúa relacionando los temas técnicos de riesgos y consideraciones de control. COMPONENTE DEL AMBIENTE DE TELECOMUNICACIONES. El costo de comunicación para una organización puede ser significativo. Los gastos típicos de comunicaciones incluyen lo siguiente: . Las instalaciones de transmisión - Líneas telefónicas con fórmulas de valuación fijas. - Satélite y canales de microonda. - Radio de canal fijo y celular (Instalaciones de comunicaciones limitadas por una distancia (radio) determinada). - Fibra óptica, cable de cobre, cable coaxial y cable de par trenzado. . Equipo - Terminales. - Modems (Modulador - Demodulador). - Controladores. - Equipo de conmutación. - Cableado local. - Centros de control de la red. - Convertidores de protocolo. - Puentes. - Puertas de acceso. . Software - Paquetes de Seguridad. - Programas de cifrado (criptografiado) / descifrado. - Software de monitoreo de la red. - Software de control de la red. - Software de conversión de protocolos. - Software de administración de la red (Eje., administración de activos, facturación)

. Personal - Técnicos. - Instaladores. - Equipo técnico de control de la red. - Equipo técnico (personal) de escritorio de ayuda al usuario. - Analistas de la red. - Operadores de Intercambio Privado de Ramificación (PBX).

AUDITORIA DE SISTEMAS -TELECOMUNICACIONES RIESGOS Y CONTROLES
Las aplicaciones se hacen disponibles a los usuarios mediante una red de telecomunicaciones, y los vínculos o nexos de las telecomunicaciones pueden ser una parte integral de una aplicación usando el procesamiento distribuido o cooperativo. Los controles requeridos en la red dependen tanto del tipo de aplicaciones que soporta la red, como del tipo de organización de los servidores de la red. Los riesgos de las aplicaciones incluyen acceso no autorizado a los datos confidenciales, manipulación maliciosa de datos, interrupción de operaciones de negocio, e información inexacta o incompleta. Las aplicaciones que son en línea , altamente interactivas y caracterizadas por tiempos de respuesta rápido, comúnmente requieren controles adicionales de telecomunicaciones. Durante el análisis de la red, una variedad de riesgos tiene que ser manejados, incluyendo lo siguiente: . Los costos de la red pueden ser demasiado altos para la actividad del negocio. . Los costos de operación de la red no pueden ser totalmente proyectados al tomar la decisión del negocio. . La red puede no ser entregada de una manera oportuna, causando costos excesivos y pérdidas en el negocio. . La red puede no apoyar la actividad del negocio o no ser fácil de usar. Los riesgos asociado con el área del transporte y el porteador en la actividad de las telecomunicaciones, incluyen lo siguiente: . La no disponibilidad de servicio o la pérdida de datos pueden interrumpir negocios y dañar, destruir, o desconectar los medios de transmisión. Tales riesgos pueden ser mitigados protegiendo físicamente las instalaciones de comunicaciones, incluyendo las áreas por donde los circuitos entran en el local. Los medios de transmisión deben ser controlados y probados para evitar degradación del servicio. . Los riesgos financieros asociados con el reemplazo del equipo, deben ser interpretados por técnicos calificados. Los negocios perdidos pueden ser el resultado de una falla de los medios de comunicaciones; que priva a la administración de la información requerida para tomar las decisiones adecuadas. Muchos de los riesgos que causan la perdida de negocios, pueden ser mitigados por un bien probado plan de recuperación de desastres. . La facturación del porteador puede ser incorrecta debido a la complejidad de los procedimientos de tarifas y a los procedimientos de facturación usados por los porteadores.

Para mitigar tales riesgos, todos los circuitos deben ser exactamente inventariados y las facturas y ordenes de cargo reconciliadas sobre una base periódica. . Los riesgos de obsolescencia están relacionados con la conveniencia de los servicios de transmisión para las necesidades del negocio y la capacidad para respaldar los diversos componentes de la red. Para mitigar estos riesgos de obsolescencia, la organización debe desarrollar cuidadosamente un plan estratégico integrado a largo plazo. Un riesgo clave para una red son los usuarios no autorizados que logran acceso a la red y tratan de ejecutar aplicaciones o autorizar usuarios para conseguir acceso a las aplicaciones para las cuales ellos no están autorizados. Los riesgos generales planteados para una red, por un usuario no autorizado, incluyen el uso no autorizado de los recursos de la red para transportar datos, modificaciones o eliminación de datos, revelación de información y uso de los recursos de la red para negar la utilización legítima de los servicios. Los controles incluyen lo siguiente: . Seguridad física de la red, para evitar que los usuarios estén accediendo físicamente a los dispositivos y medios de transmisión de la red. . Seguridad de acceso lógico, para evitar a los usuarios no autorizados utilizar la red una vez que ellos estén conectados físicamente a la misma. Hay también riesgos y controles de acceso; asociados con usuarios que utilizan redes conmutadas públicas para conmutar en una red. Los diferentes tipos de conexiones, sus riesgos asociados y los controles relacionados incluyen lo siguiente: . Usar modems sincrónicos en lugar de modems asincrónicos para conectar a la red los dispositivos de protección de puerto, reduce el riesgo de acceso no autorizado. . Las redes conectadas a la red de conmutación pública de teléfonos tienen un mayor riesgo de acceso no autorizado, porque cualquier usuario con el equipo adecuado puede intentar conectarse a la red. Los riesgos pueden ser reducidos manteniendo confidenciales los números de teléfono, usando dispositivos de supresión de tono en puertos y limitando la disponibilidad de la red a ciertas horas del día. . Las redes conectadas a una red de conmutación pública de información, también tienen un gran riesgo de acceso no autorizado, debido a que las listas publicadas de números de teléfono son fácilmente disponibles a los usuarios que pueden intentar conectarse a la red. Estos riesgos pueden ser reducidos con el uso de servicios que requieran la verificación de autorización, limitando el acceso para un subconjunto de ubicaciones de la red y desconectando usuarios después un número específico de códigos de identificación incorrectos. La administración de cambios implica la aprobación, el desarrollo, la prueba y la documentación de los cambios a una red. Los riesgos y los controles asociados con la administración de cambios incluyen lo siguiente: . Los cambios inexactos o no autorizados - Los procedimientos de autorización de cambios adecuados aseguran un adecuado nivel de prueba de la unidad y del sistema. En ciertas situaciones, independientemente, la administración de terceras personas para la revisión de los cambios puede ser conveniente. . La incapacidad para aislar fallas - Los inventarios precisos deben ser guardados, los umbrales de desempeño deben ser establecidos y las pista de auditoría e información histórica deben ser registradas precisamente. . Las inconsistencias e incompatibilidad entre componentes - La arquitectura de la red

debe centrarse en la conectividad y un proveedor debe ser contratado para cada componente específico. Los proveedores deben ser administrados; para protegerse contra la degradación del servicio y las demoras en la resolución de problemas. En conclusión podemos resumir :
LOS CONTROLES DEPENDEN DE : TIPO DE APLICACIÓN TIPO DE ORGANIZACIÓN DE LOS SERVIDORES RIESGOS DE LAS APLICACIONES: .- ACCESOS NO AUTORIZADOS a los datos confidenciales, MANIPULACIÓN MALICIOSAS, INTERRUPCION DE OPERACIONES DE NEGOCIOS,. .- LAS APLICACIONES QUE SON EN LINEA , ALTAMENTE INTERACTIVAS Y NECESIDAD DE EXCELENTES TIEMPOS DE RESPUESTA NECESATAN CONTROLES ADICIONALES. DURANTE EL ANÁLISIS DE LA RED SE DEBE VERIFICAR LOS SIGUIENTES RIESGOS; .- COSTOS: .- TRANSPORTE: .- OBSOLESCENCIA .- USUARIOS NO AUTORIZADOS. CONTROLES: SEGURIDAD FÍSICA: ACCESO FISICO A LOS DISPOSITIVOS SEGURIDAD LOGICA: ACCESO A LA RED UNA VEZ CONECTADOS FÍSICAMENTE.

CONSIDERACIONES DE AUDITORIA En el comienzo de la auditoría, el auditor interno debe determinar el propósito del negocio con la red, ya que este puede ayudar a definir los componentes que representan el mayor riesgo. Algunas de las fuerzas importantes que conducen el uso de las redes de telecomunicaciones incluyen servicio al cliente, informes financieros, administración de procesos, generación de utilidades y comunicación interna en la organización. Una red de telecomunicaciones también puede otorgar una ventaja estratégica a una organización. Un siguiente paso lógico en la planeación de los objetivos y el alcance de una auditoría de telecomunicaciones es determinar quien debe ser entrevistado. Los candidatos para las entrevistas de auditoría incluyen los siguientes: . El administrador o gerente de telecomunicaciones, quien comúnmente controla los aspectos planificadores, presupuestaríos y operacionales de comunicaciones. . El administrador o gerente de la red, quien típicamente administra el personal y el equipo. . El administrador o gerente de voz, quien administra el equipo telefónico, el informe de llamadas, la facturación, instalación de teléfonos, etc. . El administrador o gerente de aplicaciones de comunicaciones, quien es responsable de hacer los requerimientos funcionales de las aplicaciones en la realidad técnica. Las funciones y las responsabilidades de estas posiciones pueden ser combinadas o distribuidas sobre uno o varios miembros del personal.

El auditor interno puede más fácilmente establecer el alcance de la auditoría utilizando un mapa de la red. Un mapa de la red debe mostrar el tramo geográfico de la red, las ubicaciones de los sitios de mayor procesamiento e instalaciones del usuario, hardware de procesamiento principal y software de aplicaciones, vínculos o nexos de la red, capacidad de la línea y el tipo de información transmitida. Un mapa de la red puede ser tan complejo y detallado como un esquema de ingeniería o como un diagrama de localizaciones de averías electrónicas, pero inicialmente debe ser mantenido al nivel más alto de detalle. Una variedad de técnicas puede ser usada para verificar la existencia de controles adecuados en el entorno de las telecomunicaciones. Estas incluyen las siguientes: . La revisión de la dirección y administración de las telecomunicaciones, particularmente las políticas y procedimientos de telecomunicaciones de la organización. . Verificación de la integridad de la red y procedimientos de monitoreo, tales como informes de incidentes y medición del tiempo de respuesta. . Revisión del software de la red y la seguridad de acceso; en áreas como el dial-in y el software de diagnóstico y monitoreo. . Revisión de los procedimientos de administración de cambios en las telecomunicaciones, particularmente los cambios en el área de software de comunicaciones. . Revisión de la exactitud del backup (respaldo) y recuperación de la red, mediante el examen de los procedimientos y las redundancias de backup (respaldo) en la red.

INTERNET
Introducción

Junto con la popularidad de Internet y la explosión de usuarios en todo el mundo, ha venido una creciente amenaza de ataques hacia los sistemas y la información de las organizaciones públicas y privadas. Es importante tener en cuenta algunas características que presenta los sistemas de información actuales: - Gran Importancia de la Información

- Mayor conocimiento de los usuarios sobre estos sistemas - Gran avance de los sistemas de comunicación y redes - Internet como medio global de intercambio de información y plataforma de negocios. - Cuando se realizan negocios por Internet (Comercio electrónico) se tienen cuatro piedras angulares: - Impedir transacciones de datos no autorizados. Impedir alteración de Mensajes después de envío - Capacidad determinar si transmisión es desde fuente auténtica o suplantada - Manera de impedir a un emisor, que se está haciendo pasar por otro Internet crea todas las posibilidades para hacer frágil la seguridad en el sistema: Tiempo de exposición, protocolos conocidos, usuarios "expertos" y la mezcla e igualdad de sistemas.
Componentes en Ambientes Internet

Navegador o Browser. Servidor Web Servidor de Servicios Internet (ISP) Enrutadores Puntos de Acceso a la Red Enlace Usuario - ISP Protocolo HTTP Protocolos TCP/IP HTML Código Móvil: ASP, Servlets, Applets, CGI... Protocolos seguros: http-S, SSL.
Riesgos asociados a estos ambientes

Gran parte de los problemas asociados a Internet están relacionados por un lado, con la seguridad misma de los protocolos que lo conforman y por el otro por la disponibilidad del sistema en tiempo y espacio para que sea examinado y eventualmente atacado. En general estos riesgos los podemos resumir en:

-

Acceso no Autorizado al Sistema - Divulgación de información confidencial - Robo o alterar información de la empresa. - Denegación de Servicio - Espionaje o alteración de mensajes - Transacciones fraudulentas. - Modificación o sabotaje de Sitios Web, generando pérdida de la imagen corporativa. - Pérdida de recursos - Uso del sistema vulnerado para realizar ataques a otros sistemas

- Virus, gusanos y troyanos. - Instalación y uso de código malicioso Vulnerabilidades de Seguridad en Internet más criticas
La mayor parte de los ataques en Internet, se realizan sobre un pequeño número de vulnerabilidades en los sistemas y aprovechando que las organizaciones pasan por alto las revisiones constantes de los problemas detectados en las versiones de sus productos y por lo tanto no hacen las correcciones del caso. El Instituto Sans emite un informe sobre las mas criticas de estas vulnerabilidades (SAN00). - Debilidades en los servidores de Nombres de Dominio (DNS), en particular BIND. Soluciones: Desactivarlo en caso de no ser necesario. Descargar y actualizar a las ultimas versiones

- Debilidades asociadas con programas CGI en los servidores, generalmente
por uso de CGIs desconocidos Soluciones: Uso de programas conocidos Deshabilitar el soporte CGI, para aquellos servidores que no lo necesiten - Problemas con llamadas a procedimientos remotos RPC Solución: Deshabilitar en los casos que sea posible servicios que usen RPC en sistemas expuestos a Internet. - Agujeros de seguridad en Servidores Web (Especialmente IIS) Solución: Actualizar desde sitio del fabricante y configurar según procedimiento recomendado. - Debilidad en desbordamiento de Buffer en SendMail Solución: No usar la modalidad deamon en sistemas que no sean servidores de correo. Actualización a última versión parcheada. - Problemas con compartición de archivos (NetBios, NFS)

Soluciones: Verificar que solo se comparten los directorios requeridos En lo posible compartir solo con direcciones IP especificas Usar contraseñas para definir nivel de acceso Bloquear las conexiones entrantes al servicio de sesión NetBios - Contraseñas inapropiadas Solución: Crear una política de contraseñas exigente - Configuraciones inapropiadas de Protocolos de correo Soluciones: Deshabilitar estos en aquellas maquinas que no son servidores de correo. Utilizar versiones actualizadas. Usar canales encriptados como SSH y SSL - Nombres de comunidad por defecto en SNMP (Public, private)

Riesgos Posibles Infractores
Posibles Infractores

Crackers Hackers Vándalos Empleados Algunas definiciones que vale la pena traer son: Hacking. Entrar en forma ilegal y sin el consentimiento del propietario en su sistema informático. No conlleva la destrucción de datos ni la instalación de virus. También se puede definir como cualquier acción encaminada a conseguir la intrusión en un sistema (ingeniería social, caballos de troya, etc.) Cracker. Un individuo que se dedica a eliminar las protecciones lógicas y físicas del software. Normalmente muy ligado al pirata informático puede ser un hacker criminal o un hacker que daña el sistema en el que intenta penetrar. Crackeador o crack: Son programas que se utilizan para desproteger o

sacar los passwords de programas comerciales. Pudiendo utilizarse éstos como si se hubiera comprado la licencia. Quienes los distribuyen son altamente perseguido por las entidades que protegen los productores de software. Entre las variantes de crackers maliciosos están los que realizan Carding (Tarjeteo, uso ilegal de tarjetas de crédito), Trashing (Basureo, obtención de información en cubos de basura, tal como números de tarjetas de crédito, contraseñas, directorios o recibos) y Phreaking o Foning (uso ilegal de las redes telefónicas).

ATAQUES EN AMBIENTE INTERNET
Ataques

- Ataques a Contraseñas. - Consecución de direcciones IP - Scaneo de puertos - Código Dañino - Captura y análisis de trafico. - Denegación del Servicio (DOS). - IP Spoofing (Modificación del campo de dirección origen de los paquetes IP, por la que se desea suplantar

ATAQUES EN INTERNET
Herramientas Usadas

Aprovechar Huecos de Seguridad en Sistemas operativos y/o Servicios: Defectos en el software, que permiten la intrusión o generan fallas graves en el funcionamiento. Scaneo de Puertos: Siendo una herramienta que apoya la seguridad puede ser utilizada en contra de ella. Permite conocer el estado de los puertos asociados con los servicios disponibles en la instalación. Sniffer: Es un programa que intercepta la información que transita por una red. Sniffing es espiar y obtener la información que circula por la red. Coloca la interfaz en modo promiscuo y captura el tráfico. Su misión para los ataques es fisgonear la red en busca de claves o puertos abiertos. Troyanos: Programas que simulan ser otros para así atacar el sistema. Ataque de Fuerza bruta sobre claves. Forma poco sutil de entrar en un

sistema que consiste en probar distintas contraseñas hasta encontrar la adecuada. Ingeniería Social: Es una técnica por la cual se convence a alguien, por diversos medios, de que proporcione información útil para hackear o para beneficiarnos. Requiere grandes dosis de psicología. Explota la tendencia de la gente a confiar en sus semejantes. Basureo o Trashing: Recoger basura. Se trata de buscar en la basura (física o informática) información que pueda ser útil para hackear. Ping: Ubicar equipos conectados. Traceroute: Ver la ruta de paquetes y enrutadores en la red Spams: No es un código dañino, pero si bastante molesto. Es un programa que ejecuta una orden repetidas veces. Ampliamente utilizado por empresas de marketing usando el correo electrónico para enviar sus mensajes en forma exagerada.

Evaluación de Seguridad

El auditor debe verificar que se tengan presenten y se implementen medidas que a partir de los riesgos planteados y dada la importancia del sistema para la organización minimicen las amenazas. Medidas de Control - Conocimiento de los riesgos a que esta expuesta la instalación en particular. - Conocimiento y corrección o "parcheo" de los problemas detectados y/o reportados en versiones de - Sistemas Operativos y Servicios implementados. Este mecanismo parte de la instalación inicial. - Concientización de los usuarios de los riesgos a que esta expuesta la instalación y el papel de cada uno en la protección. El 99% de los ataques se realizan apoyándose en fallas al interior de la organización. - Implementación de políticas de seguridad en sistemas operativos. - Auditoria y monitoreo a trafico, accesos y cambios en el sistema. - Uso de sniffer y scanner para conocer el estado del sistema. - Montaje de Firewall (Muro de Protección): Software y hardware de seguridad encargado de chequear y bloquear el tráfico de la red hacia y/o desde un sistema determinado. Se ubica entre la red privada e Internet. Pueden ser enrutadores de filtración de paquetes o gateways de aplicaciones

basados en proxy.

Utilización de herramientas para Detección de Intrusos (IDS) Uso de protocolos seguros como SSL y HTTP-S

Requerimientos de certificados de autenticación en los casos de operaciones de alta importancia. A nivel de la empresa en lo posible, tener los datos de importancia en zonas protegidas o fuera del acceso desde Internet. Encriptación de los datos sensitivos. Evaluar que los usuarios usan solo los servicios requeridos para su labor y que no exponen la seguridad con el uso de IRC, P2P, etc. Se debe considerar la posibilidad de apoyarse en Hacking Etico para evaluar la seguridad del sistema. __

AUDITORIA

DE SISTEMAS

SISTEMAS DE CORREO ELECTRONICO INTRODUCCION Los sistemas de correo electrónico (E-MAIL) permiten a los usuarios comunicar texto, información, imágenes o mensajes de voz a través de tales sistemas, utilizando enlaces de telecomunicaciones. El correo electrónico también puede ser utilizado efectivamente para planear reuniones de personal, manejar planillas de empleados y como un mural electrónico. La mayoría de la información transmitida a través del correo electrónico puede ser enviada por medios convencionales (Ejemplo, servicio postal, correspondencia inter-oficinas, servicios de correo o teléfono), pero el correo electrónico puede suministrar la información de forma más rápida, efectiva y a menor costo. La confidencialidad de los mensajes de correo electrónico no pueden ser asegurada sin controles de seguridad extensos. Estos controles pueden ser costosos y pueden compensar las ventajas obtenidas utilizando el correo electrónico. El uso del correo electrónico revive (en Estados Unidos) algunos temas legales, como son la confidencialidad y la definición de evidencia legal. Recientes casos legales han establecido precedentes, permitiendo que registros electrónicos de mensajes de correo electrónico sean utilizados como evidencia legal. COMPONENTES DE UN SISTEMA DE CORREO ELECTRONICO Los sistemas de correo electrónico combinan software y hardware para crear y transmitir mensajes. En la actualidad los sistemas de correo electrónico son públicos o privados. Los sistemas privados están basados en organizaciones que poseen grandes recursos de computación y de comunicaciones, mientras que, los sistemas públicos están basados en recursos o servicios externos a las cuales se enlazan los usuarios por medio del teléfono u otras líneas de telecomunicaciones. Una completa descripción del software utilizado en el correo electrónico incluye los siguientes aspectos, independientemente de sí es una red privada o pública: Apartados, son espacios de trabajo (workspaces) (memoria del computador) creados por el software; para que los

-

usuarios administren la correspondencia. Editores, son utilizados para creación, eliminación de mensajes.

modificación

y

Almacenamiento y envío, es una característica del software que permite a los mensajes ser almacenados hasta que el usuario haga la operación de registro en el sistema; también permite al usuario enviar un mensaje a otros usuarios en la red. Directorios, listan los nombres de todos los usuarios y las direcciones. Listas de distribución, permiten al usuario agrupar los destinatarios de mensajes en listas, evitan la operación de enviar el mismo mensaje a cada destinatario individualmente. Murales, son áreas de acceso común; en las cuales los mensajes pueden ser almacenados y leídos por usuarios autorizados. Encabezamientos de mensajes, permiten al destinatario o receptor identificar al remitente o transmisor y el tema de un mensaje; antes de leer el mensaje concreto. Almacenamiento de mensajes, permite a los usuarios salvar mensajes para uso posterior. El principal objetivo de los sistemas de correo electrónico, es procurar que la correspondencia sea entregada rápidamente al destinatario o receptor adecuado. Los subsiguientes objetivos son la integridad y confidencialidad del mensaje. El aspecto de seguridad puede incluir el cifrado; para evitar el acceso al mensaje mientras que este se transmite en ambientes sensibles de alto riesgo.

-

-

-

-

Componentes del hardware Los sistemas de correo electrónico son diseñados para ser utilizados conjuntamente con los sistemas de comunicaciones existentes. Los requerimientos de hardware son simplemente una estación de trabajo vinculada a una red de comunicaciones.

RIESGOS Y CONTROLES Los riesgos y controles asociados con el correo electrónico CONSIDERACIONES DE AUDITORIA Cuando el correo electrónico es crítico para la organización y es utilizado para comunicar información importante o confidencial, el auditor debería llevar a cabo los siguientes pasos: Revisar los controles de acceso sobre la información y los apartados, para garantizar acceso sólo a personas autorizadas. Evaluar la capacidad de la organización para mantener comunicaciones críticas en el evento de fallas en la red. Revisar los procedimientos existentes para errores u omisiones y para recuperarse de estos. Evaluar los legales. riesgos relacionadas con las detectar

-

implicaciones

Riesgos y Controles Asociados Con el Correo Electrónico Riesgos Privacidad de los Datos Fallas de la Red Errores y Omisiones en Datos El Correo Electrónico como Evidencia Legal Implicaciones Legales del Uso de Redes con Valor Agregado o de Servicios de Procesamiento de Red Controles - Política de seguridad de información - Controles de acceso - Cifrado - Plan de contingencias - Medios de comunicación alternativos (Ejemplo, teléfonos, facsímil) - Plan de recuperación - Política para destrucción de la información en el destino a intervalos de tiempo predefinidos - Asesoramiento legal antes de su uso

Sign up to vote on this title
UsefulNot useful