Nunca consideres el estudio como una obligación, sino como una oportunidad para ingresar en el bello y maravilloso mundo del saber.
lunes, julio 01, 2013
Trabajo en clase para VIII Sistemas
Tema de investigación:
Importancia de la gestión de la seguridad de información
Haga un ensayo del tema planteado por el Docente, y publique en el blog
10 comentarios:
Anónimo
dijo...
NOMBRE: ALEX VACA NIVEL:OCTAVO SISTEMAS
IMPORTANCIA DE LA GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN La gestión de los incidentes de seguridad es un aspecto muy importante para lograr el mejoramiento continuo de la seguridad de la información de cualquier compañía, el principal inconveniente es que muchas organizaciones no lo utilizan adecuadamente. A pesar que la norma ISO 27001, hace mención de este tema como uno de los dominios fundamentales, se le presta más importancia a temas de índole tecnológico dejando de lado los temas de gestión. En la búsqueda del mejor estándar para gestionar la seguridad de la información en una compañía, es vital tener presente que la revisión y la mejora continua del sistema son muy importantes para garantizar la disponibilidad, integridad y confidencialidad de la información. Cuando se habla de la gestión de incidentes, la norma hace referencia a recomendaciones relacionadas con la notificación de eventos y puntos débiles de seguridad de la información y los procedimientos y responsabilidades que se deberían asignar para la gestión de incidentes y mejoras de seguridad de la información. El objetivo que se persigue con la comunicación de los eventos que se presenten relacionados con la seguridad de la información, es el de garantizar que que las causas, los tratamientos y la solución de dichos eventos sirvan para la implementación de acciones correctivas y preventivas oportunas en casos similares que pudieran presentarse en un futuro. Para lograrlo se deben implementar los canales apropiados que garanticen la agilidad en la comunicación de los eventos de seguridad que pudieran presentarse y permitir que los usuarios reporten las debilidades encontradas o que crean que pueden utilizarse para poner en riesgo la seguridad de la información. Estos sistemas pueden apoyarse en los desarrollos que se tengan alrededor de las mesas de ayuda y las estrategias de gestión de solicitudes para atender inconvenientes de tipo tecnológico en la compañía. Algunas recomendaciones cómo las de la Agencia Europea de Redes y Seguridad Informática (ENISA, por sus siglas en inglés) proporciona orientaciones prácticas para la gestión de incidentes. Además de tener una herramienta para la gestión de incidentes es necesario establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, efectiva y ordenada a los incidentes en la seguridad de información. Estos procesos deben contribuir al logro de la mejora continua en la evaluación y monitoreo de los incidentes en la seguridad de información. Quizá uno de los aspectos más complejos en la gestión de incidentes, pero que puede aportar mayor información para el negocio, es cuantificar el impacto los incidentes de seguridad, para lo cual es recomendable tener un modelo que en función del volumen, los costos asociados y el tipo de incidente permita aproximar a valores en dinero las consecuencias de su ocurrencia. Por último, es vital que toda organización tenga definido claramente los pasos a seguir después que se presente un evento que afecte la seguridad de la información, ya que al momento de entablar una acción legal, sea de carácter civil o penal contra un individuo la evidencia debe ser recolectada, retenida y presentada conforme a las reglas para la evidencia establecidas en la jurisdicción relevante, esto es lo que es conoce cómo Informática Forense. CAINE (Computer Aided INvestigative Environment) es una distribución de Linux creada cómo proyecto con herramientas para tratar evidencia digital de tipo forense, la cual provee una serie de módulos y herramientas a través de una interfaz gráfica. Más allá de las herramientas es muy importante tener definidas las acciones y los roles que deben desempeñar todos los empleados de una compañía cuando se presente un incidente, para de esta forma establecer las medidas correctivas necesarias para que no se vuelvan a presentar
Nombre: Ortiz Ángel Nivel: Octavo IMPORTANCIA DE LA GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información. Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías. En las siguientes secciones (a las que puede acceder directamente a través del submenú de la izquierda o siguiendo los marcadores de final de página) se desarrollarán los conceptos fundamentales de un SGSI según la norma ISO 27001. El análisis del riesgo es crucial para el desarrollo y operación de un SGSI. Aunque se habla mucho del tema, en esta fase la organización debe construir lo que será su "modelo de seguridad", una representación de todos sus activos y las dependencias que estos presentan frente a otros elementos que son necesarios para su funcionamiento (edificios, suministros, sistemas informáticos, etc.) y su mapa de amenazas (una hipótesis de todo aquello que pudiera ocurrir y que tuviera un impacto para la organización). Es curioso además comprobar como la "gestión del riesgo de la seguridad " empieza a ser vista con buenos ojos por otras áreas que se dedican a gestionar el riesgo. La tecnología es un riesgo operativo, y en algunas organizaciones el área de seguridad ha entrado a formar parte de la gerencia de riesgos, así como ahora el área de seguridad está entrando a formar parte en las empresas del compliance.
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES UNIDADES Sistemas e informática
Nombre: Tapia Maritza Nivel: Octavo Tema: Sistema de Gestión de Seguridad de la información Tutor: Ing. Nelson Becerra
Sistema de Gestión de Seguridad de la información
La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información. Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.
• Reducción de riesgos: nos ayudará a reducir nuestro nivel de riesgo hasta un valor asumible para las pymes. • Ahorro económico: es consecuencia del anterior, tendremos una mayor continuidad de negocio, lo que redundará en un mayor beneficio. Además abordando de forma integral la seguridad, permitirá a las empresas gestionar mejor el gasto en tecnologías de la información. • Calidad a la seguridad: este método convierte nuestro modelo de seguridad en un ciclo de vida metódico y controlado. Al participar toda la organización se crea un compromiso de seguridad que nos involucra a todos. • Cumplimiento legal: la certificación nos ofrece una garantía en este aspecto. • Competitividad en el mercado: es una norma que ha nacido para quedarse, al hilo de los procesos de interoperabilidad. Lo normal es que grandes empresas y socios de negocio exijan cumplir con esta normativa para abrir y compartir sus sistemas con la pyme.
Comentario: El Sistema de Gestión de Seguridad de la Información prevé tanto la conformidad como la eficacia, es decir, no se limita a la mera correspondencia de las actividades con la norma. Un sistema ineficaz pero conforme no se debe certificar, ya que sólo satisface una de las condiciones señaladas por la misma norma. La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Asegurar la: continuidad del negocio; minimización de los daños en caso de incidentes (siendo estos, de hecho, inevitables)
TRABAJO DE AUDITORIA INFORMATICA Nombre: Henry Velasco Carrera: Ing. En Sistemas Nivel: Octavo
GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001. La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información. Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías. Garantizar que los riesgos de la seguridad de la información son conocidos, asumidos, minimizados y gestionados por la organización de una forma documentada, sistemática, estructurada, continua, repetible, eficiente y adaptada a los cambios que se produzcan en la organización, los riesgos, el entorno y las tecnologías. La implementación de un Sistema de Gestión de Seguridad de la Información permitirá a la Universidad Tecnológica de Pereira establecer un proceso de mejora continua en el tema a través del seguimiento de un modelo PHVA (Planear, Hacer, Verificar, Actuar), con unas responsabilidades claras y el compromiso manifiesto por parte del Rector y demás directivas de la universidad. En las siguientes secciones (a las que puede acceder directamente a través del submenú de la izquierda o siguiendo los marcadores de final de página) se desarrollarán los conceptos fundamentales de un SGSI según la norma ISO 27001. La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Así pues, estos tres términos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la información: • Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados. • Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso. • Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.
NOMBRE: Oscar Alarcón NIVEL: Octavo Sistemas FECHA: 01 de julio de 2013 IMPORTANCIA DE LA GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN INTRODUCCION La Gestión de la Seguridad es un servicio al Negocio que debe abordarse desde una perspectiva de eficacia y mejora continua y, necesariamente, pasa por saber qué está ocurriendo y qué podría ocurrir. Para saber lo que está sucediendo en la red, en los sistemas y en las aplicaciones se deben monitorizar y, por tanto, gestionar los eventos de seguridad; para predecir lo que podría ocurrir es necesario detectar qué vulnerabilidades tienen los sistemas, cuáles son las nuevas amenazas que podrían afectarles y realizar las gestiones adecuadas para minimizar el riesgo de sufrir un incidente Algunas de las tareas que habrá que realizar en la gestión de eventos de seguridad son la definición de sistemas y eventos a monitorizar, la centralización de eventos, su normalización, su correlación, su categorización, la definición de acciones de contención y resolución de un posible incidente, su comunicación, la ejecución de las acciones definidas, el seguimiento de la resolución del incidente y el reporte en informes y Cuadros de Mando. LAS ALTERNATIVAS Desde el punto de vista de Organización debe valorarse si alguna de estas actividades se quiere y se puede externalizar. Deben responderse preguntas relativas al qué, cómo, cuándo, con quién y cuál es el coste. Desde el punto de vista Tecnológico, se puede optar por dos estrategias. La primera consiste en adquirir y mantener una herramienta de monitorización y gestión de eventos. La segunda tiene relación con la contratación de un servicio gestionado que realice las actividades que no sean consideradas estratégicas. El objetivo será automatizar todo lo posible las actividades a realizar. De otro modo no se ejecutarán adecuadamente o será necesario un esfuerzo muy elevado. La opción de la adquisición de una herramienta se debe valorar teniendo en cuenta los costes de adquisición de licencias al igual que el esfuerzo de despliegue de agentes, de definición, mantenimiento y evolución de reglas de filtrado y correlación de eventos y finalmente, de integración de métricas en un Cuadro de Mando de Seguridad. En consecuencia, los recursos y tiempo necesarios para conseguir resultados óptimos son importantes. CONCLUSIONES Para obtener el nivel de seguridad válido es necesario que todas las medidas y sistemas de seguridad disponibles estén adecuadamente gestionados. Esto implica un notable esfuerzo de recursos y conocimiento en la organización. Una alternativa cada vez más atractiva y económica es la de externalizar estas tareas. El Servicio de Seguridad Gestionada persigue alinear la seguridad con el negocio. Está orientado al control de Riesgos mediante herramientas adecuadas y personal que aporta experiencia e inteligencia al proceso facilitando la toma de decisiones; garantiza una reducción drástica del nivel de riesgo de la organización mediante la motorización en tiempo real.
UNIVERSIDAD REGIONAL AUTONOMA DE LOS ANDES UNINADES SISTEMAS MERCANTILES SISTEMA
I DATOS INFORMATIVOS NOMBRE: CRISTIAN SANTIAGO COLOMA ARCOS NIVEL : 8 SEMESTRE
II TEMA
IMPORTANCIA DE LA GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN
La gestión de los incidentes de seguridad es un aspecto muy importante para lograr el mejoramiento continuo de la seguridad de la información de cualquier compañía, el principal inconveniente es que muchas organizaciones no lo utilizan adecuadamente. Cuando se habla de la gestión de incidentes, la norma hace referencia a recomendaciones relacionadas con la notificación de eventos y puntos débiles de seguridad de la información y los procedimientos y responsabilidades que se deberían asignar para la gestión de incidentes y mejoras de seguridad de la información Además de tener una herramienta para la gestión de incidentes es necesario establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, efectiva y ordenada a los incidentes en la seguridad de información. Estos procesos deben contribuir al logro de la mejora continua en la evaluación y monitoreo de los incidentes en la seguridad de información. Quizá uno de los aspectos más complejos en la gestión de incidentes, pero que puede aportar mayor información para el negocio, es cuantificar el impacto los incidentes de seguridad, para lo cual es recomendable tener un modelo que en función del volumen, los costos asociados y el tipo de incidente permita aproximar a valores en dinero las consecuencias de su ocurrencia.
COMENTARIO El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías, como es reducción de riesgos, ahorro económico, calidad a la seguridad, etc.
Importancia de la gestión de la seguridad de información
La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma. El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos. Para el hombre como individuo, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo. El fin de la seguridad de la información consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización; en el marco de un SGSI. Los beneficios de implantar un SGSI son: Conocer con exactitud que activos de información se tienen actualmente en la organización, involucrar a la alta dirección en la gestión de la seguridad de la información, desarrollar y hacer cumplimiento de políticas de seguridad de la información, cumplir con las normas regulatorias vigentes del negocio, ejecutar un análisis de riesgos para el desarrollo del negocio, definir contratos de niveles de servicio (SLA), fortalecer la seguridad relacionada con el personal, diseñar e implementar planes de contingencia, continuidad del negocio y recuperación ante desastres relacionados con incidentes de seguridad informática, definición y seguimiento a indicadores de desempeño del sistema de gestión de seguridad de la información, disminución a niveles aceptables del riesgo, disminución de la prima del seguro, optimización de procesos, etc.
• Diseñar una política de seguridad, en colaboración con clientes y proveedores correctamente alineada con las necesidades del negocio. • Asegurar el cumplimiento de los estándares de seguridad acordados. • Minimizar los riesgos de seguridad que amenacen la continuidad del servicio.
NOMBRE: JOSE LUIS SALAZAR NIVEL: OCTAVO SISTEMAS SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI)
El sistema de gestión de seguridad de la información, es el concepto central sobre el que se construye ISO 27001. El SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System. La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información.Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías. En elcontexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración. La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Así pues, estos tres términos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la información: • Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados. • Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso. • Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran. Para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un sistema de gestión de seguridad de la información.
IMPORTANCIA DE LA GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN
La importancia que tiene la seguridad de la información y el poder que implica manejar información es un tema muy delicado que no está en el conocimiento de muchos. En el contexto de internet, muchos usuarios no le dan mayor importancia a su información que publican en la red y de qué forma lo hacen y más aún, muchos no diferencian lo privado de lo público, no por que no quieran o porque no saben cómo diferenciar una cosa de la otra, simplemente es por ignorancia.
Para mucha gente es normal pertenecer en redes sociales y publicar su vida, mientras más conocidos sean y más amigos tengan en esa red social, más vulnerables se vuelven
La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Estos procesos son muy importantes ya que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información. El objetivo es garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.
Los principales beneficios de una correcta Gestión de la Seguridad de la información:
• Se evitan interrupciones del servicio causadas por virus, ataques informáticos, etcétera. • Se minimiza el número de incidentes. • Se tiene acceso a la información cuando se necesita y se preserva la integridad de los datos. • Se preserva la confidencialidad de los datos y la privacidad de clientes y usuarios. • Se cumplen los reglamentos sobre protección de datos. • Mejora la percepción y confianza de clientes y usuarios en lo que respecta a la calidad del servicio.
En resumen la importancia de la Gestión de la Seguridad Informática permite crear normas, procesos de control y administración para protección de la información en base a los siguientes objetivos:
• Diseñar una política de seguridad de la información, en colaboración con clientes y proveedores correctamente alineada con las necesidades de un usuario o empresa. • Asegurar el cumplimiento de los estándares de seguridad acordados. • Minimizar los riesgos de seguridad de la información que amenacen la continuidad del servicio.
UNIVERSIDAD REGIONAL AUTONOMA DE LOS ANDES SISTEMAS MERCANTILES “UNIANDES” NOMBRE : DARIO RAMIREZ NIVEL : OCTAVO
IMPORTANCIA DE LA GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN
El análisis del riesgo es crucial para el desarrollo y operación de un SGSI, en esta fase la organización debe construir lo que será su "modelo de seguridad", una representación de todos sus activos y las dependencias que estos presentan frente a otros elementos que son necesarios para su funcionamiento (edificios, suministros, sistemas informáticos, etc.) y su mapa de amenazas (una hipótesis de todo aquello que pudiera ocurrir y que tuviera un impacto para la organización).
Es habitual, dada todavía la poca experiencia que existe en empresas sobre la seguridad que el análisis de riesgos lo realice la consultora externa que apoya en el proceso de implantación. Sin embargo, es muy importante que la empresa se involucre en esta actividad y entienda cómo se ha realizado este análisis. Sobre todo porque en el segundo ciclo del SGSI, se debe revisar éste análisis por si han habido cambios. Por hacer un simil que se entienda, el análisis de riesgos es como la visita al doctor para que nos identifique una enfermedad. Se realizan una serie de actividades como son: identificación de activos, identificación de amenazas, estimación de impactos y vulnerabilidades y con todo ello ya se puede calcular el riesgo. Pero éste diagnóstico es válido sólo para ese momento puntual en el tiempo. No es algo estático sino que va a cambiar a lo largo del tiempo: nuevos activos, nuevas amenazas, modificación en la ocurrencia de las amenazas (pensar por ejemplo en el caso del phishing como esta amenaza ha pasado a ser extremadamente frecuente en este último año). Por tanto, cada año la organización debe replantearse su diagnóstico y cuestionarse si tiene nuevos síntomas o si los síntomas detectados han sido ya mitigados y se pueden tratar otras carencias de menor importancia. La mejora continua afecta también al riesgo ya que si los niveles más altos se han solucionado, lo lógico es plantearse para el siguiente año atacar los siguientes.
Es curioso además comprobar como la "gestión del riesgo de la seguridad " empieza a ser vista con buenos ojos por otras áreas que se dedican a gestionar el riesgo. Hablo por ejemplo del caso de las entidades financieras que en virtud a Basilea II deben tratar el riesgo operacional. La tecnología es un riesgo operativo, y en algunas organizaciones el área de seguridad ha entrado a formar parte de la gerencia de riesgos, así como ahora el área de seguridad está entrando a formar parte en las empresas del compliance.
Otra de las cosas más atractivas de esta actividad, el análisis y la gestión del riesgo es su faceta psicológica. El riesgo se define en el diccionario como la proximidad a un daño. Formalmente sería el factor que pondera la vulnerabilidad frente a una amenaza y el impacto que puede ocasionar. Navegando he podido encontrar un texto curioso sobre esa gestión inconsciente que hacemos los humanos del riesgo.
10 comentarios:
NOMBRE: ALEX VACA
NIVEL:OCTAVO SISTEMAS
IMPORTANCIA DE LA GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN
La gestión de los incidentes de seguridad es un aspecto muy importante para lograr el mejoramiento continuo de la seguridad de la información de cualquier compañía, el principal inconveniente es que muchas organizaciones no lo utilizan adecuadamente.
A pesar que la norma ISO 27001, hace mención de este tema como uno de los dominios fundamentales, se le presta más importancia a temas de índole tecnológico dejando de lado los temas de gestión. En la búsqueda del mejor estándar para gestionar la seguridad de la información en una compañía, es vital tener presente que la revisión y la mejora continua del sistema son muy importantes para garantizar la disponibilidad, integridad y confidencialidad de la información.
Cuando se habla de la gestión de incidentes, la norma hace referencia a recomendaciones relacionadas con la notificación de eventos y puntos débiles de seguridad de la información y los procedimientos y responsabilidades que se deberían asignar para la gestión de incidentes y mejoras de seguridad de la información.
El objetivo que se persigue con la comunicación de los eventos que se presenten relacionados con la seguridad de la información, es el de garantizar que que las causas, los tratamientos y la solución de dichos eventos sirvan para la implementación de acciones correctivas y preventivas oportunas en casos similares que pudieran presentarse en un futuro. Para lograrlo se deben implementar los canales apropiados que garanticen la agilidad en la comunicación de los eventos de seguridad que pudieran presentarse y permitir que los usuarios reporten las debilidades encontradas o que crean que pueden utilizarse para poner en riesgo la seguridad de la información. Estos sistemas pueden apoyarse en los desarrollos que se tengan alrededor de las mesas de ayuda y las estrategias de gestión de solicitudes para atender inconvenientes de tipo tecnológico en la compañía. Algunas recomendaciones cómo las de la Agencia Europea de Redes y Seguridad Informática (ENISA, por sus siglas en inglés) proporciona orientaciones prácticas para la gestión de incidentes.
Además de tener una herramienta para la gestión de incidentes es necesario establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, efectiva y ordenada a los incidentes en la seguridad de información. Estos procesos deben contribuir al logro de la mejora continua en la evaluación y monitoreo de los incidentes en la seguridad de información. Quizá uno de los aspectos más complejos en la gestión de incidentes, pero que puede aportar mayor información para el negocio, es cuantificar el impacto los incidentes de seguridad, para lo cual es recomendable tener un modelo que en función del volumen, los costos asociados y el tipo de incidente permita aproximar a valores en dinero las consecuencias de su ocurrencia.
Por último, es vital que toda organización tenga definido claramente los pasos a seguir después que se presente un evento que afecte la seguridad de la información, ya que al momento de entablar una acción legal, sea de carácter civil o penal contra un individuo la evidencia debe ser recolectada, retenida y presentada conforme a las reglas para la evidencia establecidas en la jurisdicción relevante, esto es lo que es conoce cómo Informática Forense. CAINE (Computer Aided INvestigative Environment) es una distribución de Linux creada cómo proyecto con herramientas para tratar evidencia digital de tipo forense, la cual provee una serie de módulos y herramientas a través de una interfaz gráfica.
Más allá de las herramientas es muy importante tener definidas las acciones y los roles que deben desempeñar todos los empleados de una compañía cuando se presente un incidente, para de esta forma establecer las medidas correctivas necesarias para que no se vuelvan a presentar
Nombre: Ortiz Ángel
Nivel: Octavo
IMPORTANCIA DE LA GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN
La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización.
Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información.
Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.
En las siguientes secciones (a las que puede acceder directamente a través del submenú de la izquierda o siguiendo los marcadores de final de página) se desarrollarán los conceptos fundamentales de un SGSI según la norma ISO 27001.
El análisis del riesgo es crucial para el desarrollo y operación de un SGSI. Aunque se habla mucho del tema, en esta fase la organización debe construir lo que será su "modelo de seguridad", una representación de todos sus activos y las dependencias que estos presentan frente a otros elementos que son necesarios para su funcionamiento (edificios, suministros, sistemas informáticos, etc.) y su mapa de amenazas (una hipótesis de todo aquello que pudiera ocurrir y que tuviera un impacto para la organización).
Es curioso además comprobar como la "gestión del riesgo de la seguridad " empieza a ser vista con buenos ojos por otras áreas que se dedican a gestionar el riesgo. La tecnología es un riesgo operativo, y en algunas organizaciones el área de seguridad ha entrado a formar parte de la gerencia de riesgos, así como ahora el área de seguridad está entrando a formar parte en las empresas del compliance.
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
UNIDADES
Sistemas e informática
Nombre: Tapia Maritza Nivel: Octavo
Tema: Sistema de Gestión de Seguridad de la información
Tutor: Ing. Nelson Becerra
Sistema de Gestión de Seguridad de la información
La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización.
Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información.
Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.
• Reducción de riesgos: nos ayudará a reducir nuestro nivel de riesgo hasta un valor asumible para las pymes.
• Ahorro económico: es consecuencia del anterior, tendremos una mayor continuidad de negocio, lo que redundará en un mayor beneficio. Además abordando de forma integral la seguridad, permitirá a las empresas gestionar mejor el gasto en tecnologías de la información.
• Calidad a la seguridad: este método convierte nuestro modelo de seguridad en un ciclo de vida metódico y controlado. Al participar toda la organización se crea un compromiso de seguridad que nos involucra a todos.
• Cumplimiento legal: la certificación nos ofrece una garantía en este aspecto.
• Competitividad en el mercado: es una norma que ha nacido para quedarse, al hilo de los procesos de interoperabilidad. Lo normal es que grandes empresas y socios de negocio exijan cumplir con esta normativa para abrir y compartir sus sistemas con la pyme.
Comentario:
El Sistema de Gestión de Seguridad de la Información prevé tanto la conformidad como la eficacia, es decir, no se limita a la mera correspondencia de las actividades con la norma. Un sistema ineficaz pero conforme no se debe certificar, ya que sólo satisface una de las condiciones señaladas por la misma norma.
La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización.
Asegurar la: continuidad del negocio; minimización de los daños en caso de incidentes (siendo estos, de hecho, inevitables)
TRABAJO DE AUDITORIA INFORMATICA
Nombre: Henry Velasco
Carrera: Ing. En Sistemas
Nivel: Octavo
GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN
El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001.
La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización.
Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información.
Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.
Garantizar que los riesgos de la seguridad de la información son conocidos, asumidos, minimizados y gestionados por la organización de una forma documentada, sistemática, estructurada, continua, repetible, eficiente y adaptada a los cambios que se produzcan en la organización, los riesgos, el entorno y las tecnologías. La implementación de un Sistema de Gestión de Seguridad de la Información permitirá a la Universidad Tecnológica de Pereira establecer un proceso de mejora continua en el tema a través del seguimiento de un modelo PHVA (Planear, Hacer, Verificar, Actuar), con unas responsabilidades claras y el compromiso manifiesto por parte del Rector y demás directivas de la universidad.
En las siguientes secciones (a las que puede acceder directamente a través del submenú de la izquierda o siguiendo los marcadores de final de página) se desarrollarán los conceptos fundamentales de un SGSI según la norma ISO 27001.
La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Así pues, estos tres términos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la información:
• Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.
• Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.
• Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.
NOMBRE: Oscar Alarcón
NIVEL: Octavo Sistemas
FECHA: 01 de julio de 2013
IMPORTANCIA DE LA GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN
INTRODUCCION
La Gestión de la Seguridad es un servicio al Negocio que debe abordarse desde una perspectiva de eficacia y mejora continua y, necesariamente, pasa por saber qué está ocurriendo y qué podría ocurrir. Para saber lo que está sucediendo en la red, en los sistemas y en las aplicaciones se deben monitorizar y, por tanto, gestionar los eventos de seguridad; para predecir lo que podría ocurrir es necesario detectar qué vulnerabilidades tienen los sistemas, cuáles son las nuevas amenazas que podrían afectarles y realizar las gestiones adecuadas para minimizar el riesgo de sufrir un incidente
Algunas de las tareas que habrá que realizar en la gestión de eventos de seguridad son la definición de sistemas y eventos a monitorizar, la centralización de eventos, su normalización, su correlación, su categorización, la definición de acciones de contención y resolución de un posible incidente, su comunicación, la ejecución de las acciones definidas, el seguimiento de la resolución del incidente y el reporte en informes y Cuadros de Mando.
LAS ALTERNATIVAS
Desde el punto de vista de Organización debe valorarse si alguna de estas actividades se quiere y se puede externalizar. Deben responderse preguntas relativas al qué, cómo, cuándo, con quién y cuál es el coste.
Desde el punto de vista Tecnológico, se puede optar por dos estrategias. La primera consiste en adquirir y mantener una herramienta de monitorización y gestión de eventos. La segunda tiene relación con la contratación de un servicio gestionado que realice las actividades que no sean consideradas estratégicas.
El objetivo será automatizar todo lo posible las actividades a realizar. De otro modo no se ejecutarán adecuadamente o será necesario un esfuerzo muy elevado.
La opción de la adquisición de una herramienta se debe valorar teniendo en cuenta los costes de adquisición de licencias al igual que el esfuerzo de despliegue de agentes, de definición, mantenimiento y evolución de reglas de filtrado y correlación de eventos y finalmente, de integración de métricas en un Cuadro de Mando de Seguridad. En consecuencia, los recursos y tiempo necesarios para conseguir resultados óptimos son importantes.
CONCLUSIONES
Para obtener el nivel de seguridad válido es necesario que todas las medidas y sistemas de seguridad disponibles estén adecuadamente gestionados. Esto implica un notable esfuerzo de recursos y conocimiento en la organización. Una alternativa cada vez más atractiva y económica es la de externalizar estas tareas.
El Servicio de Seguridad Gestionada persigue alinear la seguridad con el negocio. Está orientado al control de Riesgos mediante herramientas adecuadas y personal que aporta experiencia e inteligencia al proceso facilitando la toma de decisiones; garantiza una reducción drástica del nivel de riesgo de la organización mediante la motorización en tiempo real.
UNIVERSIDAD REGIONAL AUTONOMA DE LOS ANDES
UNINADES
SISTEMAS MERCANTILES
SISTEMA
I DATOS INFORMATIVOS
NOMBRE: CRISTIAN SANTIAGO COLOMA ARCOS
NIVEL : 8 SEMESTRE
II TEMA
IMPORTANCIA DE LA GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN
La gestión de los incidentes de seguridad es un aspecto muy importante para lograr el mejoramiento continuo de la seguridad de la información de cualquier compañía, el principal inconveniente es que muchas organizaciones no lo utilizan adecuadamente.
Cuando se habla de la gestión de incidentes, la norma hace referencia a recomendaciones relacionadas con la notificación de eventos y puntos débiles de seguridad de la información y los procedimientos y responsabilidades que se deberían asignar para la gestión de incidentes y mejoras de seguridad de la información
Además de tener una herramienta para la gestión de incidentes es necesario establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, efectiva y ordenada a los incidentes en la seguridad de información. Estos procesos deben contribuir al logro de la mejora continua en la evaluación y monitoreo de los incidentes en la seguridad de información. Quizá uno de los aspectos más complejos en la gestión de incidentes, pero que puede aportar mayor información para el negocio, es cuantificar el impacto los incidentes de seguridad, para lo cual es recomendable tener un modelo que en función del volumen, los costos asociados y el tipo de incidente permita aproximar a valores en dinero las consecuencias de su ocurrencia.
COMENTARIO
El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías, como es reducción de riesgos, ahorro económico, calidad a la seguridad, etc.
NOMBRE: Janio Bunshe
NIVEL: Octavo
Importancia de la gestión de la seguridad de información
La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.
El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.
Para el hombre como individuo, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo.
El fin de la seguridad de la información consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización; en el marco de un SGSI.
Los beneficios de implantar un SGSI son: Conocer con exactitud que activos de información se tienen actualmente en la organización, involucrar a la alta dirección en la gestión de la seguridad de la información, desarrollar y hacer cumplimiento de políticas de seguridad de la información, cumplir con las normas regulatorias vigentes del negocio, ejecutar un análisis de riesgos para el desarrollo del negocio, definir contratos de niveles de servicio (SLA), fortalecer la seguridad relacionada con el personal, diseñar e implementar planes de contingencia, continuidad del negocio y recuperación ante desastres relacionados con incidentes de seguridad informática, definición y seguimiento a indicadores de desempeño del sistema de gestión de seguridad de la información, disminución a niveles aceptables del riesgo, disminución de la prima del seguro, optimización de procesos, etc.
• Diseñar una política de seguridad, en colaboración con clientes y proveedores correctamente alineada con las necesidades del negocio.
• Asegurar el cumplimiento de los estándares de seguridad acordados.
• Minimizar los riesgos de seguridad que amenacen la continuidad del servicio.
NOMBRE: JOSE LUIS SALAZAR NIVEL: OCTAVO SISTEMAS
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI)
El sistema de gestión de seguridad de la información, es el concepto central sobre el que se construye ISO 27001. El SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System.
La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información.Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado.
El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.
En elcontexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración.
La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Así pues, estos tres términos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la información:
• Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.
• Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.
• Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.
Para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un sistema de gestión de seguridad de la información.
ESTUDIANTE: COLLAGUAZO FREDY
IMPORTANCIA DE LA GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN
La importancia que tiene la seguridad de la información y el poder que implica manejar información es un tema muy delicado que no está en el conocimiento de muchos. En el contexto de internet, muchos usuarios no le dan mayor importancia a su información que publican en la red y de qué forma lo hacen y más aún, muchos no diferencian lo privado de lo público, no por que no quieran o porque no saben cómo diferenciar una cosa de la otra, simplemente es por ignorancia.
Para mucha gente es normal pertenecer en redes sociales y publicar su vida, mientras más conocidos sean y más amigos tengan en esa red social, más vulnerables se vuelven
La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Estos procesos son muy importantes ya que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información.
El objetivo es garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.
Los principales beneficios de una correcta Gestión de la Seguridad de la información:
• Se evitan interrupciones del servicio causadas por virus, ataques informáticos, etcétera.
• Se minimiza el número de incidentes.
• Se tiene acceso a la información cuando se necesita y se preserva la integridad de los datos.
• Se preserva la confidencialidad de los datos y la privacidad de clientes y usuarios.
• Se cumplen los reglamentos sobre protección de datos.
• Mejora la percepción y confianza de clientes y usuarios en lo que respecta a la calidad del servicio.
En resumen la importancia de la Gestión de la Seguridad Informática permite crear normas, procesos de control y administración para protección de la información en base a los siguientes objetivos:
• Diseñar una política de seguridad de la información, en colaboración con clientes y proveedores correctamente alineada con las necesidades de un usuario o empresa.
• Asegurar el cumplimiento de los estándares de seguridad acordados.
• Minimizar los riesgos de seguridad de la información que amenacen la continuidad del servicio.
UNIVERSIDAD REGIONAL AUTONOMA DE LOS ANDES
SISTEMAS MERCANTILES
“UNIANDES”
NOMBRE : DARIO RAMIREZ
NIVEL : OCTAVO
IMPORTANCIA DE LA GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN
El análisis del riesgo es crucial para el desarrollo y operación de un SGSI, en esta fase la organización debe construir lo que será su "modelo de seguridad", una representación de todos sus activos y las dependencias que estos presentan frente a otros elementos que son necesarios para su funcionamiento (edificios, suministros, sistemas informáticos, etc.) y su mapa de amenazas (una hipótesis de todo aquello que pudiera ocurrir y que tuviera un impacto para la organización).
Es habitual, dada todavía la poca experiencia que existe en empresas sobre la seguridad que el análisis de riesgos lo realice la consultora externa que apoya en el proceso de implantación. Sin embargo, es muy importante que la empresa se involucre en esta actividad y entienda cómo se ha realizado este análisis. Sobre todo porque en el segundo ciclo del SGSI, se debe revisar éste análisis por si han habido cambios. Por hacer un simil que se entienda, el análisis de riesgos es como la visita al doctor para que nos identifique una enfermedad. Se realizan una serie de actividades como son: identificación de activos, identificación de amenazas, estimación de impactos y vulnerabilidades y con todo ello ya se puede calcular el riesgo. Pero éste diagnóstico es válido sólo para ese momento puntual en el tiempo. No es algo estático sino que va a cambiar a lo largo del tiempo: nuevos activos, nuevas amenazas, modificación en la ocurrencia de las amenazas (pensar por ejemplo en el caso del phishing como esta amenaza ha pasado a ser extremadamente frecuente en este último año). Por tanto, cada año la organización debe replantearse su diagnóstico y cuestionarse si tiene nuevos síntomas o si los síntomas detectados han sido ya mitigados y se pueden tratar otras carencias de menor importancia. La mejora continua afecta también al riesgo ya que si los niveles más altos se han solucionado, lo lógico es plantearse para el siguiente año atacar los siguientes.
Es curioso además comprobar como la "gestión del riesgo de la seguridad " empieza a ser vista con buenos ojos por otras áreas que se dedican a gestionar el riesgo. Hablo por ejemplo del caso de las entidades financieras que en virtud a Basilea II deben tratar el riesgo operacional. La tecnología es un riesgo operativo, y en algunas organizaciones el área de seguridad ha entrado a formar parte de la gerencia de riesgos, así como ahora el área de seguridad está entrando a formar parte en las empresas del compliance.
Otra de las cosas más atractivas de esta actividad, el análisis y la gestión del riesgo es su faceta psicológica. El riesgo se define en el diccionario como la proximidad a un daño. Formalmente sería el factor que pondera la vulnerabilidad frente a una amenaza y el impacto que puede ocasionar. Navegando he podido encontrar un texto curioso sobre esa gestión inconsciente que hacemos los humanos del riesgo.
Publicar un comentario