20 actividad individual sgsi ing gilbert jair sanchez avila 233003_7

Vista previa del material en texto

1 
 
ACTIVIDAD INDIVIDUAL MOMENTO 1 SGSI 
 
 
 
 
 
 
 
 
 
 
 
PRESENTADO A: 
MSC. ALEXANDER LARRAHONDO N. 
 
PRESENTADO POR: 
ING.GILBERT JAIR SANCHEZ AVILA COD: 91524737 
GRUPO 233003_7 
 
 
 
 
 
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS 
BÁSICAS TECNOLOGIA E INGENIERIA 
 ESPECIALIZACION EN SEGURIDAD INFORMATICA 
 BUCARAMANGA COLOMBIA, 2015 
 
 
2 
CONTENIDO 
 
 
 
INTRODUCCION ....................................................................................................................... 3 
1.ANALISIS DE ACTIVOS ............................................................................................................ 4 
2.IDENTIFICACION DE AMENAZAS ............................................................................................ 9 
3:VALORACION DE AMENAZAS ............................................................................................... 17 
4.TABLA DE VALORACION DE ACTIVOS Y DE VALORACION DE AMENAZAS .............................. 18 
5.PLAN DE TRATAMIENTO DE RIESGOS .................................................................................. 18 
CONCLUSIONES ...................................................................................................................... 19 
REFERENCIAS ......................................................................................................................... 20 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
3 
 
 
 
INTRODUCCION 
 
En este informe vamos a hacer un análisis de los activos y amenazas 
basado en la metodología MAGERIT y para ello vamos hacer 3 elementos , 
una tabla de valoración de activos , una tabla de valoración de amenazas y 
una tabla que es el plan de tratamiento de riesgo que tiene esa organización. 
En un documento en Excel esta las 2 primeras tablas y en otro documento 
Excel esta el plan de tratamiento de riesgos, esto con el fin de mostrar en 
mas detalle esos ítems además de que en un futuro se puede agregar otros y 
modificar la información ya mostrada en base a los activos nuevos que 
adquiera la organización y en base a los riesgos y amenazas cambiantes que 
tiene toda organización en el ámbito de la informática. 
En el resto del informe se explicara cómo se llego a estas tablas. 
 
GRACIAS POR SU ATENCION. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
4 
 
 
1. ANALISIS DE ACTIVOS 
Los activos son todos los elementos que una organización posee para el 
tratamiento de la información (hardware, software, recurso humano, etc.).Basado 
en esto podemos clasificar los activos de acuerdo a la siguiente tabla: 
Tabla de ejemplo para relación de activos de seguridad de la información 
(basado en la información de la empresa): 
Tipos de activos Descripción 
Activo de información Bases de datos, documentación 
(manuales de usuario, contratos, 
normativas, etc.) Para la prueba de 
las aplicaciones se dispone de un 
entorno para desarrollo simulado en 
los puestos de trabajo de los 
desarrolladores, y para las pruebas 
de integración se dispone de un 
entorno similar al de los clientes 
El sistema operativo de las estaciones 
de trabajo de los desarrolladores e 
integradores es Microsoft Windows 
7Professional, con licencia en regla y 
configurados para descargar las 
actualizaciones a través de un 
servidor de Windows Update de la 
organización de manera diaria. 
 
Software o aplicación El Sistema de Gestión de Proyectos 
es básico puesto que es empleado 
para controlar todas las fases de los 
proyectos así como para el archivo de 
los productos resultantes (código 
fuente, documentación del proyecto 
como: diseños, planes de pruebas, 
material de documentación del 
producto, etc). La aplicación 
empleada también está basada en 
tecnología web y estructura de tres 
capas. 
Hardware ❖ Equipos de oficina (PC, 
portátiles) 
 
 
5 
❖ Firewall (para la red interna y 
externa) 
❖ IDS 
❖ Access Point 
❖ Servidor web 
❖ Servidor de correo interno 
❖ Servidor de correo electrónico 
❖ Servidor proxy 
❖ Servidor de aplicaciones 
❖ Servidor de base de datos 
❖ Servidor de ficheros e 
impresión 
 
 
Red Dispositivos de conectividad de redes 
(router, swicth, concentradores, etc.) 
Red telefónica 
 
Equipamiento auxiliar UPS 
Instalación Cableado estructurado, instalaciones 
eléctricas. 
Servicios Acceso a internet ISP , de bases de 
datos ,proxy ,correo electrónico y 
correo interno ,aplicaciones ,ficheros 
e impresión, LDAP 
Personal Personal informático 
(administradores, web máster, 
desarrolladores, etc.), usuarios finales 
y personal técnico, para un mejor 
detalle ver el organigrama de la 
empresa. 
 
Según la metodología MAGERIT los clasificamos de acuerdo en el tratamiento de 
la información, esto lo hacemos con el apoyo del personal de la empresa luego los 
clasificamos en cuanto a que uno cumple una función diferente en la generación, 
almacenaje o procesamiento de la información. 
 
Podemos clasificar estos activos de una manera más detallada para hacer el 
análisis de riesgos: 
 
 
 
6 
Tipo de Activo Activo 
Servicios ❖ web 
❖ correo interno 
❖ correo electrónico 
❖ proxy 
❖ aplicaciones 
❖ base de datos 
❖ ficheros e impresión 
❖ LDAP 
 
Datos ❖ Bases de datos, 
❖ documentación (manuales de 
usuario, contratos, normativas, etc.) 
Aplicaciones ❖ Sistema de Gestión de Proyectos 
❖ Sistema operativo Windows 7 + 
Windows update 
❖ Navegador 
❖ Antivirus 
Equipos Informáticos ❖ Equipos de oficina (PC, portátiles) 
❖ UPS 
Redes de Comunicaciones ❖ Firewall (para la red interna y externa) 
❖ IDS 
❖ Access Point 
❖ Router 
❖ Switch 
❖ Concentradores 
❖ Red telefónica 
❖ Servidor web 
❖ Servidor de correo interno 
❖ Servidor de correo electrónico 
❖ Servidor proxy 
❖ Servidor de aplicaciones 
❖ Servidor de base de datos 
❖ Servidor de ficheros e impresión 
❖ Cableado estructurado 
❖ instalaciones eléctricas. 
 
Personal Ver organigrama* 
 
 
Organigrama empresa: 
 
 
7 
 
 
 
Valoración de los activos 
 
Los vamos a valorar en una escala cualitativa y estos valores se refieren a la 
importancia del activo en caso de daño o falla 
Criterios de valoración de los activos 
 
VALOR CRITERIO 
10 Daño muy grave a la 
organización 
7-9 Daño grave a la organización 
4-6 Daño importante a la 
organización 
1-3 Daño menor a la 
organización 
0 Irrelevante para la 
organización 
 
 
 
8 
Dimensiones de Seguridad 
A la hora de analizar la seguridad de un sistema informático, hay que tener en 
cuenta una serie de criterios. Generalmente, al describir estos criterios se hace 
una analogía con la transmisión de un mensaje, si bien el concepto es aplicable a 
la información almacenada, el acceso a recursos, etc. 
● Confidencialidad: Capacidad de enviar información de manera que sólo pueda 
verla el receptor. 
Conceptos en seguridad de los sistemas de información: confidencialidad, 
integridad, disponibilidad y trazabilidad 
● Integridad: Capacidad de garantizar que la información enviada no ha sido 
alterada durante la transmisión. 
● Disponibilidad: Capacidad del sistema de seguir funcionando 
independientemente de los acontecimientos externos. 
● Trazabilidad: Capacidad de registro de las operaciones de un sistema 
informático, de manera que cualquier operación pueda ser rastreada hasta su 
origen. 
 
Las dimensiones de seguridad que contempla la metodología Magerit son: 
❖ Confiabilidad (C) 
❖ Integridad (I), 
❖ Autenticidad (A), 
❖ disponibilidad (D) 
❖ trazabilidad (T) 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
9 
2. IDENTIFICACION DE AMENAZAS 
Magerit, en el libro II, catálogo de elementos, presenta el catálogo de amenazas 
posibles que puede tener un activo de información. Las amenazas se clasifican en 
cuatro grandes grupos: 
❖ Desastres naturales(N), 
❖ De origen industrial (I), 
❖ Errores y fallos nointencionados (E), 
❖ Ataques deliberados o intencionados(A). 
 Cada grupo de amenaza se representa por una letra, así mismo cada grupo 
presenta en forma específica los tipos de amenazas que se pueden presentar. A 
continuación se presenta el listado codificado de las posibles amenazas que se 
pueden presentar en cada uno de los grupos mencionados. 
[N] Desastres naturales 
• [N.1] Fuego 
• [N.2] Daños por agua 
• [N.*] Desastres naturales 
[I] De origen industrial 
• [I.1] Fuego 
• [I.2] Daños por agua 
• [I.*] Desastres industriales 
• [I.3] Contaminación mecánica 
• [I.4] Contaminación electromagnética 
• [I.5] Avería de origen físico o lógico 
• [I.6] Corte del suministro eléctrico 
• [I.7] Condiciones inadecuadas de temperatura o humedad 
• [I.8] Fallo de servicios de comunicaciones 
• [I.9] Interrupción de otros servicios o suministros esenciales 
• [I.10] Degradación de los soportes de almacenamiento de la información 
• [I.11] Emanaciones electromagnéticas 
[E] Errores y fallos no intencionados 
• [E.1] Errores de los usuarios 
• [E.2] Errores del administrador 
• [E.3] Errores de monitorización (log) 
• [E.4] Errores de configuración 
• [E.7] Deficiencias en la organización 
 
 
10 
• [E.8] Difusión de software dañino 
• [E.9] Errores de [re-]encaminamiento 
• [E.10] Errores de secuencia 
• [E.14] Fugas de información 
• [E.15] Alteración de la información 
• [E.16] Introducción de falsa información 
• [E.17] Degradación de la información 
• [E.18] Destrucción de la información 
• [E.19] Divulgación de información 
• [E.20] Vulnerabilidades de los programas (software) 
• [E.21] Errores de mantenimiento / actualización de programas (software) 
• [E.23] Errores de mantenimiento / actualización de equipos (hardware) 
• [E.24] Caída del sistema por agotamiento de recursos 
• [E.25] Pérdida de equipos 
• [E.28] Indisponibilidad del personal 
[A] Ataques deliberados 
• [A.4] Manipulación de la configuración 
• [A.5] Suplantación de la identidad del usuario 
• [A.6] Abuso de privilegios de acceso 
• [A.7] Uso no previsto 
• [A.8] Difusión de software dañino 
• [A.9] [Re-]encaminamiento de mensajes 
• [A.10] Alteración de secuencia 
• [A.11] Acceso no autorizado 
• [A.12] Análisis de tráfico 
• [A.13] Repudio 
• [A.14] Interceptación de información (escucha) 
• [A.15] Modificación de información 
• [A.16] Introducción de falsa información 
• [A.17] Corrupción de la información 
• [A.18] Destrucción de la información 
• [A.19] Divulgación de información 
• [A.22] Manipulación de programas 
• [A.24] Denegación de servicio 
• [A.25] Robo de equipos 
• [A.26] Ataque destructivo 
• [A.27] Ocupación enemiga 
• [A.28] Indisponibilidad del personal 
 
 
11 
• [A.29] Extorsión 
• [A.30] Ingeniería social (picaresca) 
 
Basado en esto hacemos la siguiente tabla: 
Hay muchas amenazas en común en cada ítem pero por que estas amenazas 
afectan uno o varios elementos de un sistema en conjunto. 
 
Tipo de Activo Amenazas 
Servicios 
 
• [N.1] Fuego 
• [N.2] Daños por agua 
[N.*] Desastres naturales 
• [I.5] Avería de origen físico o lógico 
• [I.6] Corte del suministro eléctrico 
• [I.8] Fallo de servicios de 
comunicaciones 
• [I.9] Interrupción de otros servicios o 
suministros esenciales 
• [A.4] Manipulación de la configuración 
• [A.5] Suplantación de la identidad del 
usuario 
• [A.6] Abuso de privilegios de acceso 
• [A.7] Uso no previsto 
• [A.8] Difusión de software dañino 
• [A.11] Acceso no autorizado 
• [A.15] Modificación de información 
• [A.17] Corrupción de la información 
• [A.18] Destrucción de la información 
• [A.22] Manipulación de programas 
• [A.24] Denegación de servicio 
 
Datos 
 
• [N.1] Fuego 
• [N.2] Daños por agua 
[N.*] Desastres naturales 
• [I.1] Fuego 
• [I.2] Daños por agua 
• [I.*] Desastres industriales 
 
 
12 
• I.5] Avería de origen físico o lógico 
• [I.6] Corte del suministro eléctrico 
• [I.7] Condiciones inadecuadas de 
temperatura o humedad 
• [I.8] Fallo de servicios de 
comunicaciones 
• [I.9] Interrupción de otros servicios o 
suministros esenciales 
• [I.10] Degradación de los soportes de 
almacenamiento de la información 
• [E.1] Errores de los usuarios 
• [E.2] Errores del administrador 
• [E.7] Deficiencias en la organización 
• [E.8] Difusión de software dañino 
• E.14] Fugas de información 
• [E.15] Alteración de la información 
• [E.16] Introducción de falsa información 
• [E.17] Degradación de la información 
• [E.18] Destrucción de la información 
• [E.19] Divulgación de información 
• [A.11] Acceso no autorizado 
• [A.15] Modificación de información 
• [A.16] Introducción de falsa información 
• [A.17] Corrupción de la información 
• [A.18] Destrucción de la información 
• [A.19] Divulgación de información 
• [A.24] Denegación de servicio 
• [A.25] Robo de equipos 
• [A.26] Ataque destructivo 
• 
Aplicaciones 
 
• [I.5] Avería de origen físico o lógico 
• [E.1] Errores de los usuarios 
• [E.4] Errores de configuración 
• [E.8] Difusión de software dañino 
• [E.20] Vulnerabilidades de los programas 
(software) 
• [E.21] Errores de mantenimiento / 
actualización de programas (software) 
 
 
13 
• [A.4] Manipulación de la configuración 
• [A.5] Suplantación de la identidad del 
usuario 
• [A.6] Abuso de privilegios de acceso 
• [A.7] Uso no previsto 
• [A.8] Difusión de software dañino 
• [A.22] Manipulación de programas 
 
Equipos Informáticos 
 
 
• [N.1] Fuego 
• [N.2] Daños por agua 
[N.*] Desastres naturales 
• [I.5] Avería de origen físico o lógico 
• [I.6] Corte del suministro eléctrico 
• I.8] Fallo de servicios de comunicaciones 
• [I.9] Interrupción de otros servicios o 
suministros esenciales 
• [I.10] Degradación de los soportes de 
almacenamiento de la información 
• [I.11] Emanaciones electromagnéticas 
• [E.1] Errores de los usuarios 
• [E.2] Errores del administrador 
• [E.21] Errores de mantenimiento / 
actualización de programas (software) 
• [E.23] Errores de mantenimiento / 
actualización de equipos (hardware) 
• [E.24] Caída del sistema por agotamiento 
de recursos 
• [E.25] Pérdida de equipos 
• [A.4] Manipulación de la configuración 
• [A.5] Suplantación de la identidad del 
usuario 
• [A.6] Abuso de privilegios de acceso 
• [A.7] Uso no previsto 
• [A.8] Difusión de software dañino 
• A.22] Manipulación de programas 
• [A.24] Denegación de servicio 
• [A.25] Robo de equipos 
• [A.26] Ataque destructivo 
 
 
14 
 
Redes de Comunicaciones • [N.1] Fuego 
• [N.2] Daños por agua 
[N.*] Desastres naturales 
• [I.5] Avería de origen físico o lógico 
• [I.6] Corte del suministro eléctrico 
• [I.8] Fallo de servicios de 
comunicaciones 
• [I.9] Interrupción de otros servicios o 
suministros esenciales 
• [E.2] Errores del administrador 
• [E.3] Errores de monitorización (log) 
• [E.4] Errores de configuración 
• [E.8] Difusión de software dañino 
• [E.9] Errores de [re-]encaminamiento 
• [E.10] Errores de secuencia 
• [E.14] Fugas de información 
• [E.15] Alteración de la información 
• E.21] Errores de mantenimiento / 
actualización de programas (software) 
• [E.23] Errores de mantenimiento / 
actualización de equipos (hardware) 
• [E.24] Caída del sistema por agotamiento 
de recursos 
• [A.4] Manipulación de la configuración 
• [A.5] Suplantación de la identidad del 
usuario 
• [A.6] Abuso de privilegios de acceso 
• [A.7] Uso no previsto 
• [A.8] Difusión de software dañino 
• [A.9] [Re-]encaminamiento de mensajes 
• [A.10] Alteración de secuencia 
• [A.11] Acceso no autorizado 
• [A.12] Análisis de tráfico 
• [A.14] Interceptación de información 
(escucha) 
• [A.15] Modificación de información 
• [A.16] Introducción de falsa información 
• [A.17] Corrupción de la información 
 
 
15 
• [A.18] Destrucción de la información 
• [A.19] Divulgación de información 
• [A.22] Manipulación de programas• [A.24] Denegación de servicio 
• [A.25] Robo de equipos 
• [A.26] Ataque destructivo 
• [A.14] Interceptación de información 
(escucha) 
• [A.15] Modificación de información 
• [A.16] Introducción de falsa información 
• [A.17] Corrupción de la información 
• [A.18] Destrucción de la información 
• [A.19] Divulgación de información 
• [A.22] Manipulación de programas 
• [A.24] Denegación de servicio 
• [A.25] Robo de equipos 
 
 
 
 
 
Personal • [E.1] Errores de los usuarios 
[E.2] Errores del administrador 
• [E.14] Fugas de información 
• [E.15] Alteración de la información 
• [E.16] Introducción de falsa información 
• [E.17] Degradación de la información 
• [E.18] Destrucción de la información 
• [E.19] Divulgación de información 
• [E.28] Indisponibilidad del personal 
• [A.4] Manipulación de la configuración 
• [A.5] Suplantación de la identidad del 
usuario 
• [A.6] Abuso de privilegios de acceso 
• [A.7] Uso no previsto 
• [A.8] Difusión de software dañino 
 
 
16 
• [A.11] Acceso no autorizado 
• [A.28] Indisponibilidad del personal 
• [A.29] Extorsión 
• [A.30] Ingeniería social (picaresca) 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
3. VALORACION DE AMENAZAS 
 
 
 
17 
Se procede a realizar la valoración de amenazas a cada uno de los activos, es 
decir, determinar que amenazas los puede afectar, con qué frecuencia se puede 
presentar la amenaza y que dimensión de seguridad puede ser afectada. Para 
valorar las amenazas es necesario que se estime una escala de valores que nos 
permita determinar el rango de frecuencia en que se puede presentar la amenaza, 
la cual se realiza mediante estimaciones anuales, mensuales, y semanales, 
asignando un número de veces. En la tabla siguiente, se presenta dicho rango. 
Tabla de Escala de rango de frecuencia de amenazas 
Vulnerabilidad Rango Valor 
Frecuencia muy alta 1 vez al día 100 
Frecuencia alta 1 vez cada 1 semanas 70 
Frecuencia media 1 vez cada 2 meses 50 
Frecuencia baja 1 vez cada 6 meses 10 
Frecuencia muy baja 1 vez al año 5 
 
 
Luego se presenta el rango de impactos de manera porcentual para 
posteriormente registrar en una tabla resumen cada activo con el nivel de 
frecuencia y el impacto en cada una de las dimensiones de seguridad se 
relacionan los activos representados en forma de árbol con las posibles 
amenazas, la segunda para representar el nivel de frecuencia en que se puede 
presentar la amenaza, la cual se representa denotándose como: Alta (A), 
media(M), muy alta (MA), baja (B), muy baja (MB) que en nuestro caso, se estima 
de manera numérica. Y por último las 5 columnas siguientes que representan cada 
una de las dimensiones de seguridad. 
Tabla de Escala de rango porcentual de impactos en los activos para cada 
dimensión de seguridad. 
 
 
 
 
 
4. TABLA DE VALORACION DE ACTIVOS Y DE VALORACION DE 
AMENAZAS 
Tabla de Valoración de Activos y Amenazas 
Impacto Valor cuantitativo 
Muy alto(MA) 100% 
Alto(A) 75% 
Medio(M) 50% 
Bajo(B) 20% 
Muy bajo(MB) 5% 
tabla%20valoracion%20de%20activos%20y%20amenazas.xlsx
 
 
18 
 
 
5. PLAN DE TRATAMIENTO DE RIESGOS 
un de tratamiento de riesgo el cual es una tabla donde se coloca en una los 
activos , en otra columna se coloca las amenazas que son las que ya describimos 
en las tablas anteriores , en otra columna vulnerabilidades(son las debilidades 
que tiene los sistemas o sus componentes )y en la última columna colocamos un 
plan de tratamiento de riesgos o PTR ,por lo general ahí se colocan dos ítems 
aceptar o reducir y en otra columna podíamos colocar como hacer esto para más 
detalle. 
ACTIVOS AMENAZAS VULNERABILIDADES PTR 
(nombre 
del 
activo). 
 
 
 
Aquí en el siguiente link mostraremos el plan de riesgos de la empresa XXX , 
en esta tabla se resumirá algunos de los riesgos y amenazas más comunes 
que tienen estos activos 
PLAN DE TRATAMIENTO DE RIESGOS EMPRESA XXX 
 
 
 
 
 
 
 
 
 
CONCLUSIONES 
 
plan%20de%20tratamiento%20de%20riesgos%20empresa%20XXX.xlsx
 
 
19 
Para el plan de tratamiento de riesgos hemos resumido en ese documento 
en Excel las amenazas y vulnerabilidades más comunes en cada uno de los 
activos y aunque amenazas competen mas otros activos de por si afectan a 
todos los activos de la organización. 
En cuanto al PTR en la mayoría colocamos podemos reducir las amenazas y 
vulnerabilidades , hay unas que tienen aceptar , porque razón , porque el 
factor humano es lo más inestable en cualquier empresa , además por mas 
que se adopte medidas para mejorar los problemas relacionados con el 
factor humano es difícil tener la “gente contenta” ya que la mente de las 
personas es muy impredecible a los cambios y su entorno , por lo tanto 
debemos estar alertas a cada amenaza diaria y actualizarnos sobre cómo 
prevenirla o anularla. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
REFERENCIAS 
 
 
20 
 
[1]Universidad distrial.Capitulo 5 Gestión del Riesgo. Disponible en: 
http://www.udistrital.edu.co:8080/documents/276352/356568/Cap5GestionRiesgo.
pdf 
 
[2]Unad. Lección 11 proceso de identificación del riesgo. Disponible en: 
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-
online/31_leccin_11_proceso_de_identificacin_del_riesgo.html 
 
[3]Karina del Rocio Gaona Vazquez .Aplicacion de la metodología Magerit para el 
análisis gestión de riesgos de la seguridad de la información aplicado a la empresa 
Bravito S.A en la ciudad de Machala.Disponible en: 
http://dspace.ups.edu.ec/bitstream/123456789/5272/1/UPS-CT002759.pdf 
 
[4]Jesus Jiménez Herran. Conceptos de seguridad sistemas de información: 
confidencialidad, integridad, disponibilidad y trazabilidad. Disponible en: 
http://oposcaib.wikispaces.com/file/view/38+-
+Conceptes+en+seguretat+dels+sistemes+d'informaci%C3%B3.+Confidencialitat,
+integritat,+disponibilitat+i+tra%C3%A7abilitat.pdf 
 
 
http://www.udistrital.edu.co:8080/documents/276352/356568/Cap5GestionRiesgo.pdf
http://www.udistrital.edu.co:8080/documents/276352/356568/Cap5GestionRiesgo.pdf
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-online/31_leccin_11_proceso_de_identificacin_del_riesgo.html
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-online/31_leccin_11_proceso_de_identificacin_del_riesgo.html
http://dspace.ups.edu.ec/bitstream/123456789/5272/1/UPS-CT002759.pdf
http://oposcaib.wikispaces.com/file/view/38+-+Conceptes+en+seguretat+dels+sistemes+d'informaci%C3%B3.+Confidencialitat,+integritat,+disponibilitat+i+tra%C3%A7abilitat.pdf
http://oposcaib.wikispaces.com/file/view/38+-+Conceptes+en+seguretat+dels+sistemes+d'informaci%C3%B3.+Confidencialitat,+integritat,+disponibilitat+i+tra%C3%A7abilitat.pdf
http://oposcaib.wikispaces.com/file/view/38+-+Conceptes+en+seguretat+dels+sistemes+d'informaci%C3%B3.+Confidencialitat,+integritat,+disponibilitat+i+tra%C3%A7abilitat.pdf