Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Auditoría Informática MIGUEL ANGEL RAMOS GONZÁLEZ* Doctor en Informática. Socio-Director de Informáticos Europeos Extertos (IEE) Sed quis custodiet ipsos custodes Quvenal) 1. Introducción Aunque habitualmente hablamos de Auditoría Informática, sería preferible hablar de Auditoría en Informática, como dicen muchos de nuestros colegas de Hispanoamérica. Al mismo tiempo hemos de ir adaptando la denominación a la realidad: Auditoría de Sistemas de Información; a algunos les faltará espacio en las tarjetas si quieren precisar más y dicen Auditor en Sistemas de Información (SI) y en Tecnología(s) de la Información (TI), pero ¿cuántos sistemas de información empresariales hoy día no están basados en TI? •* Miguel A. Ramos, Doctor en Infmmática (tesis sobre A.I.), CISA (Certified Information Systems Auditor por ISACF), del Comité Directivo de OAI - !SACA; profesor de A.I. en la Universidad Carlos III de Madrid. Coautor de libros técnicos. Socio Director de lEE - Informáticos Europeos Expertos. E-mail: mramos@iee.es. fnj{mnática y Derecho 657 Hace algunos años se hablaba en inglés de EDP Auditor. auditor en proceso electrónico de datos, pero también hablábamos de mecanización antes de eso. No se trata al1ora de una modernización de términos sino de una nueva orientación de es te tipo de auditoría, que puede abarcar globalmente los sistemas de información: la planificación, el grado de alineamiento con las estrategias de las entidades, cómo los SI y el aprovechamiento de las TI aportan ventajas competitivas a la entidad, la gestión de los recursos, y la medida de la rentabilidad de todo ello, que es quizá el único punto que personalmente temo cuando se nos sugiere por parte de los clientes a la hora de establecer objetivos de la auditoría: algunas entidades tienen detallados sus costes (contabilidad analítica), pero ¿cómo cuantificar los auditores en algunas semanas las ventajas y los beneficios si la propia entidad no ha podido hacerlo en toda su existencia? 2. Justificación La Auditoría en Sistemas de Información como función interna está plenamente justificada en las entidades de cierto volumen o criticidad de sus operaciones, o simplemente más avanzadas en cuanto a planteamientos, y en esos mismos casos y en otros puede estar igualmente justificada la Auditoría en Sistemas de Información externa: an1bas pueden complementarse, lejos de ser excluyentes . Tanto la normativa como la auditoría son necesarias: una auditoría sin estándares y normas sería subjetiva y has ta peligrosa (aunque en SI es una situación habitual, que no normal); la existencia de normativa sin auditoría podría equivaler a la no existencia de la Guardia Civil de Tráfico, lo que incrementaría los accidentes, e iría convirtiendo la circulación en caótica y peligrosa. Otros supuesto tan peligroso o más sería tratar de impartir justicia sm leyes. Por tanto, los auditores es tamos habituados a tener que auditar sistemas de información en entidades sin políticas, con un marco legal incompleto, y usando estándares internacionales, que a menudo los auditados ponen en tela de juicio porque no están oblig-ados a cumplirlos. En el panorama tecnológico can1biante que nos ha tocado vivir los riesgos varían a gran velocidad según aparecen nuevas modalidades de proceso, pero 658 también surgen nuevos controles, técnicas y herramientas, si bien es aún largo el camino que queda en la protección. A modo de reflexión ¿cuántas entidades disponen de políticas y procedimientos adecuados, así como de mecamsmos para revisar su cumplimiento? ¿cuántas de clasificación de la información? ¿de separación de entornos en cuanto a progran1as y datos? ¿cuántas han asignado "propietarios" de ficheros, tienen plan d~ continuidad a diferentes niveles, realizan auditorías de los S.I...? Vendrían bien algunas estadísticas, que por ahora no se tienen. En defmitiva, como decía un cliente: "No pasan más cosas porque Dios es bueno", y no conocemos la mayor parte de las que pasan, porque ya se ocupan las entidades de que no se difundan. 3. Control, Auditoría, e Inspección Podemos considerar, en es te contexto, que un control aislado es una acción o actividad, o un conjunto de ellas, realizadas por uno o varios elementos: humanos, dispositivos ... para prevenir, detectar o corregir errores o irregularidades que afecten al funcionamiento de algo. Cuantos mejores controles tengamos -no es por tanto cuest1on de número- mayor fiabilidad alcanzaremos, si bien debemos considerar tan1bién factores como coste y productividad. Los grandes gmpos de controles son los siguientes, además de poderlos dividir en manuales y automáticos, o en generales y de aplicación: ·Controles directivos, que son los que establecen las bases, como las propias políticas, o la creación de funciones: de administración de seguridad o auditoría de S.I. interna. ·Controles preventivos: antes del hecho, como la identificación de visitas o las contraseñas. ·Controles de detección, como determinadas reviSiones de accesos producidos, o la detección de incendios. fllj(mnática y Derecho 659 ·Controles correctivos, para rectificar errores o acciones intencionadas, como la recuperación de un archivo dañado desde una copia. ·Controles de recuperación, que facilitan la vuelta a la normalidad después de accidentes o intermpciones, como puede ser un plan de continuidad adecuado. Debemos hablar tan1bién de Objetivos de Control, como declaraciones sobre el resultado final deseado o propósito a ser alcanzado mediante los procedin1ientos de control, como los recogidos en las publicaciones COBIT (Control Objectives for Itiformation and Re!ated Teclmo!ogies) de ISA CA (Information System Attdit and Contro!Association / Foundation). Cada entidad ha de definir sus propios objetivos de control, y crear y mantener un Sistema de Control Interno (funciones, procesos, actividades, dispositivos ... ) que puedan garantizar que se alcanzan y se cumplen los objetivos de control. La auditoría puede considerarse el "control del control", como una línea de defensa más. Además de quienes ejercen funciones de control o de auditoría de S.I. podemos encontrar otros órganos o gmpos relacionados como: Auditores financieros u operativos, Inspección de Hacienda, Inspección del Banco de España (para entidades fmancieras), Inspección de la Agencia de Protección de Datos (para los de carácter personal), auditores infom1áticos venidos de otros países en el caso de multinacionales, auditores de calidad, o administradores de la seguridad. Los auditores somos los "ojos y oídos" de la Dirección, que a menudo no puede, o no debe, o no sabe, cómo realizar las verificaciones o evaluaciones. En los informes se recomendará la implantación o refuerzo de controles, y en ocasiones incluso que se considere la supresión de controles, si son redundantes o ya no son necesar10s. Se debe valorar qué cuesta implantar -y mantener- un control, frente al coste de no implantarlo. 660 El sistema de control interno se basa en las políticas, y en parte se puede implantar con apoyo de herran1ientas, si bien encontramos a menudo que lo que existe es más bien la implantación basada en el criterio de los técnicos, pero no sustentada en nom1ativa, o habiendo partido ésta de los propios técnicos, sin aprobaciones de otro nivel. El control interno no está aún generalizado en España fuera de los procesos que implican pagos, pero existen otros riesgos tan importantes o más que las pérdidas monetarias directas, relacionados con la gestión adecuada de los recursos informáticos o con la protección de la información, que en este último caso podrían suponer responsabilidades y pérdidas muy importantes para la entidad. Si existe un sistema de control interno adecuado los procesos de auditoría, especialmente si son periódicos, son revisiones que requieren menos esfuerzo, con inf01mes más breves; si el sistema de control internoes débil, la auditoría llevará más tiempo, su coste será mayor, y las garantías de que se pong-an en marcha las recomendaciones son mucho menores; en ocasiones la situación dista tanto de lo aceptable como la del paciente que se somete a un chequeo después de varios años sin control. Más difícil que entre control y auditoría puede resultar matizar las diferencias entre auditoría e inspección, y no bastaría con decir que inspección es el concepto clásico y auditoría es un concepto anglosajón y de orientación moderna, aunque el término auditoría provenga del latín y los antiguos ya llevaran a cabo auditorías, al parecer principalmente escuchando las declaraciones de los auditados. Hoy día es más común hablar de auditoría en las entidades privadas, y de inspección en las Administraciones Públicas, no habiendo calado aún el enfoque de auditoría, con alguna excepción como el gmpo existente en el Ministerio de Economía y Hacienda, integrado por Inspectores de la Hacienda Pública. También podemos preguntamos las afinidades entre consultoría y auditoría de S.I. 4. Áreas que puede abarcar la Auditoría Informática y Derecho 661 En realidad el concepto que tienen muchos respecto a la auditoría de S.L no es exacto, y a menudo la confunden con la auditoría de cuentas con ayuda del ordenador, si bien es claro que el objeto a examinar en ese caso son los estados contables, balances y otros documentos y aun ficheros de ordenador (incluso con ayuda de paquetes) pero no deja de ser el ordenador el medio o la herramienta, no el objeto. Simplificando podríamos decir que la auditoría de S.I. es la revisión de éstos y de su entorno, y ello no implica que haya que usar el ordenador: puede tratarse por ejemplo de una auditoría de funciones, de desarrollo de aplicaciones, de gestión de proyectos, etc. Aunque a veces se asocia auditoría de S.I. con auditoría de la seguridad, y és ta es la función inicial de muchas áreas de auditoría de S.I. interna, la auditoría puede abarcar muchas otras áreas cómo hemos señalado, y de hecho es dificil determinar qué áreas no podría abarcar, sobre todo si se entra en la auditoría de la gestión de los propios S.I. Una vez centrado el tema, a modo de descripción más que de defmición formal se propone: La auditoría de sistemas de itiformación puede comprender: la revisión, análisis y evaluación independiente y objetiva, por parte de personas independientes y técnicamente competentes de: el entorno informático de una entidad, abarcando todas o algunas de sus áreas, como (sin que sea con carácter excbgente): equipos, sistemas operativos y paquetes, aplicaciones y el proceso de su desarrollo, organización y fimciones, las comunicaciones, la propia gestión de los recursos informáticos, la calidad de procesos y productos las políticas, estándares y procedimientos en vigor etz la entidad, su idoneidad así como el cumplimiento de: 662 dichas políticas, estándares y procedimientos, los objetivos fijados, los planes, los presupuestos, los contratos y las normas legales aplicables, el grado de satisfacción de liSUarios y directivos, los controles existentes, un análisis de los posibles riesgos relacionadoJ con la Informática. Como consecuencia de la revisión y examen ha de emitirse un informe escrito que resuma la situación desde un punto de vista independiente y objetivo y, en su caso, dicho informe ha de incluir deficiencias e indicación de mejoras. Una de las utilidades indirectas de la auditoría de sistemas de información es el apoyo a la auditoría de cuentas, ya que hoy día la mayoría de los entornos cuentan con equipos inf01máticos para su gestión. Es evidente que en general no puede considerarse totalmente fiable una auditoría de cuentas de un entorno informatizado que no vaya acompañada de una auditoría informática, que asegure que todo el proceso de los datos así como los propios programas están razonablemente exentos de error y de fraude. Para el auditor sin conocimientos técnicos es como encontrarse con una "caja negra". 5. El auditor en S.I. El perfil que se requiere para llevar a cabo auditorías de sistemas de información no está regulado, pero es evidente que es necesaria una formación y sobre todo una experiencia acordes con la función, e incluso con las áreas a auditar: seguridad, desarrollo de aplicaciones, gestión... además de ser imprescindibles en el pe1::ftl otras características o circw1stancias como independencia respecto a los auditados, madurez, capacidad de análisis y síntesis, e interés no meramente económico. En el seno de la citada ISACA existe un certificado relacionado: CISA (Certified Information Systems A 11ditor). Otro punto a considerar al crear la función interna es si se forma a técnicos en Informática y Derecho 663 auditoría general o se forma a auditores en otras áreas en auditoría en S.I. La independencia se consigue en parte ubicando la función en el lugar adecuado del organigrama, fuera en todo caso del área de S.I., circunstancia que no se cumple en gran número de entidades en Espall.a. 6. Auditoría de la Seguridad Como decíamos, en algunos casos se llega a confundir auditoría con seguridad, e incluso hemos encontrado a personas que ostentaban ambas funciones a la vez, lo que es ilógico e incompatible. La seguridad es una de las áreas objeto de la auditoría de S.I. pero en absoluto la única ni en todos los casos la más importante: podrían estar los datos y los sistemas muy seguros, y sin embargo por ejemplo estar sin cubrir las necesidades de la entidad, porque las aplicaciones y las inversiones en SI y TI se hubieran realizado sin alinean1iento con las estrategias de negocio o de servicio de la entidad. Desde la perspectiva de la auditoría de la seguridad es necesario revisar si se han considerado las amenazas, o bien evaluarlas si es el objeto, y de todo tipo: errores y negligencias en general, desastres naturales, fallos de instalaciones, o bien fraudes o delitos, y que pueden traducirse en da.í'íos a personas, datos, programas, redes, instalaciones, u otros, y llegarse a traducir en un peor servicio, imagen degradada, e incluso pérdida irreversible de datos. Debemos pensar que las medidas deben considerarse como INVERSIONES en seguridad, aunque en algunos casos se nos diría que no es fácil reflejarlas como activos contables y que cual es su rentabilidad; podemos estar de acuerdo, pero ¿cuál es la rentabilidad de blindar la puerta de acceso a nuestro domicilio, o la de instalar un antirrobo sofisticado en nuestro coche? Esa rentabilidad la podemos determinar si los dispositivos o controles han servido para evitar la agresión, y a veces habrá constituido una medida disuasoria y no llegaremos a enterarnos de su efecto positivo. En todo caso la seguridad tiene un impacto favorable en la imagen de las entidades, aunque ello sólo no suela justificar sus costes, y tanto para clientes y posibles clientes como para los empleados. Unos y otros pueden sentirse más protegidos, así como considerar más protegidos sus activos. 664 Y la protección no ha de basarse sólo en dispositivos y medios físicos, sino en formación e información adecuada al personal, empezando por la mentalización a los directivos para que, en "cascada", afecte a todos los niveles de la pirámide organizativa. Algunos autores se refieren a los accidentes no humanos como actos de Dios; cuando ha habido intervención humana en muchos casos ha participado alguien de la propia entidad afectada, al menos facilitando información sobre controles existentes y sus debilidades . Cuando los sistemas informáticos son el fm más que el medio se suele distinguir entre el cracker: alguien que quiere entrar en los sistemas para hacer daño, y el hacker: quien intenta acceder a los sistemas más para demostrar (a veces sobre todo para demostrarse a sí mismo/a) de qué es capaz, y que puede superar las barreras de protección que se hayan establecido,más que por hacer dafío, aunque finalmente todos lo hag-an de una forma más o menos directa. Frente a ello en la auditoría se recomiendan controles, que debieran poder fundamentarse en la seguridad jurídica, si bien todavía hay muchos aspectos que nuestras leyes no recogen: no se exige hacer copias de seguridad, por ejemplo, aunque son evidentes los riesgos de no hacerlo, y de forma especial cuando las amenazas se han traducido en incidencias. Debieran también apoyarse los controles, en segundo término, en lo que podemos denominar seguridad organizativo - administrativa, consistente en políticas, normas y procedin1ientos, separación de funciones, funciones específicas como administración de seguridad o la propia de auditoría interna, designación de propietarios, clasificación de la información, y otras. En relación con la separación de tareas: es peligroso que una misma persona realice una transacción, la autorice, y revise después los resultados (un diario de operaciones, por ejemplo), porque podría planificar un fraude o encubrir cualquier anomalía, y sobre todo equivocarse y no detectarse; por ello deben intervenir funciones /personas diferentes y existir controles suficientes. Después ya podemos lleg-ar a otros controles más extendidos de seguridad física y lógica. En un proceso de auditoría, por tanto, se evaluarán estos aspectos, y otros como si la seguridad es realmente una preocupación corporativa: que exista lnfimnática y Derecho 665 presupuesto para ello no es suficiente, si las personas a diferentes niveles están mentalizadas; que exista una cultura de la seguridad, si hay un comité que fije o apmebe los objetivos correspondientes y en qué medida se alcanzan, qué modelo de seguridad se quiere implantar o se ha implantado, qué políticas y procedimientos existen: su idoneidad y grado de cumplimiento, así como la forma en que se realiza el desarrollo: en un entorno seguro y con inclusión de controles en las aplicaciones, si el proceso se lleva a cabo igualmente en un entamo seguro: separación de programas y separación en cuanto a datos, si los seguros cubren !os riesgos, pero sin que sea ésta la única medida de protección, y si está prevista la continuidad de las operaciones en el caso de incidencias. En ocasiones la entidad está en medio de un proceso de implantación de la seguridad, y la evaluación normalmente abarcará qué proyectos hay en curso, y un contraste de los objetivos y los medios usados o previstos . Aunque no es posible en esta ocasión profundizar en todos los puntos sí queremos incluir algunos comentarios sobre algunos de ellos: en cuanto a evaluación de riesgos en general, se trata de evaluar la probabilidad de que algo ocurra y el impacto o pérdida que puede suponer; para ello disponemos de listas, que podemos incluir en hojas de cálculo, o bien usamos paquetes, y tal vez en el futuro sistemas expertos. El problema sigue siendo la adaptación de los puntos a cada caso: tales como actividad, din1ensión, tipo de datos, y plataformas, y asignar el peso que puede tener cada uno de los puntos. En el informe se explican los diferentes puntos, e incluso se clasifican por importancia, y la entidad decide qué acciones tomar y con qué prioridad, a veces en función de sus disponibilidades de recursos, o bien según qué planes tenga que puedan afectar, como puede ser la sustitución de equipos o de aplicaciones. Lo mejor sería poder eliminar los riesgos en todos los casos, pero normalmente lo más que conseguin1os es disminuir o la probabilidad de que algo se produzca o bien su impacto: con sistemas de detección, de extinción, mediante revisiones, o bien copiando ficheros críticos, exigiendo una contraseña, u otros controles según los casos. Los manuales hablan de transferir los riesgos, por ejemplo contratando un seguro, pero debemos recordar que si se nos pierden los datos la entidad aseguradora nos dará el importe estipulado -si no puede agarrarse a alguna cláusula en letra pequeña- pero seguiremos sin recuperar los datos. 666 Finalmente otra posibilidad es asumir los riesgos, pero debe hacerse a un nivel adecuado en la entidad, y considerando si puede ser mayor el coste de la inseguridad que el de la seguridad, lo que a veces sólo se sabe cuando ha ocurrido algo. ¿Cuál es el máximo admisible de riesgo que puede permitirse una entidad? Depende de lo crítica que sea para ella la información y disponer de ella, e incluso puede depender del momento: es un tema tan grave que no puede generalizarse la respuesta ni decidirla un administrador de seguridad. Volviendo a los aspectos físicos, que son una de las barreras más visibles, hay puntos a considerar en la auditoría, desde el emplazamiento del centro de procesos o de los servidores y terminales, el control de accesos, el uso de llaves, protecciones frente al fuego, agua, vandalismo, robo, y hasta la continuidad de la energía; respecto a la continuidad en general es fundan1ental disponer de copias actualizadas en un lugar adecuado. Además de la identificación física, y como paso siguiente, existe la identificación y autenticación que denominamos lógica, generalmente mediante contraseña, si bien si se sigue produciendo un abaratamiento progresivo se puede empezar a utilizar la biométrica. Podemos decir que una contraseña es un conjunto de caracteres que sólo debe conocer el propio usuario, y que sirve para dar acceso a recursos tales como todo un sistema, ficheros o bases de datos concretos, programas, transacciones, o incluso el acceso físico . Puntos a considerar en relación con las contraseñas: -La contraseña debe ser fácil de recordar por el verdadero usuano, para evitar que la tenga que escribir, y difícil de imaginar por otros. ·Si fuera necesario anotar la contraseña debe hacerse en lugares protegidos y preferiblemente disimulada entre otras anotaciones. ·En la mayoría de casos y entornos (no en todos) es preferible que la asigne el propio usuario, si bien siguiendo criterios adecuados. ·Para evitar situaciones de bloqueo el administrador ha de poder crear, con el debido control, usuarios con un perfil determinado en caso de emergencia, o bien existir éstos, y sus datos estar debidan1ente protegidos, incluida la propia fnj(mnática y Derecho 667 contraseña. ·Se debe limitar el número de intentos cuando el usuario marca la contraseña, previendo suplantaciones. ·En todo caso es necesario investigar los intentos de acceso fallidos para verificar si se trata de errores del usuario o intentos de suplantación. -Las contraseñas han de tener una vigencia limitada, por ejemplo treinta días; incluso las puede haber de un sólo uso. En algunos sistemas se trata de hacer al usuano preguntas que otros no deberían conocer. ·Puede haber también otros modelos pregunta / respuesta, basados en una función matemática que se ha comunicado al usuario. ·Existen algunos sistemas o aplicaciones que incluyen usuarios y contraseñas "de fábrica", incluso con perfil de administradores, que deben vartarse o protegerse, sobre todo cuando aparecen en los propios manuales. ·No deben aparecer en claro en las pantallas, ni en listados ni ficheros, en los que deben estar cifradas. Criterios de asignación: En todo caso debe fijarse una longitud mínima según la criticidad de lo que se quiere proteger: el código que usan1os para los cajeros de entidades fmancieras tiene 10.000 posibilidades (104), pero si ampliamos la longitud a seis, y utilizamos además de cifras las letras (unas 26 si el sistema no admite diferenciar mayúsculas y minúsculas) y algunos símbolos como *, $ ... (pensemos que hasta cinco símbolos) tenemos 416 posibilidades . La realidad demuestra que a menudo se asignan palabras que están en un procesador de textos, con lo que alguien que conozca algunos de sus caracteres puede llegar a averiguar los restantes. ·Otra restricción aconsejable es no admitir las "x" últimas asignadas, para evitar que elusuario asigne de forma alternativa dos o tres contraseñas, lo que 668 disminuye la seguridad. ·Se puede elegir una letra (por ejemplo la primera) de cada palabra de una frase: refrán, título de una película ... ·O bien tomar una palabra de un libro (incluso siempre del mismo) y del que anotamos pág-ina, línea y número de palabra, en vez de anotar la contraseña. ·Es evidente que ha de conocerla sólo el usuario y hay que evitar contraseñas de gmpo o depattamentales, para poder saber quién hizo qué (además de cuándo y desde dónde) y poder exigir responsabilidades. Y una posibilidad ciertamente rebuscada pero que se da en forma de "caballo de Troya", y especialmente peligrosa en un ''PC" que emule un terminal: que alguien haya introducido un progran1a que sin1Ule el contenido de la pantalla de identificación al sistema, con los mismos mensajes, grabe la contraseña, haga creer al usuario que ha habido algún tipo de error y le haga repetir el proceso ya dentro del procedin1iento normal, con lo que habrá recogido la contraseña (incluso de un administrador), sin que nadie haya sospechado. Cuando las contraseñas formen parte de mensajes de comunicaciones pueden ir camufladas: partidas, en posición variable, y lo mejor de todo: cifradas mediante algoritmos criptográficos. El cifrado es una de las medidas más eficaces si se usa bien y se eligen adecuadan1ente los sistemas, la longitud de las claves, y su distribución; puede usarse no sólo en las comunicaciones sino tan1bién para proteger los sopottes magnéticos que haya que trasladar -incluso por seguridad- y especialmente si lo hacemos por canales menos fiables : para evitar la copia no autorizada o interceptación del soporte. Los métodos de los romanos: sustitución de caracteres de un alfabeto (en todo el mensaje la A por la L, la M por la S ... ) o transposición (por ejemplo la primera letra pasa al lugar de la quinta, la cuarta al segundo lugar del texto ... ) resultarían hoy pueriles, sobre todo usando los propios ordenadores para el criptoanálisis. Los métodos modernos son mucho más complejos y sus algoritmos más sofisticados, aunque en muchos casos basados en la sustitución y transposición, lnjl!rmática y Derecho 669 pero a nivel de "bits" y con todos los caracteres ASCII o EBCDIC. El más extendido en aplicaciones comerciales, aw1que muy discutido en los últimos años, es el DES ("Data Encryption Standard") que IBM desarrolló con el nombre interno de "Lucifer". Es de clave privada y simétrico, es decir la clave para descifrar es la misma c1ue para cifrar. Entre los sistemas asimétricos de clave pública des taca RSA (de sus autores "Rivest, Shamir, Adleman"), basado en las propiedades de los números primos relativos y los residuos cuadráticos. Puede cifrarse por "hardware" y por "software". Las interceptaciones en las comunicaciones ("pinchados'') pueden ser pasivas: sólo lectura, o activas: variación de contenido. Deben limitarse los intentos de acceso para evitar que accedan suplantadores por intentos sucesivos, y en algunos casos es preferible establecer una llamada de retorno: el sistema identifica al usuario que quiere acceder y le obliga a "colgar" para ser el propio sistema el que llama a la dirección registrada como válida. En el caso de las redes locales, son aplicables muchos de los controles de las grandes redes, además de establecer controles específicos de prevención y detección de vims y proteger la configuración de manera que los usuarios sólo puedan realizar las funciones auto rizadas, en cuanto a cambios, carga de progran1as, transferencia de ficheros, y otras, para evitar fugas de datos, introducción de vims y carga o copias "pirata" de programas. Al hablar de seguridad siempre se habla de sus tres dimensiones : confidencialidad, integridad y disponibilidad de la información, y algunos controles van más dirigidos a tratar de garantizar una (o dos) de estas características. - La confidencialidad: se cumple cuando sólo las personas autorizadas (en un sentido amplio podrían1os referirnos tan1bién a sistemas) pueden conocer los datos o la información correspondiente. Podemos preguntarnos ¿qué ocurriría si un soporte magnético con los datos de los empleados o clientes o pacientes de una entidad fuera cedido a terceros? ¿cuál podría ser su uso fmal? ¿habría una cadena de cesiones o ventas 670 incontroladas de esos datos? La LORTAD (Ley Orgánica de Regulación del Tratamiento Automatizado de Datos de carácter personal) ha influido positivamente en concienciamos respecto a la confidencialidad. - La integridad: consiste en que sólo las personas autorizadas puedan variar (modificar o borrar) los datos. Además deben quedar pistas para control posterior y para auditoría. Pensemos que alguien variara datos de forma que perdiéramos la información de determinadas deudas a cobrar (o que sin perderla tuviéramos que recurrir a la información en papel), o que modificara de forma aleatoria la última patte de los domicilios de algunos clientes. Algunas de estas acciones se podrían tardar en detectar, y tal vez las diferentes copias de seguridad hechas a lo largo del tiempo estarían "viciadas" (cormptas se dice a veces), lo que haría difícil la reconstrucción. - La disponibilidad: se alcanza si las personas autorizadas pueden acceder a tiempo a la información a la que estén autorizadas. El disponer de la información después del momento necesario puede equivaler a la falta de disponibilidad. Otro tema es disponer de la información a tiempo pero que ésta no sea correcta, e incluso que no se sepa? lo que puede originar la toma de decisiones erróneas . Otro caso grave es la ausencia de disponibilidad absoluta, por haberse producido algún desastre. En ese caso, a medida que pasa el tiempo el impacto será mayor, hasta llegar a suponer la falta de continuidad de la entidad, como ha pasado en muchos de los casos producidos (más de un 80% según las es tadís tic as) . Por tanto, los datos son uno de los activos que más y mejor debemos proteger, hasta el punto de que en muchas multinacionales la función que conocemos como administración de seguridad se llan1a data secttriry: es necesaria la designación de propietarios, clasificación de los datos, restricción de su uso para pmebas, inclusión de muescas para poder detectar usos no autorizados, así como aprovechar las posibilidades del Sistema de Gestión de Bases de Datos que se esté lnjármática y Derecho 671 utilizando. Uno de los primeros pasos que deben dar las entidades es la clasificación de la información: definición de unos cuantos niveles y asignación de categorías, como pueden ser: Pública (no clasificada), Confidencial o Restringida, Secreta, e incluso de Alto Secreto ("TOP SECRET"), además de pendiente de clasificar. De este modo se podrá defmir qué pueden conocer los empleados de tal departamento, o restringir la variación de determinados datos a tal función. Decíamos que la LORTAD ha supuesto un impulso a la protección de datos en España, sobre todo en algunos sectores, a pesar de que aún está pendiente el Reglamento de Seguridad. Deben establecerse controles en la entrada, proceso y salida de los datos, e incluso después respecto al tiempo que hay que conservarlos y si es necesario fmalmente destmirlos, y tanto en soporte magnéti.co, como papel u otros. En los casos de transacciones más críticas se puede exigir la revisión por un supervisor independiente antes del proceso. En cuanto a las bases de datos existen unos criterios generales, además de recomendaciones específicas según sean bases de datos documentales, orientadas a objetos, distribuidas, con datos críticos, muy volátiles ... Cuando se trata de bases de datos con diferentes niveles de confidencialidad e integridad se pueden usar bases de datos multinivel, que permiten etiquetar los elementos de datos, y que usuarios o gmpos de usuarios con distintos niveles de acceso tengan vistasdiferentes de la misma base de datos. Como sobre todo en las entidades grandes y medias los sistemas se basan en redes de redes, con conexiones internas y externas, es necesario proteger y controlar los sistemas frente a posibles transferencias de ficheros, ya que los datos que pueden estar perfectamente protegidos en equipos centrales, una vez que son transferidos a redes con menor protección pueden a su vez transferirse a equipos de uso personal e incluso portátiles. En relación con ello se va imponiendo la identificación y autenticación únicas (single sign-on), y el intento de que los datos viajen por diferentes plataformas 672 con la misma etiqueta de seguridad que hayan podido tener inicialmente según su clasificación. Otro aspecto es la protección de los programas, al menos desde dos perspectivas: de los progran1as que sean propiedad de la entidad, realizados por el personal propio o contratados a terceros, y el uso adecuado de aquellos programas de los que se teng-a licencia de uso, pero este tema se tratará en otra ponencia expresamente y por un verdadero especialista. Es necesario hablar de virus, que hace años era un problema que se relacionaba con el uso de progran1as no legales, y cuya incidencia ha disminuido aunque nunca hay que bajar la guardia: la disminución en buena medida se debe al uso progresivo de programas legales, aunque aún estemos lejos de los niveles de otros países, a las medidas preventivas generales, y al uso de herran1ientas de prevención y detección, lo que supone en las redes un gran esfuerzo de administración y actualización, además del coste que suponen los propios paquetes, hasta el punto de que en muchos casos se protege sólo el servidor, y a nuestro juicio se debe completar la situación con la existencia de normas adecuadas y la posibilidad de responsabilizar al usuario. Existe un riesgo constante porque de forma continua aparecen nuevas modalidades de virus (a menudo en países distantes) que no son detectadas por los programas antivims hasta que las nuevas versiones los contemplan. Y un riesgo adicional es que los virus pudieran llegar a impactar los grandes sistemas, sobre todo a través de las redes, pero es to es realmente difícil -no nos atrevemos a decir que imposible- por las características y complejidad de los grandes equipos y de sus sistemas operativos. Un último aspecto a considerar en la auditoría de la seguridad, ya citado, es la continuidad: que en el caso de incidencias de diferente impacto las operaciones de la entidad puedan reanudarse -incluso no intenumpirse- en un plazo inferior al fijado, según la criticidad de las aplicaciones. En relación con ello es necesario revisar en la auditoría si se han determinado los registros vitales -y la información es uno de ellos- y las aplicaciones que la procesan, y los sistemas de proceso y redes son necesarios también. A la vez se suele revisar el denominado plan de evacuación, que afecta más directamente a las personas, y que puede existir con independencia del anterior, y con carácter general en la entidad o edificio. Los activos se deben proteger pensando en los intereses de los accionistas, de lijfórmúrica y Derecho (;73 los clientes, y también pensando en los empleados y en los proveedores. 7. Auditoría de la Gestión Es una de las áreas más novedosas para los auditores, hasta el punto de que a veces en los cursos nos preguntan, incluso profesionales con experiencia, si realmente tendrían que abordar tan1bién estas áreas . Entre los objetivos pueden estar: ·Alineamiento y sincronización de las inversiones y uso de los sistemas de información con las estrategias generales de "negocio" o de servicio. ·Aportación de los S.I. y del aprovechamiento de las tecnologías de la información para conseguir ventajas competitivas. ·Cobertura de necesidades de cada área usuaria y nivel de servicio, frente al riesgo de que se vaya a la tecnología por la tecnología. ·Organigrama adecuado. ·Contratos. ·Calidad: de procesos y de productos . -La llamada informática de usuario fmal, así como la existencia del gran almacén de datos (Data Warehouse) y su aprovechamiento, llegando a la minería de datos o Data Mining. ·Políticas, estándares y procedinuentos relacionados con la gestión. -Existencia y aportación de Con1ités. ·Gestión económica: costes, posible repercusión, rentabilidad. Es necesario revisar lo que podemos llamar arquitecturas. de datos, de aplicaciones, de equipos, y topología de comunicaciones. 674 8. Auditoría del Desarrollo de Aplicaciones Algunos aspectos a revisar pueden ser: metodología seguida, normativa, grado de participación de los usuarios, entornos de desarrollo, lenguajes, herramientas, pruebas, calidad, productividad, costes, e incluso comparación con otros o con niveles medios o destacados (bencbmarking); y no sólo en el caso de desarrollos propios, sino desarrollos contratados o con equipos mixtos, e incluso los términos del contrato, o en el caso del uso de paquetes de aplicación. El diseño y las pruebas tienen mucho que ver con la calidad, relacionada en muchos aspectos con la seguridad; así, deben probarse los módulos, rutinas y programas, realizar pruebas en cadena, de volumen o de "estrés", de aceptación (por parte de los usuarios, por la unidad de producción o explotación, y por el área de mantenimiento de aplicaciones), además de considerar la posibilidad de lanzar versiones alfa y beta, y realizar paralelos. El uso o no de datos reales vendrá determinado por la clasificación de la información, y en el caso de usar datos reales debería "mimetizarse" su contenido. El pase al entorno de explotación real debe estar controlado, no descartándose la revisión de programas por parte de técnicos independientes del proyecto, para determinar, además de la calidad, la ausencia de "Caballos de Troya", bombas lógicas y similares. 9. Auditoría de la Producción Algunos aspectos a revisar son: el nivel de servicio frente a las necesidades de los usuarios, la capacidad de proceso, la planificación y control de la explotación, la posible repercusión de costes, la gestión de problemas y can1bios, y la atención a usuanos. 10. Técnicas y métodos En cada proceso de auditoría se fijan los objetivos, án1bito y profundidad, lo que sirve para la planificación, y para la consideración de las fuentes, según los objetivos. El factor sorpresa puede llegar a ser necesario en las revisiones, según lnj(mnática y Derecho 675 lo que se quiera verificar. Como métodos y técnicas podemos considerar los cuestionarios, las entrevistas, la observación, los muestreos, las CAAT (Computer Aided Auditing Techniques), las utilidades y programas, los paquetes específicos, las pruebas, la simulación en paralelo con datos reales y programas de auditor, o la revisión de programas. 11. El informe El informe debe ser escrito en todos los casos, y debe ir firmado. En él deben constar los antecedentes, el objetivo del proceso de auditoría, los agradecimientos (si proceden), las posibles limitaciones, y un resumen para la Dirección, en términos no técnicos. En cada punto que se incluya debe explicarse, siempre que sea posible, por qué es un incumplimiento o una debilidad, y alguna recomendación, a veces abarcando varios puntos. El informe ha ·de discutirse con los auditados antes de emitir el definitivo. En algunos casos, bien en el propio informe o en otro documento, se recogen las respuestas de los auditados. La entidad decide qué acciones tomar, y en el caso de los internos suelen hacer también un seguimiento de las implantaciones. Los auditados siempre buscan un informe lo más benigno posible, mientras que los auditores nos proponemos lleg-ar a un informe veraz y útil; estos diferentes puntos de vista a veces crean conflictos en la discusión del informe. 12. Conclusión La auditoría en S.I. no está suficientemente implantada en la mayoría de las entidades españolas,si bien supondría una mayor garantía de que las cosas se hacen bien y como la entidad quiere: en general hay coincidencia entre ambos 676 puntos. Puede ser también una profesión con futuro cuando la auditoría _: despegue. Como función aporta al auditor un conocimiento privilegiado del área de S.I., con una perspectiva muy amplia. El auditor, como cualquiera que esté relacionado con las tecnologías de h información, ha de mantener sus conocimientos al día. La forma de realizar el trabajo va variando y se está llegando a aplicar el control por excepción y la teleauditoría. En cuanto a nuevas áreas, surgen las relaciones con el comercio electrónico y el uso de SET (Secttre Electronic Transaction), e incluso en cuanto a las pági~as WEB, y por algunos casos que se han producido, la revisión de quien autoriza, varía y controla los contenidos; cada vez es más necesaria la separación de dominios: en las entidades por seguridad y productividad, y en los hogares, aunque esto se sale de la auditoría y queda en el control, para evitar que ·los · menores accedan a contenidos con violencia o pornografía. Volviendo a las entidades, se están dando muchos casos de uso indebido de acceso a redes: en varias empresas de Estados Unidos muy conocidas se registraron más de cuatro mil accesos en 1996 sólo a la revista Pentbouse. Por último, dos aspectos que hay que tener muy en cuenta: la revisión de los sistemas en cuanto a su adaptación al euro, y la previsión del tratamiento adecuado al año 2000, que podría impedirnos entrar en el nuevo milenio con "buen pie"; ya se están produciendo errores: uno de los más leves el de un paciente de un centro sanitario de Madrid para el que el ordenador emitió un volante de pediatría ¡el paciente tiene 101 años! pero este problema se ha dado a menudo en diferentes sectores y mucho antes de que afecte el cambio de siglo y de milenio: debemos llegar al 2000 entusiastas, preparados y prevenidos. Informática y Derecho 677 .. ' 13.ANEXOS ORGANISMOS Y ENTIDADES RELACIONADOS ANSEI (Asociación Nacional de Seguridad en Entornos Informáticos) Tfno: (91) 722 50 40 ASIS (Sociedad americana para la Seguridad Industrial) Génova, 3 28004 MADRID AESPI (Asociación Española de Sociedades de Protección contra Incendios) Tfno: (91) 411 27 56 Instituto de Auditores Internos Montera, 24- 4° A 28013 MADRID OAI (Organización de Auditoría Informática), Capítulo Español de ISACA Claudia Coello, 18 28001 MADRID Secretariado de ISO American National Standards Institute 1430 Broadway New York, NY 10018 Estados Unidos Tel: 1-212-642-4900 Commission of the European Communities Senior Officials Group- Information Systems Security Secretariat DG X111F, TR61, 2/30 Ruede la Loi 200, B-1049 Bruselas BÉLGICA Fax: + 322-235-0654 Information Systems Audit and Control Association (ISACA) (Antes Electronic Data Processing Auditors Association, Inc.) 3701 Algonquin Rd., Suite 1010 678 Rolling Meadows, IL 60008 Estados Unidos Fax: 07-1-708-253-1443 Information Systems Security Association (ISSA) 4350 Dipaolo Ctr. Glenview, IL 60025 Tel.: 1-708-699-6441 Fax: 1-708-699-6369 Informática y Derecho 679 REVISTAS Y PUBLICACIONES SIC (Seguridad en Informática y Comunicaciones) Jorge Juan, 96 - Bajo 1 28009 MADRID Cuadernos de Seguridad Avda. de la Industria, 32, nave 2 28100 ALCOBENDAS (Madrid) Selecciones Security Management (en español) Edf. EULEN Ctra. de La Comña Km. 17,900 28230 LAS ROZAS (Madrid) Tfno: (91) 631 08 00 Fax: (91) 631 08 51 Computer Fraud & Security Bulletin Elsevier Advanced Technology, Mayfield House 256 Banbury Rd. Oxford OX2 7DH Inglaterra Te! +44-71-239-7764 Fax +44 (O) 865-310981 Computers & Security Elsevier Advanced Teclmology, Mayfield House 256 Banbury Rd. Oxford OX2 7DH Ingla 680 Computers Security Journal Computer Security Institute 600 Harrison St., San Francisco, CA 94107 Estados Unidos Tel: 415-905-2626 Fa.,'{: 415-905-2218 Auditor Journal ISA CA, 3701 Algonquin Rd., Suite 1010, Rolling Meadows, IL 60008 USA Phone 1-708-253-1545 Fax 1-708-682-4010 EDPACS -- The EDP Audit, Control, and Security Newsletter Auerbach Publications, Warren Gorham Lamont, 210 South St., Bastan, MA 02111-2797 Estados Unidos Tel 1-617-423-2020 lnformation Systems Security Auerbach Publications, One Penn Plaza, New York, NY 10119 Estados Unidos Tel: 1-212-971-5005 ISSAJournal Dain Gary, Software Engineering Institute Carnegie Mellan University Pittsburgh, PA 15212 Estados Unidos Tel: 1-412-268-5724 Fa.x 1-412-268-6989 Security Management American Society for Industrial Security, 1655 North Fort Myer Drive, Suite 1200, Arlington, VA 22209 USA Tel: 1-703-522-5800 Fax 1-703-243-4954 lnj(mnática y Derecho 681 BIBLIOGRAFÍA Abrams, M. D ., Jajodia, S. and Podell, S. J. Information Securiry. IEEE Computer Security Press. 1995. Acha Iturmendi. Auditoría Informática. Paraninfo. Madrid 1993/1994. Alonso Rivas, Gonzalo. Auditoría Informática. (Editorial Díaz de Santos) . Baker, Richard H. The Computer Secttriry Handbook . TAB Professional and Reference Books. British Standards Institution. A Code of Practice for Information Securiry Management. Department ofTrade and Industty, British Government. Londres, 1993 Bruce, Glen y Dempsey, Rob. Secttriry In Distributed Computing: Did You Lock the Door?. Prentice Hall. 1996. Caballero, P. Introducción a la Criptogrqfla. RA-MA, Textos Universitarios, 1996. Calle Guglieri, J.A. &ingeniería y Segundad en el Ciberespacio. Ed. Díaz de Santos. Madrid, 1997. Castano, S., Fugini, M., Maetella, G., Samarati, P. Database Secun'ry. Addison Wesley, 1994. Chapman, D. B., Zwicky, E. D. Buildi11g Internet Fimvalls. O'Relly & Associates, 1995. Coelli, William, Longley, Dennis and Shain, Michael. Information Secun'ry. Handbook. Macmillan Publishers,Ltd. Data Secun'ry Management. Auerbach. Datapro Reports on Information Securiry. DATAPRO. McGraw- Hill. 682 Davara, Miguel Ángel. De las Autopistas de la Información a la Sociedad Virtual. Editorial Aranzadi. Pamplona, 1996. Davies, D . W. and Price, W. L. S ecuriry for Computer Net1vorks. J ohn Wiley & Sons. Del Peso, Emilio y Ramos, Miguel A. Confidencialidad y Seg11ridad de la Información: la LORTAD y sus Implicaciones Socioeconómicas. Editorial Diaz de Santos, Setiembre 1994. Madrid. Del Peso, Emilio, Miguel A. Ramos et al . Manual de Dictámenes y Peritqjes. Editorial Diaz de Santos, Noviembre 1995. Madrid. Dupont, Daniel G, and Richard Lardner. The Culture o/ Secrery. Government Executive, vol. 27, n° 6. Junio, 1995. EDP Auditing, AUERBACH Eloff,J. H. P. and Von Sloms, S. H. Information Securiry- the Next Decade. Chapman & Hall. May, 1995. Ford, Warwick. Computer Communications Sernriry: Principies, Standard Protocols and Techniques. Prentice Hall. 1994. Geyelin, Milo. W-?Y Many Businesses Can't Keep Their Secrets. The Wall Street Joumal, 20 Noviembre, 1995. Ginn, Ron. Continuiry Planning. Elsevier Advanced Technology. Henry. M. Practica! Computer- NetJvork Sernriry. Artech House, 1995. Hughes, L. J. Internet Sernriry Techniques. New Riders Publishing, 1995. Hutt, Arthur E., Douglas B. Hoyt, y Seymour Bosworth. Computer Sernriry Handbook. 3a edición, 1995. John Wiley & Sons. Nueva York, 1995. ISACA (Information Systems Audit and Control Association / Foundation) . Varios libros editados. Informática y Derecho 683 ----- COBIT: Control Objectives for Itiformation and Related Technology. Abril, 1996. IT security: the need for internacional cooperation. Proceedings if the IFIP TCII International Coriference on Information Secttriry. Singapur. Mayo, 1992 Kaufman, Charles, Perlman, Radia y Speciner, Michael. Nettvork Secttriry: Private Communication in a Public World. Prentice Hall. 1995 Longley, Dennis and Shain, Niichael. Data & Computer Secun·ry. Macmillan Publishers, Ltd. Morant, J.L., Ribagorda,A. T y Sancho, J. Segundad y Protección de la Iriformación. Editorial Centro de Estudios Ramón Areces. Madrid, 1994. Murphy Michael A. y Parker Xenia L. Handbook if EDP Auditing, Warren, Gorham & Lamont O'Shea, G. Secttn·ry in computeroperatúzg .rystems. NCC Blackwell. Oxford, 1991. Palmer, l. C. and Potter, G.A. Computer Secun·ry- Risk Management. Jessica Kingsley Publishers. Perry, William E. and Kuong, Javier F. EDP Risk Anafysis and Control Justification. Pfleeger, Charles P. Secun·ry in Compttting, 2/E. Prencice-Hall, 1996. Piattini, M.G. Control interno y auditoría en un entorno de bases de datos relacionales. Parte I y JI. Revista Base no 21, noviembre 1992 y n° 22, abril 1993. Prooceedings if the Sixth IFIP. Internacional Conference on Computer Security and Informacion Intergrity. Helsinki- Mayo 1990. RACF. Auditor's Guide. IBM. Ramos González, MA. La seguridad y confidencialidad de la información y la LORTAD. Actas XXII Curso de Informática y Derecho: ~ de Protección de Datos Personales. UNED. Mérida, 1993. 684 -----La Auditoría de la seguridad informática. Revista CHIP. Marzo, 1992. ----- Contribución a la mejora de las técnicas de Auditoría Informática mediante la aplicación de métodos y herramientas de Ingeniería del Conocimiento. Tesis Doctoral. Facultad de Informática. Universidad Politécnica de Madrid. ----- La importancia de la seguridad informática en el ámbito empresarial. Ponencias JI Conjérencia de Seguridad Informática. Madrid, 1989. ----- Auditoría de la Seguridad: charlas en dos ediciones de Securmática ----- Auditoría (en) informática. Seguridad informática. Núm. 17. Noviembre, 1995. ----- La información como activo estratégico: seguridad y protección. Selecciones de Securiry Management. Núm. 75. Madrid, 1995. ----- La Auditoría Informática y el Reglamento de Seguridad de la LORTAD. Revista Seguridad Informática y Comunicaciones . Septiembre 1997 (en prensa) . ----- Auditoría de la Seguridad. Capítulo en la obra Auditoría Informática coordinada por Del Peso, Emilio, y Piattini, Mario. Ed. RA - MA, Octubre 1997 (en preparación). ----- (Coautor de otras obras; vid. Del Peso ... ). Ribagorda Garnacha, A. Seguridad y Protección de la !'!formación. De este autor y de JL Morant y J. Sancho. Editorial Centro de Estudios Ramón Areces. Madrid, 1994. ----- Glosario de Términos de Segundad de fas T.I. Ediciones CODA. Madrid, Abril 1997. R. Posch. Communications and Multimedia Securiry. Graz University of Technology, Austria. August 1995. Sánchez,JI. e Ignoto, MJ. La Segundad Informática. Manuales IMPI. Madrid, 1991. SEDISI. Guía de Segundad Itifórmática. (Asociación Española de Empresas de Tecnologías de la Información) . Abril, 1997. Informática y Derecho 685 Security. Module 9. Systems Auditability and Control. The Institute Interna/ Auditors Research Foundation. Altamonte Springs, 1991. Simpson, Glenn R. A '90s Espionage Tale Stars Software Riva/s, E-Mai/ Spy. The Wall StreetJournal, 25 Octubre, 1995. ~iyan, K., Hare, Ch. Internet Firewa//s and Network Securiry. New Riders publishing, 1995. Stalling, William. Network and InternetJvork Securiry: Principies and Practice. Prentice Hall. 1995 Tantam, Mark. Computer Abuse Investigator. Elsevier, 1991 (Gran Bretaña) The EDP Audit, Control, and Securiry Newsletter. EDPACS. Auerbach Publications. The Journal, revista de la ISACA. Vallabhaneni, Rao. Auditing computer secun·ry. A manual with case studies. John Wiley & Sons, 1989. Wong, Ken y Watt, Steve. Managing Itifórmation Secun·ry. Elsevier, 1990 (Gran Bretaña). Wood, Charles Cresson. A Polúy for an Information Secun·ry Management Committee. Computer Security Alert, n° 115. Octubre, 1992. Publisher: Computer Security Institute, San Francisco, CA, USA. 686 ALGUNAS DIRECCIONES "WEB" / /www.acl.com Herramientas para auditoría / /www.aenor.es Asociación Española de Normalización / /www.amazon.com Libros / /www.ansi.org American Nacional Standards Institute / /www.auditserve.com Articulas, noticias / /www.bibliomania.com Libros / /www.booksatoz.com Libros / /www.bookshop.com Libros / /www.bookwire.com Libros / /www.compubooks.com/books .html Localización de libros de informática / /www.datapro.com Datapro / /www.echo.lu Comisión Europea / /www.elservier.com Libros, revistas, congresos 1 /www.etsi.fr European Telecomunications Standards Institute / /www.fundesco .es Consulta catálogos de bibliotecas / /www.hp.com 1 /www.hp.es Hewlett Packard mundial / española 1 /www.ibm.com / /www.ibm.es IBM Mundial / española / /www.iee.es IEE - Infotmáticos Europeos Expertos / /www.ifip .or.at IFIP / /www.iso.ch Internacional Standards Organization / /www.it-ch.com Chapman & Hall (Libros sobre TI) / /www.mec.es Educación y Ciencia(+ información tesis: teseo) / /www.microsoft.com 1 /www.ovum.com Informes Técnicos 1 /www.rsa.com Algoritmo de cifrado / /www.uned.es Universidad Nacional de Educación a Distancia / /www.wiley.com Libros técnicos Informática y Derecho 687
Compartir