CONTROL DE ACCESOS, FISICO Y LOGICO

CRIPTOGRAFIA

Edwing David Ruiz Arrivillaga

Carné: 1293-93-1201.

Enero 2018.

Universidad Mariano Gálvez de Guatemala.

Inga. Aura Denmi López

Principios de Seguridad Informática

 Prefacio ii

Todas las empresas, organizaciones o grupos de cualquier tipo, tamaño o sector, están

expuestas a una serie de amenazas que las hacen vulnerables a tener pérdidas de procesos y por

consecuencia no alcanzar los objetivos trazados, como pueden ser accidentes operacionales,

enfermedades, catástrofes naturales, devaluación de la moneda, etc.

El riesgo es la “combinación de la probabilidad del evento y sus consecuencias". Para

impedir el acceso no autorizado al Sistema de Gestión de Seguridad de la Información según la

norma ISO 27002, se deberán implantar procedimientos formales para controlar los accesos,

tanto físicos como lógicos para los usuarios, asignación de derechos de acceso a los sistemas de

información, bases de datos y aplicaciones. Estos deben estar en forma clara en los documentos,

los comunicados y controlarlos en cuanto a su cumplimiento.

Los servicios de procesamiento de información sensible, deberían ubicarse en áreas

seguras y protegidas en un perímetro de seguridad definido por barreras y controles de entrada

adecuados. Estas áreas deberían estar protegidas físicamente contra accesos no autorizados,

daños e interferencias.

La criptografía actualmente se encarga del estudio de los algoritmos, protocolos y

sistemas que se utilizan para dotar de seguridad a las comunicaciones, a la información y a las

entidades que se comunican.

El objetivo de un sistema criptográfico es dotar de seguridad. Por tanto para calibrar la

calidad de un sistema criptográfico, es necesario evaluar la seguridad que aporta dicho sistema.
 Tabla de Contenidos iii

LA SEGURIDAD FISICA Y DEL ENTORNO ............................................................................. 1

Áreas Seguras.............................................................................................................................. 1

Seguridad de los Equipos. ........................................................................................................... 3

CONTROL DE ACCESOS ............................................................................................................ 5

Requisitos de negocio para el control de accesos. ...................................................................... 5

Actividades de control del riesgo ................................................................................................ 6

Gestión de acceso de usuario. ..................................................................................................... 6

Actividades de Control de Riesgo............................................................................................... 7

Responsabilidades del Usuario ................................................................................................... 8

Actividades de Control del Riesgo ............................................................................................. 8

Control de Acceso a Sistemas Operativos y Aplicaciones ....................................................... 11

Actividades de control del Riesgo ............................................................................................ 11

Informática Móvil y Tele Trabajo............................................................................................. 12

CRIPTOGRAFIA ......................................................................................................................... 14

Objetivos de la Criptografía ...................................................................................................... 16

Terminología ............................................................................................................................. 17

La criptografía en el correo electrónico. ................................................................................... 18

Lista de Referencias ...................................................................................................................... 19

 Lista de figuras

Figura 1. Normas de Seguridad Física y Ambiental, Según norma ISO 27002……..………..4

Figura 2. Normas de Seguridad de Control de Accesos, Según norma ISO 27002..………….13

Figura 3. Criptografía Gráfica………………………………………………………………....18

 1

LA SEGURIDAD FISICA Y DEL ENTORNO

Áreas Seguras.

Evitar el acceso físico no autorizado, daños o intromisiones en las instalaciones y

a la información de la organización. Los servicios de procesamiento de información

sensible, deberían ubicarse en áreas seguras y protegidas en un perímetro de seguridad

definido por barreras y controles de entrada adecuados. Estas áreas deberían estar

protegidas físicamente contra accesos no autorizados, daños e interferencias. El estándar

parece centrarse en el CPD pero hay muchas otras áreas vulnerables a considerar, [Link].

armarios de cableado, servidores departamentales y archivos (recordatorio: los estándares

se refieren a asegurar la información, no sólo las TI). Examine la entrada y salida de

personas a/de su organización. ¿Hasta dónde podría llegar el repartidor de pizza o el

mensajero sin ser parado, identificado y/o acompañado? ¿Qué podrían ver, llevarse o

escuchar mientras están dentro?

Algunas organizaciones usan tarjetas de identificación de colores para indicar las

áreas accesibles por los visitantes ([Link]. azul para la 1ra planta, verde para la 3ra, etc.;

ahora, si ve a alguien con una identificación verde en la 4ta planta, reténgalo). Asegúrese

de retirar todos los pases de empleado y de visita cuando se vayan. Haga que los

sistemas de acceso con tarjeta rechacen y alarmen ante intentos de acceso. Use pases de

visita que se vuelvan opacos o muestren de alguna manera que ya no son válidos o las x

horas de haberse emitido.

 2

- Perímetro de seguridad física

Los perímetros de seguridad (como paredes, tarjetas de control de entrada a puertas o

un puesto manual de recepción) deberían utilizarse para proteger las áreas que

contengan información y recursos para su procesamiento.

- Controles físicos de entrada

Las áreas de seguridad deberían estar protegidas por controles de entrada adecuados

que garanticen el acceso únicamente al personal autorizado.

- Seguridad de oficinas, despachos y recursos.

Se debería asignar y aplicar la seguridad física para oficinas, despachos y recursos.

- Protección contra amenazas externas y del entorno.

Se debería de designar y aplicar medidas de protección física contra incendio,

inundación, terremoto, explosión, malestar civil y otras formas de desastre natural o

humano.

- El trabajo en áreas seguras

Se debería diseñar y aplicar protección física y pautas para trabajar en las áreas

seguras.

- Áreas aisladas de carga y descarga.

Se deberían controlar las áreas de carga y descarga con objeto de evitar accesos no

autorizados y, si es posible, aislarlas de los recursos para el tratamiento de la

información.
 3

Seguridad de los Equipos.

Esta norma trata de evitar la pérdida, daño, robo o puesta en peligro de los activos

y la interrupción de las actividades de la organización. Deberían protegerse los equipos

contra las amenazas físicas y ambientales. La protección del equipo es necesario para

reducir el riesgo de acceso no autorizado a la información y su protección contra pérdida

o robo. Así mismo, se debería considerar la ubicación y eliminación de los equipos. Se

podrían requerir controles especiales para la protección contra amenazas físicas y para

salvaguardad servicios de apoyo como energía eléctrica e infraestructura del cableado.

Haga que los vigilantes de seguridad impidan a cualquiera (empleados, visitas, personas

de soporte de TI, mensajeros, personal de mudanzas, limpieza, etc.) sacar equipos

informáticos de las instalaciones sin autorización escrita. Arcos de detección de metales,

puede ser una buena idea. Esté especialmente atento a puertas traseras, rampas de carga,

salidas para fumadores, etc.

- Instalación y protección de equipos

El equipo debería situarse y protegerse para reducir el riesgo de materialización de las

amenazas del entorno, así como las oportunidades de acceso no autorizado.

- Suministro eléctrico.

Se deberían proteger los equipos contra fallos en el suministro de energía u otras

anomalías eléctricas en los equipos de apoyo.

- Seguridad del cableado.

Se debería proteger el cableado de energía y de telecomunicaciones que transporten

datos o soporten servicios de información contra posibles interceptaciones o daños.

 4

- Mantenimiento de equipos.

Se deberían mantener adecuadamente los equipos para garantizar su continua

disponibilidad e integridad.

- Seguridad de equipos fuera de los locales de la organización.

Se debería aplicar seguridad a los equipos que se encuentran fuera de los locales de la

organización considerando los diversos riesgos a los que están expuestos.

- Seguridad en la reutilización o eliminación de equipos.

Debería revisarse cualquier elemento del equipo que contenga dispositivos de

almacenamiento con el fin de garantizar que cualquier dato sensible y software con

licencia se haya eliminado o sobrescrito con seguridad antes de la eliminación.

- Traslado de activos.

No deberían sacarse equipos, información o software fuera del local sin una

autorización.

Figura 1. Normas de Seguridad Física y Ambiental, Según norma ISO 27002.

 5

CONTROL DE ACCESOS

El objetivo de la norma ISO 27002, es controlar el acceso mediante un sistema de

restricciones y excepciones a la información como base de todo Sistema de Seguridad de

la Información. Para impedir el acceso no autorizado al Sistema de Gestión de

Seguridad de la Información según la norma ISO 27002, se deberán implantar

procedimientos formales para controlar los accesos, tanto físicos como lógicos para los

usuarios, asignación de derechos de acceso a los sistemas de información, bases de datos

y aplicaciones. Estos deben estar en forma clara en los documentos, los comunicados y

controlarlos en cuanto a su cumplimiento.

Los procedimientos comprenden todas las etapas de ciclo de vida de los accesos

de los usuarios de todos los niveles, desde el registro inicial de nuevos usuarios, hasta la

privación final de los derechos de todos los usuarios que ya no requieren el acceso. La

cooperación de todos los usuarios es esencial para la eficiencia de la seguridad, por lo que

es necesario que se concientice sobre las responsabilidades que tiene el mantenimiento de

los controles de acceso eficientes, en particular aquellos que se relacionan con la

utilización de las contraseñas y la seguridad del equipamiento.

Requisitos de negocio para el control de accesos.

Es necesario controlar los accesos de la información, los recursos de tratamiento

de la información y los procesos de negocio, según la norma ISO 27002, en base a las

necesidades de seguridad y de negocio de la empresa. Las regulaciones para el control de

los accesos deben considerar las políticas de distribución de la información y de

 6

autorizaciones. Los propietarios de activos de información son responsables ante la

dirección de la protección de los activos que deben tener la capacidad de definir o

aprobar las reglas de control de acceso y otros controles de seguridad. Es necesario

asegurarse de que se les responsabiliza de incumplimientos, no conformidades y otros

incidentes.

Actividades de control del riesgo

- Política de control de accesos

Es necesario o se debería establecer, documentar y revisar la política de control de

accesos en base a las necesidades de seguridad y de negocio en la organización.

- Control de acceso a las redes y servicios asociados.

Es necesario proveer a los usuarios de los accesos a redes y los servicios de red

para los que han sido de forma expresa autorizados para que sean utilizados.

Gestión de acceso de usuario.

Según establece la norma ISO 27002, es necesario establecer procedimientos

formales para controlar la asignación de los permisos de acceso a los sistemas y servicios

de información. Los procedimientos tienen que cubrir todas las etapas del ciclo de vida

durante el acceso de los usuarios, desde el registro inicial hasta los nuevos usuarios y en

el momento en que se realice su baja cuando ya no sea necesario su acceso a los sistemas

y servicios de información. Es necesario prestar especial atención, si fuera oportuno, a la

necesidad de controlar la asignación de permisos de acceso con privilegios que se salten y

anulen la eficacia de los controles del sistema.

 7

Actividades de Control de Riesgo

- Gestión de altas/bajas en el registro de usuarios

Debería existir un procedimiento formal de alta y baja de usuarios, con el objeto

de garantizar y cancelar los accesos a todos los sistemas y servicios de

información.

- Gestión de los derechos o privilegios de acceso asignados a usuarios

Es necesario implementar un proceso formal de aprovisionamiento de accesos a

los usuarios para asignar o revocar los derechos de acceso de todos los tipos de

usuarios y para todos los sistemas y servicios.

- Gestión de los derechos de acceso con privilegios especiales.

La utilización de los derechos de acceso con privilegios especiales debe ser

restringida y controlada.

- Gestión de información confidencial de autenticación de usuarios

(contraseña).

La asignación de información confidencial para la autenticación debe ser

controlada mediante un proceso de gestión de información confidencial.

- Revisión de los derechos de acceso de los usuarios

Todos los propietarios de los activos tienen que revisar con regularidad de los

derechos de acceso de los usuarios.

- Retirada o adaptación de los derechos de acceso

Es necesario retirar los derechos de acceso a todos los trabajadores, contratistas o

usuarios de terceros a la información y a las instalaciones del procesamiento de

 8

información, a la finalización del trabajo, contrato o acuerdo, o ser revisados en

caso de cambio.

Responsabilidades del Usuario

La cooperación de los usuarios autorizados, es esencial para la seguridad efectiva.

Todos los usuarios deben ser conscientes de sus responsabilidades durante el

mantenimiento de controles de acceso eficientes, en particular respecto a la utilización de

las contraseñas y la seguridad en los equipos puestos en su disposición. Es necesario

implementar una política para mantener los escritorios y los monitores libres de cualquier

información con objetivo de disminuir el riesgo de acceso no autorizado o el deterioro de

documentos, medios y recursos para el tratamiento de la información.

Es necesario que se asegure de establecer las responsabilidades de seguridad y

que sean atendidas por el personal afectado. Una buena estrategia es definir y

documentar de forma clara todas las responsabilidades relativas a seguridad de la

información en las descripciones o perfiles de los puestos de trabajo. Son

imprescindibles las revisiones periódicas para incluir cualquier cambio. Es necesario que

se comunique de forma regular a los empleados de los perfiles de sus puestos, para

recordarles sus responsabilidades y recoger cualquier cambio.

Actividades de Control del Riesgo

- Uso de información confidencial para la autenticación (contraseña):

Se debería exigir a los usuarios la utilización de las buenas prácticas de seguridad

de la organización en el uso de información confidencial (contraseña) para la

 9

autenticación. Posibles soluciones para este control: Random Password

Generator, Keepass, OPHCrack, Oxid, entre otras.

- Equipo Informático de usuario desatendido

Los usuarios deberían garantizar que los equipos desatendidos disponen de la

protección apropiada, como por ejemplo: descansa pantallas con clave de

desbloqueo.

- Políticas para escritorios y monitores sin información

Debería existir una política para escritorios y monitores limpios de información

que coloca el usuario.

- Control de Acceso en Red.

El objetivo de este control es impedir el acceso no autorizado a los servicios en

red de la organización. Se deberían controlar los accesos a servicios internos y

externos conectados en red. Debe existir interfaces adecuadas entre la red de la

organización y las redes públicas o privadas de otras organizaciones. Cumplir los

mecanismos de autenticación adecuados que aplican a los usuarios y equipos.

Hay que mantener un equilibrio entre controles de seguridad perimetral

(LAN/WAN), frente a controles de seguridad en aplicaciones (defensa en

profundidad).

- Política de uso de los servicios de red

Se debería proveer a los usuarios de los accesos a los servicios para los que han

sido expresamente autorizados a utilizar en red.

 10

- Autenticación de usuario para conexiones externas

Se debería utilizar métodos de autenticación adecuados para el control del acceso

remoto de los usuarios.

- Autenticación de nodos de la red.

Se debería considerar la identificación automática de los equipos como un medio

de autenticación de conexiones procedentes de lugares y equipos específicos.

- Protección a puertos de diagnóstico remoto

Se debería controlar la configuración y el acceso físico y lógico a los puertos de

diagnóstico.

- Segregación en las redes.

Se deberían segregar los grupos de usuarios, servicios y sistemas de información

en las redes.

- Control de conexión a las redes

En el caso de las redes compartidas, especialmente aquellas que se extienden más

allá de los límites de la propia Organización, se deberían restringir las

competencias de los usuarios para conectarse en red según la política de control

de accesos y necesidad de uso de las aplicaciones de negocio.

- Control de encaminamiento en la red

Se deberían establecer controles de enrutamiento en las redes para asegurar que

las conexiones de los ordenadores y flujos de información no incumplen la

política de control de accesos a las aplicaciones de negocio.

 11

Control de Acceso a Sistemas Operativos y Aplicaciones

- Los medios deben estar controlados y protegidos.

Es necesario establecer los procedimientos operativos adecuados para proteger los

documentos, medios informáticos, datos de entrada o salida y documentación del

sistema contra la divulgación, modificación, retirada o destrucción de los activos no

autorizados. Es necesario que se asegure todos los soportes y la información en

tránsito, no solo físico sino electrónico también. Es necesario que se cifren todos los

datos sensibles o valiosos antes de ser transportados.

Actividades de control del Riesgo

- Restricción del acceso a la información.

Es necesario que se restrinjan los accesos de los usuarios y el personal de

mantenimiento a la información y funciones de los diferentes sistemas de

aplicación, en relación con la política de control de accesos definidos.

- Procedimientos seguros de inicio de sesión.

Cuando sea requerido por la política de control de accesos, se debe controlar el

acceso a los sistemas y las aplicaciones mediante un procedimiento seguro de

inicio de sesión.

- Gestión de contraseñas de usuario.

Todos los sistemas de gestión de contraseñas deben ser interactivos y asegurar

contraseñas de calidad.
 12

- Uso de herramientas de administración de sistemas

La utilización de un software que pueda ser capaz de anular o evitar controles en

aplicaciones y los sistemas, deben estar restringidos y estrechamente controlados.

- Control de acceso al código fuente de los programas

Es necesario restringir el acceso al código fuente de las aplicaciones de software.

- Desconexión automática de terminales

Se deberían desconectar las sesiones tras un determinado período de inactividad.

- Limitación del tiempo de conexión

Se deberían utilizar limitaciones en el tiempo de conexión que proporcionen un

nivel de seguridad adicional a las aplicaciones de alto riesgo o impacto.

- Aislamiento de sistemas sensibles

Los sistemas sensibles deberían disponer de un entorno informático dedicado o

propio.

Informática Móvil y Tele Trabajo

Este control debe garantizar la seguridad de la información en el uso de los

recursos de informática móvil y teletrabajo. La protección exigible debería estar en

relación a los riesgos específicos que ocasionan estas formas específicas de trabajo. En el

uso de la informática móvil deberían considerarse los riesgos de trabajar en entornos

desprotegidos y aplicar la protección conveniente. En el caso del Tele-trabajo, la

organización debería aplicar las medidas de protección al lugar remoto y garantizar que

las disposiciones adecuadas estén disponibles para esta modalidad. Tener políticas

claramente definidas para la protección, no solo de los propios equipos informáticos

 13

portátiles (laptops, pdas, tablets, celulares, etc.), sino, en mayor medida, de la

información almacenada en ellos. Por lo general, el valor de la información almacenada

en estos dispositivos, supera en mucho al del hardware.

- Informática móvil

Se debería establecer una política formal y se deberían adoptar las medidas de

seguridad adecuadas para la protección contra los riesgos derivados del uso de los

recursos de informática móvil y las telecomunicaciones.

- Tele Trabajo

Se debería desarrollar e implantar una política, planes operacionales y

procedimientos para las actividades de teletrabajo.

Figura 2. Normas de Seguridad de Control de Accesos, Según norma ISO 27002.

 14

CRIPTOGRAFIA

La criptografía es la ciencia que resguarda documentos y datos que actúan a

través del uso de las cifras o códigos para escribir algo secreto en documentos y datos que

se aplica a la información que circula en las redes locales o en internet. La palabra

criptografía proviene del griego “criptos” que significa “oculto” y “grafe” de escritura

alude textualmente a la “escritura oculta”. Se ha definido, tradicionalmente, como el

ámbito de la criptología que se ocupa de las técnicas de cifrado o codificado destinadas a

alterar las representaciones lingüísticas de ciertos mensajes con el fin de hacerlos

ininteligibles a receptores no autorizados. Estas técnicas se utilizaron tanto en el arte

como en la ciencia y en la tecnología. Por tanto, el único objetivo de la criptografía era

de conseguir la confidencialidad de los mensajes, para lo cual se diseñaban sistemas de

cifrado y códigos, y la única criptografía existente era la llamada “criptografía clásica”.

Los romanos utilizaban códigos para guardar sus ideas de proyectos de guerra de aquellos

que no lo conocían y lo hicieron con el propósito de que los entes que conocían el

significado del código interpretaran el mensaje oculto.

En el área de la informática, es la ciencia que estudia los métodos, procesos,

técnicas, con el término de guardar, procesar y transmitir la información de los datos en

formato digital en la parte del uso masivo de las comunicaciones digitales que han

producido un número progresivo de problemas de seguridad. Los intercambios que se

hacen a través de la red pueden ser interpretadas por la seguridad de esta información que

se debe asegurar. Este reto extiende a los elementos de la criptografía para ser la parte de
 15

la criptología que se encomendó al estudio de los algoritmos y los protocolos que son

llamados “protocolos criptográficos” que es un protocolo abstracto o concreto que realza

las funciones relacionadas con la seguridad, aplicando los sistemas criptográficos y

métodos que se usan para proteger la información y proporciona la seguridad a las

comunicaciones y a los entes que se comunican. Para ello los criptógrafos investigan,

desarrollan y aprovechan técnicas matemáticas que les sirven como herramientas para

conseguir sus objetivos. Los grandes avances que se han producido en el mundo por la

criptografía, han sido posibles gracias a los grandes avances que se han dado en el campo

de la matemática y la informática.

Objetivos de la Criptografía

La criptografía actualmente se encarga del estudio de los algoritmos, protocolos y

sistemas que se utilizan para dotar de seguridad a las comunicaciones, a la información y

a las entidades que se comunican. El objetivo de la criptografía es diseñar, implementar,

implantar, y hacer uso de sistemas criptográficos para dotar de alguna forma de

seguridad. Por tanto el tipo de propiedades de las que se ocupa la criptografía son:

- Confidencialidad. Es decir, garantiza que la información sea accesible únicamente

a personal autorizado. Para conseguirlo utiliza códigos y técnicas de cifrado.

- Integridad. Es decir garantiza la corrección y completitud de la información. Para

conseguirlo puede usar por ejemplo funciones hash criptográficas

MDC, protocolos de compromiso de bit, o protocolos de notarización electrónica.

- Vinculación. Permite vincular un documento o transacción a una persona o un

sistema de gestión criptográfico automatizado. Cuando se trata de una persona, se

 16

trata de asegurar su conformidad respecto a esta vinculación (content

commitment) de forma que pueda entenderse que la vinculación gestionada

incluye el entendimiento de sus implicaciones por la persona. Antiguamente se

utilizaba el término "No repudio" que está abandonándose, ya que implica

conceptos jurídicos que la tecnología por sí sola no puede resolver. En relación

con dicho término se entendía que se proporcionaba protección frente a que

alguna de las entidades implicadas en la comunicación, para que no pudiera negar

haber participado en toda o parte de la comunicación. Para conseguirlo se puede

usar por ejemplo firma digital. En algunos contextos lo que se intenta es justo lo

contrario: Poder negar que se ha intervenido en la comunicación. Por ejemplo

cuando se usa un servicio de mensajería instantánea y no queremos que se pueda

demostrar esa comunicación. Para ello se usan técnicas como el cifrado negable.

- Autenticación. Es decir proporciona mecanismos que permiten verificar la

identidad del comunicador. Para conseguirlo puede usar por ejemplo función hash

criptográfica MAC o protocolo de conocimiento cero.

- Soluciones a problemas de la falta de simultaneidad en la tele firma digital de

contratos. Para conseguirlo puede usar por ejemplo protocolos de transferencia

inconsciente.

Un Sistema criptográfico es seguro respecto a una tarea si un adversario con

capacidades especiales no puede romper esa seguridad, es decir, el atacante no puede

realizar esta tarea específica.

 17

Terminología

En el campo de la criptografía, muchas veces se agrupan conjuntos de

funcionalidades que tienen alguna característica común y a ese conjunto lo denominan

“Critografía de” la característica que comparten. Estas son algunas:

- Criptología simétrica: agrupa aquellas funcionalidades criptográficas que se

apoyan en el uso de una sola clave.

- Criptografía de clave pública o Criptografía asimétrica: agrupa aquellas

funcionalidades criptográficas que se apoyan en el uso de parejas de claves

compuesta por una clave pública, que sirve para cifrar, y una clave privada, que

sirve para descifrar.

- Criptografía con umbral: Agrupa aquellas funcionalidades criptográficas que se

apoyan en el uso de un umbral de participantes a partir del cual se puede realizar

la acción.

- Criptografía basada en identidad: es un tipo de criptografía asimétrica que se basa

en el uso de identidades.

- Criptografía basada en certificados: los usuarios generan su propio par de claves

pública y privada, está basado en la criptografía basada en identidad pero

eliminando algunas de sus deficiencias apoyándose en PKI.

- Criptografía sin certificados: fue introducida para resolver el problema principal

de la criptografía basada en certificados, el problema de la sobrecarga que la

gestión de los certificados produce.

 18

- Criptografía de clave aislada: el objetivo de este sistema, es minimizar el daño

causado tras un ataque que comprometa la clave privada de un sistema

criptográfico.

La criptografía en el correo electrónico.

La mayor parte de los mensajes de correo electrónico que se transmiten por

internet, no incorporan seguridad alguna, por lo que la información que contienen es

fácilmente accesible a terceros. Para evitarlo, la criptografía también se aplica al correo

electrónico. Entre las diversas ventajas que tiene usar un certificado al enviar un correo

electrónico, podríamos destacar la seguridad que nos aporta ya que así evita que terceras

personas (o hackers) puedan leer su contenido, o bien que tengamos la certeza de que el

remitente de este correo electrónico es realmente quien dice ser.

Figura 3. Criptografía gráfica

 19

Lista de Referencias

ISO 27000, ISO 27000 España, s.f.

[Link]

ISO 27001 en Español, 2005.

[Link]

ISO [Link] Control de Accesos, año 2005

[Link]

ISO/IEC 27002, Wikipedia, 9 de noviembre del 2017.

[Link]

ISO/IEC 27002:2013, Ges Consultor, octubre 2013.

[Link]

SGSI Norma ISO 27002: Control de Accesos, 31 de agosto del 2017.

[Link]

ISO 27002 – El Anexo de ISO 27001 en español, 01 de enero 2011.

[Link]

ISO 27002 ES – Seguridad Física y del Entorno, 2 de enero del 2011.

[Link]

ISO 27002 – Seguridad Física y del Entorno, 4 de junio del 2015.

[Link]

SGSI ISO 27001: La seguridad física y del entorno, 10 de junio del 2015.
[Link]

PREZI, ISO 27001: Seguridad Física y del entorno, 15 de octubre del 2014.
[Link]

Wikipedia, Criptografía, 13 de enero del 2018.

[Link]

Concepto definición de Criptografía, 5 de agosto del 2014

[Link]