Universidad Mariano Gálvez de Guatemala

Facultad de Ingeniería en Sistemas De Información

Maestría en Seguridad Informática
Auditoria Informática
Ing. Carlos Alejandro Arias López

Primer Entregable

Héctor Eduardo Arana Guerra 1693-18-23579

Yony Gerardo chay Calito 2393-12-4330

Plan Sábado
Sección “B”
28 de febrero del 2024
 ÍNDICE GENERAL

1 INTRODUCCIÓN...............................................................................................1

2 Determinar el alcance de la auditoría................................................................2

2.1 Detalle del periodo de las pruebas..............................................................2

2.2 Definición Del Proceso De Auditoría De Sistemas......................................3

3 CUESTIONARIO............................................................................................. 12

4 CONCLUSIÓN.................................................................................................22

5 RECOMENDACIONES:...................................................................................23

6 REFERENCIA..................................................................................................24

ÍNDICE DE FIGURAS
Ilustración 1 Mapa mental de Riesgos que se identificaron conforme a un estudio
general de la empresa Access ............................................................................. 19
Ilustración 2 Identificación de formato general por cada Riesgo ...........................
19

ÍNDICE DE TABLAS

Tabla 1 Tabla de detalles de los riesgos y tiempo .................................................. 6

Tabla 2 Tabla de Excel de riesgos más comunes .................................................. 7
Tabla 3 Referencia de los niveles y evaluación de los riesgos ............................... 9
Tabla 4 Tabla de descripción y responsables conforme al riesgo identificados ....
10
Tabla 5 Mapa de calor de la empresa Access ...................................................... 15
 1 INTRODUCCIÓN

La auditoría del ciclo de vida de desarrollo de software es fundamental para

asegurar que los sistemas informáticos de una organización funcionen de manera
eficiente y segura, especialmente en un entorno empresarial cada vez más
dependiente de la tecnología. INOTEC, como empresa líder en el sector, reconoce
la importancia de mantener sus sistemas de software actualizados y protegidos.
En este contexto, se ha decidido llevar a cabo una auditoría específica en el
departamento de tecnología de la empresa.

El objetivo principal de esta auditoría es evaluar y mejorar el proceso de

desarrollo de software en el departamento de tecnología de INOTEC, utilizando
herramientas y técnicas especializadas para analizar la seguridad y los riesgos
asociados a su infraestructura informática. Este enfoque permite identificar áreas
de mejora y garantizar el cumplimiento de los requisitos de calidad y seguridad en
todas las etapas del ciclo de vida del software.

Los resultados de la auditoría serán documentados y compartidos con la

alta dirección de INOTEC, proporcionando información valiosa para tomar
decisiones fundamentadas sobre cómo optimizar y proteger sus sistemas
informáticos. En última instancia, este proceso de auditoría contribuirá a asegurar
que los sistemas de software estén alineados con las necesidades y objetivos de
la empresa, y que se mantengan seguros y protegidos en todo momento.

1
 2 Determinar el alcance de la auditoría.

Se define que la profundidad de la auditoría tiene como objetivo evaluar el

ciclo de vida del desarrollo de software y todo lo que esto conlleve como lo son sus
fases, componentes, procesos y técnicas que la empresa distribuidora de
repuestos utiliza para el desarrollo de software; las metodologías empleadas para
el desarrollo es SCRUM. Los estándares que se utilizarán en la auditoría son
OWASP, ISO/IEC 15504 e ISO/IEC 33000.

a. Auditoría en fase de análisis – ISO/IEC 15504

b. Auditoría en la fase de diseño – ISO/IEC 15504
c. Auditoría en la fase de desarrollo – ISO 33000

i. Testing o verificación- OWASP

d. Auditoría en la fase de implementación – ISO 33000

e. Auditoría en la fase de mantenimiento – ISO 33000

2.1 Detalle del periodo de las pruebas

El periodo analizado cubre los últimos 12 meses, durante los cuales

ocurrieron diversos incidentes de seguridad de la información en Access
Computación. Estos problemas incluyen errores del servidor, exposición de datos
y deficiencias en el mantenimiento físico. Es importante abordar estas áreas de
preocupación y fortalecer los controles internos para mitigar los riesgos asociados.

Campo específico de inspección: Departamento de Seguridad de la Información.

El departamento de seguridad de la información de Access Computación

juega un papel esencial en la protección de datos importantes de la empresa.
Debido a la importancia estratégica de esta área y los problemas identificados

2
durante la fase de evaluación, fue seleccionada como el área principal de
auditoría.

2.2 Definición Del Proceso De Auditoría De Sistemas

La Auditoria tiene como primordial enfoque evaluar y calificar los procesos

que se realizan, en este caso aplicado al Desarrollo de Software, donde se
establecen requisitos para la evaluación de procesos y los modelos de evaluación
donde se comprenden:

a. Evaluar de procesos
b. Mejorar los procesos
c. Evaluar la capacidad y la madurez de los procesos

Realizar la exploración y planteamiento, en esta etapa se lleva a cabo un

estudio previo a la realización de la Auditoría de Software con el objetivo de
conocer detalladamente los rasgos de la empresa a auditar. Solo así se podrán
obtener las características para hacer un planteamiento del trabajo que se va a
desarrollar.

Se identifican problemas y riesgos.

Gestión de contraseñas. Las políticas de contraseñas débiles plantean

graves riesgos para la seguridad de la información. La transmisión de datos no
está cifrada. La falta de cifrado durante la transmisión de datos aumenta la
posibilidad de ataques. Mantenimiento físico inadecuado: la falta de mantenimiento
del servidor físico provoca repetidas fallas del servidor y vulnerabilidades de los
datos. Impacto o pérdida de equipo. La falta de control sobre el hardware y el
almacenamiento aumenta el riesgo de exposición de datos confidenciales.
Cumplimiento legal: La Compañía deberá cumplir con las leyes y regulaciones
aplicables en materia de seguridad de la información. Recomendar medidas y
acciones correctivas.

3
 Implemente una política de contraseñas seguras exija contraseñas seguras
y cámbielas periódicamente. Cifre las transmisiones de datos confidenciales para
proteger la información confidencial de posibles amenazas. Mejore el
mantenimiento del servidor físico para evitar errores y garantizar la integridad de
los datos. Establecer controles más estrictos sobre el acceso físico a los equipos y
almacenamiento para evitar riesgos o pérdidas. Garantizar el cumplimiento de las
leyes y regulaciones de seguridad de la información aplicables.

Tabla 1 Tabla de detalles de los riesgos y tiempo

Riesgo Probabilidad Impacto Nivel de Tiempo de
Riesgo Evaluación
Manejo inadecuado de contraseñas Alto Alto Alto Trimestral
La transmisión de datos no está Medio Alto Medio- Semestral
cifrada. Alto
Mantenimiento físico inadecuado Alto Alto Alto Mensual
Impacto o pérdida de equipo. Medio Medio Medio Trimestral
Consentir con ley Alto Medio Alto- Anual
Medio
Amenazas internas Alto Alto Alto Trimestral
Falta de formación en seguridad Medio Alto Medio- Semestral
informática. Alto
Ataques de programa maligno y Alto Alto Alto Mensual
ransomware

4
Robo o pérdida de dispositivo móvil Medio Medio Medio Trimestral
Acceso no autorizado al sistema. Alto Alto Alto Anual
Interrupción del (Apagado) Medio Alto Medio- Semestral
suministro de energía Alto
No monitorea eventos de seguridad Alto Alto Alto Mensual
que ocurren frecuentemente en
dicha Organización
Falta de monitoreo de eventos de Medio Medio Medio Trimestral
seguridad
Vulnerabilidades no parcheadas Alto Alto Alto Anual
Brechas de seguridad en Alto Alto Alto Mensual
aplicaciones web
Robo de identidad y suplantación de Medio Alto Medio- Semestral
correo Alto
Pérdida de datos debido a desastres Alto Alto Alto Trimestral
naturales.
Autenticación de usuario incompleta Medio Medio Medio Anual
Problemas de compatibilidad Alto Alto Alto Mensual
Vulnerabilidades en sistemas de Alto Alto Alto Semestral
terceros
Tabla 1 Fuente Trabajo propio (donde se describen en detalle el riesgo, la
probabilidad y el momento de ocurrencia)

5
Tabla 2 Tabla de Excel de riesgos más comunes
DEPTO.
Consecuencia Probabilida Nivel de
# PROCESO RESPONSABL Riesgo Causas Control Impacto
s d Riesgo
E
Falta de Ficha técnica
mantenimiento de control de
Alto Alto Alto
preventivo, mantenimiento
antigüedad s preventivos.
Sistema de
Falla de energía
Fallos respaldo Alto Alto Alto
eléctrica Interrupción
recurrentes eléctrico UPS
de servicios,
en el Sistema de
Sobrecalentamient pérdida de
servidor control de Alto Alto Alto
o de hardware datos
onpremises temperatura
Infraestructur Departament
1 Sistema de
a Tecnológica o de TI
control
Antigüedad del
depreciación de Medio Alto Alto
servidor
equipos y
garantías
Ausencia de Desarrollar un
un plan de Falta de tiempo y plan de
Tiempo de contingencia y
contingenci recursos, falta de
inactividad realizar pruebas Bajo Medio Bajo
a para fallas conciencia de la
prolongado periódicas.
severas en el importancia
servidor
2 Seguridad de Departament Brechas de Falta de Pérdida de Sistema de Medio Alto Alto
la o de TI seguridad en actualizaciones de datos, robo control de

6
 el servidor de actualizaciones
Información seguridad, falta de
información , control de
medidas de versiones y
protección soporte

Falta de
capacitación y
Alto Alto Alto
conocimiento del
personal técnico Programa de
Recursos limitados capacitación
para formación, contínua
falta de Medio Medio Medio
programas de
actualización
Dependenci
Programa
a excesiva Falta de recursos Interrupcione
capacitación
de un para contratación, s críticas en
Gestión de Departament cruzada y
3 número falta de ausencia del Medio Alto Alto
Personal o de TI / GTH contratar
reducido de capacitación personal
personal
empleados cruzada clave
adicional.
técnicos
Falta de un Falta de conciencia Pérdida
Plan de
plan de sobre la financiera,
continuidad del Medio Alto Alto
continuidad importancia, falta daño a la
negocio.
Continuidad Departament del negocio de recursos reputación
4
del Negocio o de TI Falta de Falta de inversión Pérdida de Sistemas de
respaldo y en sistemas de servicios, respaldo y
redundanci Alto Alto Alto
respaldo y afectación a redundancia en
a en las redundancia clientes todas las

7
 operaciones
de sucursales.
sucursales
Tabla 2 (Fuente de trabajo propio donde se detallan los riesgos más frecuentes identificados en la empresa)

Tabla 3 Referencia de los niveles y evaluación de los riesgos

Nivel de Riesgo Cantidad

Alto 9

Medio 1

Bajo 1

NIVEL DE RIESGO

PROBABILIDAD Medio Alto Alto

ALTO

8
 Bajo Medio Alto

MEDIO
Bajo Bajo Medio

BAJO
BAJO MEDIO ALTO

IMPACTO

Tabla 4 Tabla de descripción y responsables conforme al riesgo identificados

Riesgo Descripción Responsables Marco Legal Características Funcionamiento
del Sistema del Área
Gestión Empleo de Equipo de Políticas internas Sistemas de Administración
inadecuada de contraseñas Seguridad de de seguridad, autenticación, de accesos y
contraseñas débiles o la Información Normativa de políticas de contraseñas
compartidas Protección de contraseñas
Datos
Transmisión de Falta de cifrado Equipo de TI Legislación de Protocolos de Implementación
datos sin en la seguridad de la seguridad, de cifrado en
cifrar transmisión de información encriptación comunicaciones
datos críticos
Mantenimiento Ausencia de Equipo de TI Normativas de Programas de Gestión de
físico mantenimiento salud y seguridad mantenimiento infraestructura
inadecuado del servidor laboral, preventivo física y ambiental
normativas de
protección de
activos

9
Pérdida o robo Extravío o Equipo de Leyes de Políticas de Control y
de equipos hurto de Seguridad de protección de seguridad de seguimiento de
dispositivos la Información datos personales dispositivos dispositivos
móviles móviles
Cumplimiento Incumplimiento Equipo de Normativas Programas de Monitoreo de
legal de Cumplimiento sectoriales y auditoría y regulaciones y
regulaciones Legal gubernamentales cumplimiento políticas de
legales legal cumplimiento
Amenazas Riesgos Equipo de Políticas de Supervisión de Gestión de
internas derivados de Recursos empleo, acuerdos comportamientos riesgos internos
empleados Humanos de y accesos
deshonestos o confidencialidad
negligentes
Falta de Ausencia de Equipo de Normativas de Programas de Capacitación en
capacitación formación en Capacitación educación en formación y prácticas de
en seguridad seguridad de la seguridad concienciación seguridad
informática información informática informática
Ataques de Infección de Equipo de Legislación de Sistemas de Implementación
malware y sistemas con Seguridad de la ciberseguridad detección y de defensas
ransomware software Información prevención de contra malware
malicioso malware
Robo o pérdida Extravío o robo Equipo de Leyes de Políticas de Control de acceso
de dispositivos de teléfonos y Seguridad de la protección de cifrado y bloqueo y protección de
móviles tabletas Información datos personales remoto datos móviles

Acceso no Intentos de Equipo de Regulaciones de Controles de Gestión de

autorizado a acceso no Seguridad de la seguridad de la acceso y accesos y
sistemas autorizado a Información información autenticación privilegios
sistemas

10
 Interrupción Fallos en el Equipo de Normativas de Sistemas de Planificación de
del suministro suministro Instalaciones seguridad y alimentación contingencias y
eléctrico eléctrico continuidad del eléctrica recuperación
negocio
Fallos en la Problemas en Equipo de Regulaciones de Sistemas de Mantenimiento de
infraestructura la conectividad Redes seguridad de monitoreo y la
de red de red redes redundancia infraestructura de
red
Falta de Ausencia de Equipo de Normativas de Sistemas de Supervisión y
registro y registro y Seguridad de la gestión de registro y análisis análisis de
seguimiento de seguimiento de Información registros y de eventos eventos de
eventos eventos de monitoreo seguridad
seguridad
Tabla 4 (Fuente de trabajo propio donde se detalla más información de las responsables áreas y
características)

11
 3 CUESTIONARIO

Estimado [nombre del encuestado],

Gracias por tomarte el tiempo para completar nuestra encuesta. Su

participación es necesaria para lograr evaluar la efectividad de los mecanismos de
control y gestión de riesgos de nuestra organización. Sus comentarios nos
ayudarán a identificar áreas de mejora y gestionar mejor nuestro negocio. Fecha:
[Fecha de evaluación]

Nombre del demandado: [Nombre del demandado]

Posición: [posición del demandado]

Departamento/Distrito: [Departamento o Distrito del Demandado]

I. Políticas y procedimientos

¿La empresa proporciona un manual de políticas y procedimientos actualizado a

todos los empleados? (T/P)

¿Se revisan periódicamente las políticas y procedimientos para garantizar que

sean razonables y adecuados a los cambios en el entorno operativo? (T/P)

¿Existe un proceso formal para informar y capacitar a los empleados sobre las
políticas y procedimientos apropiados para su función? (Satisfecho/Insatisfecho)

¿Se documentan y archivan los cambios en las políticas y procedimientos para

facilitar la auditoría y garantizar la transparencia? (Satisfecho/Insatisfecho)

II. Separación de funciones

12
5. ¿Se han definido claramente las funciones y responsabilidades de cada
empleado para evitar un enfoque funcional excesivo? (T/P)

¿Se revisan los roles periódicamente para garantizar que no haya conflictos de
intereses o riesgos de fraude? (Satisfecho/Insatisfecho)

¿Existe un sistema de autorización y aprobación para garantizar que las

transacciones sean verificadas por personas distintas de quienes las realizan?
(T/P)

¿Se fomenta la colaboración entre departamentos manteniendo la separación de

funciones críticas? (Satisfecho/Insatisfecho)

III. Acceso a la información y seguridad.

9. ¿Existen medidas de autenticación sólidas para proteger el acceso a sistemas y

datos confidenciales, como contraseñas seguras y autenticación multifactorial?
(T/P)

¿Existen registros detallados del acceso y la actividad de los usuarios en los

sistemas y aplicaciones críticos? (Satisfecho/Insatisfecho)

¿Se realizan periódicamente evaluaciones de seguridad de sistemas y redes para

identificar y remediar posibles vulnerabilidades de seguridad? (T/P)

¿Existe un proceso claro y eficaz para cancelar el acceso de los empleados que
abandonan la empresa o cambian de funciones? (Satisfecho/Insatisfecho)

IV. Supervisión y supervisión.

13. ¿Se realizan auditorías internas periódicamente para evaluar la eficacia de los
controles internos e identificar posibles violaciones? (T/P)

13
¿Existen líneas abiertas de comunicación entre la gerencia y los empleados para
informar problemas de cumplimiento o riesgos identificados?
(Satisfecho/Insatisfecho)
¿Se han designado gerentes específicos para supervisar áreas clave del negocio

y garantizar que se tomen medidas correctivas oportunas? (T/P) V. Cumplimiento

de leyes y reglamentos

dieciséis. ¿Se actualizan continuamente las leyes y regulaciones relevantes para

la industria y las operaciones de la empresa? (T/P)

¿Se realizan revisiones periódicas de cumplimiento para garantizar que la

empresa cumple con todas las regulaciones aplicables? (Satisfecho/Insatisfecho)

¿Reciben los empleados capacitación periódica sobre las leyes y regulaciones que
afectan su trabajo? (T/P)

SIERRA. Continuidad del negocio y gestión de riesgos.

19. ¿Se ha desarrollado y probado un plan de continuidad del negocio para

garantizar la resiliencia ante posibles interrupciones del negocio? (T/P)

¿Se realizan evaluaciones de riesgos periódicamente para identificar y mitigar

amenazas potenciales al negocio? (Satisfecho/Insatisfecho)

Agradecemos su participación. Sus comentarios son valiosos para nosotros y nos

ayudarán a mejorar nuestros procesos.

14
15
Tabla 5 Mapa de calor de la empresa Access
Improbable Rara Vez Ocasional Probable Frecuente
Acceso y Continuida
Cumplimient Seguridad d del
o Gestió n de de la Negocio y
Seguridad de la
Legal - Riesgos - Informació Gestió n
Continuidad Mantenimient n- de
Informació n - del Negocio y o Gestió n Riesgos -
Monitoreo y Gestió n de Físico ( de Gestió n
Supervisió n Riesgos Accesos de
Riesgos

IDRG10 IDRG19

16
 IDRG15

Seguridad de la

5 Informació n -
Políticas y Procedimientos

Impacto

4 Gestió n de Riesgos -
Cumplimiento Legal

17
 Gestió n de Accesos -
3 Acceso y Seguridad de la Informació n

Mantenimiento
2 Físico - Segregació n de Funciones

18
 1 Monitoreo y
Supervisió n

Mínimo Bajo Moderado Alto Extremo

Riesgo

Tabla 5 (Fuente de trabajo propio donde se muestra el mapa de la empresa donde se evaluaron métricas)

Control Descripción Responsables Legislación Características Comentarios

Aplicable del Sistema
Implementación Esta medida Equipo de Normativas Utilización de Es fundamental revisar
de cifrado de busca proteger la Seguridad de la de algoritmos de periódicamente la eficacia del
extremo a confidencialidad Información Protección cifrado cifrado para mantener un alto
extremo de los datos de Datos robustos. nivel de seguridad.
críticos durante
su transmisión y
almacenamiento
mediante técnicas
de cifrado,
garantizando que

19
 solo los
destinatarios
autorizados
puedan acceder a
la información.
Establecimiento Se establecen Equipo de Normativas Implementación Se recomienda realizar
de políticas de políticas claras y Seguridad de la de Seguridad de políticas de sesiones de capacitación
contraseñas específicas que Información de la contraseñas en regular sobre buenas
seguras exigen el uso de Información el sistema. prácticas de contraseñas
contraseñas para concientizar a los
sólidas, con empleados.
requisitos de
longitud,
complejidad y
cambios
periódicos, con el
fin de proteger las
cuentas de
usuario y los

sistemas de
accesos no
autorizados.
Implementación Se establecen Administradores Leyes de Asignación de Es esencial realizar
de controles de controles de de Sistemas Privacidad de roles y auditorías periódicas de
acceso acceso basados Datos, permisos en el acceso para verificar el
basados en en roles para Regulaciones sistema de cumplimiento efectivo de los
roles limitar los de Acceso a usuarios. roles y permisos asignados.
la

20
 privilegios de los Información
usuarios según
sus funciones y
responsabilidades
laborales,
garantizando que
solo accedan a la
información
necesaria para
desempeñar sus
tareas.
Implementación Se establece un Equipo de IT Normativas Realización de Se debe mantener un registro
de un programa programa de de Seguridad mantenimiento detallado de las actividades
de mantenimiento Laboral programado de mantenimiento para una
mantenimiento regular para según el ciclo gestión eficiente y una mejor
preventivo garantizar el de vida. toma de decisiones.
correcto
funcionamiento y
disponibilidad del
hardware y
sistemas de la
empresa.

21
Ilustración 1 Mapa mental de Riesgos que se identificaron conforme a un estudio general de la empresa Access

Ilustración 2 Identificación de formato general por cada Riesgo

22
 4 CONCLUSIÓN

Después de realizar una revisión exhaustiva de las políticas, procesos,

amenazas y controles de seguridad de Access Computing, surgieron varios
hallazgos importantes. Es claro que la empresa enfrenta importantes desafíos en
las áreas de seguridad de la información, gestión de riesgos e implementación de
controles internos efectivos. Aquí hay algunos puntos clave:

La empresa debe mejorar la transparencia y accesibilidad de sus políticas y

procedimientos. Es muy importante que todos los empleados tengan acceso a
instrucciones actualizadas y las revisen periódicamente para garantizar que sean
precisas y se adapten a los cambios en el entorno operativo. No existe separación
de responsabilidades dentro de las áreas de operaciones individuales de la
empresa, lo que puede aumentar el riesgo de abuso y conflictos de intereses. Las
funciones y responsabilidades de cada empleado deben estar claramente
definidas y establecer controles para evitar centrarse excesivamente en las
funciones. La seguridad de la información es una preocupación importante en la
informática de acceso. Se deben implementar medidas de autenticación estrictas y
se deben mantener registros detallados del acceso y la actividad de los usuarios
para proteger los sistemas y datos confidenciales de la empresa. Es necesario
mejorar la gestión del cumplimiento de los requisitos legales y reglamentarios. Las
empresas deben estar familiarizadas con las leyes y regulaciones pertinentes y
capacitar periódicamente a los empleados sobre sus obligaciones legales y
reglamentarias. La continuidad del negocio y la gestión de riesgos también son
áreas que requieren atención. Es importante desarrollar y probar un plan de
continuidad del negocio para garantizar la resiliencia ante posibles interrupciones
del negocio, así como realizar evaluaciones periódicas de riesgos para identificar y
mitigar las exposiciones a posibles amenazas para las empresas.

23
 5 RECOMENDACIONES:

Con base en los hallazgos anteriores, se han realizado las siguientes

recomendaciones para mejorar la seguridad y la eficiencia del manejo del acceso:

Desarrollar e implementar un manual integral de políticas y procedimientos

que sea de fácil acceso para todos los empleados. Este manual debe revisarse y
actualizarse periódicamente para garantizar que esté actualizado y sea relevante.
Mejore la división de tareas revisando y actualizando las funciones y
responsabilidades de cada empleado. Deben establecerse controles adicionales
para evitar conflictos de intereses y fraude. Mejore la seguridad de la información
implementando fuertes medidas de autenticación y manteniendo registros
detallados de la actividad y el acceso de los usuarios. Se deben realizar
evaluaciones de seguridad periódicas para identificar y remediar posibles
vulnerabilidades de seguridad. Manténgase actualizado con los requisitos legales
y reglamentarios revisando y actualizando periódicamente las leyes y regulaciones
pertinentes. Proporcionar a los empleados formación periódica sobre sus
responsabilidades legales y reglamentarias. Desarrollar y probar planes de
continuidad del negocio para garantizar la resiliencia ante posibles interrupciones
del negocio. Realizar evaluaciones periódicas de riesgos para identificar y mitigar
posibles amenazas al negocio. La implementación de estas recomendaciones
ayudará a Access Computing a aumentar la seguridad, mejorar el cumplimiento de
los requisitos legales y reglamentarios y garantizar la capacidad de resolver
problemas operativos de manera efectiva.

24
 6 REFERENCIA

Anderson, R., Barton, C., Böhme, R., Clayton, R., van Eeten, M. J., Levi, M., ... &
Savage, S. (2012). Measuring the cost of cybercrime. En Proceedings of the 2012
Workshop on New Security Paradigms Workshop (pp. 1-12). ACM.

ISACA. (2018). COBIT 2019 Framework: Introduction and Methodology. ISACA.

NIST. (2014). Framework for improving critical infrastructure cybersecurity. NIST

Cybersecurity Framework, 1-52.

ISO/IEC. (2013). ISO/IEC 27001:2013 Information technology—Security techniques—

Information security management systems—Requirements.
International Organization for Standardization.

Schneier, B. (2015). Data and Goliath: The Hidden Battles to Collect Your Data
and Control Your World. WW Norton & Company.

25