• Home

  • Documents

  • Web viewsistemas administrativos, aspectos ... mientras que los errores y omisiones del personal se...
31
INTRODUCCIÓN. Alberto Herrerías Franco -autor mexicano-, sostiene que las instituciones públicas han incorporado el uso de tecnología computacional ante la necesidad de manejar grandes volúmenes de información, pero ello desde sus comienzos y aún en la actualidad, no ha sido correspondido con rediseños o cambios organizacionales que permitan un desarrollo armónico entre las instituciones y la tecnología. En este orden, diremos entonces que es indispensable una “convivencia” tecnología- instituciones. La sola incorporación de equipos informáticos no moderniza una administración, pero puede crear desadaptaciones que se convierten en problemas de seguridad. Por ello, para la administración pública es asunto vital que los administradores públicos participen en los logros de los objetivos de Seguridad. Así es que resulta necesario tomar conocimiento y conciencia de los problemas que puedan crear inseguridades informáticas y por ende de la confidencialidad y debido resguardo de la información, conocer los aspectos vulnerables de la informática, el perfil que debe tener el administrador público, la importancia de su actuación si se presentan estos problemas y medidas que deben adoptarse al respecto: “acciones preventivas” en lugar de las “acciones reactivas”. La Seguridad de la Información (S.I.) tiene como objeto los sistemas, el acceso a ellos, uso, divulgación, interrupción o destrucción no autorizada de información. Incumbe a gobiernos, entidades militares, instituciones financieras, los hospitales y las empresas privadas con información confidencial sobre sus empleados, clientes, productos, investigación y su 1

Web viewsistemas administrativos, aspectos ... mientras que los errores y omisiones del personal se hacen cada vez más frecuentes y por ende destructivos en potencia,

  • Upload
    vanmien

  • View
    228

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Web viewsistemas administrativos, aspectos ... mientras que los errores y omisiones del personal se hacen cada vez más frecuentes y por ende destructivos en potencia,

INTRODUCCIÓN.

Alberto Herrerías Franco -autor mexicano-, sostiene que las instituciones públicas han incorporado el uso de tecnología computacional ante la necesidad de manejar grandes volúmenes de información, pero ello desde sus comienzos y aún en la actualidad, no ha sido correspondido con rediseños o cambios organizacionales que permitan un desarrollo armónico entre las instituciones y la tecnología.

En este orden, diremos entonces que es indispensable una “convivencia” tecnología-instituciones.

La sola incorporación de equipos informáticos no moderniza una administración, pero puede crear desadaptaciones que se convierten en problemas de seguridad. Por ello, para la administración pública es asunto vital que los administradores públicos participen en los logros de los objetivos de Seguridad.

Así es que resulta necesario tomar conocimiento y conciencia de los problemas que puedan crear inseguridades informáticas y por ende de la confidencialidad y debido resguardo de la información, conocer los aspectos vulnerables de la informática, el perfil que debe tener el administrador público, la importancia de su actuación si se presentan estos problemas y medidas que deben adoptarse al respecto: “acciones preventivas” en lugar de las “acciones reactivas”.

La Seguridad de la Información (S.I.) tiene como objeto los sistemas, el acceso a ellos, uso, divulgación, interrupción o destrucción no autorizada de información. Incumbe a gobiernos, entidades militares, instituciones financieras, los hospitales y las empresas privadas con información confidencial sobre sus empleados, clientes, productos, investigación y su situación financiera. Advertimos entonces, que es de nuestro interés el estudio de estas cuestiones.

Tal el objetivo de este trabajo, teniendo en cuenta que como refiere el citado autor se trata de la incorporación de esta tecnología en todos los niveles y diferentes ámbitos como “una era de la información” (a partir de los años 50) y como “sucesora de la era industrial”. De allí la importancia para los Organismos de Contralor, dada la función que les compete con relación a los Controlados y ante la sociedad misma.

1

Page 2: Web viewsistemas administrativos, aspectos ... mientras que los errores y omisiones del personal se hacen cada vez más frecuentes y por ende destructivos en potencia,

LA SEGURIDAD DE LA INFORMACIÓN.

La S.I. es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, disponibilidad e integridad de la misma.

El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos. Es decir que el primer concepto es más amplio y a veces abarcativo del segundo.

El ámbito de la seguridad de la información ha crecido y evolucionado considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose en una carrera acreditada a nivel mundial. Este campo ofrece muchas áreas de especialización, incluidos la auditoría de sistemas de información, planificación de la continuidad del negocio, ciencia forense digital y administración de sistemas de gestión de seguridad, entre otros.

A su vez, los problemas de seguridad han crecido tan rápido y en forma paralela, como tan rápida es la dinámica de la informática y, en base a las capacidades la computación se hace cada vez más vulnerable y pone en riesgo a las organizaciones en lo que hace a la intensidad y recurrencia de los daños, pérdidas, desfalcos, sabotajes, fraudes o errores, etc., cuando la informática no es objeto de un adecuado y oportuno control.

Teniendo en cuenta esto es necesario imponer una eficiente administración de los recursos tecnológicos de proceso de datos, para obtener un funcionamiento óptimo, definir y ejecutar políticas de utilización, educación e investigación de estos recursos a los fines de una mayor eficiencia que se adapten a los requerimientos de un país y sus instituciones.

La Seguridad de la Información como así también la Seguridad Informática, tiene su campo de acción en la protección de los equipos, accesorios, programas y datos. Resulta necesario asegurar la continuidad operativa de un organismo, buen uso de la información, integridad, confidencialidad de los datos y otros activos informáticos.

Desde luego, no es para nada fácil lograr la seguridad informática, es problema complejo porque implica una interacción de seguridades en los diversos

2

Page 3: Web viewsistemas administrativos, aspectos ... mientras que los errores y omisiones del personal se hacen cada vez más frecuentes y por ende destructivos en potencia,

elementos que intervienen: instalaciones, equipos, programas, comunicaciones, sistemas administrativos, aspectos jurídicos, personal: operativo, supervisorio o directivo, etc.

La S.I. también trata o intenta garantizar que la base de datos utilizada como almacenes de la Información, que junto con la RRHH es el activo más valioso, sea eficaz y eficiente a los fines que se tengan y reducir al mínimo la vulnerabilidad en razón de que es campo potencial de errores, actos ilegales o delictivos.

CONTINGENCIAS.

Con la mayor simplicidad digamos que una contingencia supone cualquier eventualidad fáctica que pueda acarrear pérdidas no solo materiales sino también personales. En el tema que tratamos las contingencias posibles ocasionan la pérdida o importantes pérdidas de la información, y podemos agruparlas en los diferentes tipos de “riesgos” a que se encuentra expuesta la Seguridad de la Información.

Comenzamos al hablar de los riesgos, con una frase que nos dará que pensar: " Un experto es aquel que sabe cada vez más sobre menos cosas, hasta que sabe absolutamente todo sobre nada. ... es la persona que evita los errores pequeños mientras sigue su avance inexorable hacia la gran falacia" . Definición de Webwer - Corolario de Weinberger (Leyes de Murphy).

Veamos los diferentes tipos de contingencias que pueden presentarse, agrupándolas al tipo de riesgo:

Tipo de Desastres:

Cada sistema es único y por lo tanto la política de seguridad a implementar no será única. El tipo de seguridad debe estar enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicado el centro.

Las principales amenazas que se prevén en la seguridad física son:

1. Desastres naturales: por ejemplo los incendios accidentales tormentas e inundaciones.

2. Amenazas ocasionadas por el hombre: por ejemplo errores u omisiones, negligencia del administrador público.

3

Page 4: Web viewsistemas administrativos, aspectos ... mientras que los errores y omisiones del personal se hacen cada vez más frecuentes y por ende destructivos en potencia,

3. Disturbios como el caso de los sabotajes internos y externos deliberados (delitos informáticos).

A.- Pérdidas por desastres naturales:

No hace falta recurrir a películas de espionaje para sacar ideas de cómo obtener la máxima seguridad en un sistema informático, aún en el caso de que un plan de contingencias o la solución fuera extremadamente costosa. A veces y tan simple recurrir al sentido común para darse cuenta que cerrar una puerta con llave o cortar la electricidad en ciertas áreas, siguen siendo técnicas válidas en cualquier entorno.

Tengamos en cuenta que con estas adopciones de medidas simples de prevención, sin excluir aquellas que resultan necesarias y son costosas, se pueden evitar contingencias como el caso de los incendios, condiciones climatológicas, en especial las inundaciones (esta es una de las causas de mayores desastres en centros de cómputos), señales de radar (los resultados de las investigaciones más recientes son que las señales muy fuertes de radar pueden inferir en el procesamiento electrónico de la información) instalaciones eléctricas, acciones hostiles: robo y/ o uso indebido de los equipos y soft (Las computadoras son posesiones valiosas). También es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de máquina.

También debemos tener como una frecuente amenaza a la S.I. importante o confidencial, es que los archivos que contienen información pueden ser fácilmente copiados y es a veces consecuencia de la inseguridad física. El software, es una propiedad muy fácilmente sustraíble y las cintas y discos son copiados sin dejar ningún rastro, etc.

B.- Pérdidas por errores u omisiones:

Fuente principal de daños en el sistema y se origina fundamentalmente en el personal de las instituciones que no está debidamente entrenado o capacitado en las nuevas tecnologías, en constante dinámica. En forma permanente crecen en amplitud y complejidad, mientras que los errores y omisiones del personal se hacen cada vez más frecuentes y por ende destructivos en potencia, es decir siguen los cambios informáticos en creciente evolución y por el contrario se produce una regresión con respecto a la idoneidad del personal.

4

Page 5: Web viewsistemas administrativos, aspectos ... mientras que los errores y omisiones del personal se hacen cada vez más frecuentes y por ende destructivos en potencia,

Se producen entonces pérdidas de archivos con información valiosa o pérdida de programas con archivos (a veces por instrucciones equivocadas), que significan muchas horas hombre de captura y proceso o bien destrucción de instalaciones, cuidado de equipos, dispositivos y datos.

Esto sucede en la mayoría de los casos por ignorancia o negligencia del personal responsable de los recursos informáticos, omisión de la aplicación de normas de seguridad y consecuente seguimiento.

No existe solución única para atender los aspectos negativos o de riesgo. Se trata de un conjunto de problemas que requiere cuidadosa atención.

C.- Los delitos informáticos:

A medida que avanza la revolución informática se hacen más frecuentes los usos indebidos, delitos o crímenes informáticos.

Más dependemos de la informática más vulnerables nos volvemos. Hasta resulta preocupante y, hoy crítica, la pérdida de la privacidad.

Es difícil detectarlos y cuanto mayor es el nivel intelectual del defraudador, que suele ocupar altos cargos y no tiene prisa, los especialistas para rastrear estas ilicitudes chocan con este problema, que por lo general no deja huellas. Por otra parte el marco jurídico al respecto es casi inexistente y, reiteramos que el defraudador generalmente es persona con acceso a la información.

La previsión solo puede lograrse en un marco integral de medidas que incluyan los aspectos antes dichos, equipos, programas, personal, instalaciones, soportes, líneas de transmisión, etc.. Hay mecanismos que contrarestan riesgos múltiples, pero no nos detenemos en los mecanismos, porque ello es tarea de los profesionales en informática.

La Seguridad Física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos tratados pueden preverse, otros no, como la simple detección de un atacante interno que intenta a acceder físicamente a una sala de operaciones. Es entonces para el atacante fácil lograr tomar y copiar una cinta de la sala, que intentar acceder por vía lógica a la misma.

5

Page 6: Web viewsistemas administrativos, aspectos ... mientras que los errores y omisiones del personal se hacen cada vez más frecuentes y por ende destructivos en potencia,

Así, podemos decir que la Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial". Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

Consideramos que este es el mayor riesgo y el más incontrolable. En relación ha dado lugar a una nueva “ciencia” llamada “Ingeniería Social”. Volveremos mas a delante con este último tema, que merece un capítulo aparte dada la importancia adquirida.

D.- Responsabilidad del administrador público:

Herrerías Franco, autor ya citado, cita a su vez la obra de Herbert Simón “The Administrative Behavior”, haciendo un estudio relativo a la esencia de la Administración, como el proceso de decisiones que se transforman en acciones tendientes a lograr el propósito y objetivos de la institución.

El administrador -ejecutivo o gerente- es un “decididor”. Su rol es la toma de decisiones racionales, que permitan instrumentar acciones y coordinar esfuerzos para el cumplimiento de los fines de las organizaciones, teniendo en cuenta además las necesidades y demanda de la sociedad. O sea que en el caso, el administrador público debe tomar debe tomar la decisión racional de garantizar la S.I.

La seguridad absoluta no existe, solo existe en grados aceptables, no obstante el tiempo y grandes costos que insume tomar medidas de prevención, las que a su vez no son suficientes en razón de que como ya hemos mencionado, ignoramos como, de donde o quién será el atacante.

Se dispone solo de “Planes de Contigencias” y “Análisis de Riesgos”.

Se entiende que el administrador superior no efectuará técnicamente u operará los medios de seguridad, sino la conducción y garantía del funcionamiento. Es de su responsabilidad.

Para ello, deberá incorporar profesionales capacitados que controlen el panorama del fenómeno informático e implementar un proceso integral de administración informática y de seguridad, plantear los problemas y conducir las

6

Page 7: Web viewsistemas administrativos, aspectos ... mientras que los errores y omisiones del personal se hacen cada vez más frecuentes y por ende destructivos en potencia,

fases de organización en el control y dirección, como parte constituyentes del proceso de administrativo.

La formación del administrador requiere el conocimiento de los múltiples elementos que intervienen para implementar soluciones, sean técnicas, recursos humanos, políticos, económicos, etc..

INGENIERIA SOCIAL.

Al referirnos a los Delitos Informáticos en el acápite anterior, hemos expresado que este merecía un tratamiento especial y por separado, dado el creciente avance que ha tenido y hasta podríamos arriesgar que es más veloz que el crecimiento de las tecnologías, todo lo cual ha merecido la calificación de “Ingeniería Social” con un sentido diferente al que podríamos pensar, conforme indica esta calificación.

No debemos confundir la Ingeniería Social con el término empleado igualmente en ciencias políticas, que se utiliza en el sentido de los esfuerzos para influir en actitudes, relaciones y acciones en la población de un país o región y, las formas de implementar o aproximar programas de modificaciones sociales.

El “ingeniero” no es el profesional en hard o soft, sino cualquier “usuario”. Veamos:

Básicamente se denomina Ingeniería Social a todo artilugio, tretas y técnicas más elaboradas a través del engaño de las personas para conseguir acceso a la información, mediante acceso físico: revelación de contraseñas u otra información, presiones, etc., más que la obtención de dicha información a través de las vulnerabilidades de un sistema o de las vías normales.

Para defendernos contra esta clase de ataques, es necesario conocer los conceptos básicos que pueden ser utilizados contra la institución y que abren brechas para conseguir sus datos. Con este conocimiento es posible adoptar una actitud más saludable que alerte el riesgo.

Estos ataques son los más peligrosos, ya que pueden ser “perpetrados” por cualquier persona, sin conocimientos informáticos inclusive.

El hecho de que se pudiera persuadir a alguien –por ejemplo-, para que le suministre su número de tarjeta de crédito, puede sonar como un algo poco

7

Page 8: Web viewsistemas administrativos, aspectos ... mientras que los errores y omisiones del personal se hacen cada vez más frecuentes y por ende destructivos en potencia,

factible, sin embargo suelen suministrarse datos confidenciales diariamente en distintos medios, como el papel que arroja a la basura o el sticker adhesivo en el password (contraseña) debajo del teclado.

También el factor humano es una parte esencial del juego de seguridad. No existe un sistema informático que no dependa de algún dato ingresado por un operador humano. Esto significa que esta debilidad de seguridad es universal, independiente de plataforma, el software, red o edad de equipo.

Cualquier persona con el acceso a alguna parte del sistema, físicamente o electrónicamente, es un riesgo potencial de inseguridad.

Cada ser humano tiene las herramientas para intentar una ingeniería social, "el ataque", la única diferencia es la habilidad y conocimientos al hacer el uso de estas herramientas.

Intentando persuadir a una persona para completar este objetivo se pueden usar varios métodos. A título de ejemplo, veamos:

Simplemente una demanda directa, donde a un individuo se le pide completar su tarea directamente. Aunque probablemente tenga menor éxito, éste es el método más fácil y el más sincero. El individuo sabe lo que usted quiere que ellos hagan exactamente.

Otro método comúnmente utilizado, es la ejecución indirecta en una situación previamente donde la persona es simplemente una parte de la misma. Este puede ser persuadido porque cree en las razones suministradas. Esto involucra mucho más trabajo para la persona que hace el esfuerzo de la persuasión, y casi ciertamente se involucra obteniendo un conocimiento extenso del 'objetivo'. Esto no significa que las situaciones no tienen que ser basadas en hecho real. Cuando menos falsedades, mayor la factibilidad de que la persona en cuestión juegue el papel que le fue designado.

Una de las herramientas esenciales usadas para la ingeniería social es una buena recolección de los hábitos de los individuos.

El objetivo de la Ingeniería Social se dirige a las personas con menos conocimientos, dado que los argumentos y otros factores de influencia tienen que ser construidos generando una situación creíble que el individuo ejecute.

8

Page 9: Web viewsistemas administrativos, aspectos ... mientras que los errores y omisiones del personal se hacen cada vez más frecuentes y por ende destructivos en potencia,

Citamos una clara, sencilla y muy frecuente situación, por burda que parezca:

El llamado de un usuario que necesita que se le asignen nuevamente su clave porque la ha cambiado durante el transcurso del día y no la recuerda. Advirtamos la simpleza del ejemplo, pero también advirtamos el peligro que puede presentar, si no sabemos a ciencia cierta quién debe ejecutar esta tarea (persona confiable).

O bien, la ejecución de un virus troyano (este es un virus que tiene como principal función enviar información de tu computadora a la persona que lo envió por medio de un correo electrónico, estos virus varían, unos son más potentes que otros), adjunto a un correo electrónico enviado por una casilla que le es familiar o simplemente con un interesante título al destinatario como "es divertido, pruébalo", “vas a enterarte de la intimidad de alguien … “, etc..

Es muy fácil “envolver” a una persona. Para obtener una información, a veces requiere tan solo el número de razones que el ingeniero social enumera, la urgencia clara de la demanda o el estado de la persona que intenta realizar la persuasión.

Dicho sea de paso que un antivirus perfecto no existe, cada día un nuevo virus es generado y cada día los programadores deben buscar la forma de evitar que las computadoras sean infectadas. Es más, instalamos antivirus por ej.: un spywares, que a la vez son de cierta forma virus y algunos antivirus no los detectan y estos podrían abrir también las puertas para que nuevos virus ingresen a nuestra computadora por parte del usuario.

Básicamente, las personas que no conocen el razonamiento de un ingeniero social, se persuadirán más por el número de argumentos o demandas en lugar de verificar la factibilidad de cómo deberán ser resueltas.

De allí la importancia que las instituciones elijan cuidadosamente a los administradores del sistema, analistas de seguridad, técnicos, las personas a las que se le confían herramientas de trabajo esenciales o comunicación – personas con alto nivel-, porque estas están muy envueltas en los ataques diseñados por otros expertos de las computadoras.

Pero tampoco las instituciones deben descuidar a las personas que en este aspecto se denominan de bajo nivel, porque a ellos se les podría crear un interés con los argumentos del ingeniero social, tales son los guardias, limpiadores,

9

Page 10: Web viewsistemas administrativos, aspectos ... mientras que los errores y omisiones del personal se hacen cada vez más frecuentes y por ende destructivos en potencia,

o recepcionistas con acceso a computadora. Porque no es probable que las personas de bajo envolvimiento se sientan afectadas directamente por una demanda, ellos tienden a no molestarse analizando una petición y si la analizan, por lo general no la entienden.

COMO DEBE ACTUAR LA ADMINISTRACIÓN ANTE LA S.I.

Contrariamente a la creencia popular, es a menudo más fácil el utilizar a las personas, que explotar vulnerabilidades o malas implementaciones de un sistema. Pero toma más esfuerzo educar a los usuarios para que puedan prevenirse y descubrir los esfuerzos a la ingeniería social que afianzar la seguridad operativa con el administrador del sistema

Un buen primer paso es crear conciencia de la seguridad a todo quien forme parte del trabajo (aunque no tengan acceso a la computadora).

Sin embargo, la mejor defensa contra esto, como con la mayoría de las cosas, es la educación. Explicando a los empleados la importancia de la seguridad de la computadora y sus datos, advertirles que son responsables directos por su contraseña y lo que hagan con ella, es un eficaz y sabio primer paso.

El decididor debe tener siempre presente, dar ambos lados de la historia al educar a las personas sobre la seguridad de los datos. Cuando los individuos conocen ambos lados de un argumento, es probable que antes de ser disuadidos, consulten ante una dudosa petición. Y si ellos están envueltos en la seguridad mínima de la computadora, su elección es probable que esté en el lado de afianzar sus datos.

El usuario es el eslabón más débil.

NIVELES DE SEGURIDAD DE LA INFORMACIÓN.

Como ya expusimos, hoy es imposible hablar de un sistema cien por ciento seguro, sencillamente porque el costo de la seguridad total es muy alto. Por ello y mientras tanto no se inviertan recursos al efecto, estaremos expuestos y asumiremos los riesgos detallados.

La solución a medias, entonces, sería acotar todo el espectro de seguridad, en lo que hace a plataformas, procedimientos y estrategias. De esta manera se puede controlar todo un conjunto de vulnerabilidades, aunque no se

10

Page 11: Web viewsistemas administrativos, aspectos ... mientras que los errores y omisiones del personal se hacen cada vez más frecuentes y por ende destructivos en potencia,

logre la seguridad total. Y esto significa ni más ni menos que un gran avance con respecto a unos años atrás.

Vamos viendo entonces que el problema de la S.I. abarca muchos aspectos.

David Hsie en su obra “Computer Security” propone un marco de seguridad, diferenciando varios niveles de S.I. que interactúan entre sí, e identifica algunos recursos para solucionarlos. Cada uno de estos recursos, cuenta a su vez con su técnica según sea su naturaleza. Veamos:

.- Primer Nivel: Depende del entorno nacional y el marco legal de protección aplicable en base a la situación social, política y económica de cada país.

.- Segundo Nivel: La administración de los servicios informáticos en las instituciones: políticas operacionales, método y procedimiento de trabajo, cantidad de información y destino final.

Aquí se debe estudiar minuciosamente las causas, efectos y vulnerabilidad de los elementos informáticos. Conociendo estos elementos se pueden establecer prioridades de protección que determinará el especialista.

.- Tercer Nivel: La Seguridad Física: que presenta dos cuestiones:

a.- Control de acceso a las personas, a las instalaciones, dispositivos, terminales, etc. El control es administrativo dentro de un nivel de seguridad operacional.

b.- Protección de los equipos e instalaciones contra desastres naturales o acciones maliciosas.

.- Cuarto Nivel: Corresponde al hardware o equipos y dispositivos. Aquí el control es más bien técnico que administrativo.

.- Quinto Nivel: Seguridad del software, que es todo programa de procesamiento de datos. Aquí la seguridad está en un adecuado desarrollo del programa en todas sus fases, principal agente de protección.

.- Sexto nivel: Corresponde a los datos en sí mismos y bajo dos aspectos:

a.- Ocultar el uso de datos ya que no hay criptografía con los que puedan codificarse y hacerlos ilegibles en accesos no autorizados.

11

Page 12: Web viewsistemas administrativos, aspectos ... mientras que los errores y omisiones del personal se hacen cada vez más frecuentes y por ende destructivos en potencia,

b.- Determinación del usuario: una adecuada identificación y calificación de este, es decir el conocimiento por parte del administrador superior, de que es lo que puede hacer este con esos datos cuyo acceso le está permitido.

Los dos primeros Niveles serían los más importantes: Marco jurídico integral y Seguridad operacional y administrativa.

LAS POLÍTICAS DE SEGURIDAD.

Se define a la Política de Seguridad como: "Una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán."

Ahora bien, la política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema, pero ante todo, una política de seguridad es una forma de comunicarse con los usuarios. De manera tal, que siempre hay que tener en cuenta que la seguridad comienza y termina con personas. Razón por la cual debe ser:

.- Holística: Es decir, cubrir todos los aspectos relacionados con la misma. Ej.: no tiene sentido proteger el acceso con una puerta blindada si a esta no se la ha cerrado con llave.

.- Adecuarse a las necesidades y recursos. No tiene sentido adquirir una caja fuerte para proteger un lápiz.

.- Atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia.

.- Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas.

Cualquier política de seguridad ha de contemplar los elementos claves de seguridad: Integridad, Disponibilidad, Privacidad y, adicionalmente, Control, Autenticidad y Utilidad.

12

Page 13: Web viewsistemas administrativos, aspectos ... mientras que los errores y omisiones del personal se hacen cada vez más frecuentes y por ende destructivos en potencia,

No debe tratarse de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Lo precedentemente expuesto y lo que a continuación vamos a exponer -con lenguaje sin tecnicismo alguno-, debe ser tenido en cuenta por las administraciones al fijar las políticas de seguridad.

El entendimiento de lo que es la Seguridad y los Riesgos que debe cubrir, nos llevará igualmente a un análisis y propuesta de las P.S.I.l.(Políticas de Seg. Informática y de la información), que deben adoptar no tan solo el legislador, sino también los organismos que implementen el uso de los TICs. (las TICs son un conjunto de tecnologías desarrolladas para gestionar información y enviarla de un lugar a otro), a través del dictado de una reglamentación sobre las técnicas informáticas que se utilice para el cumplimiento de sus funciones.

Algunas organizaciones gubernamentales y no gubernamentales internacionales han desarrollado documentos, directrices y recomendaciones que orientan en el uso adecuado de las nuevas tecnologías para obtener el mayor provecho y evitar el uso indebido de la mismas. En tal sentido, las P.S.I.I., surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una organización sobre la importancia y sensibilidad de la información y servicios críticos.

Nuevamente enfatizamos, que la S.I. no tiene una solución definitiva aquí y ahora, sino que es y será el resultado de la innovación tecnológica, a la par del avance tecnológico, por parte de aquellos que son los responsables de los sistemas.

Veamos ahora algunos conceptos comprendidos en la definición de una PSI, en razón de que deben ser considerados en la oportunidad en que la Administración, resuelva establecer o dictar las normas que han de direccionar las pautas a seguir en estas políticas.

Ellos son:

Decisión: Elección de un curso de acción determinado entre varios posibles.

Plan: Conjunto de decisiones que definen cursos de acción futuros y los medios para conseguirlos. Consiste en diseñar un futuro deseado y la búsqueda del modo de conseguirlo.

13

Page 14: Web viewsistemas administrativos, aspectos ... mientras que los errores y omisiones del personal se hacen cada vez más frecuentes y por ende destructivos en potencia,

Estrategia: Conjunto de decisiones que se toman para determinar políticas, metas y programas.

Política: Definiciones establecidas por la dirección, que determina criterios generales a adoptar en distintas funciones y actividades donde se conocen las alternativas ante circunstancias repetidas.

Meta: objetivo cuantificado a valores predeterminados.

Procedimiento: Definición detallada de pasos a ejecutar para desarrollar una actividad determinada.

Norma: forma en que realiza un procedimiento o proceso.

Programa: Secuencia de acciones interrelacionadas y ordenadas en el tiempo que se utilizan para coordinar y controlar operaciones.

Proyección: Predicción del comportamiento futuro, basándose en el pasado sin el agregado de apreciaciones subjetivas.

Pronóstico: Predicción del comportamiento futuro, con el agregado de hechos concretos, conocidos y que se prevé influirán en los acontecimientos futuros.

Control: Capacidad de ejercer o dirigir una influencia sobre una situación dada o hecho. Es una acción tomada para hacer un hecho conforme a un plan. (2)

Riesgo: Proximidad o posibilidad de un daño, peligro. Cada uno de los imprevistos, hechos desafortunados, etc., que puede tener un efecto adverso. Sinónimos: amenaza, contingencia, emergencia, urgencia, apuro.

PRÁCTICAS SOBRES SEGURIDAD INTERNA EN LA ADMINISTRACION.

Este punto trata sobre una serie de Recomendaciones de gran utilidad práctica en las administraciones o instituciones a los fines de obtener un mejor resultado en los que respecta a la S.I.

Evaluar y controlar permanentemente la seguridad física del edificio, es la base para o comenzar a integrar la seguridad como una función primordial dentro de cualquier organismo.

Tener controlado el ambiente y acceso físico permite:

14

Page 15: Web viewsistemas administrativos, aspectos ... mientras que los errores y omisiones del personal se hacen cada vez más frecuentes y por ende destructivos en potencia,

Disminuir siniestros Trabajar mejor manteniendo la sensación de seguridad Descartar falsas hipótesis si se produjeran incidentes Tener los medios para luchar contra accidentes

Las distintas alternativas estudiadas son suficientes para conocer en todo momento el estado del medio en el que nos desempeñamos; y así tomar decisiones sobre la base de la información brindada por los medios de control adecuados.

.- Seguridad Lógica :

El activo más importante –expusimos- que se posee es la información y, por lo tanto deben existir técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo.

Por ello, luego de comprender como nuestro sistema puede verse afectado por la falta de Seguridad Física recalcamos que la mayoría de los daños que puede sufrir un centro de cómputos no será sobre los medios físicos, sino contra información por él almacenada y procesada.

La Seguridad Física, sólo es una parte del amplio espectro que se debe cubrir para no vivir con una sensación ficticia de seguridad. Como ya se ha mencionado, el activo más importante que se posee es la información, y por lo tanto deben existir técnicas, más allá de la seguridad física, que la aseguren. Estas técnicas las brinda la Seguridad Lógica que consiste en la ”Aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo."

Paradójicamente, existe un viejo principio dictado en la S.I. que es contrario al que utilizamos en Derecho, y es: "todo lo que no está permitido debe estar prohibido", y esto es lo que debe asegurar la Seguridad Lógica.

Los objetivos que se plantean, deben tender a:

1. Restringir el acceso a los programas y archivos.

15

Page 16: Web viewsistemas administrativos, aspectos ... mientras que los errores y omisiones del personal se hacen cada vez más frecuentes y por ende destructivos en potencia,

2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan.

3. Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto.

4. Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro.

5. Que la información recibida sea la misma que ha sido transmitida. 6. Que existan sistemas alternativos secundarios de transmisión entre

diferentes puntos. 7. Que se disponga de pasos alternativos de emergencia para la transmisión

de información.

Esta Seguridad Lógica, debe ser implementada por cada oficina o área responsable, ya que como se advierte responde a un eminentemente orden práctico.

.- Controles de Acceso:

Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicación, en bases de datos, en un paquete específico de seguridad o en cualquier otro utilitario.

Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de aplicación y demás software de la utilización o modificaciones no autorizadas; para mantener la integridad de la información (restringiendo la cantidad de usuarios y procesos con acceso permitido) y para resguardar la información confidencial de accesos no autorizados.

Al respecto, el National Institute for Standars and Technology (NIST) ha resumido los siguientes estándares de seguridad que se refieren a los requisitos mínimos de seguridad en cualquier sistema:

Identificación y Autentificación Roles

Algunos ejemplos de roles serían los siguientes: programador, líder de proyecto, gerente de un área usuaria, administrador del sistema, etc..En este caso los derechos de acceso deben agruparse de acuerdo con el rol que desempeñen los usuarios en razón de sus funciones.

16

Page 17: Web viewsistemas administrativos, aspectos ... mientras que los errores y omisiones del personal se hacen cada vez más frecuentes y por ende destructivos en potencia,

Los Controles de Acceso son implementados a través de los siguientes medios:

Transacciones : por ejemplo solicitando una clave al requerir el procesamiento de una transacción determinada.

Limitaciones a los Servicios: restricciones preestablecidas por el administrador del sistema. Ej.: la organización dispone de licencias para la utilización simultánea de un determinado producto de software para cinco personas, en donde exista un control a nivel sistema que no permita la utilización del producto a un sexto usuario.

Modalidad de Acceso : El acceso a determinados recursos del sistema puede estar basado en la ubicación física o lógica de los datos o personas.

Ubicación y Horario : este tipo de controles permite limitar el acceso de los usuarios a determinadas horas de día o a determinados días de la semana.Control de Acceso Interno

Control de Acceso Externo

Por supuesto que existen diferentes Niveles de Control, pero no es materia de nuestro interés, la que queda para los profesionales en Informática con que cuenta la Administración.

LA S.I. EN LA LEGISLACION ARGENTINA.

Al exponer sobre los distintos Niveles en la S.I., hemos considerado que los primeros en importancia eran un Marco Jurídico Integral y la Seguridad Operacional y Administrativa.

Lamentablemente y bajo el primer aspecto, nuestro país presenta un gran atraso respecto de otros, ya que no tenemos prácticamente leyes en la materia, tampoco están tipificados en el Código Penal los delitos informáticos, tan frecuentes hoy en día.

Solamente contamos con la Ley 25.506 que en su art. 21 regula la firma digital y los datos que se deben proteger en esta.

Encontramos también algunas menciones sobre la S.I y Políticas de Seguridad, en la Decisión Administrativa 669/ 2004 (J.G.M.). El Considerando expresa con manifiesta relevancia la tendencia internacional de los países más adelantados (a los cuales debemos seguir) quienes han fijado proyectos de Gobierno Electrónico, para lograr una prestación de servicios más eficiente, mejorar las gestiones internas. Los servicios deben ofrecerse con “… máximas

17

Page 18: Web viewsistemas administrativos, aspectos ... mientras que los errores y omisiones del personal se hacen cada vez más frecuentes y por ende destructivos en potencia,

garantías de seguridad … evitar comisión de ilícitos … el uso de las tecnologías informáticas permite a la Administración Pública manejar y procesar gran cantidad de información imprescindible para su normal funcionamiento” (sic.).

El Decisorio propicia la elaboración y ejecución de las políticas en el uso de los TICs y Seguridad.

El articulado que contiene establece en primer lugar que los Organismos del Sector Público Nacional, deberán dictar o adecuar sus políticas de seguridad conforme a la Política de Seguridad Modelo. Indica asimismo las Funciones del Comité de Seguridad en el Art. 4°. Pero, este Decisorio refiere idem a la firma digital. No obstante podríamos aplicar algunos de estos preceptos a la S.I.. Por ej.: garantizar la existencia de Sistemas de Seguridad Física y Lógica, proteger el manejo de la clave privada de la entidad mediante un procedimiento de seguridad que impida el acceso a la misma a personal no autorizado, asegurar que los recursos del sistema de información de un organismo sean utilizados de la manera que se decidió, etc.

Pero ello, no resulta suficiente para una adecuada S.I.

Es aquí, donde nos detenemos y preguntamos: llegada la instancia en que se propone la Administración Nacional y que se extenderá –por supuesto- a las Provinciales: Si los Organismos de Control Externo, no avanzan en forma paralela en el uso de estas tecnologías, de qué modo podremos controlar toda esa información cuando sea relativa a la inversión de los fondos públicos hasta tanto no se expida en definitiva mientras los trámites siguen su rutina interna?, como proteger las actuaciones y datos recabados que deben mantenerse en forma confidencial cuando se declaran los secretos en sumarios investigaciones?, etc..

Advertimos entonces, la necesidad que se impone que nuestros Tribunales se avoquen a la urgente tarea de adecuar la tecnología con que contamos, para una igual y eficiente tarea de contralor sobre esta información, atento el vacío legal imperante.

NORMAS ISO 27.001.

La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de la organización. El hecho de disponer de la certificación según ISO/IEC 27001 le ayuda a gestionar y proteger sus valiosos activos de información.

18

Page 19: Web viewsistemas administrativos, aspectos ... mientras que los errores y omisiones del personal se hacen cada vez más frecuentes y por ende destructivos en potencia,

Es un estándar para la seguridad de la información, fue aprobado y publicado como estándar internacional en octubre de 2005 por la International Organization for Standardization y por la International Electrothecnical Commision.

ISO/IEC 27001 es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales.

Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming” (Planificar, hacer, verificar, actuar). Es consistente con las mejores prácticas descritas en las ISO/TEC 27.002, anteriormente conocida como ISO/IEC 17799, con orígenes en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica: la British Standarts Institución.

Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI.

ISO/IEC 27001 tiene su importancia y es muy significativa, ya que es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI).

ISO/IEC 27001 también es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI. Puede utilizarse para garantizar a los interesados que su información está protegida.

Puede aportar las siguientes ventajas a la organización:

Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial.

19

Page 20: Web viewsistemas administrativos, aspectos ... mientras que los errores y omisiones del personal se hacen cada vez más frecuentes y por ende destructivos en potencia,

Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.

Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los interesados, que la seguridad de su información es primordial.

Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.

Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.

El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.

Sin embargo, las organizaciones que simplemente cumplen la norma ISO/IEC 27001 o las recomendaciones de la norma del código profesional, ISO/IEC 27002 no logran siempre estas ventajas.

La implementación de ISO/IEC 27001 en una institución u organismo es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y su alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de Seguridad de la Información (SGSI) elegido. En general, es recomendable la ayuda de consultores externos.

Aquellas instituciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos, o que haya realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001.

Desde luego que la implementación de estas normas requiere de un proyecto que debe estar formado por representantes de todas las áreas del organismo que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos o internos especializados en seguridad informática generalmente Ingenieros o Ingenieros Técnicos en Informática, derecho de las

20

Page 21: Web viewsistemas administrativos, aspectos ... mientras que los errores y omisiones del personal se hacen cada vez más frecuentes y por ende destructivos en potencia,

nuevas tecnologías, protección de datos y sistemas de gestión de seguridad de la información (que hayan realizado un curso de implantador de SGSI).

Posteriormente puede iniciarse el trámite para adquirir la certificación, que es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado.

PUESTA EN MARCHA DE UNA POLÍTICA DE SEGURIDAD.

Actualmente las legislaciones nacionales de los Estados, obligan a las empresas, instituciones públicas a implantar una política de seguridad. Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificación. Estos mecanismos permiten saber que los operadores tienen sólo los permisos que se les dio. En Argentina no existen tal obligación.

La seguridad informática debe ser estudiada para que no impida el trabajo de los operadores en lo que les es necesario y que puedan utilizar el sistema informático con toda confianza. Por eso en lo referente a elaborar una política de seguridad, conviene:

Elaborar reglas y procedimientos para cada servicio de la organización. Definir las acciones a emprender y elegir las personas a contactar en caso

de detectar una posible intrusión Sensibilizar a los operadores con los problemas ligados con la seguridad de

los sistemas informáticos.

Las siguientes posturas constituyen la base de todas las demás políticas de seguridad y regulan los procedimientos puestos en marcha para implementarlas. Se dirigen a describir qué acciones se toleran y cuáles no. Actualmente, y "gracias" a las, cada día más repetitivas y eficaces, acciones que atentan contra los sistemas informáticos los expertos se inclinan por recomendar:

1. Implementación

21

Page 22: Web viewsistemas administrativos, aspectos ... mientras que los errores y omisiones del personal se hacen cada vez más frecuentes y por ende destructivos en potencia,

2. Auditoría y Control 3. Plan de Contingencia 4. Equipos de Respuesta a Incidentes 5. Backups 6. Pruebas

Estas medidas constituirían lo que la Ley 25. 506 denomina en general como “Plan de Contingencias”.

CONCLUSIONES.

De nada nos serviría una legislación que dicte políticas de seguridad para no acceder a los datos o su indebida utilización, si la misma no establece o bien delega a la administración la facultad de reglamentar las medidas contra estos riesgos físicos, que por lo demás son frecuentes y en la mayoría de los casos previsibles.

Por ello y visto que no disponemos de una legislación completa al respecto, nuestro objetivo debe tender a analizar los peligros más importantes que se corren en un centro de procesamiento, tratando de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevención, reducción, recuperación y corrección de los diferentes tipos de riesgos. Beneficiaría tanto a los organismos de contralor como así como la de los organismos mismos, en el cumplimiento de sus respectivas funciones.

Las Políticas de Seguridad, deben enfatizar como medida de prevención el control de acceso, que no sólo requiere la capacidad de identificación, sino también asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, área o sector dentro de una empresa o institución, mediante: utilización de guardias, utilización de detectores de metales, utilización de sistemas biométricos, protección electrónica, etc.

Reiteramos lo vertido precedentemente sobre que, si los Organismos de Control Externo, no avanzan en forma paralela en el uso de estas tecnologías, no

22

Page 23: Web viewsistemas administrativos, aspectos ... mientras que los errores y omisiones del personal se hacen cada vez más frecuentes y por ende destructivos en potencia,

podremos controlar toda esa información cuando sea relativa a la inversión de los fondos públicos, de qué manera hemos de proteger las actuaciones y datos recabados que deben mantenerse en forma confidencial cuando se declaran los secretos en sumarios investigaciones, etc..

Por ende, se impone la necesidad que nuestros Tribunales se avoquen a la urgente tarea de adecuar la tecnología con que contamos, para una igual y eficiente tarea de contralor sobre esta información.

Pensemos en esta acertada frase, cuyo autor desconocemos:

"Cuando no ocurre nada, nos quejamos de lo mucho que gastamos en seguridad. Cuando algo sucede, nos lamentamos de no haber invertido más... Más vale

dedicar recursos a la seguridad que convertirse en una estadística”

BIBLIOGRAFIA CONSULTADA.

ALBERTO HERRERIAS FRANCO: Publicaciones.

PEÑARANDA QUINTERO Héctor Ramón: autor del libro “Iuscibernética: Interrelación entre el Derecho y la Informática.”.

PALOMAR O., Alberto “Un paso más en la aplicación de la tecnología en el procedimiento administrativo: hacía un procedimiento administrativo común de base tecnológica”. Madrid. Abril. 2003. SPAFFORD, Gene. "Manual de Seguridad en Redes". ArCERT. Argentina. 2000. Arcet.com.ar RFC 1244: Site Security Handbook. J. Reynolds - P. Holbrook. Julio 1991. FERNADEZ, Carlos M. Seguridad en sistemas informáticos. Ediciones Díaz de Santos S.A.. España. 1988.

WIKIPEDIA “La Enciclopedia Libre”.

23

Page 24: Web viewsistemas administrativos, aspectos ... mientras que los errores y omisiones del personal se hacen cada vez más frecuentes y por ende destructivos en potencia,

24


Expo Ensayos Destructivos

Expo Ensayos Destructivos

Documents
Ensayos Destructivos Mecánicos

Ensayos Destructivos Mecánicos

Documents
“Ensayos no Destructivos”:

“Ensayos no Destructivos”:

Documents
DETECCIÓN DE OMISIONES

DETECCIÓN DE OMISIONES

Documents
BORDES DESTRUCTIVOS

BORDES DESTRUCTIVOS

Documents
Subsanción de Omisiones

Subsanción de Omisiones

Documents
Ensayo destructivos y no destructivos

Ensayo destructivos y no destructivos

Documents
Diapositivas de Ensayo de Materiales - Ensayos Destructivos y No Destructivos

Diapositivas de Ensayo de Materiales - Ensayos Destructivos y No Destructivos

Documents
C OMISIONES TÉCNICAS

C OMISIONES TÉCNICAS

Documents
Ensayos Destructivos Dinámicos

Ensayos Destructivos Dinámicos

Documents
TEMARIO Ensayos destructivos

TEMARIO Ensayos destructivos

Documents
ensayos destructivos

ensayos destructivos

Documents
Cortes Ensayos Destructivos

Cortes Ensayos Destructivos

Documents
Ensayos No Destructivos

Ensayos No Destructivos

Documents
Ensayos destructivos y no destructivos

Ensayos destructivos y no destructivos

Documents
Ensayos No destructivos

Ensayos No destructivos

Education
Fuentes Ópticas - Comunicaciones Opticas Web viewSistemas Inteligentes

Fuentes Ópticas - Comunicaciones Opticas Web viewSistemas Inteligentes

Documents
Juegos Contructivos Destructivos

Juegos Contructivos Destructivos

Documents
Omisiones e Intenciones

Omisiones e Intenciones

Documents
C OMISIoNES TÉCNICAS C OMISIONES TÉCNICAS

C OMISIoNES TÉCNICAS C OMISIONES TÉCNICAS

Documents