taller comparativo y diseño de una política de seguridad de la información
TRANSCRIPT
Maestría en Seguridad y Gestión de Riesgos Informáticos Materia Gestión de la Seguridad Informática
1
Abstract—The ISO standards have a significant value as
pointers and guides. This article covers a series of workshops
based on the ISO 27001 for the establishment of a corporate
Information Security Management System. It goes from an initial
diagnostic, the elaboration of recommendations and the statement
of an Information Security Policy including its reach and
objectives.
I. INTRODUCCIÓN
Las normas ISO tienen valor indicativo y de guía. Actualmente,
su uso es cada vez mayor y hay un gran interés en seguir las
normas existentes porque desde el punto de vista económico
reduce costes, tiempo y trabajo. La ISO 27001 es uno de los
temas mencionados cuando se habla de la seguridad
informática, existen interpretaciones de esta ISO de parte de la
persona encargada de la seguridad de cada empresa, en el
presente trabajo se estudia a fondo la ISO 27001 trabajando en
dos talleres que nos permiten conocer a fondo dicha ISO.
Se aprendió a identificar los “debes” de la norma ISO 27001, y
a medida se desarrollaba dicho trabajo, evaluamos nuestras
empresas para poder conocer cuánto tiempo nos llevaría el
poder implementar la ISO.
II. OBJETIVOS
- Objetivo General
Conocer como generar un plan estratégico de
seguridad informática en una empresa.
- Objetivos Específicos
Conocer las “declarativas del debe” de la ISO
27001.
Establecer el alcance del SGSI de una empresa.
Realizar la declarativa de aplicabilidad.
III. DESARROLLO TALLERES
TALLER 1
Diseño de Herramienta de Evaluación Basada en Escala
LIKERT
Figura 1 Apartado 4 y 5.
Figura 2. Apartado 6 y 7.
Taller comparativo y Diseño de una Política de Seguridad de La Información
Cecilia Verónica Cáceres1, David Eliseo Martinez2, Luis Ernesto Perez3, Miguel Ángel Lopez4.
Maestría en Seguridad y Gestión de Riesgos Informáticos Materia Gestión de la Seguridad Informática
2
Figura 3. Apartado 8
RECOMENDACIONES PARA TALLER 1
Figura 4. Recomendaciones para los puntos débiles
encontrados.
Figura 5. Continuación de las recomendaciones para los
puntos débiles encontrados.
TALLER 2. Primera Parte
Figura 6. Taller 2
Maestría en Seguridad y Gestión de Riesgos Informáticos Materia Gestión de la Seguridad Informática
3
Figura 7. Continuación taller 2.
Figura 8. Continuación taller 2.
Figura 9. Continuación taller 2.
Figura 10. Continuación taller 2.
Figura 11. Continuación taller 2.
Maestría en Seguridad y Gestión de Riesgos Informáticos Materia Gestión de la Seguridad Informática
4
TALLER 2. Segunda parte
1- En base al BMK desarrollado y los requisitos de la
norma desarrollar un enunciado de la política de
Seguridad de la información para la empresa
seleccionada.
Enunciado:
Reconoce la importancia de identificar y proteger los activos
de información de la organización, evitando la destrucción,
divulgación, modificación y utilización no autorizada de toda
información relacionada con clientes, empleados, precios,
estrategia, gestión, y otros conceptos relacionados.
2- Establezca el alcance del SGSI.
Esta política aplica a todos los departamentos de la compañía
y sus colaboradores.
3- Declarativa de Aplicabilidad
Figura 12. Declarativa de Aplicabilidad
Estructura del SGSI. (Estratégico, operativo y de apoyo)
Figura 13. SGSI para empresa TBOX
Figura 14. Organigrama
Mapa de proceso. (Enunciar procedimientos, ejemplo
proceso de auditoría, que procedimientos se ejecutan en
auditoria entonces se enlistan)
Figura 15. Detalle de procedimientos
Maestría en Seguridad y Gestión de Riesgos Informáticos Materia Gestión de la Seguridad Informática
5
Figura 16. Detalle de procedimientos
POLITICA DE SEGURIDAD PARA EMPRESA TBOX
Política Sistema de Gestión de Seguridad de la
Información
La Dirección Ejecutiva TBOX Technology El Salvador
reconoce la importancia de identificar y proteger los activos de
información de la organización, evitando la destrucción,
divulgación, modificación y utilización no autorizada de toda
información relacionada con clientes, empleados, precios,
estrategia, gestión, y otros conceptos relacionados.
En consecuencia, autoriza y se compromete a desarrollar,
implantar, mantener y mejorar continuamente el Sistema de
Gestión de Seguridad de la Información (SGSI) con el objetivo
de asegurar la confidencialidad, disponibilidad e integridad de
la información.
Características de la política en base a la Seguridad de la
Información que se busca
a) Confidencialidad, asegurando que sólo quienes estén
autorizados pueden acceder a la información.
b) Integridad, asegurando que la información y sus métodos de
proceso son exactos y completos.
c) Disponibilidad, asegurando que los usuarios autorizados
tienen acceso a la información y a sus activos asociados cuando
lo requieran. La seguridad de la información se consigue
implantando un conjunto adecuado de controles, tales como
políticas, prácticas, procedimientos, estructuras organizativas y
funciones tecnológicas. Estos controles han sido establecidos
para asegurar que se cumplen los objetivos específicos de
seguridad de la institución.
Objetivos
Definir, implementar, operar y mejorar de forma continua un
Sistema de Gestión de Seguridad de la Información, soportado
en lineamientos claros alineados a las necesidades del negocio,
y a los requerimientos regulatorios.
Las responsabilidades frente a la seguridad de la información
serán definidas, compartidas, publicadas y aceptadas por cada
uno de los empleados, proveedores, socios de negocio o
terceros.
Proteger la información generada de la empresa, procesar y
resguardar los procesos del negocio, la infraestructura
tecnológica y los activos de información que se genera de los
accesos otorgados a terceros.
Marco Legal
La norma principal de la serie es la ISO/IEC 27001. Se puede
aplicar a cualquier tipo de organización, independientemente de
su tamaño y de su actividad.
La norma contiene los requisitos para establecer, implementar,
operar, supervisar, revisar, mantener y mejorar una política de
seguridad basada en un Sistema de Gestión de la Seguridad de
la Información.
Calculo de riesgo
Definir como se utilizará la información disponible, para
identificar peligros y estimar los riesgos, es necesario ajustarse
a las necesidades y los recursos de la organización para que se
puedan cubrir las expectativas, llegando al nivel de seguridad
requerido con los medios disponibles.
Se utilizará el método análisis de escenarios (Iso 31010,
apartado B10) para identificar y evaluar los peligros a los que
se enfrenta la organización y la importancia de cada uno de
ellos, esta información será el insumo para la toma de
decisiones bien fundamentadas acerca de qué medidas de
seguridad deben implantarse.
Este análisis debe incluir:
Amenaza: Es la causa potencial de un daño a un activo.
Vulnerabilidad: debilidad de un activo que puede ser aprovechada por una amenaza.
Impacto: consecuencias de que la amenaza ocurra.
Riesgo intrínseco: cálculo del daño probable a un activo si se encontrara desprotegido.
Salvaguarda: Medida técnica u organizativa que ayuda a paliar el riesgo.
Riesgo residual: Riesgo remanente tras la aplicación de salvaguardas.
El equipo de trabajo asignado para ello y la metodología escogida, llevará a cabo el análisis de riesgos. Los participantes tendrán que valorar las amenazas y las vulnerabilidades que afectan a los activos escogidos para el análisis y el impacto que ocasionaría que alguna de las amenazas realmente ocurriera, sobre la base de su conocimiento y experiencia dentro de la organización. Se tendrá como resultado categorizar los riesgos e identificar cuáles deberían ser tratados primero o más exhaustivamente. Se debe escoger, a la vista de los resultados, cual es el nivel de riesgo que la organización está dispuesta a tolerar, de manera que por debajo de
Maestría en Seguridad y Gestión de Riesgos Informáticos Materia Gestión de la Seguridad Informática
6
ese nivel el riesgo es aceptable y por encima no lo será y se tomará alguna decisión al respecto. El equipo de trabajo asignado deberá identificar los tipos de decisiones para tratar los riesgos que se consideran no aceptables:
Transferirlo: El riesgo se traspasa a otra organización, por ejemplo mediante un seguro.
Eliminarlo: Se elimina el riesgo, que normalmente sólo se puede hacer eliminando el activo que lo genera, por ello esta opción no suele ser viable.
Mitigarlo: Es decir, reducir el riesgo, normalmente aplicando controles de seguridad. Es una de las opciones más habituales.
Asumirlo: Otra opción común es aceptar que no se puede hacer nada y por lo tanto se asume ese riesgo.
Toda esta información debe quedar documentada para justificar las acciones que se van a tomar para conseguir el nivel de seguridad que la organización quiere alcanzar y como referencia para posteriores análisis Método de evaluación y mejora continua
Se utilizará como método de evaluación y mejora continua el
descrito en la Norma ISO 27001, utilizando para ello el modelo
PDCA, tomado en sus apartados de análisis de riesgos, así como
un catálogo de amenazas, vulnerabilidades y técnicas para
valorarlos, los que más se acoplen a la situación de la compañía.
Aspectos generales de la seguridad de la información
Realizar anualmente una revisión de los objetivos con
relación a la Seguridad de la Información.
En base a los resultados de la revisión de objetivos, el
comité de seguridad debe desarrollar un proceso de
análisis del riesgo y de acuerdo a su resultado,
implementar las acciones correspondientes con el fin
de tratar los riesgos que se consideren inaceptables.
Se debe de establecerse los objetivos de control
correspondientes, en virtud de las necesidades que en
materia de riesgos surjan del proceso de Análisis de
riesgos manejado.
La ejecución de las políticas de seguridad no debe
incumplir ningún aspecto legal de la compañía.
Se debe brindar talleres de concientización y
entrenamiento en materia de seguridad de la
información a todo el personal, así como capacitación
en las políticas de
Se establezcan los medios necesarios para garantizar
la continuidad del funcionamiento de la institución.
Se sancione cualquier violación a esta política y a
cualquier política o procedimiento del SGSI.
Todos los gerentes son los responsable de registrar y
reportar las violaciones a la seguridad, confirmadas o
sospechadas.
Todos los gerentes son los responsable de preservar la
confidencialidad, integridad y disponibilidad de los
activos de información de sus departamentos en
cumplimiento de la presente política y de las políticas
y procedimientos inherentes al Sistema de Gestión de
la Seguridad de la Información.
El gerente de informática asignará al responsable
directo sobre el mantenimiento de esta política, el cual
brindará el plan y seguimiento para su
implementación, siendo responsable de investigar toda
violación reportada por el personal de la compañía.
Política de seguridad de la información
Identificación, clasificación y valoración de activos de
información. Cada dependencia, bajo supervisión del Comité de Seguridad
de la Información, debe elaborar y mantener un inventario de
los activos de información que poseen (procesada y producida).
Las características del inventario, valoración, ubicación y acc
eso de la información.
El Comité de Seguridad de la Información, brindará herramien
tas que permitan la administración
del inventario por departamento, garantizando la disponibilida
d, integridad y confidencialidad de los datos que lo componen.
Seguridad de la información en el Recurso Humano
El personal de la compañía, cualquiera que su condición contractual, la dependencia a la cual se encuentre adscrito y el nivel de las tareas que desempeñe deben tener asociado un perfil de uso de los recursos de información, incluyendo el hardware y software. El Comité de Seguridad de la Información debe tener asociado un perfil de uso de los recursos de información, incluyendo el hardware y software asociado.
El Comité de Seguridad de la Información debe elaborar,
mantener, actualizar, mejorar y difundir la Política de
Seguridad de la Información.
La responsabilidad de custodia de cualquier archivo mantenido,
usado o producido por el personal que se retira, o cambia de
cargo, recae en el jefe de departamento o supervisor del
contrato; en todo caso el proceso de cambio en la cadena de
custodia de la información debe hacer parte integral del
procedimiento de terminación de la relación contractual o de
cambio de cargo.
Responsabilidades del personal
Todo el personal de la compañía, cualquiera sea su situación
contractual, la dependencia a la cual se encuentre adscrito y las
tareas que desempeñe debe firmar un acuerdo que contenga los
términos y condiciones que regulan el uso de recursos de TI y
las reglas y perfiles que autorizan el uso de la información
institucional.
Responsabilidades de Usuarios Externos
Los usuarios externos deben aceptar por escrito los términos y
condiciones de uso de la información y recursos de TI
Maestría en Seguridad y Gestión de Riesgos Informáticos Materia Gestión de la Seguridad Informática
7
institucionales. Las cuentas de usuarios externos deben ser de
perfiles específicos y tener caducidad, renovables de acuerdo a
la naturaleza del usuario.
Usuarios invitados y servicios de acceso público.
El acceso de usuarios no registrados solo debe ser permitido al
sitio web de información institucional. El acceso y uso a
cualquier otro tipo de recurso de información y TI no es
permitido a usuarios invitados o no registrados.
Seguridad Física y del entorno
Se debe tener acceso controlado y restringido a los cuartos de
servidores principales, y a los cuartos de comunicaciones. El
Comité de Seguridad de la Información elaborará y mantendrá
las normas, controles y registros de acceso a dichas áreas.
Los servidores que contengan información y servicios de la
compañía deben ser mantenidos en un ambiente seguro y
protegido por los menos con:
• Controles de acceso y seguridad física.
• Detección de incendio y sistemas de extinción de
conflagraciones.
• Controles de humedad y temperatura.
• Bajo riesgo de inundación.
• Sistemas eléctricos regulados y respaldados por
fuentes de potencia ininterrumpida (UPS).
El Comité de Seguridad de la Información define el límite de
responsabilidades de las dependencias. No se permite el
alojamiento de información institucional en servidores externos
sin que medie una aprobación por escrito el Comité.
Equipos claves de comunicaciones deben se alimentados por s
istemas de potencia eléctrica regulados y estar protegidos por
UPS.
La infraestructura de servicios de TI debe estar cubierta por
mantenimiento y soporte adecuados de hardware y software.
Las estaciones de trabajo deben estar correctamente aseguradas
y operadas por personal de la institución el cual debe estar
capacitado acerca del contenido de esta política y de
las responsabilidades personales en el uso y administración de
la información institucional.
Los medios que alojan copias de seguridad deben ser
conservados de forma correcta de acuerdo a las políticas y
estándares que para tal efecto elabore y mantenga el Comité de
Seguridad en la Información.
Los departamentos tienen la responsabilidad de adoptar y
cumplir las normas definidas para la creación y el manejo de
copias de seguridad.
Administración de las comunicaciones y operaciones
El personal debe reportar con diligencia, prontitud y
responsabilidad presuntas violaciones de seguridad a través de
su jefe de departamento al comité de seguridad de la
información (CSI). En casos especiales dichos reportes podrán
realizarse directamente al CSI, la cual debe garantizar las
herramientas informáticas para que formalmente se realicen
tales denuncias.
El Comité de Seguridad de la Información debe preparar,
mantener y difundir las normas, procesos y guías para el reporte
e investigación de incidentes de seguridad.
El CSI mantendrá procedimientos escritos para la operación
de sistemas cuya no disponibilidad suponga un impacto alto en
el desarrollo normal de actividades. A dichos sistemas se debe
realizar seguimiento continuo del desempeño para asegurar la
confiabilidad del servicio que prestan.
Todos los sistemas informáticos deben ser protegidos teniendo
en cuenta un enfoque multinivel que involucre controles
humanos, físicos técnicos y administrativos. El Comité de
Seguridad de la Información elaborará y mantendrá un
conjunto de políticas, normas, estándares, procedimientos y
guías que garanticen la mitigación de riesgos asociados a
amenazas de software malicioso y técnicas de hacking.
En todo caso y como control mínimo, las estaciones de trabajo
de la compañía deben estar protegidas por software antivirus
con capacidad de actualización automática en cuanto a firmas
de virus. Los usuarios de la estaciones no están autorizados a
deshabilitar este control.
La compañía a través del CSI podrá hacer seguimiento al
tráfico de la red cuando se tenga evidencias de actividad inusual
o detrimentos en el desempeño. El departamento que realice
dicho seguimiento deberá informar a los empleados a través de
correo electrónico o noticias en el portal institucional de la
ejecución de esta tarea.
El CSI debe mantener actualizada una base de datos con alertas
de seguridad reportadas por organismos competentes y actuar
en conformidad cuando una alerta pueda tener un impacto
considerable en el desempeño de los sistemas informáticos.
Toda información que pertenezca a la matriz de activos de
información institucional o que sea de interés para un proceso
operativo o de misión crítica debe ser respaldada por copias de
seguridad tomadas de acuerdo a los procedimientos
documentados por el Comité de Seguridad de la Información.
Dicho procedimiento debe incluir las actividades de
almacenamiento de las copias en sitios seguros.
El departamento IT de la compañía debe realizar pruebas
controladas para asegurar que las copias de seguridad pueden
ser correctamente leídas y restauradas.
Los registros de copias de seguridad deben ser guardados en
una base de datos creada para tal fin. IT debe proveer las
herramientas para que las dependencias puedan administra la
información y registros de copias de seguridad. La Oficina de
Control Interno debe efectuar auditorías aleatorias que
permitan determinar el correcto funcionamiento de los procesos
de copia de seguridad.
Las copias de seguridad de información crítica deben ser
mantenidas de acuerdo a cronogramas definidos y publicados
por IT en conjunto con CSI.
La creación de copias de seguridad de archivos usados,
custodiados o producidos por usuarios individuales es
responsabilidad exclusiva de dichos usuarios. Los usuarios
deben entregar al respectivo jefe de dependencia las copias de
seguridad para su registro y custodia.
La configuración de enrutadores, switches, firewall, sistemas de
detección de intrusos y otros dispositivos de seguridad de red;
debe ser documentada, respaldada por copia de seguridad y
mantenida por el departamento de IT y CSI.
Todo equipo debe ser revisado, registrado y aprobado por IT
antes de conectarse a cualquier nodo de la Red de
comunicaciones y datos institucional. El CSI debe de verificar
en cada departamento que se desconecten aquellos dispositivos
que no estén aprobados y reportar tal conexión como un
incidente de seguridad a ser investigado.
Maestría en Seguridad y Gestión de Riesgos Informáticos Materia Gestión de la Seguridad Informática
8
Las peticiones de información por parte de entes externos de
control deben ser aprobadas por la Dirección ejecutiva, y
dirigida por dichos entes a los responsables de su custodia.
Las normas de uso de Internet y de los servicios de correo
electrónico serán elaboradas, mantenidas y actualizadas por el
Comité de Seguridad de la Información y en todo caso este
comité debe velar por el cumplimiento del código de ética
institucional y el manejo responsable de los recursos de
tecnologías de la información.
Todas las instalaciones de software que se realicen deben ser
aprobadas por el CSI, de acuerdo a los procedimientos
elaborados para tal fin. El departamento de IT definirá el
ámbito en el cual actuará cada dependencia.
No se permite la instalación de software que viole las leyes de
propiedad intelectual y derechos de autor. El CSI debe
desinstalar cualquier software ilegal y registrar este hecho como
un incidente de seguridad que debe ser investigado.
Corresponde al CSI mantener una base de datos actualizada
que contenga un inventario del software autorizado para su uso
e instalación en los sistemas informáticos de la compañía.
Control de Acceso
El acceso a los recursos de tecnologías de información de la
compañía deben estar restringidos según los perfiles de usuario
definidos por el Comité de Seguridad de la Información.
El acceso a información restringida debe estar controlado. Se
recomienda el uso de sistemas automatizados de autenticación
que manejen credenciales o firmas digitales.
Corresponde a CSI elaborar, mantener y publicar los
documentos de servicios de red que ofrece la institución a su
personal, estudiantes, docentes y terceros.
El CSI debe elaborar, mantener y publicar procedimientos de
administración de cuentas de usuario para el uso de servicios
de red.
El acceso a sistemas de cómputo y los datos que contienen es
responsabilidad exclusiva del personal encargado de tales
sistemas.
La empresa debe procurar mantener al mínimo la cantidad de
cuentas de usuario que el personal, y terceros deben poseer para
acceder a los servicios de red.
El control de las contraseñas de red y uso de equipos es
responsabilidad del departamento de IT. Dichas contraseñas
deben ser codificadas y almacenadas de forma segura.
Las claves de administrador de los sistemas deben ser
conservadas por el departamento IT y deben ser cambiadas en
intervalos regulares de tiempo y en todo caso cuando el
personal adscrito al cargo cambie. El departamento de IT en
coordinación con el CSI debe elaborar, mantener y actualizar
el procedimiento y las guías para la correcta definición, uso y
complejidad de claves de usuario.
La compañía reconoce el alto grado de exposición que presenta
la información y los datos almacenados en dispositivos
portátiles (computadores portátiles, notebooks, PDA, celulares,
etc). Corresponde a la Oficina de Recursos Humanos en
conjunto con el CSI elaborar, mantener e implementar planes
de capacitación que ayuden a la formación y mantenimiento de
la conciencia en cuestión de seguridad de la información.
Las redes inalámbricas potencialmente introducen nuevos
riesgos de seguridad que deben ser identificados, valorados y
tratados de acuerdo a los lineamientos de la Política de
Seguridad en redes inalámbricas que debe elaborar el Comité
de Seguridad de la Información.
Todo uso que se haga de los recursos de tecnologías de la
información en la compañía deben ser seguidos y auditados de
acuerdo con los lineamientos del Código de Ética y del Código
de Uso de Recursos de Tecnologías de la Información, el cual
debe ser elaborado por el Comité de Seguridad de la
Información.
Acceso Remoto
El acceso remoto a servicios de red ofrecidos por la empresa
debe estar sujeto a medidas de control definidas por el CSI, las
cuales deben incluir acuerdos escritos de seguridad de la
información.
Adquisición, Desarrollo y Mantenimiento de Sistemas
Software Para apoyar los procesos operativos y estratégicos la
Universidad debe hacer uso intensivo de las Tecnologías de la
Información y las Comunicaciones. Los sistemas de software
utilizados pueden ser adquiridos a través de terceras partes o
desarrollados por personal propio.
El Departamento de IT debe elegir, elaborar, mantener y
difundir el “Método de Desarrollo de Sistemas Software” que
incluya lineamientos, procesos, buenas prácticas, plantillas y
demás artefactos que sirvan para regular los desarrollos de
software internos en un ambiente de mitigación del riesgo y
aseguramiento de la calidad.
Todo proyecto de desarrollo de software interno debe contar
con un documento de Identificación y Valoración de Riesgos
del proyecto. La empresa no debe emprender procesos de
desarrollo – o mantenimiento – de sistemas software que
tengan asociados riesgos altos no mitigados.
Los sistemas software adquiridos a través de terceras partes
deben certificar el cumplimiento de estándares de calidad en el
proceso de desarrollo.
La Administración de Continuidad del Negocio debe ser parte
integral del Plan de Administración de Riesgo de la empresa.
Alcance/Aplicabilidad
Esta política aplica a todos los departamentos de la compañía
y sus colaboradores.
Nivel de cumplimiento
Todas las personas cubiertas por el alcance y aplicabilidad se
espera que se adhieran en un 100% de la política de seguridad
de la información.
IV. CONCLUSIONES
Con el desarrollo de los talleres realizados en clases, y
conociendo a fondo la ISO 27001 podemos concluir que el
implementar la ISO 27001 en una organización:
- Ayudará a conocer la información crítica sin la cual la
empresa no tendría razón de existir, se podrá preparar
al personal de la empresa para conocer los procesos
clave del negocio y definir la información crítica de
cada uno de los procesos.
- Ayudaría a identificar los posibles riesgos, los cuales
pueden ser informáticos, técnicos, jurídicos etc.
Maestría en Seguridad y Gestión de Riesgos Informáticos Materia Gestión de la Seguridad Informática
9
- Con la implementación de la ISO, se protege la
información y la continuidad del negocio, desde
diferentes puntos de vistas.
- La implementación de una norma ISO, conlleva a
tener dentro de cualquier organización ventajas, pero
uno de los retos, es el de convencer a la alta Dirección
de los beneficios que se obtienen.
REFERENCIAS
G. Marcos, 'Claves para Gerenciar Seguridad y Minimizar
Los Riesgos (2005)', Es.slideshare.net, 2015. [Online].
Available: http://es.slideshare.net/jarvel/claves-para-gerenciar-
seguridad-y-minimizar-los-riesgos-2005. [Accessed: 15- Nov-
2015].
Cecilia Verónica Cáceres
Graduada de la carrera de Ingeniería de
Sistemas Informáticos de la
Universidad Católica De El Salvador
actualmente cursando la maestría en
Seguridad y Gestión de Riesgos
Informáticos, en el centro de estudios y
postgrados de la Universidad Don
Bosco , Antiguo Cuscatlán , El
Salvador.
David E. Martínez
Ingeniero en Ciencias de la
Computación, graduado de la
Universidad Don Bosco en 2004 con
Especialidad en Desarrollo de
Aplicaciones con integración de
Información Geográfica y Sensores
Remotos obtenida en India (C-DAC
NOIDA 2013). Actualmente cursando
Maestría en Seguridad y Gestión de Riesgos Informáticos en la
Universidad Don Bosco
Luis Pérez Figueroa
Ingeniero en Ciencias de la
Computación, graduado de la
Universidad Francisco Gavidia 2007
con Especialidad en Virtualización e
infraestructura. Actualmente cursando
Maestría en Seguridad y Gestión de
Riesgos Informáticos en la Universidad
Don Bosco
Miguel Ángel López Rodríguez, Graduado en Licenciatura en Ciencias de la
Computación, Universidad Francisco
Marroquín, Guatemala (Magna Cum
Laude), actualmente cursando Maestría en
“Seguridad y Gestión de Riesgos
Informáticos” en el Centro de Estudios de
Postgrado en la Universidad Don Bosco, El
Salvador.