Este documento presenta una evaluación de la seguridad de los sistemas de información en una universidad panameña. Se evalúan 7 áreas principales de seguridad: 1) física, 2) lógica, 3) del personal, 4) de la información y bases de datos, 5) de acceso y uso de software, 6) de operación de hardware, y 7) de telecomunicaciones. El documento analiza cada área e incluye consideraciones sobre auditorías, amenazas, y aspectos a considerar para proteger adecuadamente los sistemas de información.

1. UNIVERSIDAD PANAMERICANA
REGIONAL DE AHUACHAPAN
MATERIA:
AUDITORIA DE SISTEMAS
CATEDRATICO:
LICDO. EDGARDO ENRIQUE CASTILLO.
TEMA:
EVALUACIÓN DE LA SEGURIDAD DE LOS SISTEMAS INFORMATICOS.
ALUMNO:
JUDITH ESTER ALVAREZ PINEDA.
ROXANA JANETH CACERES ALTUVE.
VIDAL OVED CRUZ MULATILLO.
DANILO ERNESTO HERRERA SINTIGO.
LESBIA SORAIDA SANCHEZ OSORIO.
AHUACHAPAN, 14 DE MAYO DE 2009.

2. INDICE
CONTENIDO PAGINA
1. Introducción. 3
2. Evaluacion de la seguridad de los sistemas de información. 4
3. Evaluación de la seguridad física de los sistemas. 5
4. Evaluación de la seguridad lógica del sistema. 6
5. Evaluación de la seguridad del personal del área de sistemas. 7
6. Evaluación de la seguridad de la información y las bases de datos. 8
7. Evaluación de la seguridad en el acceso y uso del software. 11
8. Evaluación de la seguridad en la operación del hardware. 15
9. Evaluación de la seguridad en las telecomunicaciones. 17

3. INTRODUCCION
En toda actividad se hace necesario, no sólo planear y ejecutar las actidades, sino
efectuar procedimientos de control que vayan encaminados a asegurar que dichas
actividades han sido ejecutadas de acuerdo a los parámetos que se habían establecido con
anterioridad.
En el caso particular de la Auditoría de Sistemas, se sigue el mismo proceso y si no se
realiza una evaluación consciente con respecto a lo realizado, se corre el peligro que se
violenten los principios de seguridad establecidos.
En vista de ellos, se hace necesario evaluar la seguridad de los sistemas de
información en diferentes aspectos y referidos al centro de cómputo.
Entre estos aspectos podemos mencionar la seguridad física, la cual hace referencia al
cuidado físico de cada uno de los componentes que intervienen e interactúan en el área de
informática, tales como hardware, software, personal y otros.
Al hablar de la seguridad lógica, nos referimos a que cada uno de los componentes
mencionados a continuación sigan de manera correcta y metódica los procesos para los
cuales fueron diseñados.
Al referirnos a la seguridad del personal, se debe verificar que el personal esté seguro
físicamente, así como tabién, esté capacitado y en las condiciones psicológicas adecuadas
para que esté realizando su trabajo de manera efectiva.
También hay aspectos referidos al hardware y software, con relación a los cuales se
presenta un cuestionario escueto sobre algunos aspectos que sería determinate realizar la
evaluación, ya que darían una respuestacon respecto al criterio sobre el buen uso de dichos
componentes.
En última instancia, se presentan aspectos sobre la seguridad de las bases de datos y
de las comunicaciones, aspectos en los cuales la seguridad debe estar bien definida para
responder así a las necesidades de la entidad.

4. EVALUACION DE LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN.
Uno de los rubros que están incrementando su popularidad dentro del ambiente
informático, es el relacionado con la seguridad del área de sistemas; con ello se incrementa
cada día más la necesidad de evaluar la seguridad y protección de los sistemas, ya sea en
los accesos a los centros de cómputo, en el ingreso y utilización de los propios sistemas y
en la consulta y manipulación de la información contenida en sus archivos, la seguridad de
las instalaciones, del personal y los usuarios de sistemas, así como de todo lo relacionado
con el resguardo de los sistemas computacionales.
Es evidente que uno de los aspectos básicos que se deben contemplar en la evaluación
de sistemas, es precisamente la protección y resguardo de la información de la empresa,
tanto en el hardware como en el software, así como de los equipos adicionales que ayudan
al adecuado funcionamiento de los sistemas.
En esta evaluación también se incluyen el acceso al área de sistemas, el acceso al
sistema, la protección y salvaguarda de los activos de esta área, las medidas de prevención
y combate de siniestros, y muchos otros aspectos que se pueden valorar mediante una
auditoría de sistemas.
Para un mejor entendimiento de estos puntos, a continuación veremos las principales
áreas de seguridad que se pueden evaluar en una auditoría de sistemas.
1. Evaluación de la seguridad física de los sistemas.
2. Evaluación de la seguridad lógica del sistema.
3. Evaluación de la seguridad del personal del área de sistemas.
4. Evaluación de la seguridad de la información y las bases de datos.
5. Evaluación de la seguridad en el acceso y uso del software.
6. Evaluación de la seguridad en la operación del hardware.
7. Evaluación de la seguridad en las telecomunicaciones.
A continuación se desarrollarán los aspectos más importantes que tienen que ver con
cada una de estas principales áreas:

5. 1. EVALUACIÓN DE LA SEGURIDAD FISICA DE LOS SISTEMAS.
La seguridad de los sistemas de información envuelve la protección de la información
así como la de los sistemas computacionales usados para grabar, procesar y almacenar la
información. También esta involucrada en esta sección la seguridad equipamiento adicional
necesario y las personas designadas al manejo de la información.
La seguridad física, se refiere por lo tanto a la protección del Hardware y de los
soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla
las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc.
El equipamiento de las organizaciones debe estar debidamente protegido de factores
físicos que los puedan dañar o mermar su capacidad de trabajo. Los equipos deben estar
protegidos de daños causados por incendios, exceso de humedad, robos, sabotajes. Los
equipos, físicamente no se limitan a solo las computadores y sus periféricos, también lo son
calculadoras, sistemas de almacenaje externos de datos como disquetes, CDs, etc., sistemas
de cableado, ruteadores.
AUDITORIA DE LA SEGURIDAD FÍSICA
Se evaluaran las protecciones físicas de datos, programas instalaciones, equipos redes
y soportes, y por supuesto habrá que considerar a las personas, que estén protegidas y
existan medidas de evacuación, alarmas, salidas alternativas, así como que no estén
expuestas a riesgos superiores a los considerados admisibles en la entidad e incluso en el
sector.
AMENAZAS
Pueden ser muy diversas: sabotaje, vandalismo, terrorismo accidentes de distinto tipo,
incendios, inundaciones, averías importantes, derrumbamientos, explosiones, así como
otros que afectan alas personas y pueden impactar el funcionamiento de los centros, tales
como errores, negligencias, huelgas, epidemias o intoxicaciones.

6. PROTECCIONES FÍSICAS ALGUNOS ASPECTOS A CONSIDERAR:
Ubicación del centro de procesos, de los servidores locales, y en general de cualquier
elemento a proteger.
Estructura, diseño, construcción y distribución de los edificios y de sus platas.
Riesgos a los accesos físicos no controlados.
Amenaza de fuego, problemas en el suministro eléctrico.
Evitar sustituciones o sustracción de quipos, componentes, soportes magnéticos,
documentación u otros activos.
2. EVALUACIÓN DE LA SEGURIDAD LÓGICA DEL SISTEMA.
La seguridad lógica, se refiere a la seguridad de uso del software, a la protección de
los datos, procesos y programas, así como la del ordenado y autorizado acceso de los
usuarios a la información.
AUDITORIA DE LA SEGURIDAD LOGICA
Es necesario verificar que cada usuario solo pude acceder a los recursos que sele
autorice el propietario, aunque sea de forma genérica, según su función, y con las
posibilidades que el propietario haya fijado: lectura, modificación, borrado, ejecución,
traslado a los sistemas lo que representaríamos en una matriz de accesos.
En cuanto a autenticación, hasta tanto no se abaraten más y generalicen los sistemas
basados en la biométrica, el método más usado es la contraseña,
Cuyas características serán acordes con las normas y estándares de la entidad, que
podrían contemplar diferencias para según que sistemas en función de la criticidad de los
recursos accedidos.
Aspectos a evaluar respecto a las contraseñas pueden ser:
• Quien asigna la contraseña inicial y sucesivas.
• Longitud mínima y composición de caracteres.

7. • Vigencia, incluso puede haberlas de un solo uso o dependientes de una función
tiempo.
• Control para no asignar las “x” ultimas.
• Numero de intentos que se permiten al usuario.
• Controles existentes para evitar y detectar caballos de Troya.
3. EVALUACIÓN DE LA SEGURIDAD DEL PERSONAL DEL ÁREA DE
SISTEMAS.
La seguridad del personal puede ser enfocada desde dos puntos de vista, la seguridad
del personal al momento de trabajar con los sistemas informáticos, estos deben estar en
óptimas condiciones para que no causen daño a las personas, y la seguridad de los sistemas
informáticos con respecto al mal uso de los mismos por parte de los empleados. Ambos
puntos de vista deben se considerados al momento de diseñar un sistema de seguridad.
Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que
están ligadas al sistema de información de forma directa y se deberá contemplar
principalmente:
La dependencia del sistema a nivel operativo y técnico.
Evaluación del grado de capacitación operativa y técnica.
Contemplar la cantidad de personas con acceso operativo y administrativo.
Conocer la capacitación del personal en situaciones de emergencia.
CONSIDERACIONES PARA CON EL PERSONAL.
Es de gran importancia la elaboración del plan considerando el personal, pues se debe
llevar a una conciencia para obtener una autoevaluación de su comportamiento con respecto
al sistema, que lleve a la persona a:
Asumir riesgos.
Cumplir promesas.
Innovar

8. Para apoyar estos objetivos se debe cumplir los siguientes pasos:
Motivar.
Se debe desarrollar métodos de participación reflexionando sobre lo que significa la
seguridad y el riesgo, así como su impacto a nivel empresarial, de cargo y individual.
Capacitación General.
En un principio a los ejecutivos con el fin de que conozcan y entiendan la relación
entre seguridad, riesgo y la información, y su impacto en la empresa. El objetivo de este
punto es que se podrán detectar las debilidades y potencialidades de la organización frente
al riesgo.
Este proceso incluye como práctica necesaria la implantación la ejecución de planes
de contingencia y la simulación de posibles delitos.
Capacitación de Técnicos:
Se debe formar técnicos encargados de mantener la seguridad como parte de su
trabajo y que esté capacitado para capacitar a otras personas en lo que es la ejecución de
medidas preventivas y correctivas.
4. EVALUACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y LAS
BASES DE DATOS.
AUDITORIA DE LA SEGURIDAD DE LOS DATOS
La protección de los datos puede tener varios enfoques respecto a las características
citadas: la confidencialidad, disponibilidad e integridad. Puede haber datos críticos en
cuanto a su confidencialidad, como datos médicos u otros especialmente sensibles para la
LIBERTAD (sobre religión, sexo, raza), otros datos cuya criticidad viene dada por la
disponibilidad; si se pierden o se pueden utilizar a tiempo pueden causar perjuicios graves

9. y en los casos más extremos, poner en peligro la comunidad de la entidad y finalmente
otros datos críticos atendiendo a su integridad, especialmente cuando su perdida no puede
detectarse fácilmente o una vez detectada no es fácil reconstruirlos.
Desde el origen del dato, que puede ser dentro o fuera de la entidad, y puede incluir
preparación, autorización, incorporación al sistema: por el cliente, por empleados, o bien
ser captado por otra forma, y debe revisarse como se verifican los errores.
Proceso de los datos:
Controles de validación, integridad, almacenamiento: que existan copias suficientes,
sincronizadas y protegidas.
Salida de resultados:
Controles en transmisiones, en impresión, en distribución.
Retención de la información y protección en funciona de su clasificación:
Destrucción de los diferentes soportes que la contengan cuando ya no sea necesaria, o
bien desmagnetización.
Designación de propietarios:
Clasificación de los datos, restricción de su uso para pruebas, inclusión de muescas
para poder detectar usos no autorizados.
Clasificación de los datos e información:
Debe revisarse quien la ha realizado y según que criterios y estándares; no suele ser
práctico que haya más de cuatro o cinco niveles.
Cliente-servidor:
Es necesario verificar los controles en varios puntos, y no solo en uno central como
en otros sistemas, y a veces en plataformas heterogéneas, con niveles y características de
seguridad muy diferentes, y con posibilidad de transferencia de ficheros o de captación y
exportación de datos que pueden perder sus protecciones al pasar de una plataforma a otra.

10. Los datos son el corazón de los sistemas informáticos por tanto estos deben ser
celosamente cuidados y manejados. La protección de la integridad, disponibilidad y
confidencialidad de los mismos debe ser el objetivo principal de todo sistema de seguridad
informático.
Confidencialidad: La confidencialidad de los sistemas informáticos se refiere
básicamente a la accesibilidad de la información, se deben establecer niveles de
accesibilidad que guarden relaciones coherentes entre el usuario, su rol en la organización y
el grado de profundidad al que puede llegar al momento de desplegar la información.
Integridad: El concepto de integridad hace referencia a la protección de los datos de
modificaciones y/o alteraciones de los mismos. Solo aquellas personas autorizadas podrán
hacer modificaciones a los datos almacenados.
Disponibilidad: Esta se puede definir como la disposición de información que las
personas autorizadas tienen al momento de necesitarlas. Si la información que el personal
requiere para realizar un trabajo no se encuentra disponible entonces dicho trabajo no se
podrá realizar o por lo menos se retrazara su conclusión.
Validez: Un dato es valido cuando este refleja con exactitud, precisión y de forma
completa la información que transmite. Este concepto se encuentra estrechamente ligado
con el de integridad, si la integridad de un dato es violada entonces así lo será también su
validez.
Autenticidad: Este concepto hace referencia a la modificación fraudulenta de la
información, por ejemplo, una transacción puede ser ingresada dentro de un sistema
contable computarizado por una persona no autorizada a hacer, el dato ingresado puede
cumplir con el requisito de validez pero no con el de autenticidad ya que no fue ingresado
por la persona autorizada.

11. Privacidad: "Normalmente los conceptos de privacidad, confidencialidad y seguridad
se confunden. Privacidad hace referencia al concepto particular y personal del uso de la
información. Confidencialidad es una clasificación particular del grado de exposición de
datos.
Exactitud: Este concepto hace referencia al mantenimiento de una relación legítima
entre lo que un dato es y lo que representa. Por ejemplo, un dato que representa monto de
préstamos debe representar exactamente el monto prestado, éste no puede ser mayor o
menor, deber ser el que represente fielmente la realidad.
5. EVALUACIÓN DE LA SEGURIDAD EN EL ACCESO Y USO DEL
SOFTWARE.
Cuando buscamos evaluar la seguridad en la operación del software, debemos
identificar las principales vulnerabilidades del software de la entidad, entre los cuales,
mencionamos los aspectos siguientes:
Errores de aplicaciones.
Errores de sistemas operativos.
Rutinas de acceso no autorizados.
Servicios no autorizados.
A continuación se presenta un custionario que podría ser resuelto al momento de
evaluar la seguridad en cuanto al software utilizado en los sistemas de información:
1. Se tienen políticas y procedimientos relativos al uso y protección del software
existentes?
1.1 Si las hay, indique si los siguientes aspectos de seguridad están formalmente
identificados.
Administración del software.
Sistemas operativos, utilerías, paquetes, etc.
Cuantificación del software (Original y copias).

12. Descripción (Por original).
Distribución (Cuál es la localización).
Registro del software instalado, dado de baja, en proceso de adquisición, etc.
Uso del software.
Procedimientos y controles de seguridad para la evaluación, selección y
adquisición de software.
Otros.
2. Diga si poseen políticas relacionadas con el ingreso y salida del software que
aseguren al menos lo siguiente:
Que el software que salga de la empresa sea:
• Revisado (contenido, cantidad, destino).
• Esté registrado formalmente en la empresa.
• Justificado.
• Aprobado por el responsable de informática.
• Registrado (quién y a qué hora lo sacó).
• Devuelto (comparado con fecha de devolución).
• Devuelto en las mismas condiciones en que salió.
Que el software que ingrese a la empresa sea:
• Revisado (contenido, cantidad, destino).
• Esté registrado formalmente en la empresa.
• Justificado.
• Aprobado por el responsable de informática.
• Registrado (quién y a qué hora lo metió).
• Devuelto (comparado con fecha de devolución).
• Devuelto en las mismas condiciones que tenía en la salida.

13. 3. En cuanto a las aplicaciones (sistemas de información) que se desarrollan en la
empresa, ¿se tienen los controles y procedimientos necesarios para garantizar la
seguridad mínima requerida?
3.1 En caso de que existan, ¿al menos contemplan lo siguiente?
• Procedimiento de llenado de documentos fuente.
• Procedimiento de uso de la computadora.
- Encendido e inicialización del equipo.
- Reinicialización del equipo en el caso de fallas.
- Manejo de bitácoras en el uso de la computadora.
- Monitoreo de uso de la computadora.
• Niveles de acceso (perfil de usuarios) al módulo de:
- Captura.
- Actualización.
- Consulta.
- Generación de reportes.
- Respaldo.
- Otros.
• Procedimientos de uso de los módulos de:
- Captura.
- Actualización.
- Consulta.
- Generación de reportes.
- Respaldo.
- Otros.
4. ¿Existen procedimientos que verifiquen que la construcción (programación),
prueba e implantación de los controles y procedimientos de seguridad sean
formalmente aprobados antes de que se utilice el sistema?
5. ¿Participan funciones de control o evaluación de sistemas, como auditores o
consultores, en la aprobación de los controles de seguridad de los sistemas antes
que sean formalmente aprobados por los usuarios?

14. 5.1 Si es así, ¿en qué etapas de desarrollo participan?
5.2 Se involucran en todos los proyectos de desarrollo?
6. Mencione si los controles aseguran que el sistema contemple los procedimientos
necesarios para que la información manejada en el mismo, sea total, exacta,
autorizada, mantenida y actualizada.
6.1 ¿Existen procedimientos para comprobar que los totales de los reportes de
validación del usuario concuerden con los totales de validación de los
sistemas computarizados?
6.2 ¿Los documentos fuente por capturar llevan preimpresos los números
consecutivos o se los asigna el usuario?
7. En cuanto al mantenimiento de sistemas señale si se cuenta con un procedimiento
formal para asegurar que los cambios efectuados en los sistemas sean:
• Justificados.
• Descritos.
• Probados en el área de desarrollo antes de ser trasladados al área de
producción.
• Revisados por funciones de control.
• Aprobados por los responsables correspondientes antes de ser puestos
en operación.
• Implantados los controles de seguridad de dichos cambios.
• Otros.
8. ¿Hay un proceso formal para asegurar que los requerimientos de los
departamentos usuarios sean registrados, justificados, programados, probados e
implantados de acuerdo con los estándares de la metodología del CVDS?
9. ¿Cómo se da seguimiento a los cambios de los sistemas sugeridos por la función
de informática?

15. 10. ¿Existen procedimientos que permiten identificar con claridad las
responsabilidades en cuanto al uso del sistema y equipo de cómputo donde será
implantado y operado?
6. EVALUACIÓN DE LA SEGURIDAD EN LA OPERACIÓN DEL
HARDWARE.
Cuando buscamos evaluar la seguridad en la operación del hardware, debemos
identificar las principales vulnerabilidades de hardware, las cuales podemos mencionar a
continuación:
Inapropiada operación.
Fallas en mantenimiento.
Inadecuada seguridad física.
Falta de protección contra desastres naturales.
A continuación se presenta un cuestionario de los probables aspectos a evaluar con
relación al hardware:
1. Hay políticas y procedimientos relativos al uso y protección del hardware de la
organización.
1.1 Si existen, indique si están formalmente identificados los siguientes aspectos
de seguridad.
Administración del hardware.
Micros, minis y super computadoras.
Tecnología de comunicaciones, redes y otros.
Cuantificación del hardware.
Descripción del hardware (Características básicas).
Distribución del hardware (Ubicación física).
Areas de informática: departamentos, usuarios y áreas locales y remotas.
Registro del hardware instalado, dado de baja, en proceso de adquisición, etc.

16. Uso del hardware: desarrollo, operación, mantenimiento, monitoreo y toma de
decisiones.
Funciones responsables del control del hardware.
Procedimientos y controles de seguridad parala evaluación, selección y
adquisición de hardware.
Otros.
2. En cuanto al equipo de soporte, se han de tener los siguientes datos:
Localización física de:
• Aire acondicionado.
• Equipos contra incendios.
• Otros.
3. ¿La ubicación física del equipo de cómputo en el edificio es la más adecuada
pensando en los diversos desastres o contingencias que se pueden presentar
(Manifestaciones o huelgas, inundaciones, incendios y otros).
4. ¿Hay procedimientos que garanticen la continuidad y disponibilidad del equipo de
cómputo en caso de desastres y contingencias?
Si es así, están documentados y difundidos formalmente?
5. Indique si se cuenta con controles y procedimientos para:
Clasificación y justificación del personal con acceso a los centros de cómputo del
negocio y a las oficinas donde se encuentra papelería o accesorios relacionados
con informática.
Restringir el acceso a los centros de cómputo sólo al personal autorizado.
Definición y difusión de las horas de acceso al centro de cómputo.
Uso y control de bitácoras de acceso a los centros de cómputo.
6. ¿Existe personal de seguridad encargado de la salvaguarda de los equipos de
cómputo de la empresa?

17. 6.1 Fue capacitado el personal para este trabajo o simplemente sigue las normas
de seguridad que se aplican en bancos e industrias?
6.2 Si no se cuenta con tal personal, ¿A qué área o función pertenecen los
responsables de proteger físicamente el equipo?
7. Mencione si existen políticas relacionadas con el ingreso y salida del hardware
que aseguren al menos lo siguiente:
Que la entrada y salida del hardware sea:
• Revisada.
• Justificada.
• Aprobada por el responsable de informática que va a recibirla.
• Registrada.
• Devuelta.
• Devuelta en las mismas condiciones de entrada.
• Devolución autorizada por medio de un responsable de informática.
8. ¿Existe alguna función de investigación, auditoría o seguridad que se dedique a la
evaluación permanente de software, métodos, procedimientos, etc., sugeridos en
el mercado (como conferencias, publicaciones, asesores, investigaciones) para la
implantación de nuevas acciones relativas a la seguridad que brinden continuidad
en la operación y cuidado de los recursos relacionados con informática?
8.1 Si es así, ¿cuáles son las actividades principales que se asignan a esta tarea?
8.2 En caso de que lo anterior no ocurra, ¿qué acciones garantizan la adecuación
de los controles y procedimientos de seguridad en el momento de implantar
nuevas tecnologías?
7. EVALUACIÓN DE LA SEGURIDAD EN LAS TELECOMUNICACIONES.
AUDITORIA DE LA SEGURIDAD EN COMUNICACIONES Y REDES

18. En las políticas de entidad debe reconocerse que los sistemas, redes y mensajes
transmitidos y procesados son propiedad de la entidad y no deben usarse para otros fines no
autorizados, por seguridad y por productividad, talvez salvo emergencias concretas si allí se
ha especificado y mas bien para comunicaciones con voz.
Los usuarios tendrán restricción de accesos según dominios, únicamente podrán
cargar los programas autorizados, y solamente podrán variar las configuraciones y
componentes los técnicos autorizados.
Se revisaran especialmente las redes cuando existan repercusiones económicas por
que se trate de transferencia de fondos o comercio electrónico. Puntos a revisar:
• Tipos de redes y conexiones
• Tipos de transacciones.
• Tipos de terminales y protecciones: físicas, lógicas, llamadas de retorno.
• Transferencia de ficheros y controles existentes.
• Consideración especial respecto a las conexiones externas a través de pasarelas
(gateway) y encaminadores (routers).
INTERNET E INTRANET: separación de dominios e implantación de medidas
especiales, como normas y cortafuegos (firewall), y no solo en relación con la seguridad,
sino por accesos no justificados por la función desempeñada, como a páginas de ocio o
eróticas, por lo que pueden suponer para la productividad.
CORREO ELECTRÓNICO: tanto por privacidad y para evitar virus como para que el
uso del correo sea adecuado y referido ala propia función, y no utilizado para fines
particulares.
PROTECCIÓN DE PROGRAMAS: y tanto la prevención del uso no autorizado de
programas propiedad de la entidad o de los que tengan licencia de uso.
CONTROL SOBRE LAS PAGINAS WEB: quien puede modificarlo y desde donde,
finalmente preocupan también los riesgos que pueden existir en el comercio electrónico.

19. Vulnerabilidades de comunicaciones: inadecuados controles de acceso a la red,
inadecuados mecanismos para prevenir fallas en comunicaciones.