Gestión del Riesgos de Seguridad de la Información Controlando lo impredecible
Septiembre 2013
Agenda DÍA 1 • Conceptos metodologías • Normas, marcos y metodologías • Implementación de un programa de gestión de riesgos • Identificación de riesgos • Estimación de riesgos • Taller
Agenda DÍA 2 • Evaluación de Riesgos • Tratamiento de Riesgos y Riesgo Residual • Comunicación de Riesgos • Monitoreo, Revisión y Mejora de Riesgos • Taller
Conceptos
Conceptos Atributos Estratégicos
Impacto
Activo
Seguridad de la Información
Riesgo
Vulnerabilid ades
Amenazas
Conceptos • Seguridad de la Información : ¿por qué? – Porque el negocio se sustenta a partir de la información que maneja. – Porque no sólo es un tema “tecnológico”.
tie ne un costo, pero la inseguridad i nseguridad tiene un – Porque la seguridad de la información tiene costo aún mayor.
– Principales fallas de seguridad • • • • •
Violaciones de seguridad seguridad que involucra a terceros - 25 % Errores de los empleados u omisiones omisiones - 20 % Adaptación tardía tardía a nuevas tecnologías tecnologías - 18 % Abuso del empleado empleado de los sistemas e información información de TI - 17 % Otros Otr os - 20%
I nf nform orme e T M T P r edi cc ccii one ness 2012 de D eloitte
Conceptos • Seguridad de la Información : conjunto de medidas para
salvaguardar la información preservando su confidencialidad, integridad y disponibilidad.
Conceptos • Riesgo: ¿por qué?
•
Cada vez más las compañías dependen de la automatización e integración.
•
Se necesita integrar a TI al negocio.
•
Importante para integrar con las prácticas existentes de negocio.
Conceptos • Atributos estratégicos de negocio : Son aquellos criterios que
deben ser tomados en cuenta al momento de evaluar el riesgo ri esgo de seguridad de la información. • También conocido como “criterios básicos”, los podemos
encontrar en: – La estrategia y planes estratégicos de la compañía – La visión y misión – El entorno operacional y regulatorio – Las expectativas de interesados
Conceptos • Activo de información : Los activos de información
generan, procesan y/o almacenan la información infor mación necesaria para la operación y el cumplimiento de los objetivos de la compañía Tiene ne valor para la compañía. – Tie
• Existen varios tipos: – Procesos – Documentos físicos y electrónicos – Software – Hardware – Personas
Conceptos • Amenaza: Causa potencial de un incidente no deseado, el cual
puede causar daño a un sistema sistema u organización [ISO/IEC 27002:2005] • Vulnerabilidad: Debilidad de un activo o grupo de activos que puede ser explotada por una o más más amenazas [ISO/IEC 27002:2005] • Impacto: cambio adverso a los objetivos del negocio esperados [ISO/IEC 27005:2008]
Conceptos • Riesgo aceptable : Decisión de aceptar el riesgo [ISO/IEC
27001:2005] • Riesgo residual: Riesgo remanente después del tratamiento del riesgo [ISO/IEC 27001:2005] • Control: Medio para manejar el riesgo; incluyendo políticas, procedimientos, lineamientos, lineamientos, prácticas o estructuras organizacionales, las cuales pueden ser administrativas, técnicas, de gestión o de naturaleza legal [ISO/IEC 27002:2005]
Conceptos • Riesgo de Seguridad de la
Información: El potencial de que una amenaza dada explote las vulnerabilidades de un activo o grupo de activos, causando pérdida o daño a la organización organización [ISO/IEC 27005:2008] • Combinación de la probabilidad
de un evento y sus consecuencias c onsecuencias [ISO/IEC 27002:2005]
Conceptos
Disminuye CONTROLES
Conceptos OBJETIVO RIESGO AMENAZA RIESGO DE CONTROL ESTÁNDAR VULNERABILIDAD CONTROL INHERENTE RESIDUAL
Conceptos • Control: Medio para manejar el riesgo; incluyendo
políticas, procedimientos, procedimientos, lineamientos, prácticas o estructuras organizacionales, las cuales pueden ser administrativas, técnicas, de gestión o de naturaleza legal [ISO/IEC 27002:2005] – Tratamiento de Riesgos
• Riesgo aceptable : Riesgo en un nivel con el cual la
organización se siente cómoda [ISO/IEC 27001:2005] • Riesgo residual: Riesgo remanente después del tratamiento del riesgo [ISO/IEC 27001:2005]
Conceptos La siguientes son las atributos de seguridad de la información: • Confidencialidad: La información se revela
únicamente si así está estipulado, a personas, procesos o entidades autorizadas y en el momento autorizado. • Integridad: La información es precisa, coherente y completa desde su INFORMACION DISPONIBILIDAD
creación hasta su destrucción. • Disponibilidad: La información es accedida
por las personas o sistemas autorizados en el momento y en el medio que se requiere.
Normas, marcos y metodologías en la Gestión de Riesgos
ISO/IEC 27005:2008 • ISO/ IEC 27005: 2008 Tecnolo ecnología gía de la Información Información - Técnic Técnicas as
de seguridad seguridad - Gest Gestión ión del riesgo de seguridad seguridad de la información información • Complemento a las normas ISO/IEC 27001:2005 e ISO/IEC 27002:2005 • Se basa en los informes técnicos ISO TR 13335-3:1998 e ISO TR 13335-4:2000, que quedaron obsoletos desde su publicación
ISO/IEC 27005:2008 • ISO/IEC 27005:2008: Proceso de gestión de riesgos de de
seguridad de la información
ISO/IEC 27005:2008 • Enfoquémonos en la evaluación de riesgos:
ISO/IEC 27005:2008 • Ciclo de Deming aplicado a la gestión de riesgos de seguridad
de la información: Ciclo de Deming
Proceso de gestión de riesgos de seguridad de la información
Planificar
Establecimiento Establecimiento del contexto contexto Valoración de riesgos Desarrollo del plan de tratamiento tratamiento de riesgos Aceptación de riesgos
Hacer
Implantación del plan de tratamiento tratamiento de riesgos
Verificar
Monitorización y revisión continua de riesgos
Actuar
Mantenimiento Mantenimiento y mejora del proceso de gestión de riesgos riesgos de seguridad seguridad de la informació información n
NIST SP800-30 • La NIST SP 800-30 (Natio (National nal Insti Institute tute of Standa Standards rds and
Techn echnology ology Spec Special ial Repor Reportt 800-30 800-30)) es es una guía que permite administrar riesgos de TI (enfocado en sistemas de de información – SDLC) • Sus principales objetivos son: - Prote Proteger ger la habilida habilidadd de la orga organiza nización ción para alca alcanzar nzar su misión (no sólo los activos de TI) - Una fun funció ciónn esenc esencial ial de de admini administr strac ación ión (no (no sólo sólo administración técnica) - Pro Provee veerr lineam lineamien ientos tos para para el desa desarro rrollo llo de un prog program ramaa de administración de riesgos - Pro Provee veerr infor informac mación ión con con cont control roles es de de segur segurida idadd efectivos
NIST SP800-30 • Sus principales actividades son:
UNE 71504:2008 • UNE 71504:2008 Metodología de análisis y gestión de riesgos
para los sistemas de información Tecnología de • Desarrollada por el comité técnico AEN/CTN 71 Tecnología la información de AENOR AENOR • Se compone de 4 fases: – Método de análisis • • • • • •
Tareas preparatorias Caracterización de activos Caracterización de las amenazas Cálculo del riesgo potencial Cálculo de las salvaguardas Cálculo del riesgo residual
– Evaluación de riesgos – Tratamiento de riesgos – Administración de la gestión de riesgos
UNE 71504:2008 • UNE 71504:2008: Metodología
AS/NZS 4360:2004 • AS/NZS 4360:2004 Gestión de riesgos • Primera norma internacional publicada para la realización de
análisis de riesgos de seguridad de la información (si no se considera el informe técnico ISO TR 13335-3.98), cuyo esquema es:
MAGERIT • MAGERIT Metodología de Análisis y Gestión de Riesgos de
TI • Desarrollada por el Consejo Superior de Administración Electrónica, y publicada por el Ministerio de Administraciones Pública de España • La primera versión se publicó en 1997 y la versión vigente en la actualidad es la versión 2.0 publicada en 2006 • Se compone de tres volúmenes: olumen men I – Método: aspectos conceptuales y prácticos de la – Volu
metodología de trabajo – Volumen II - Catálogo de elementos: guía sobre elementos de metodología – Volumen III - Guía de técnicas: guías generales para análisis de riegos y proyectos de de gestión (análisis (análisis costo-beneficio) costo-beneficio)
MAGERIT • Modelo MAGERIT
Otros métodos, metodologías •
• •
•
•
Th reat, Asset and Vulnerability Vulnerability Evaluation). Ev aluation). OCTAVE: (Operationally Critical Threat, Modelo para la creación de metodologías de análisis de riesgos desarrollado por la Universidad de Carnegie Mellon. Última versión es Octave Alegro (Junio 2007) r ealizar análisis de riesgos cualitativos y algo más FAIR : método utilizado para realizar sofisticados por lo que, en ocasiones, suele complementar otras metodologías TARA: desarrollada por Intel, se centra en el seguimiento y la evaluación continua de los controles de seguridad, incluyendo documentación de cambios en los sistemas, la realización de análisis de impacto a los cambios asociados, y la premisa de informar sobre el estado de seguridad a los empleados o participantes de la organización (terceros) de una forma regular (Express ession ion des Bes Besoin oinss et Iden Identifi tificat cation ion des Obje Objecti ctifs fs de Sécu Sécurité rité): ): Ebios (Expr publicada por la Administración Pública francesa. Incorpora una herramienta herr amienta de soporte. ISO TR 13335:1997: estándar internacional (que comenzó como un reporte técnico o TR por sus siglas en inglés Technical Technical Report) y fue reemplazado en el 2008 por la norma ISO 27005:2008 dedicada exclusivamente a la gestión de riesgos de TI
Implementación de un Programa de Gestión de Riesgos de Seguridad de la Información basado en ISO 27005:2008
¿Por qué es importante? • Permite identificar las necesidades de la organización sobre los
requisitos de seguridad de la información segurid ad de la • Ayuda a crea un sistema de gestión de seguridad información (SGSI) eficaz opo rtuna, dónde y • Abordar los riesgos de manera eficaz y oportuna, cuándo sea necesario • Es parte integrante de todas las actividades de gestión de seguridad de la información, tanto para su aplicación como para su operación continua de un SGSI
Contribución a la Seguridad de la Información • Identificación de riesgos • Evaluación de los riesgos en términos de impacto y probabilidad • • • •
de ocurrencia Comunicación y entendimiento del impacto y probabilidad de los riesgos Definición de la prioridad para el tratamiento de riesgos Priorización de las acciones a tomar para reducir el riesgo Partes interesadas estén informadas sobre los riesgos y medidas de mitigación adoptadas
Sistema de Gestión de Seguridad de la Información • Un Sistema de Gestión de la Seguridad de la Información Info rmación
(SGSI) es un conjunto de procesos, pr ocesos, políticas, y procedimientos organizados de manera lógica y soportados por objetivos a nivel estratégico del negocio: – Permite organizar las medidas de seguridad de acuerdo a objetivos de
negocio y reducir los riesgos a niveles aceptables, cambiando cambiando el escenario actual donde la seguridad es un gasto y transformándola en una herramienta para viabilizar negocios más seguros y mejor gestionados. (Planear-Hacer-Revisar-Actuar) Actuar) para su – Adopta el ciclo de Deming (Planear-Hacer-Revisargestión. Base de todas las normas ISO para mejora continua.
Sistema de Gestión de Seguridad de la Información Planear Establecer el SGSI SGSI s o d a s e r e t n I
Hacer Implementar y operar el SGSI
Requerimientos y expectativas de la seguridad de la información
Conjunto de políticas, objetivos, procesos y procedimientos relevantes para administrar la Seguridad de la Información
Monitorear y revisar el SGSI
Revisar
Actuar Mantener y mejorar el SGSI
Seguridad de la información administrada
Tomado de la norma BS ISO/IEC 27001:2005
s o d a s e r e t n i
--Definir Defin -Definir Def -Revisar Rev Implan Imp inir irisar lantar elplan pla tar alcance alcanc eln SGSI S mejora me de GSI joras e del desl SGSI tratamiento --Medir Med Accio Accione ir la nes eficaci efic sde acia riesgos a de --Definir Defin los Implan Imp preventivas controles lantar ir la tarPolítica Políti plan plan - cadede de Seguridad tratamiento - Acciones Revisar Revisar ries riesgos correctivas degos riesgos --Metodo Met residuales Impleme Imp - Compro Com odolog lementa probar logía ntar ía bar rde los eficacia eficacia Evaluación controles -de Realizar Realiza las acciones r de auditorías auditorías Riesgos - internas Formaci Formación del ón ySGSI -concientización Inventario Inven - Registrar Regist tario rarde acciones accion activos activo ess y --Identificar Iden eventos Operar Opetificar rar el el amenazas amena SGSI SGSI zas y vulnerabilidades - Identificar Identificar impactos impactos - Análisis Análisis y evaluaci evaluación ón de riesgos - Selecc Selección ión de Controles y SOA
Sistema de Gestión de Seguridad de la Información Para finales del año 2013 se espera un nuevo estándar ISO 27001, el cual ha sufrido algunas modificaciones. Entre las más relevantes tenemos: 1. El enfoque enfoque PDCA no es la única única forma forma de mejo mejora ra continua continua.. 2. Seccio Secciones nes se han han estandar estandarizado izado con con otras otras normas normas reciente recientess (ISO 22301) 22301).. Entre las nuevas tenemos: Liderazgo, Planeación, Soporte y Mejora. 3. Varios requi requisitos sitos han sido sido redactad redactados os de forma más más general general para para permitir permitir libertad a las organizaciones: mejora continua, evaluación de riesgos, otros. 4. Nuevo requisito relacionado con “Comunicac “Comunicación”. ión”. 5. Camb Cambios ios con con respecto respecto a manejo manejo de docum documentos entos y registr registros: os: se elimina elimina el el término, se eliminan los otros dando más libertad a las organizaciones (excepto SOA). 6. Meno Menoss controles controles y más dominio dominioss (de 133 se pasó pasó a 114, 114, y de 11 11 dominios dominios pasó a 14 – Relación con proveedores, Equipamiento, Seguridad Lógica, Seguridad Física (se separaron), s epararon), Seguridad en Comunicaciones.
Gestión de Riesgos
Que no es Gestión de Riesgos • Las siguientes iniciativas no son gestión de riesgos pero aportan
información para el proceso de gestión de riesgos: – Ha Hack ckeo eo Ét Étic icoo – Auditoría de Seguridad – Evaluaciones de Controles
La norma ISO/IEC 27005:2008 • Gestión de Riesgos de Seguridad de la Información • Se compone de 12 cláusulas: – Alcance (1) – Normativas de referencia (2) – Términos y definiciones (3) – Estructura (4) – Antecedentes (5) – Visión del proceso de gestión de riesgos de seguridad de la información inf ormación (6) – Establecimiento del contexto (7) – Valoración de riesgos de d e seguridad de la información (8) ( 8) – Tratamiento de riesgos de seguridad de la información (9) – Aceptación de riesgos de seguridad de la información (10) – Comunicación de riesgos de seguridad de la información info rmación (11) – Monitoreo y revisión de riesgos de seguridad de la información (12)
La norma ISO/IEC 27005:2008 (cont.) • Adicionalmente cuenta con 6 anexos: – Anexo A: Definición del alcance y límites del proceso de gestión de riesgos de seguridad de – – – – –
la información Anexo B: Identificación y valoración de activos y valoración de impacto Anexo C: Ejemplos de amenazas típicas Anexo D: Vulnerabilidades Vulnerabilidades y métodos para evaluación de vulnerabilidades Anexo E: Enfoques para la valoración de riesgos de seguridad de la información Anexo F: Restricciones para la reducción del riesgo
Proceso de gestión de riesgos Cláusula 7
Cláusula 8 Cláusula 11 Cláusula 12
Cláusula 9
Cláusula 10
Proceso de gestión de riesgos Cláusula 7
Cláusula 8 Cláusula 11 Cláusula 12
Cláusula 9
Cláusula 10
Establecimiento del contexto (C.7) • Consideraciones generales (7.1) – Entrada: toda la información de la organización – Acción: El contexto para la gestión de riesgos de seguridad de la información debería ser establecida: • Criterios básicos (7.2) – Criterios de evaluación de riesgos – Criterios de impacto – Criterios de aceptación de riesgos
• Alcance y límites (7.3) • Organización de gestión de riesgos de seguridad de la información – Cargos: Responsable y Administrador Administrador del proceso de gestión de riesgos – Roles y responsabilidades – Nivel de reporte – Registros
– Salida: Criterios básicos, alcance y límites y organización para proceso
de gestión de riesgos de seguridad
Valoración de Riesgos de SI (C.8) • Análisis de Riesgos (8.2) – Identificación de Riesgos (8.2.1) • Identificación de activos (8.2.1.2) riesgo s de TI, lista de – Entrada: Alcance y límites para gestión de riesgos componentes con propietarios, ubicación, función. – Acción: Los activos deberían ser identificados dentro del alcance establecido: » Activo » Propietario » Custodio* Existen varios tipos de activos: » Software » Hardware » Documentos Electrónicos y Físicos » Personas » Procesos – Salida: Lista de activos de información con propietarios
Valoración de Riesgos de SI (C.8) • Análisis de Riesgos (8.2) – Identificación de Riesgos (8.2.1) • Identificación de amenazas (8.2.1.3) – Entrada: Información de amenazas obtenida de revisión de incidentes, propietarios de activos, usuarios y otras fuentes. Amenazas y sus fuentes deberían ser identificadas: – Acción: Amenazas – Salida: Una lista de amenazas con la identificación de tipo de amenaza y fuente • Identificación de controles existentes (8.2.1.4) implementación ción – Entrada: Documentación de controles, plan de implementa de tratamiento de riesgos. – Acción: Los controles existentes y planificados deberían ser identificadas: – Salida: Una lista de controles existentes y planificados, su estado de implementación y uso Análisis de Brecha (GAP Análisis)
Valoración de Riesgos de SI (C.8) • Análisis de Riesgos (8.2) – Identificación de Riesgos (8.2.1) • Identificación de vulnerabilidades (8.2.1.5) – Entrada: Lista de amenazas conocidas, lista de activos de información y controles existentes. – Acción: Las vulnerabilidades que pueden ser explotadas y causar daños a los activos de información de la organizac organización ión deberían ser identificadas. – Salida: Una lista de vulnerabilidades en relación a activos de información, amenazas y controles. • Identificación de consecuencias (8.2.1.6) – Entrada: Lista de activos, amenazas y vulnerabilidades. – Acción: Las consecuencias que pérdidas de confidencialidad, integridad y disponibilidad puedan causar a los activos de información deberían ser identificadas. – Salida: Una lista de consecuencias con respecto a los activos de información
Valoración de Riesgos de SI (C.8) • Análisis de Riesgos (8.2) – Identificación de Riesgos (8.2.1) 8.2.1.3
8.2.1.5
8.2.1.6
AMENAZAS
VULNERABILIDADES ACTIVOS DE INFORMACIÓN CONSECUENCIAS
Valoración de Riesgos de SI (C.8) • Análisis de Riesgos (8.2) – Estimación de Riesgos (8.2.2) • Valoración de consecuencias (8.2.2.2) – Entrada: Lista de escenarios, incluyendo amenazas, vulnerabilidades, activos afectados y consecuencias de activos. – Acción: Las afectaciones al negocio de posibles incidentes de seguridad deberían ser identificadas tomando en consideración las consecuencias tales como pérdidas de confidencialidad, integridad y disponibilidad. – Salida: Una lista de consecuencias con base en activos y criterios de impacto.
Valoración de Riesgos de SI (C.8) • Análisis de Riesgos (8.2) – Estimación de Riesgos (8.2.2) • Valoración de consecuencias (8.2.2.2) Activo S. FACT
Activo S. FACT
Innovación
Participación/Merc.
Rentabilidad
C
I
D
C
I
D
C
I
D
1,6
2,0
1,6
2,6
2,0
1,6
2,0
2,4
2,0
Confidencialidad
Integridad
Disponibilidad
IMPACTO
2,1
2,1
1,7
1,9
R = I x P/V
I >= 2
Valoración de Riesgos de SI (C.8) • Análisis de Riesgos (8.2) – Estimación de Riesgos (8.2.2) • Valoración de probabilidad de incidentes (8.2.2.3) – Entrada: Lista de escenarios de incidentes relevantes incluyendo amenazas, vulnerabilidades, activos afectados. Controles implementados implementad os y planificados, su estado y uso – Acción: Se debería evaluar los controles y su estado de implementación implementac ión para determinar el nivel de probabilidad de ocurrencia de una vulnerabilidad. Los controles a evaluar son: » Administrativo » Operativo/Gestión » Técnico – Salida: Probabilidad de ocurrencia de escenarios de incidentes.
P/V R = I x P/V
Valoración de Riesgos de SI (C.8) • Análisis de Riesgos (8.2) • Estimación de Riesgos (8.2.2)
estimación de riesgos (8.2.2.4) • Nivel de estimación consecuencias/probabilidades idades – Entrada: Impactos y consecuencias/probabil – Acción: Se debe asignar un valor a la probabilidad y consecuencias (impacto) del riesgo. – Salida: Lista de riesgos con valores asignados.
R = I x P/V
Activo: Sistema FACT Activo: Tipo:: Software Tipo
R = I x P/V
Taller
Valoración de Riesgos de SI (C.8) • Evaluación de Riesgos (8.3)**** • Entrada: Lista de riesgos con valores asignados y
criterios de evaluación de riesgos • Acción: Se debería comparar el nivel de riesgos con el criterio de evaluación para determinar su tratamiento. • Salida: Lista de riesgos priorizados de acuerdo a evaluación.
ACEPTABLE
NO ACEPT ACEPTABLE ABLE
Valoración de Riesgos de SI (C.8) • Evaluación de Riesgos (8.3)****
ACEPTABLE
NO ACEPT ACEPTABLE ABLE
P/V 3 2
1
1
2
3
Impacto
Valoración de Riesgos de SI (C.8) • Evaluación de Riesgos (8.3)****
Tratamiento de Riesgos de SI (C.9) • Descripción general de tratamiento de riesgos (9.1) – Entrada: Lista de riesgos priorizados de acuerdo a la evaluación de riesgos – Acción: Se deberían seleccionar controles para reducir, retener, retener, evitar y transferir; produciendo el plan pl an de tratamiento de riesgos. – Salida: Plan de tratamiento de riesgos y riesgos residuales.
Tratamiento de Riesgos de SI (C.9) • Descripción general de tratamiento de riesgos (9.1) Resultados Valoración Riesgos
Valoración Satisfactoria
Opciones de Tratamiento de Riesgos
Reducción
Retención
Evasión
Riesgo Residual
Valoración Satisfactoria
Transferencia
Tratamiento de Riesgos de SI (C.9) • Descripción general de tratamiento de riesgos (9.1)
Tratamiento de Riesgos de SI (C.9) • Descripción general de tratamiento de riesgos (9.1)
Aceptación de Riesgos de SI (C.10) – Entrada: Plan de tratamiento de riesgos y valoración de
riesgos residuales sujeto aceptación de la alta administración – Acción: La decisión de aceptar los riesgos y responsabilidades de la decisión debería hacerse y formalmente registrarse (Req. ISO 27001). – Salida: Lista de riesgos aceptados con la respectiva justificación para aquellos aquellos que no cumplen con el criterio de aceptación normal.
Aceptación de Riesgos de SI (C.10) P/V 3 2
1
1
2
3
Impacto
Comunicación de Riesgos de SI (C.11) Todos los riesgos ri esgos de seguridad de la información – Entrada: Todos producto de la valoración deberí a ser – Acción: La información sobre los riesgos debería intercambiada y comunicada con la Alta Administración y otros interesados. g estión de – Salida: Comprensión continua del proceso de gestión riesgos de seguridad de la información.
Revisión y Monitoreo de Riesgos de SI (C.12) • Revisión y monitoreo de factores de riesgo (12.1) • Entrada: Todos Todos los riesgos de seguridad de la
información producto de la valoración • Acción: Se debería realizar una revisión periódica para determinar si se mantiene pertinentes. • Salida: Alineación continua de la gestión de riesgos ri esgos con los objetivos de la organización y criterios de aceptación de riesgos.
Revisión y Monitoreo de Riesgos de SI (C.12) • Revisión, monitoreo y mejora de gestión de riesgos (12.2) • Entrada: Todos Todos los riesgos de seguridad de la
información producto de la valoración • Acción: El proceso de gestión de riesgos de seguridad de la información debería ser continuamente monitoreada, revisada y mejorada si se requiere. • Salida: Proceso de gestión de riesgos relevante para la organización.
Taller
Preguntas / Comentarios
