Docsity
Docsity

Prepara tus exámenes
Prepara tus exámenes

Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity


Consigue puntos base para descargar
Consigue puntos base para descargar

Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium


Orientación Universidad
Orientación Universidad


Tesis Derecho INTERNACIONAL, Tesis de Derecho Internacional

TESIS DERECHO INTERNACIONAL PARA ESTUDIANTES DE 5TO AÑO

Tipo: Tesis

2021/2022

Subido el 01/05/2023

JhairRiveraBaldeon235
JhairRiveraBaldeon235 🇵🇪

1 documento

1 / 203

Toggle sidebar

Esta página no es visible en la vista previa

¡No te pierdas las partes importantes!

bg1
Diseño de un modelo de gestión de incidentes de seguridad
informática basado en las buenas prácticas y directrices
de la ISO/IEC 27035 para un organismo del estado peruano
Item Type info:eu-repo/semantics/bachelorThesis
Authors Felices Gomez, Sandi Madeleine
Publisher Universidad Peruana de Ciencias Aplicadas (UPC)
Rights info:eu-repo/semantics/openAccess; Attribution-
NonCommercial-ShareAlike 4.0 International
Download date 30/04/2023 03:25:24
Item License http://creativecommons.org/licenses/by-nc-sa/4.0/
Link to Item http://hdl.handle.net/10757/660192
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18
pf19
pf1a
pf1b
pf1c
pf1d
pf1e
pf1f
pf20
pf21
pf22
pf23
pf24
pf25
pf26
pf27
pf28
pf29
pf2a
pf2b
pf2c
pf2d
pf2e
pf2f
pf30
pf31
pf32
pf33
pf34
pf35
pf36
pf37
pf38
pf39
pf3a
pf3b
pf3c
pf3d
pf3e
pf3f
pf40
pf41
pf42
pf43
pf44
pf45
pf46
pf47
pf48
pf49
pf4a
pf4b
pf4c
pf4d
pf4e
pf4f
pf50
pf51
pf52
pf53
pf54
pf55
pf56
pf57
pf58
pf59
pf5a
pf5b
pf5c
pf5d
pf5e
pf5f
pf60
pf61
pf62
pf63
pf64

Vista previa parcial del texto

¡Descarga Tesis Derecho INTERNACIONAL y más Tesis en PDF de Derecho Internacional solo en Docsity!

Diseño de un modelo de gestión de incidentes de seguridad

informática basado en las buenas prácticas y directrices

de la ISO/IEC 27035 para un organismo del estado peruano

Item Type info:eu-repo/semantics/bachelorThesis

Authors Felices Gomez, Sandi Madeleine

Publisher Universidad Peruana de Ciencias Aplicadas (UPC)

Rights info:eu-repo/semantics/openAccess; Attribution- NonCommercial-ShareAlike 4.0 International

Download date 30/04/2023 03:25:

Item License http://creativecommons.org/licenses/by-nc-sa/4.0/

Link to Item http://hdl.handle.net/10757/

UNIVERSIDAD PERUANA DE CIENCIAS APLICADAS

FACULTAD DE INGENIERIA

PROGRAMA ACADÉMICO DE INGENIERÍA DE REDES Y

COMUNICACIONES

Diseño de un modelo de gestión de incidentes de seguridad informática

basado en las buenas prácticas y directrices de la ISO/IEC 27035 para un

organismo del estado peruano

TESIS

Para optar el título profesional de Ingeniero de Redes y Comunicaciones

AUTOR

Felices Gomez, Sandi Madeleine ( 0000 - 0001 - 5594 - 6774 )

ASESOR

Flores Solís, Fernando Rolyn ( 0000 - 0002 - 6105 - 3371 )

Lima, 5 de marzo 2022

II

AGRADECIMIENTOS

A mi querida mamá Natalia Gomez Alarcón, por estar acompañándome todo este tiempo

con sus alientos de motivación, y sobre todo comprensión a lo largo de mi vida académica.

A mis compañeras Ana, Karol, Elba, Flor y Cindy por haber compartido conmigo todo este

periodo de permanencia lejos de casa en el GT, cumpliendo la misión de hacer frente a esta

pandemia, que, con sus ocurrencias, consejos y apoyo, hicieron que este proyecto se vuelva

parte de la rutina y estuvieron conmigo brindándome apoyo moral a continuar y no decaer

con el cansancio.

A mi asesor Fernando Flores, por su tiempo y dedicación, que estuvo guiándome en cada

asesoría.

III

RESUMEN

En el presente proyecto se ha diseñado un modelo de gestión de incidentes de seguridad

informática para un organismo del estado peruano en base a la norma ISO/IEC 27035 y otros

lineamientos o estándares internacionales con el fin de detectar, evaluar, tratar y responder

adecuadamente los incidentes que puedan presentar los sistemas y componentes

tecnológicos, ya que se encuentran expuestos a amenazas y vulnerabilidades. El proyecto

cuenta con cinco capítulos, en la primera parte se definen los aspectos introductorios que nos

acerca a la realidad de la organización, la problemática, el problema a resolver, y el objetivo

general que busca este proyecto que es “Diseñar un modelo de Gestión de incidentes de

Seguridad Informática basado en las buenas prácticas y directrices de la ISO/IEC 27035 para

un organismo del estado peruano, que permita determinar las acciones requeridas para el

tratamiento efectivo de los incidentes a los que se encuentran expuestos”. En el segundo

capítulo se define el marco teórico en el que se analiza la norma ISO/IEC 2 7 035 en

profundidad, con el fin de conocer los conceptos necesarios para comprender el modelo de

gestión de incidentes de seguridad informática propuesto En el capítulo 3, se analiza el

problema que presenta la organización, para conocer la situación actual de esta, se desarrolla

un análisis de brechas que determinara el cumplimiento actual de los controles de gestión de

incidentes de seguridad informática en la organización, del mismo modo se realiza un

análisis de riesgo con el fin de determinar las posibles amenazas que pueden materializarse.

En el capítulo 4, se desarrolla el modelo de gestión de incidentes de seguridad informática

alineado a la ISO/IEC 27035, el cual consta de cinco fases: planeamiento y preparación,

detección y reporte, evaluación, respuestas y lecciones aprendidas; para el cumplimiento de

estas se establecen actividades y tareas por cada fase. En el capítulo 5, se realiza las pruebas

correspondientes a cada objetivo específico y, por último, se brinda conclusiones y

recomendaciones del presente proyecto.

Palabras clave : Gestión de incidentes, amenazas, incidentes de seguridad informática,

ISO/IEC 27035

V

VIII

  • 1 CAPITULO TABLA DE CONTENIDOS
    • 1.1 INTRODUCCIÓN
    • 1.2 ORGANIZACIÓN OBJETIVO
      • 1.2.1 Campo de Acción
    • 1.3 IDENTIFICACIÓN DEL PROBLEMA
      • 1.3.1 Situación Problemática
      • 1.3.2 Problema a Resolver
    • 1.4 OBJETIVO GENERAL Y OBJETIVOS ESPECÍFICOS
      • 1.4.1 Objetivo General
      • 1.4.2 Objetivos Específicos
      • 1.4.3 Indicadores de Logro de los Objetivos
    • 1.5 JUSTIFICACIÓN
    • 1.6 ESTADO DEL ARTE................................................................................................
      • 1.6.1 Antecedentes................................................................................................
      • 1.6.2 Normas y Modelos de referencia para la Gestión de Incidentes
      • 1.6.3 ITIL..............................................................................................................
      • 1.6.4 COBIT
      • 1.6.5 NIST SP.800-61 Rev.
      • 1.6.6 ISO/IEC 27035 Gestión de incidentes de seguridad de la información
      • 1.6.7 Equipo de Respuesta a Incidentes de Seguridad Informática
      • 1.6.8 Equipo de Respuesta a Incidentes a nivel mundial......................................
      • 1.6.9 Software de gestión de incidentes de seguridad informática
      • 1.6.10 Conclusiones del Estado del Arte
  • 2 CAPITULO 2: MARCO TEORICO
    • 2.1 NORMA ISO/IEC
      • 2.1.1 Estructura de la norma ISO/IEC
      • 2.1.2 Alcance y propósito de la norma ISO/IEC
      • 2.1.3 Conceptos y principios básicos de la norma ISO/IEC
    • 2.2 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA
      • 2.2.1 Objetivos de la gestión de incidentes
      • 2.2.2 Fases de la gestión de incidentes VI
      • 2.2.3 Clasificación de incidentes de seguridad
      • 2.2.4 Categorización de incidentes de seguridad informática
      • 2.2.5 Equipo de Respuesta a Incidentes de Seguridad Informática (IRT)
    • 2.3 NORMA ISO/IEC 27005:2018
      • 2.3. 1 Proceso de gestión de riesgos de seguridad de la información....................
      • 2.3.2 Evaluación de riesgos de seguridad de la información................................
      • 2.3.3 Metodología de análisis de riesgo
  • 3 CAPÍTULO 3: ANALISIS DEL PROBLEMA
    • 3.1 DEFINICIÓN DEL PROBLEMA
    • 3.2 CAUSAS DEL PROBLEMA
    • 3.3 IMPACTOS DEL PROBLEMA
      • 3.3.1 Impacto Tecnológico
      • 3.3.2 Impacto de imagen
      • 3.3.3 Impacto Funcional
    • 3.4 ANÁLISIS DEL ESTADO INICIAL DEL PROCESO DE GESTIÓN DE INCIDENTES............
      • 3.4.1 Análisis de brechas
      • 3.4.2 Análisis de riesgos
    • 3.5 IDENTIFICACIÓN DE LOS INTERESADOS
    • 3.6 REQUERIMIENTOS DEL PROYECTO
      1. 7 ESTRUCTURA DE DESGLOSE DE TRABAJO - EDT
  • 4 CAPÍTULO 4: DISEÑO DE LA SOLUCION
    • 4.1 DESARROLLO DEL MODELO DE GESTIÓN DE INCIDENTES DE SEGURIDAD
      • 4.1.1 Fase 1: Planificación y preparación
      • 4.1.2 Fase 2: Detección y reporte
      • 4.1.3 Fase 3: Evaluación y Decisión
      • 4.1.4 Fase 4: Respuestas
      • 4.1.5 Fase 5: Lecciones Aprendidas
  • 5 CAPÍTULO 5: RESULTADOS Y VALIDACIÓN DE LA PROPUESTA
    • 5.1 ANÁLISIS DE LOS OBJETIVOS ESPECÍFICOS Y MÉTRICAS ASOCIADAS....................
      • 5.1.1 Objetivo específico
      • 5.1.2 Objetivo específico VII
      • 5.1.3 Objetivo específico
      • 5.1.4 Objetivo específico
      • 5.1.5 Objetivo específico
  • 6 CONCLUSIONES Y RECOMENDACIONES
    • 6.1 CONCLUSIONES
    • 6.2 RECOMENDACIONES
  • 7 REFERENCIAS
  • 8 ANEXOS
  • Tabla 1: Indicadores de Logro ÍNDICE DE TABLAS
  • Tabla 2:Fases de los Estándares de Gestión de Incidentes
  • Tabla 3:Prácticas y Actividades del Proceso DSS02 de COBIT
  • Tabla 4: Lista de servicios de los CSIRT
  • Tabla 5: Factores de clasificación de incidentes de seguridad
  • Tabla 6: Gravedad según clase de incidentes de seguridad
  • Tabla 7:Ejemplos de categorías de incidentes según gravedad
  • Tabla 8: Categorización de incidentes de seguridad informática
  • Tabla 9:Valoracion de los activos en base a los pilares de la información
  • Tabla 10: Valoración de la probabilidad de la amenaza
  • Tabla 11:Valorización de impacto de la amenaza
  • Tabla 12: Escala de riesgo
  • Tabla 13: Niveles de Impacto Funcional
  • Tabla 14:Controles de Gestión de Incidentes de Seguridad de la Información...................
  • Tabla 15:Controles de Seguridad ISO/IEC 27001 alineados a la ISO/IEC
  • Tabla 16:Análisis de Brecha
  • Tabla 17:Resultados de cumplimiento de controles
  • Tabla 18: Identificación de activos de información
  • Tabla 19: Valoración de los activos según su criticidad e impacto
  • Tabla 20: Principales amenazas y vulnerabilidades de los activos de información
  • Tabla 21: Estimación del riesgo - Probabilidad por el Impacto de la amenaza...................
  • Tabla 22:Registro de Interesados
  • Tabla 23:Requerimientos alineados a los objetivos específicos
  • Tabla 24:Fases de la gestión de incidentes de seguridad informática
  • Tabla 25:Funciones del IRT
  • Tabla 26:Actividades de la fase de Detección y reporte
  • Tabla 27:Detección de alertas en los sistemas de monitoreo
  • Tabla 28:Detección de registros
  • Tabla 29: Notificación del personal...................................................................................
  • Tabla 30:Recolección de la información /evidencia..........................................................
  • Tabla 31:Actividades de Fase de Evaluación y Decisión
  • Tabla 32:Categorización de incidentes de seguridad informática IX
  • Tabla 33:Escala para determinar el grado de impacto de los incidentes
  • Tabla 34: Impacto según cada tipo de incidente................................................................
  • Tabla 35:Escala para establecer el grado de urgencia de los incidentes de seguridad
  • Tabla 36: Nivel de prioridades
  • Tabla 37: Actividades para la Fase Respuestas
  • Tabla 38: Niveles de Criticidad
  • Tabla 39:Acciones según tipo de incidentes......................................................................
  • Tabla 40:Actividades de la fase de lecciones aprendidas
  • Tabla 41: Resultado de la encuesta virtual
  • Tabla 42: Nivel de madurez vs Situación porcentual
  • Tabla 43:Resultados de la encuesta de brechas
  • Tabla 44: Estimación del riesgo
  • Tabla 45: Nivel de Riesgo
  • Tabla 46: Categoría de incidentes vs Tipos de incidentes
  • Tabla 47: Clasificación del incidente
  • Tabla 48: Escala de calificación
  • Tabla 49: Puntuación de funcionalidad.
  • Tabla 50:Análisis comparativo de Gestión de Incidentes de Seguridad informática
  • Tabla 51: Resultados de comparación de herramientas.....................................................
  • Figura 1: Organigrama de la organización objetivo ÍNDICE DE FIGURAS
  • Figura 2:Organizacion del Departamento de Seguridad de Redes
  • Figura 3: Proceso de gestión de incidentes actual en el organismo
  • Figura 4:Ciberataques en los últimos 24 meses Latam – Peru
  • Figura 5:Gestión de ciber incidentes
  • Figura 6:Mapa de calor de la contribución de la gestión de incidentes
  • Figura 7: Modelo Core de COBIT.......................................................................................
  • Figura 8: Ciclo de Vida de Respuesta de Incidentes
  • Figura 9: Fases ISO/IEC
  • Figura 10: Tipos de Equipos de Respuestas a Incidentes de Seguridad
  • Figura 11: Equipos CSIRT en América...............................................................................
  • Figura 12: Logo Software LogicManager
  • Figura 13: Logo Software NovaSec
  • Figura 14: Logo Software "LUCIA"
  • Figura 15: Evolución de la norma ISO/IEC
  • Figura 16: Relación de objetos de un incidente de seguridad de la información
  • Figura 17:Riesgos e incidentes de seguridad de la información
  • Incidentes de Seguridad Informatica Figura 18:Diagrama de Flujo de eventos e incidente a través de las fases de gestión de
  • Figura 19: Fases del Modelo de Gestión de Incidentes de Seguridad Informática
  • Figura 20: Tipos de Equipo de Respuesta a Incidentes de seguridad informática- IRT
  • Figura 21: Proceso de gestión de riesgos en la seguridad de la información
  • Figura 22: Metodología para el análisis de riesgo
  • Figura 23: Inventario de activos de información
  • Figura 24:Representacion de los riesgos en el mapa de calor
  • Figura 25:Nivel de cumplimiento de los controles
  • Figura 26:Matriz Poder/Interés............................................................................................
  • Figura 27: Fases de la Gestión de Incidentes
  • Figura 28: Proceso de Gestión de incidentes de seguridad ISO/IEC
  • Figura 29:Organización del IRT
  • Figura 30:Flujograma de la Fase de Detección y Reporte...................................................
  • Figura 31: Base de conocimiento de eventos, vulnerabilidades e incidentes XI
  • Figura 32: Medios de detección para el reporte de incidentes
  • Figura 33: Niveles de escalado
  • Figura 34:Flujograma de la Fase de Evaluación y Decisión
  • Figura 35: Flujograma de la Fase Respuestas
  • Figura 36:Flujograma de la Fase Lecciones Aprendidas...................................................
  • Figura 37:Flujo para la evaluación y validación de la propuesta
  • Figura 38: Nivel de Madurez
  • Figura 39: Diagrama radial porcentual de los controles de gestión de incidentes
  • Figura 40: Matriz de Riesgo
  • Figura 41: Resultados Encuesta Tipos de Incidentes
  • Figura 42:Detección del Incidente por medio del monitoreo continuo
  • Figura 43:Verificación de la URL detectada
  • Figura 44:Verificación de la Reputación de la IP detectada
  • Figura 45:Análisis del encabezado del correo malicioso
  • Figura 46: Correo electrónico de informe
  • Figura 47:Archivo PST a analizar
  • Figura 48:Contenido del Archivo PST
  • Figura 49:Archivo HASH..................................................................................................
  • Figura 50:Ubicación IP Origen..........................................................................................
  • Figura 51: Boletín de Alerta Integrada de Seguridad Digital
  • Figura 52: Resultados de calificación al modelo propuesto
  • Figura 53:Funcionamiento software GRC NovaSec MS
  • Figura 54:Reporte de incidentes software GRC NovaSec MS
  • Figura 55:Eventos por tipos...............................................................................................

1 CAPITULO 1

1.1 Introducción

Hoy en día bajo el avance tecnológico y la dependencia de esta se ha agravado la amenaza

para la seguridad informática, ya que todas las empresas y organizaciones grandes o

pequeñas son vulnerables a una variedad de ataques como por ejemplo el cifrado de datos,

el bloqueo de accesos, el robo de información, eliminación de datos, sobrecarga de los

sistemas que poseen e incluso la suplantación de identidad. Puesto que, las actividades

maliciosas se dan día a día y los delincuentes informáticos suelen ser oportunistas que

arremeten sin importar el tamaño, tipo y rubro de la organización provocando la paralización

o cierre de negocio y esta a su vez origina pérdidas económicas.

De acuerdo con la norma ISO/IEC 27035-1(2016), “Un incidente de seguridad de la

información es indicado por un evento o una serie de eventos indeseados o inesperados de

seguridad de la información que tienen una probabilidad significativa de comprometer las

operaciones de negocio y de amenazar la seguridad de la información” (p.2). Es por ello por

lo que se requiere la concientización y preparación a los miembros de la organización

conozcan y apliquen un procedimiento adecuado y eficaz para actuar y hacer frente a estas

situaciones, siendo así que la gestión de incidentes llega a ser un control más para la

seguridad de la información, porque entra en acción cuando los controles preventivos son

ineficaces o simplemente no existen. De este modo, la gestión de incidentes de seguridad es

una tarea muy importante que busca minimizar el impacto de manera rápida y eficaz ante

cualquier amenaza que pueda vulnerar los componentes tecnológicos de cualquier

organización.

Según lo anterior, el presente proyecto se enfoca en el diseño de un modelo de gestión de

incidentes que permita manejar adecuadamente los incidentes de seguridad informática que

ocurren en el día a día en un organismo del estado peruano; debido a los diferentes sistemas

de información que administra son expuestos ante amenazas que permiten la explotación de

las vulnerabilidades (debilidades) de los sistemas, servicios que ofrecen, originando así la

ocurrencia de eventos que posteriormente se clasifican como incidentes de seguridad de la

información.

 Adecuar e implementar normas, métodos y procedimientos técnicos a usarse en los sistemas y componentes tecnológicos en la institución para controlar su cumplimiento.

 Asegurar el adecuado mantenimiento de los sistemas y servicios de tecnologías de información de la institución estatal.

 Desarrollar los procesos de planeamiento, programación y presupuesto de subprogramas establecidos.

Figura 1 : Organigrama de la organización objetivo

Fuente: Elaboración propia

1.2.1 Campo de Acción

El campo de acción de la organización objetivo será el Departamento de Administración y

Seguridad de Redes de la organización, este departamento se divide en las áreas de

Arquitectura y Seguridad de Redes, Conectividad de Redes y Administración de redes.

Específicamente beneficiaremos con este proyecto al área de Arquitectura y seguridad de

redes, área encargada de monitorear y analizar las actividades de los sistemas informáticos

que posee la institución como: servidores, aplicaciones, páginas web, equipos de seguridad,

entre otros; con el fin de detectar cualquier tipo de actividad sospechosa que pueda producir

un incidente de ciberseguridad. Otra de sus funciones es planificar y recomendar cambios

de la infraestructura tecnológica de seguridad informática y una estructura lógica de la red

institucional, así como la arquitectura de seguridad apropiada para salvaguardar la

información institucional.

Figura 2 :Organizacion del Departamento de Seguridad de Redes

Fuente: Elaboración propia

1.3 Identificación del Problema

1.3.1 Situación Problemática

Actualmente el ente técnico de la institución estatal administra un parque informático de más

de 5000 equipos, donde además se encuentran los sistemas, aplicaciones, equipos de

comunicaciones y equipos de seguridad, los cuales funcionan las 24 horas del día, los 7 días

de la semana; debido a que este organismo se encarga de proveer servicios de tecnologías de

información a todas las sucursales.

Durante la administración de estos equipos de TI en el transcurso de los últimos años se han

presentado diversos eventos e incidentes de seguridad informática, que incurren en graves

consecuencias para la organización como el desprestigio, robo de información, manipulación

de datos sensibles, entre otros; por ejemplo:

 Ataques de denegación de servicios provenientes de países como EE. UU, China y Rusia, que saturan la capacidad de los principales servicios online que ofrece la institución a la comunidad como son las páginas web de administración del personal, páginas web de admisión a los centros de educación y las páginas web del servicio

El proceso de gestión y análisis de estos incidentes no se encuentran definidos, pues el

personal que es designado para llevar el tratamiento correspondiente del incidente no cuenta

con el mismo nivel de conocimiento y experiencia, ocasionando que se realicen diferentes

procedimientos produciendo errores en el tratamiento del incidente.

No se realiza una correcta clasificación de la severidad de los incidentes, lo cual no permite

tener una valoración cuantitativa de la gravedad de las situaciones en que se presentan, que

originan impacto en los usuarios y sus labores (Perdidas de horas hombre).

Realidad Nacional:

De acuerdo con un estudio realizado por Deloitte en el año 2019 "Ciber Riesgos y Seguridad

de la Información en América Latina y el Caribe", señala que el 32% de organizaciones

peruanas tuvieron ciberataques en los últimos 24 meses. En el mismo periodo, un 22% de

entidades experimento de tres a más ciberataques y un 23 % manifestó desconocer la

cantidad de ciberataques sufridos en sus organizaciones.

Figura 4 :Ciberataques en los últimos 24 meses Latam – Peru 201 9 Fuente: Deloitte - Ciber Riesgos y Seguridad de la Información en América Latina

Con respecto a la gestión de ciberincidentes solo el 25% posee un correcto análisis para la

identificación de causas raíz de los incidentes y deficiencias de control; mientras que las

actividades forenses post-incidente se efectúan solo un 7% en los organismos.

El estudio concluye que contar con metodologías y proceso robusto, documentado y probado

para gestionar eventos, incidentes y vulnerabilidades de seguridad informática es todavía un

gran desafío para las organizaciones peruanas.

Por lo cual, se considera necesario que la alta dirección y el personal de TI de estas entidades

en conjunto, se preparen y tomen medidas preventivas de ciberseguridad, que permitan

contrarrestar la ocurrencia de eventualidades, incidentes o ciberataques.

Figura 5 :Gestión de ciber incidentes 2019

Fuente: Deloitte - Ciber Riesgos y Seguridad de la Información en América Latina

1.3.2 Problema a Resolver

Ausencia de mecanismos y procedimientos apropiados para el análisis y tratamiento de

incidentes de seguridad informática que afectan a los equipos y sistemas tecnológicos de un

organismo del estado peruano.

1.4 Objetivo General y Objetivos Específicos

1.4.1 Objetivo General

Diseñar un modelo de Gestión de incidentes de Seguridad Informática basado en las buenas

prácticas y directrices de la ISO/IEC 27035 para un organismo del estado peruano, que

permita determinar las acciones requeridas para el tratamiento efectivo de los incidentes a

los que se encuentran expuestos.