Professional Documents
Culture Documents
El ciclo PHVA es, bsicamente un concepto desarrollado hace unos 60 aos por un famoso gur consultor y
gestin de la calidad se llama William Edwards Deming. En esencia, se dice lo siguiente:
Antes de comenzar la aplicacin de cualquier cosa, usted debe saber exactamente lo que realmente
necesita, y exactamente qu es lo que quiere lograr (objetivos) - este es la fase PLANEAR.
Una vez que sepa lo que quiere lograr, se puede empezar a aplicar la seguridad de su informacin,
continuidad del negocio, los procedimientos de calidad, o lo que sea que se centra la norma ISO , sta es
la fase HACER.
Sin embargo, todo el esfuerzo no se detiene aqu, adicionalmente se desea saber si se ha logrado lo que
se ha planeado, por lo que se necesita supervisar el sistema y medir si se alcanzaron los objetivos sta
es la fase VERIFICAR.
Por ltimo, si se da cuenta que el resultado no corresponde a lo que se ha planeado, se realizan las
correcciones y modificaciones necesarias. Por otro lado, se toman las decisiones y acciones pertinentes
para mejorar continuamente el desarrollo de los procesos. sta fase corresponde al ACTUAR.
Aunque este concepto fue desarrollado para la gestin de calidad, muy pronto se dio cuenta de que se puede
aplicar a cualquier tipo de gestin, incluida la gestin de seguridad de la informacin o la gestin de la
continuidad del negocio.
Por lo tanto, hoy en da este concepto es tan dominante en la gestin que est prcticamente en todas
partes, en todos los estndares de gestin ISO, en cada marco de gestin, en toda teora. Se ha vuelto tan
importante que es imposible evitarlo.
Que es un sistema de gestin de seguridad de la informacin SGSI)?
Parte del sistema de gestin global, basada en un enfoque hacia los riesgos globales de un negocio, cuyo fin
es establecer, implementar, operar. Hacer seguimiento, revisar, mantener y mejorar la seguridad de la
informacin.
Existe una frase que se ha hecho famosa dentro del mundo de la seguridad. Eugene Spafford, profesor de ciencias
informticas en la Universidad Purdue (Indiana, EEUU) y experto en seguridad de datos, dijo que el nico sistema
seguro es aquel que est apagado y desconectado, enterrado en un refugio de cemento, rodeado por gas venenoso y
custodiado por guardianes bien pagados y muy bien armados. An as, yo no apostara mi vida por l.
Hablar de seguridad informtica en trminos absolutos es imposible y por ese motivo se habla mas bien de fiabilidad del
sistema, que, en realidad es una relajacin del primer trmino.
Definimos la Fiabilidad como la probabilidad de que un sistema se comporte tal y como se espera de l. En general, un
sistema ser seguro o fiable si podemos garantizar tres aspectos:
Confidencialidad: acceso a la informacin solo mediante autorizacin y de forma controlada.
Integridad: modificacin de la informacin solo mediante autorizacin.
Disponibilidad: la informacin del sistema debe permanecer accesible mediante autorizacin.
Existe otra propiedad de los sistemas que es la Confiabilidad, entendida como nivel de calidad del servicio que se ofrece.
Pero esta propiedad, que hace referencia a la disponibilidad, estara al mismo nivel que la seguridad. En nuestro caso
mantenemos la Disponibilidad como un aspecto de la seguridad.
Confidencialidad
En general el trmino 'confidencial' hace referencia a "Que se hace o se dice en confianza o con seguridad recproca
entre dos o ms personas." (http://buscon.rae.es)
En trminos de seguridad de la informacin, la confidencialidad hace referencia a la necesidad de ocultar o mantener
secreto sobre determinada informacin o recursos.
El objetivo de la confidencialidad es, entonces, prevenir la divulgacin no autorizada de la informacin. En general,
cualquier empresa pblica o privada y de cualquier mbito de actuacin requiere que cierta informacin no sea accedida
por diferentes motivos. Uno de los ejemplos mas tpicos es el del ejrcito de un pas. Adems, es sabido que los logros
mas importantes en materia de seguridad siempre van ligados a temas estratgicos militares.
Por otra parte, determinadas empresas a menudo desarrollan diseos que deben proteger de sus competidores. La
sostenibilidad de la empresa as como su posicionamiento en el mercado pueden depender de forma directa de la
implementacin de estos diseos y, por ese motivo, deben protegerlos mediante mecanismos de control de acceso que
aseguren la confidencialidad de esas informaciones.
Un ejemplo tpico de mecanismo que garantice la confidencialidad es la Criptografa, cuyo objetivo es cifrar o encriptar
los datos para que resulten incomprensibles a aquellos usuarios que no disponen de los permisos suficientes.
Pero, incluso en esta circunstancia, existe un dato sensible que hay que proteger y es la clave de encriptacin. Esta clave
es necesaria para que el usuario adecuado pueda descifrar la informacin recibida y en funcin del tipo de mecanismo de
encriptacin utilizado, la clave puede/debe viajar por la red, pudiendo ser capturada mediante herramientas diseadas
para ello. Si se produce esta situacin, la confidencialidad de la operacin realizada (sea bancaria, administrativa o de
cualquier tipo) queda comprometida.
Integridad
En general, el trmino 'integridad' hace referencia a una cualidad de 'ntegro' e indica "Que no carece de ninguna de sus
partes." y relativo a personas "Recta, proba, intachable.".
En trminos de seguridad de la informacin, la integridad hace referencia a la fidelidad de la informacin o recursos, y
normalmente se expresa en lo referente a prevenir el cambio impropio o desautorizado.
El objetivo de la integridad es, entonces, prevenir modificaciones no autorizadas de la informacin.
La integridad hace referencia a:
la integridad de los datos (el volumen de la informacin)
la integridad del origen (la fuente de los datos, llamada autenticacin)
Es importante hacer hincapi en la integridad del origen, ya que puede afectar a su exactitud, credibilidad y confianza
que las personas ponen en la informacin.
A menudo ocurre que al hablar de integridad de la informacin no se da en estos dos aspectos.
Por ejemplo, cuando un peridico difunde una informacin cuya fuente no es correcta, podemos decir que se mantiene la
integridad de la informacin ya que se difunde por medio impreso, pero sin embargo, al ser la fuente de esa informacin
errnea no se est manteniendo la integridad del origen, ya que la fuente no es correcta.
Disponibilidad
En general, el trmino 'disponibilidad' hace referencia a una cualidad de 'disponible' y dicho de una cosa "Que se puede
disponer libremente de ella o que est lista para usarse o utilizarse."
En trminos de seguridad de la informacin, la disponibilidad hace referencia a que la informacin del sistema debe
permanecer accesible a elementos autorizados.
El objetivo de la disponibilidad es, entonces, prevenir interrupciones no autorizadas/controladas de los recursos
informticos.
En trminos de seguridad informtica un sistema est disponible cuando su diseo e implementacin permite
deliberadamente negar el acceso a datos o servicios determinados. Es decir, un sistema es disponible si permite no
estar disponible.
Y un sistema 'no disponible' es tan malo como no tener sistema. No sirve.
Como resumen de las bases de la seguridad informtica que hemos comentado, podemos decir que la seguridad
consiste en mantener el equilibrio adecuado entre estos tres factores. No tiene sentido conseguir la confidencialidad para
un archivo si es a costa de que ni tan siquiera el usuario administrador pueda acceder a l, ya que se est negando la
disponibilidad.
Dependiendo del entorno de trabajo y sus necesidades se puede dar prioridad a un aspecto de la seguridad o a otro. En
ambientes militares suele ser siempre prioritaria la confidencialidad de la informacin frente a la disponibilidad. Aunque
alguien pueda acceder a ella o incluso pueda eliminarla no podr conocer su contenido y reponer dicha informacin ser
tan sencillo como recuperar una copia de seguridad (si las cosas se estn haciendo bien).
En ambientes bancarios es prioritaria siempre la integridad de la informacin frente a la confidencialidad o disponibilidad.
Se considera menos daino que un usuario pueda leer el saldo de otro usuario a que pueda modificarlo.
ISO / IEC 27001 se divide en 11 secciones, ms el Anexo A. 114 controles (salvaguardias) colocados
en 14 secciones (secciones A.5 a A.18).
las secciones 4 a 10 son obligatorios - lo que significa que todos sus requisitos se deben implementar
en una organizacin si quiere ser compatible con el estndar.
Controles del Anexo A slo debe implementarse si se declara como aplicable en la Declaracin de
aplicabilidad.
Seccin 0: Introduccin Explica el propsito de la norma ISO 27001 y su compatibilidad con otras normas de gestin.
Seccin 1: Objeto y campo de aplicacin
Explica que esta norma es aplicable a cualquier tipo de organizacin.
Seccin 2: Referencias normativas
Se refiere a la norma ISO / IEC 27000 como estndar en el que se dan los trminos y definiciones.
Seccin 3: Trminos y definiciones
De nuevo, se refiere a la norma ISO / IEC 27000.
Seccin 4: Contexto de la organizacin
Esta seccin es parte de la fase del planear en el ciclo PHVA y define los requisitos para la comprensin
de los problemas externos e internos, las partes interesadas y sus necesidades, y la definicin del
alcance del SGSI.
Seccin 5: Liderazgo
Esta seccin es parte de la fase del planear en el ciclo PHVA y define las responsabilidades de alta
direccin, el establecimiento de las funciones y responsabilidades, y los contenidos de la poltica de
seguridad de la informacin de nivel superior.
Se establecen las responsabilidades y compromisos de la Alta Direccin respecto al Sistema de Gestin
de Seguridad de la Informacin y entre otros aspectos, la necesidad de que la Alta Direccin establezca
una poltica de seguridad de la informacin adecuada al propsito de la organizacin, aseguren la
asignacin de los recursos para el SGSI y que las responsabilidades y roles pertinentes a la seguridad de
la informacin se asignen y comuniquen.
Seccin 6: Planificacin
Esta seccin es parte de la fase del planear en el ciclo PHVA y define los requisitos para la evaluacin, el
tratamiento del riesgo, Declaracin de aplicabilidad, el plan de tratamiento de riesgos, y el establecimiento
de los objetivos de seguridad de la informacin.
Seccin 7: Apoyo
Esta seccin es parte de la fase de planear en el ciclo PHVA y define los requisitos para la disponibilidad
de los recursos, las competencias, la sensibilizacin, la comunicacin y el control de documentos y
registros.
Seccin 8: Operacin
Esta seccin es parte de la fase Hacer en el ciclo PHVA y define la aplicacin de la evaluacin del riesgo
y el tratamiento, as como los controles y otros procesos necesarios para alcanzar los objetivos de
seguridad de la informacin.
Seccin 9: Evaluacin del desempeo
Esta seccin es parte de la fase de verificar en el ciclo PHVA y define los requisitos para el seguimiento,
medicin, anlisis, evaluacin, auditora interna y revisin por la direccin.
Seccin 10: Mejora
Esta seccin es parte de la fase de Actuar en el ciclo PHVA y define los requisitos para las no
conformidades, correcciones, acciones correctivas y de mejora continua.
Anexo A
Este anexo se ofrece un catlogo de 114 controles (salvaguardias) colocados en 14 secciones (secciones
A.5 a A.18).
A.5 Las polticas de seguridad de la informacin - controles sobre cmo las polticas estn escritas y
revisadas
A.6 Organizacin de seguridad de la informacin - los controles sobre cmo se asignan las
responsabilidades; Tambin incluye los mandos de los dispositivos mviles y el teletrabajo.
A.7 la seguridad de los recursos humanos - los controles previos al empleo, durante y despus del
empleo
A.8 La gestin de activos - controles relacionados con el inventario de los activos y de uso aceptable,
tambin para la clasificacin de la informacin y manejo de medios.
A.9 Control de acceso - controles para la poltica de control de acceso, gestin de acceso de usuario,
sistema y control de acceso a las aplicaciones y responsabilidades de los usuarios
A.10 Criptografa - controles relacionados con el cifrado y gestin de claves
A.11 fsica y la seguridad del medio ambiente - los controles que definen las reas de seguridad,
controles de entrada, proteccin contra las amenazas, la seguridad de equipos, eliminacin segura,
clara y de escritorio de poltica claro de la pantalla, etc.
A.12 Operacional de seguridad - un montn de controles relacionados con la gestin de la produccin
de TI: gestin del cambio, gestin de la capacidad, el malware, copia de seguridad, supervisin,
instalacin, vulnerabilidades, etc.
A.13 Comunicaciones de seguridad - controles relacionados con la seguridad de la red, la
segregacin, los servicios de red, la transferencia de informacin, mensajera, etc.
Sistema A.14 adquisicin, desarrollo y mantenimiento - controles que definen los requisitos de
seguridad y la seguridad en los procesos de desarrollo y de apoyo
A.15 Relaciones con los proveedores - controles sobre qu incluir en los acuerdos, y cmo supervisar
los proveedores
A.16 informacin gestin de incidentes de seguridad - controles para informar sobre los eventos y
debilidades, la definicin de responsabilidades, procedimientos de respuesta, y la recogida de pruebas
A.17 aspectos de informacin de seguridad de la gestin de la continuidad del negocio - los
controles que requieren la planificacin de la continuidad del negocio, los procedimientos, la verificacin
y revisin, y la redundancia de TI
A.18 Cumplimiento - controles que exigen la identificacin de las leyes y reglamentos aplicables,
proteccin de la propiedad intelectual, la proteccin de datos personales, y las revisiones de seguridad
de la informacin
La mejor manera de entender el Anexo A es pensar en un catlogo de 114 controles de seguridad de donde
puede elegir los que son aplicables a su empresa.
La verdad es que el Anexo A de la norma ISO 27001 no da demasiados detalles acerca de cada control. Por
lo general hay una frase para cada control, lo que le da una idea de lo que necesita para alcanzar, pero no
cmo hacerlo. Este es el propsito de la norma ISO 27002 - tiene exactamente la misma estructura que la
norma ISO 27001 Anexo A.
POR QU ES NECESARIA?
Autor:
Dejan
Kosutic
Ahora bien, por qu es necesario este documento cuando usted ya ha realizado el Informe sobe la
evaluacin de riesgos, que tambin es obligatorio y que tambin define los controles necesarios? Estos son
los motivos:
Ante todo, durante el tratamiento de riesgos usted identific los controles que deban implementarse porque
primero identific los riesgos que eran necesario disminuir. Sin embargo, en la DdA usted tambin identific
los controles necesarios por otras razones; por ejemplo, por motivos legales, por requisitos contractuales,
por otros procesos, etc.
Segundo, el Informe sobre la evaluacin de riesgos puede resultar bastante largo: algunas organizaciones
pueden identificar algunos miles de riesgos (a veces, an ms); por eso, un documento de estas
caractersticas no resulta realmente til en el uso operativo diario. En cambio, la Declaracin de
aplicabilidad es bastante breve ya que tiene 114 filas (cada una representa un control); esto permite que
pueda ser presentada ante la gerencia y que pueda ser actualizada.
Tercero, y ms importante, la DdA se debe documentar si cada control aplicable ya est implementado o
no. Una estrategia efectiva, y que la mayora de los auditores buscar, tambin es describir cmo se
implementa cada control aplicable; por ejemplo, haciendo referencia a un documento (poltica,
procedimiento, instrucciones de funcionamiento, etc.) o detallando brevemente el procedimiento vigente o
el equipo que se utiliza.
De hecho, si solicita la certificacin ISO 27001, el auditor de certificacin tomar su Declaracin de
aplicabilidad y recorrer su empresa verificando si ha implementado los controles de la forma en que lo ha
detallado en su DdA. Es el principal documento que utilizan para realizar la auditora presencial.
Muy pocas empresas se dan cuenta de que redactando una buena Declaracin de aplicabilidad pueden
disminuir la cantidad de otros documentos; por ejemplo, si desea documentar un determinado control, pero
la descripcin del procedimiento para ese control resultara demasiado breve, lo puede incluir en la DdA.
De esta forma, estara evitando redactar otro documento.
POR QU ES TIL
Basados en la experiencia, se puede afirmar que la mayora de las empresas que implementan el sistema de
gestin de seguridad de la informacin de acuerdo con la norma ISO 27001 dedican mucho ms tiempo en
redactar este documento que lo que haban previsto. El motivo es que deben pensar cmo implementarn sus
controles: Comprarn nuevos equipos? Modificarn el procedimiento? Contratarn un nuevo empleado?
Estas son decisiones bastante importantes (y, a veces, costosas), por ello no sorprende que requiera mucho
tiempo tomarlas. Lo bueno acerca de la DdA es que obliga a las organizaciones a hacer las cosas de forma
sistemtica.
Por lo tanto, no se debera tomar este documento simplemente como uno de esos documentos innecesarios
que no tienen una utilidad real. Piense que es la principal declaracin en la que usted define lo que desea
hacer con su seguridad de la informacin. Si est redactado correctamente, la DdA es un resumen perfecto
acerca de por qu se debe hacer, cmo se debe hacer y de lo que se debe hacer en seguridad de la
informacin.
Diagrama para la Clusula 6.1.3: Tratamiento de los riesgos de seguridad de la informacin. ISO/IEC 27001:2013
DOCUMENTACIN OBLIGATORIA
Qu documentos y registros son necesarios?
La siguiente lista detalla la cantidad mnima de documentos y registros requeridos por la Revisin 2013 de la
norma ISO/IEC 27001:
Documentos*
4.3
5.2, 6.2
6.1.2
Declaracin de aplicabilidad
6.1.3 d)
8.2
A.7.1.2, A.13.2.4
Inventario de activos
A.8.1.1
A.8.1.3
A.9.1.1
A.12.1.1
A.14.2.5
A.15.1.1
A.16.1.5
A.17.1.2
A.18.1.1
Registros*
7.2
9.1
9.2
9.2
9.3
10.1
A.12.4.1, A.12.4.3
*Se pueden excluir los controles del Anexo A si una organizacin determina que no existen riesgos ni otros
requisitos que podran demandar la implementacin de un control.
Esta no es, de ninguna forma, una lista definitiva de documentos y registros que se pueden utilizar durante la
implementacin de ISO 27001; la norma permite que se agregue cualquier otro documento que pueda mejorar
el nivel de seguridad de la informacin.
DOCUMENTOS NO OBLIGATORIOS DE USO FRECUENTE
Los siguientes son otros documentos que se utilizan habitualmente:
Documentos
7.5
7.5
9.2
10.1
A.6.2.1
A.6.2.1
Poltica de claves
A.8.3.2, A.11.2.7
A.11.1.5
A.11.2.9
A.12.1.2, A.14.2.4
A.12.3.1
A.17.1.1
A.17.1.3
A.17.1.3
A.17.2.1
Generalmente se trata de planes de continuidad del negocio, planes de respuesta ante incidentes, planes de
recuperacin para el sector comercial de la organizacin y planes de recuperacin ante desastres (planes de
recuperacin para infraestructura de TI). Estos procedimientos se describen con mayor detalle en la norma
ISO 22301, la principal norma internacional para continuidad del negocio.
Requisitos legales, normativos y contractuales
Este listado debe confeccionarse en la etapa ms temprana posible del proyecto porque muchos documentos
tendrn que ser desarrollados de acuerdo a estos datos. Este listado debe incluir no slo las
responsabilidades para el cumplimiento de determinados requerimientos, sino tambin los plazos.
Registros de capacitacin, habilidades, experiencia y calificaciones
Es el departamento de recursos humanos el que generalmente se encarga de llevar estos registros. Si usted
no tiene un sector de este tipo, cualquier persona que habitualmente se encargue de los registros de los
empleados debera ser quien realice este trabajo. Bsicamente, sera suficiente una carpeta en la que se
encuentren todos los documentos.
Resultados de supervisin y medicin
La forma ms sencilla de describir cmo se miden los controles es a travs de polticas y procedimientos que
definan a cada control. En general, esta descripcin puede ser realizada al final de cada documento, y cada
descripcin tiene que definir los tipos de ICD (indicadores clave de desempeo) que es necesario medir para
cada control o grupo de controles.
Una vez que se estableci este mtodo de control, usted debe realizar la medicin en funcin de dicho
mtodo. Es importante reportar los resultados de esta medicin en forma regular a las personas que estn a
cargo su evaluacin.
Programa de auditora interna
El programa de auditora interna no es ms que un plan anual para realizar las auditoras; para las empresas
ms pequeas, puede tratarse solamente de una auditora, mientras que para las organizaciones ms
grandes puede ser una serie de, por ejemplo, 20 auditoras internas. Este programa debe definir quin
realizar las auditoras, los mtodos que se utilizarn, los criterios que se aplicarn, etc.
Resultados de las auditoras internas
Un auditor interno debe generar un informe de auditora, que incluye los resultados de la auditora
(observaciones y medidas correctivas). Este informe debe ser confeccionado dentro de un par de das luego
de realizada la auditora interna. En algunos casos, el auditor interno tendr que verificar si todas las medidas
correctivas se aplicaron segn lo esperado.
Resultados de la revisin por parte de la direccin
Estos registros se presentan, normalmente, bajo la forma de actas de reunin y deben incluir todo el material
tratado durante la reunin de la direccin, como tambin todas las decisiones que se tomaron. Estas actas
pueden ser en papel o en formato digital.
Resultados de acciones correctivas
Generalmente, estos son incluidos en los formularios para medidas correctivas (FMC). Sin embargo, es
mucho mejor agregar estos registros en alguna aplicacin que ya est en uso en la organizacin; por ejemplo,
la Mesa de ayuda, porque las medidas correctivas no son ms que listas de actividades a realizar con
responsabilidades, tareas y plazos bien definidos.
Registros sobre actividades de los usuarios, excepciones y eventos de seguridad
Habitualmente se llevan de dos formas: (1) en formato digital, generados en forma automtica o
semiautomtica como registros de diversas TI y de otros sistemas, y (2) en papel, donde cada registro se
hace manualmente.
Procedimiento para control de documentos
En general, este es un procedimiento independiente, de 2 o 3 pginas de extensin. Si usted ya implement
alguna otra norma como ISO 9001, ISO 14001, ISO 22301 o similar, puede
utilizar el mismo procedimiento para todos estos sistemas de gestin. A veces es mejor redactar este
procedimiento como el primer documento de un proyecto.
Controles para gestin de registros
La forma ms sencilla es redactar el control de registros en cada poltica o procedimiento (u otro documento)
que requiera la generacin de un registro. Estos controles, normalmente son incluidos hacia el final de cada
documento y se confeccionan bajo el formato de una tabla que detalla dnde se archiva el registro, quin tiene
acceso, cmo se protege, por cunto tiempo se archiva, etc.
Procedimiento para auditora interna
Habitualmente este es un procedimiento independiente que puede tener entre 2 y 3 pginas y que tiene que
ser redactado antes que comience la auditora interna. En cuanto al procedimiento para control de
documentos, un procedimiento para auditora interna puede ser utilizado para cualquier sistema de gestin.
Procedimiento para medidas correctivas
Este procedimiento no debera exceder las 2 o 3 pginas y puede ser confeccionado al final del proyecto de
implementacin, aunque es mejor hacerlo antes para que los empleados puedan familiarizarse con l.
LA LGICA BSICA DE LA NORMA ISO 27001: CMO FUNCIONA LA SEGURIDAD DE LA
INFORMACIN?
Autor: Dejan Kosutic
Al hablar con alguien nuevo de la norma ISO 27001 , muy a menudo me encuentro con el mismo problema:
esta persona cree que la norma describir en detalle todo lo que tiene que hacer - por ejemplo, la frecuencia
con la que se necesita para realizar la copia de seguridad, a qu distancia de su sitio de recuperacin de
desastres debe ser, o lo que es peor, que tipo de tecnologa que deben utilizar para la proteccin de red o
cmo tienen que configurar el router.
Aqu est la mala noticia: la ISO 27001 no prescribe estas cosas; funciona de una manera completamente
diferente. Este es el por qu
encontrara la copia de seguridad una vez al da con demasiada frecuencia - su tasa de cambio es an muy
lento, por lo que realizar copia de seguridad tan a menudo pueden ser excesivos.
El punto es - si esta norma es para adaptarse a cualquier tipo de una empresa, entonces este enfoque
prescriptivo no es posible. Por lo tanto, es simplemente imposible no slo para definir la frecuencia de copia
de seguridad, sino tambin la tecnologa a utilizar, cmo configurar cada dispositivo, etc.
Por cierto, esta percepcin de que la ISO 27001 prescribir todo es el mayor generador de mitos sobre la
norma ISO 27001.
Evitar el riesgo al detener una actividad que es demasiado arriesgado, o por hacerlo de una manera
completamente diferente.
Aceptar el riesgo - si, por ejemplo, el costo para mitigar ese riesgo sera mayor que el dao en s.
Esto es donde tiene que ser creativo - cmo disminuir los riesgos con una inversin mnima. Sera el
ms fcil si su presupuesto es ilimitado, pero eso nunca va a suceder. Y debo decirle que,
lamentablemente, su gestin es correcto - es posible lograr el mismo resultado con menos dinero slo tiene que encontrar la manera.