Gestión y administración de la ciberseguridad - ciber uc3m

La acreditación que permite a una entidad actuar como laboratorio de evaluación de la seguridad de productos y sistemas: Requiere en primer lugar la declaración de conformidad del laboratorio por parte del organismo de certificación del CCN y posterior acreditación de su competencia técnica por parte de la ENAC. Debe Incluir su alcance que determina, entre otros aspectos, qué productos puede evaluar el laboratorio. El alcance de la acreditación está determinado por la ENAC.

La Organización Internacional para la Normalización, ISO y la Comisión Electrotécnica Internacional, IEC. Actúan conjuntamente en la normalización de las Tecnologías de la Información, mediante el Joint Technical Committe 1, JTC1. Ambos organismos aprueban las normas mediante el voto ponderado de sus miembros. Son organismos dependientes de la Organización de las Naciones Unidas.

La fase “Actuar” (“Act”) del ciclo de Deming, PDCA, supone. Corregir las desviaciones de los resultados esperados del SGSI. Implementar los planes diseñados en la fase de planificación. Evaluar los resultados de los planes y comparar con los esperados.

La apreciación del riesgo comprende los tres conceptos siguientes: La identificación del riesgo, el análisis del mismo y su evaluación. La identificación del riesgo, la estimación de su nivel y su análisis. El análisis del riesgo, la evaluación del mismo y su tratamiento.

Entre los dominios de seguridad previstos en la UNE EN-ISO/IEC 27001 se encuentran: La conformidad (cumplimiento), la política de seguridad y el liderazgo de la dirección. La adquisición, el diseño, desarrollo, implantación, mantenimiento y supervisión de sistemas. La continuidad del negocio y la relación con los proveedores.

El análisis de riesgos: Debe estar incluido en la política de seguridad. Es un paso previo a la implantación de la norma UNE EN-ISO/IEC 27001. Debe ser aprobado por la alta dirección.

La implantación de un Sistema de gestión de la seguridad de la información: Permite satisfacer los requisitos de seguridad de las partes interesadas. Conlleva seguir obligatoriamente el ciclo de Deming. Habilita para obtener automáticamente un certificado que demuestre ante un tercero la existencia de políticas, procedimientos, guías, recursos, etc. para la seguridad de la información.

Según la norma UNE-ISO/IEC 27001:2017, la política de seguridad debe: Ser conocida exclusivamente por los responsables de la organización. Incluir un compromiso de cumplimiento y de mejora continua. Revisarse bienalmente.

El Centro Criptológico Nacional concede certificaciones. De cumplimiento de la norma UNE EN-ISO/IEC 27001. Funcionales. A través de su Departamento de Ciberseguridad.

La norma ISO 15408 (Common Criteria): Establece que la Declaración de seguridad de un producto es una manifestación de sus prestaciones de seguridad. Mide las funciones y mecanismos de seguridad implementados en el producto a evaluar. Usa para la evaluación de un producto la denominada metodología Lince.

Según el Reglamento eIDAS: Los Organismos de Supervisión son nombrados por los Estados miembros de la Unión Europea. La firma electrónica cualificada es una firma electrónica avanzada avalada por un certificado cualificado. Los Prestadores de servicios de confianza deben ser cualificados por un organismo de supervisión.

El Documento nacional de identidad (marque la respuesta INCORRECTA): Permite realizar la firma electrónica avanzada, pero no la cualificada. Incorpora dos certificados reconocidos, de autenticación y de firma, y un certificado electrónico de la Autoridad emisora. Su chip es un dispositivo cualificado de creación de firma.

Para ser auditor informático. Existen Normas internacionales que son de carácter obligatorio para ejercer la profesión. Según la materia sobre la que realizar la auditoría, hay que superar exámenes específicos para así acreditar la competencia y los conocimientos. Cualquier persona -con la competencia técnica que se requiera en cada caso- puede ejercer como auditor informático.

La auditoría del ENS (Esquema Nacional de Seguridad): Es de carácter obligatorio, según la categoría del sistema. Ha de ser objeto de una auditoría de forma regular, al menos 1 vez al año. Solo se deberá realizar cuando haya cambios significativos o a criterio del responsable del servicio.

En el marco del RGPD (Reglamento General de Protección de Datos) y en relación con la auditoría: Se realizará obligatoriamente de forma regular para demostrar la conformidad. Lo que es obligatorio es que se pueda demostrar que se han tomado las medidas oportunas de manera eficaz. La auditoría es obligatoria para los niveles medio y alto.

Respecto de las infraestructuras estratégicas y críticas: Las infraestructuras estratégicas son aquellas sobre las que descansa el funcionamiento de los diez sectores estratégicos. El CCN-CERT se responsabiliza, entre otros, de los incidentes de seguridad de los operadores de infraestructuras estratégicas. El INCIBE-CERT está operado por el INCIBE, pero su competencia se extiende a los incidentes de seguridad de los operadores de infraestructuras críticas.

La Estrategia de Seguridad Nacional considera: Cuatro espacios comunes globales: el marítimo; el aéreo; el espacial y el ciberespacio. Como amenazas: a las campañas de desinformación; las vulnerabilidades del ciberespacio y las amenazas a las infraestructuras estratégicas. Como características del ciberespacio, entre otras: la carencia de fronteras, la ausencia de soberanía y la débil regulación.

Los siguientes organismos juegan un importante papel en la ciberseguridad: El Departamento de Seguridad Nacional dependiente del Consejo Nacional de Ciberseguridad. El CCN-CERT, que es parte del CNI el cual depende del Ministerio de la Presidencia. La Oficina de Coordinación de Ciberseguridad, dependiente de la Secretaría de Estado de Seguridad (SES) del Ministerio del Interior.

El Comité de UNE 320, de ciberseguridad y protección de datos: Se estructura en cuatro subcomités. Se creó al establecerse el CEN/CENELEC JTC 13, Cybersecurity and Data Protection. Se creó al establecerse el ISO/IEC JTC 1, Joint technical comitee 1. Information technology.

Respecto de las normas internacionales y europeas: Las normas de ISO deben ser adoptadas como normas propias por los países pertenecientes a dicho organismo. Las normas de CEN, Comité Europeo de Normalización, deben ser adoptadas como normas propias por los países pertenecientes a dicho organismo. Las recomendaciones de la UIT, Unión Internacional de las Telecomunicaciones, deben ser adoptadas como normas propias por ISO.

De las siguientes respuestas, señale la correcta: La actividad normalizadora de UNE es compatible con sus actividades de consultoría y asesoría relacionada con la evaluación de la conformidad. La ENAC evalúa la competencia técnica, entre otras, de las entidades de certificación y normalización y los laboratorios de ensayo. Para certificar ciertos tipos de productos las entidades de certificación requieren su previa evaluación por un laboratorio de ensayo.

Cuando contratamos un seguro de cobertura de riesgos, estamos realizando un tratamiento de: Mitigación del riesgo. Asunción del riesgo. Compartición del riesgo.

La norma UNE-ISO/IEC 27000: Define un Control como un medio técnico o de gestión para disminuir un riesgo. Define como Dueño del riesgo a aquella persona o entidad que gestiona un riesgo. Establece que el término control es sinónimo de salvaguarda o mecanismo de seguridad.

La norma UNE-ISO/IEC 27000 establece que: El Análisis de riesgos es la identificación de los orígenes, la evaluación del riesgo, la aceptación del riesgo y su tratamiento. La Gestión del riesgo supone la identificación de los orígenes del riesgo y su estimación. El Tratamiento del riesgo consiste en la selección e implementación de medidas para modificar el riesgo.

Según la Guía de seguridad CCN-STIC-805, la política de seguridad debe: Ser aprobada por el responsable de seguridad de la organización. Ser accesible por todos los miembros de la organización. Incluir los detalles técnicos de su implementación.

Respecto de las infraestructuras estratégicas y críticas. Los servicios esenciales son exclusivamente los necesarios para el eficaz funcionamiento de las Instituciones del Estado y las AA PP. Las estratégicas son aquellas indispensables para el funcionamiento de los servicios esenciales y que no permiten soluciones alternativas. La prevención, mitigación y respuesta ante incidentes de los operadores de Infraestructuras críticas corresponde al CERT de seguridad e industria operado por el INCIBE y el CNPIC.

El CCN-CERT (Centro Criptológico Nacional-Centro de Respuesta a Incidentes Informáticos): Es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional. Presta servicios exclusivamente a la Administración General del Estado. Es el único CERT gubernamental que opera a nivel estatal.

La entidad de acreditación, ENAC: Es un organismo público dependiente del M. Industria. Acredita, entre otras, a la entidad nacional de normalización UNE. Acredita, entre otras, a las entidades de certificación.

Los Laboratorios de ensayo: En el ámbito de la certificación de productos de T.I se denominan laboratorios de evaluación. Examinan o comprueban todos los productos y servicios que posteriormente deban ser certificados. Deben ser acreditados por una entidad de certificación.

En la Unión Europea: Sus normas deben ser adoptadas como normas nacionales por sus miembros. Existen dos organismos de normalización, el CEN y el CENELEC, responsables respectivamente de la normalización en el sector de la electrónica y de la normalización del resto de sectores. Todos sus miembros poseen dos entidades de normalización; una para la normalización electrónica y otra para la normalización del resto de sectores.

La Organización Internacional para la Normalización, ISO y la Comisión Electrotécnica Internacional, IEC: Actúan conjuntamente en la normalización de las Tecnologías de la Información, mediante el Joint Technical Committe 1, JTC1. Sus normas se deben revisar, al menos, cada tres años. Dependen de la Organización de las Naciones Unidas.

Un sistema de gestión de la seguridad de la información: Reúne políticas, procedimientos, guías, recursos, etc. con el propósito exclusivo de poder certificarse bajo una norma internacional. Permite gestionar sus activos para satisfacer los requisitos de seguridad legales, de sus clientes y otras partes interesadas. Es de carácter obligatorio en el caso de los Organismos Públicos.

¿Cuáles son las consideraciones MÁS importantes a la hora de priorizar la implantación de las salvaguardias o controles en un SGSI?. La probabilidad de ocurrencia de una amenaza y su impacto. Los activos y su importancia. El valor de los activos y su naturaleza (físicos, lógicos, personal, etc.).

De lo siguiente, qué NO es un principio básico en la definición y puesta en marcha de un SGSI: El compromiso de la dirección. Certificarse a través de una auditoría independiente. La seguridad desde el diseño.

Dentro de la familia ISO 27000: Existe una única norma certificable: la 27001. La norma 27002 sirve de apoyo a la implementación de los requisitos establecidos en la 27001. Contiene varias normas sectoriales entre otras, una para las Fuerzas y Cuerpos de Seguridad del Estado.

El Análisis de Riesgos: Debe especificarse en la política de seguridad. Debe realizarse por el dueño del riesgo correspondiente. Es una herramienta de gestión a partir de la cual se toman decisiones.

El proceso de certificación de la UNE-EN-ISO/IEC 27001 ha de ser realizado: A través de una auditoría interna sobre las áreas contenidas en el alcance del SGSI. Contratando una empresa auditora externa a la organización. A través de chequeo directo de los objetivos de control y los controles propuestos por la norma.

Según la norma UNE-ISO/IEC 27001:2014, la política de seguridad debe: Ser conocida sólo por los responsables de la organización. Incluir un compromiso de cumplimiento y de mejora continua. Revisarse bianualmente.

La norma UNE-ISO/IEC 27000:2012: Define un Control como una medida, que es exclusivamente técnica o de gestión. Define un Objetivo de un control como una declaración que describe el propósito de implementar un control. Establece que el término control es sinónimo de mecanismo de seguridad.

La norma UNE-ISO/IEC 27000:2012 establece que el propósito de: El Análisis de riesgos es la identificación de los orígenes del riesgo, su evaluación, aceptación y tratamiento mismo. La Gestión del riesgo es la identificación de los orígenes del riesgo y su estimación. El Tratamiento del riesgo es la selección e implementación de medidas para modificar el riesgo.

En la norma ISO/IEC 15408. Se establecen criterios para evaluar la calidad de los algoritmos criptográficos, de los productos y de los sistemas. Se definen siete niveles de confianza, que van desde el EAL0 al EAL6. Los requisitos de seguridad se dividen en requisitos funcionales y de confianza.

Los ITSEC (Information Technology Security Evaluation Criteria) establecen: Que la declaración de seguridad de los sistemas es específica para el entorno operativo de cada sistema, mientras que la de los productos es genérica para cada uno de ellos. 10 clases de funcionalidad (cuatro de ellas derivadas del TCSEC) y siete niveles de aseguramiento. Que la confianza en las funciones de seguridad depende exclusivamente de la correcta operación de los mecanismos que las implementan.

El acuerdo de reconocimiento mutuo de certificados del SOGIS. Se firma entre países emisores de certificados. Reconoce los certificados emitidos al menos hasta el nivel EAL 4/E3. Permite el reconocimiento de certificados frente a TCSEC, ITSEC/ITSEM y CC/CEM.

Un perfil de protección, PP: Es una autodeclaración de seguridad del fabricante de un producto. Es una declaración de seguridad independiente de cualquier ToE. Ejemplos de perfiles de protección son los establecidos para la protección Tempest, tarjetas inteligentes, sistemas operativos, etc.

Los Objetivos de Control de una entidad son útiles por ser: Declaraciones sobre el resultado final deseado por la entidad o el propósito a ser alcanzado mediante la implantación de controles. Las técnicas y métodos seguidos por la entidad para la protección de las diferentes plataformas. Una declaración de la situación real de la entidad a evaluar.

Según la norma UNE EN-ISO/IEC 27001, la política de seguridad de la información: Debe ser desarrollada, impulsada e implantada por el responsable de seguridad corporativo. Debe incluir los objetivos de seguridad. Debe revisarse, al menos, antes de la auditoría de renovación del certificado de conformidad con dicha norma.

Dentro de la familia de normas ISO/IEC 27000, son certificables las siguientes: UNE EN-ISO/IEC 27001 e ISO/IEC 27006. UNE EN-ISO/IEC 27001 e ISO/IEC 27005. UNE EN-ISO/IEC 27001 e ISO/IEC 27032.

La norma UNE EN-ISO/IEC 27001 establece una serie de requisitos de seguridad, entre los que se encuentran: El liderazgo, que debe ser impulsado y dirigido por el responsable de seguridad (CISO). La planificación, una de cuyas bases es la apreciación de riesgos. La operación, que es responsabilidad del responsable de los sistemas de información (CIO).

El ámbito de aplicación del Real Decreto Ley 12/2018. Seguridad de redes y sistemas información es, entre otros: Los prestadores de servicios digitales. Las empresas de más de 250 empleados y con una facturación anual de más de 50 millones de euros. Los CSIRT de referencia.

Según el Real Decreto 43/2021 de desarrollo del R. D-Ley 12/2018, el responsable de seguridad de la información: Es un puesto de trabajo obligatorio en las empresas y organismos comprendidas en el ámbito de aplicación del R. D-Ley 12/2018. Debe poseer conocimientos especializados y experiencia en ciberseguridad. Depende del responsable de las redes y sistemas.

La auditoría informática requiere necesariamente: Revisar todo aquello que el auditor considere, para no comprometer su independencia y objetividad. Ajustarse a los objetivos y alcance establecido previamente. Verificar todos los controles existentes.

Las conclusiones del proceso de una auditoría informática: Contendrá todos aquellos indicios, aunque no estén soportados en evidencias, si estos presentan la suficiente gravedad. Estarán basadas siempre en hallazgos irrefutables. En el informe final solo se mostrarán las consensuadas con los usuarios.

La satisfacción de usuarios y directivos, en el marco de una auditoría informática: Es una de las cuestiones que perfectamente podrían ser objeto de análisis. Excede claramente del alcance de una auditoría y es más propia del área de calidad. Es un aspecto lateral; tiene sentido poner el foco únicamente en el entorno informático de la entidad.

Algunas entidades utilizan el sistema de Tres Líneas de Defensa. Como primera línea encontraremos: A la función de auditoría, ya que es la que aporta una mayor competencia técnica para definir los controles. A las áreas directivas de la entidad. A las áreas propietarias de los procesos.

En cuanto al criterio para establecer la prioridad con la que se han de abordar las tareas durante una auditoría: Siempre prevalecerá según el valor de los activos. Se tomará como criterio comenzar por los activos más vulnerables. Lógicamente por lo que se le solicitado en el encargo.

El PEOR criterio para determinar las áreas que han de ser auditadas sería: Partir de los hallazgos encontrados en la última auditoría. Según la valoración de los activos y el valor que los mismos puedan suponer para la Organización, según el criterio -profesional e independiente- del auditor. Ajustarse al Plan Anual de auditorías, aunque valorando la evolución de las vulnerabilidades y las amenazas para la Organización.

Una vez concluido el informe de auditoría: Será presentado en primera instancia a la dirección de la empresa y posteriormente el auditor lo distribuirá a los afectados para que aborden las mejoras y correcciones oportunas. Debe ser presentado al responsable del departamento de informática con el detalle de la metodología, pruebas realizadas, etc. A la vista de las mismas éste se encargará de elaborar las conclusiones para la dirección. Este será presentado a la dirección de la empresa. Es recomendable que haya un resumen no técnico con las conclusiones.

La norma UNE-EN ISO/IEC 27001:2017: Recoge el conjunto de requisitos y controles que han de ser puestos en marcha, si bien todos ellos son opcionales, si se justifica convenientemente. Obliga a poner en marcha los 114 controles y deja al criterio de cada Organización el cumplimiento de los requisitos. Obliga a cumplir con todos los requisitos si bien los controles serán aplicados o no, a criterio de la Organización.

La principal fuente en la que basar una auditoría informática encargada por una Organización sería: Únicamente utilizando una norma internacionalmente reconocida. Ajustarse exclusivamente a la normativa vigente más actual publicada en el Boletín Oficial del Estado o similar. En la normativa, políticas y procedimientos internos.

Cuando se realiza un análisis de riesgos, el principal beneficio que se persigue es que la organización: Conozca cómo está respecto de la seguridad. Esté más segura. Pueda optar a una certificación.

Un plan de contingencia se puede definir como: Acciones a realizar, recursos a utilizar y personal a emplear caso de producirse un incidente que inutilice o degrade los recursos informáticos (o de transmisión de datos) de una organización. Análisis exhaustivo de los activos de información y recursos tecnológicos e instrumentación de las medidas adecuadas de protección. Acciones a realizar, recursos a utilizar y personal a emplear si se produce un incidente (deliberado) que inutilice o degrade los activos de información.

Antes de abordar el tratamiento de riesgos se han de definir los criterios de aceptación: Correcto. No necesariamente; se atenderá al criterio del responsable de seguridad. Lo conveniente es previamente valorar los riesgos y una vez conocidos, establecer los umbrales de aceptación.

Causa potencial de un incidente no deseado, el cual puede ocasionar daño a un sistema o a una organización: Amenaza. Vulnerabilidad. Impacto.

Si en una organización se implanta y certifica un SGSI bajo la norma UNE- EN-ISO/IEC 27001, podemos afirmar que: Que el riesgo de sanción por incumplimiento de la legislación vigente aplicable es el mismo que si la organización no estuviese certificada. Que se está cumpliendo necesariamente con todas las regulaciones y leyes existentes, siempre y cuando sean aplicables a la organización. Que como poco, siempre se va a estar cumpliendo con la LOPD-GDD.

Señale cuál de las siguientes opciones es verdadera: Un incidente de seguridad es una ocurrencia detectada en el estado de un sistema, servicio o red que indica una posible violación de la política de seguridad, un fallo en las salvaguardas o una situación desconocida y que puede ser relevante para la seguridad. Un incidente de seguridad es un evento inesperado o indeseado, que tienen una probabilidad significativa de comprometer la seguridad. Un evento de seguridad implica necesariamente un fallo en las salvaguardas existentes mientras que un incidente solamente comportaría un posible fallo.

Según el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información, los laboratorios de evaluación: Deben tener su competencia técnica acreditada por el CCN/CNI. En las tareas de evaluación trabajan con total independencia y autonomía del CCN/CNI. La acreditación de su competencia técnica debe incluir las normas con respecto a las cuales puede evaluar productos y sistemas.

El Centro Nacional de Inteligencia/Centro Criptológico Nacional (CNI/CCN): Certifica productos y sistemas frente a los criterios establecidos por las normas: Common criteria; Information Technology Security evaluation Criteria (ITSEC) y Trusted Computer Security Evaluation Criteria (TCSEC). Está acreditado como Entidad de certificación por la ENAC. Debe ratificar íntegramente los informes de evaluación elaborados por los laboratorios de evaluación, emitiendo los correspondientes certificados.

En los Common Criteria, un perfil de protección (protection profile): Es la declaración de un fabricante específico de las necesidades de seguridad satisfechas por un Objeto de evaluación (ToE) que fabrica. Se certifican en una escala que va desde el E0 al E6. Es una declaración independiente de cualquier implementación, reusable y que satisfacen requisitos efectivos para lograr un objetivo de seguridad.

La Norma ISO/IEC 15408 (Common Criteria for Information Technology Security Evaluation) incluye en su marco normalizador: La emanación de radiaciones de los equipos informáticos (certificación Tempest). Las tarjetas criptográficas, un ejemplo de las cuales es el DNI-e certificado en el nivel EAL 6+. Los perfiles de protección, como los establecidos para los cortafuegos o tarjetas criptográficas.

Una ventaja de certificar la conformidad del SGSI de una empresa respecto de la norma UNE-ISO/IEC 27001:2014, es: Que exime a la empresa de las auditorías de seguridad bienales que impone el R.D. 1720/2007 por el que se aprueba el Reglamento de medidas de seguridad de los ficheros que contienen datos personales. Que disminuye su culpabilidad legal ante incidentes de seguridad de la información que afecten a datos personales. Que puede desgravarse el costo integro de la certificación en el impuesto de sociedades.

Según la norma UNE-ISO/IEC 27001:2014, la política de seguridad debe: Ser conocida sólo por los responsables de la organización. Incluir un compromiso de cumplimiento y de mejora continua. Revisarse bienalmente.

Según la norma UNE-ISO/IEC 27001:2014, los empleados de una organización deben ser conscientes y conocer: Los criterios de aceptación del riesgo de los recursos de información con los que operan. Los controles y objetivos de seguridad aplicados a los recursos de información con los que operan. Las implicaciones (incluidas sus responsabilidades) caso de no cumplir con los requisitos del SGSI.

Según la Ley 59/2003 de firma electrónica: Un certificado electrónico vincula unos datos de creación de firma a un firmante y confirma la identidad de este. Las entidades emisoras de certificados, conocidas técnicamente como Autoridades de certificación, se denominan Proveedores de certificados. Los certificados reconocidos tiene una validez legal máxima de cinco años.

Según la Ley 59/2003 de firma electrónica, la firma electrónica: Es un conjunto de datos electrónicos, consignados o asociados con otros, que pueden ser utilizados para identificar al firmante. Por tanto, un ejemplo de esta es la firma manuscrita digitalizada. Reconocida está basada en un certificado electrónico y debe realizarse en un dispositivo seguro de creación de firma. Avanzada está basada en un certificado electrónico y debe realizarse por medios que el firmante mantiene con total confianza bajo su exclusivo control.

Dos de los certificados presentes en el DNI electrónico son: Uno de cifrado y otro de autenticación. Uno cifrado y otro de firma. Uno de firma y otro de autenticación.

Según la Ley de la Propiedad Intelectual: El derecho de explotación de un programa de ordenador corresponde en exclusiva a su autor no pudiendo renunciar al mismo. El derecho de autor incluye las ideas en las que se basa cualquier elemento de un programa de ordenador. La documentación preparatoria, técnica y los manuales de uso gozan de la misma protección que el propio programa de ordenador.

Las fases más recomendables para llevar adelante un proyecto de auditoría, deberían ser las siguientes: Propuesta, Entrevistas, Trabajo de campo, Facturación y cierre. Propuesta, Análisis y evidencias, Informe y seguimiento. Trabajo preparatorio, Trabajo “de campo”, Informe.

Como parte de una auditoría, se han identificado una serie de controles de diversos tipos (preventivos, detectivos y correctivos) que habría que considerar, tras analizar el entorno informático. Relacionado con la puesta en marcha de los mismos: Es responsabilidad del auditor determinar si estos han de ser o no implantados. Serán de carácter obligatorio si la auditoría está relacionada con la LOPD. Según la valoración de los activos y el valor que los mismos puedan suponer para la Organización, según el criterio - profesional e independiente - del auditor.

Una vez concluido el informe de auditoría, para su entrega: Debe ser presentado al responsable del departamento de informática con el detalle de la metodología, pruebas realizadas, etc. A la vista de las mismas éste se encargará de elaborar las conclusiones para la dirección. Será presentado en primera instancia a la dirección de la empresa y posteriormente distribuido a los afectados para que aborden las mejoras y correcciones oportunas. Este será presentado a la dirección de la empresa. Es recomendable que haya un resumen no técnico con las conclusiones.