Especialización en Seguridad de la Información

|

Vulnerabilidades de los Sistemas de Información: una revisión

Molina Marin, Yeison | 2020-12-16

La seguridad informática en la actualidad ha pasado a ser una prioridad para las empresas y organizaciones, debido a que la información se ha convertido en un activo valioso y fundamental para su funcionamiento. El objetivo de este artículo, es realizar una revisión del estado del arte y de las metodologías implementadas en el tema de las vulnerabilidades de los sistemas de información estableciendo algunas características tanto de los conceptos de ciberseguridad como análisis de vulnerabilidades a los sistemas de información para luego realizar un corto recorrido sobre algunos tipos de vulnerabilidades como lo son día cero, aplicaciones web y gestores de bases de datos como también de los sistemas de información erp, mecanismos y controles de sistemas de información, seguridad en sitios web, políticas de seguridad, penetration testing y seguridad en TI. Finalmente se presenta una conclusión referente a la revisión de los temas anteriores.

Estudio de la planeación de auditoría enfocado en análisis de seguridad de la información

Chica Osorio, Julio Andrés | 2020-12-15

La gestión de la información es una de las actividades críticas en las empresas actualmente y asegurar que se cumpla con los principios de la seguridad de la información (Confidencialidad, Disponibilidad, Integridad) es una gran preocupación para las compañías. La actividad de auditoría ayuda a efectuar este aseguramiento ya que, no sólo evalúa el nivel de cumplimiento de los procesos respecto a normas y procedimientos definidos, sino que también entrega recomendaciones y oportunidades de mejoramiento para la implementación de cualquier proceso. En el estudio presentado en este artículo, se analiza la importancia que tiene la seguridad de la información en la planeación de trabajos de auditoría, como se ha venido incluyendo la seguridad de la información en dicha planeación y por último se analizan los resultados de algunos trabajos que se ejecutaron desde auditoría a la seguridad de la información. Las empresas entienden la importancia de la seguridad de la información para garantizar su continuidad, sin embargo, hace falta direccionar más esfuerzos hacia la capacitación y cultura en las áreas de gestión y auditoría, así como enfocar el trabajo en los controles de seguridad y el análisis de riesgos para un esquema de seguridad de la información sólido.

Mejores Prácticas de Seguridad en el Teletrabajo: una revisión

León Gómez De, Juan Esteban | 2020-12-15

El trabajo desde casa o cualquier otro lugar ajeno a las instalaciones de la empresa, tiene como componente primordial el uso de las TIC’s (tecnologías de la información y las comunicaciones) cuyo uso es primordial en las empresas y la sociedad actual. Las redes y el internet de banda ancha con gran capacidad de transmisión de datos y video, el software de conexión remota a escritorios virtuales, entre otras, han provisto de muchas ventajas en la implementación del teletrabajo en las empresas. Sin embargo, existen barreras y retos para llevar a cabo esta actividad de una forma segura, sin que se presenten percances que afecten el desempeño particular del empleado y la disponibilidad de la información. Con la salida del trabajador de su entorno físico, se exponen documentos de la organización que son confidenciales y, por lo tanto, se deben proteger. Por esto se evidencia la necesidad de establecer unas reglas que permitan un funcionamiento seguro y confiable del teletrabajo, considerando el uso de conexiones remotas por parte de empleados y organizaciones, así como, el envío de información a través de internet, el tratamiento de información sensible en un servidor y la seguridad en cada punto de entrada y de destino. Por lo tanto, este artículo presenta una revisión del estado del arte de diferentes metodologías existentes para unas buenas prácticas de seguridad en el teletrabajo. Estos fueron clasificados en seis ramas como se describe en la siguiente sección. Finalmente, se presenta como resultado de la revisión una recomendación de la metodología a implementar para garantizar la seguridad de la información de una empresa enfrentada súbitamente al teletrabajo.

Conocer el valor de la información (activo económico) para valorar la necesidad de la ciberseguridad

Florez Martinez, Jose Luis | 2020-12-17

En el panorama global la frase “Quien posee la información tiene el poder”, es una verdad que a simple vista tiene mucho sentido. Un dato por pequeño que sea al ser sumado a otros da paso a información valiosa. Basados en lo anterior este documento busca determinar el estado en el que actualmente se estima el valor económico de la información, como activo importante de las personas y organizaciones para valorar las inversiones en Ciberseguridad. Además analizar cómo se otorga el nivel de importancia a los activos de información por su contenido y tamaño, y la correlación de diferentes activos de información para establecer su nivel de importancia. También se plantean fórmulas de distintos autores que permiten estimar el valor de un activo de información teniendo en cuenta las variables que hacen parte del proceso para la generación de este. Todo lo anterior con el fin de resaltar la importancia o relevancia de las inversiones en ciberseguridad de personas y organizaciones para proteger sus datos, y es de resaltar que muchos autores han coincidido con esto último debido a que actualmente la cultura de la Ciberseguridad va tomando importancia al ser muy comunes los riesgos y vulnerabilidades a los que se encuentran expuestos los activos de información.

Guía de Controles y Buenas Prácticas de Ciberseguridad para MiPymes

Rodríguez Gamboa, Juan Carlos | 2020-12-15

Los delitos informáticos en la actualidad están afectando a pequeñas y medianas empresas, donde consiguen capturar, obtener y estropear información confidencial, debido a que no implementan métodos de detección temprana o no cuentan con medidas de seguridad básicas que permitan la óptima gestión y protección de esta como activo significativo y sensible, lo cual pudiere afectar su imagen o reputación pública con consecuencias económicas o incumplimientos legales. Según el reporte de seguridad de Latinoamérica 2020 realizado por Eset, el 60% de las organizaciones encuestadas afirma que su principal preocupación es el acceso indebido a la información, el 39% de las empresas no cuenta con políticas de seguridad y apenas un 28% clasifica su información, por todos estos casos la ciberseguridad se ha vuelto un factor fundamental para la protección de la infraestructura TI y todo lo relacionado de esta, especialmente la información que circula en la red. El presente artículo revisa y evalúa un conjunto de buenas prácticas, amenazas cibernéticas y algunas herramientas informáticas que pueden ayudar a mitigar posibles incidentes, con el fin de que las compañías puedan replantear la estrategia de ciberseguridad donde se identifican los riesgos, se concientiza y capacita los empleados de forma continua y se busca generar confianza digital relacionada a una adecuada anticipación de los riesgos y una atención oportuna a eventos e incidentes de TI

Recomendaciones y Estrategias para la Protección de Datos en la Nube

Castañeda Echeverri, Juan David | 2020-12-15

La Computación en la Nube es la nueva tecnología que ha permitido el despliegue de un mercado para ofrecer servicios de computación por demanda. El objetivo de este artículo es presentar una tendencia de la manera como la Computación en la Nube se fortalece continuamente en los elementos de seguridad informática necesarios y a su vez, presentar algunas recomendaciones para las organizaciones, con el fin de evitar violaciones que pongan en riesgo el manejo de dicha información. Así mismo, trata cómo la Computación en la Nube o “Cloud Computing”, permite que las organizaciones se beneficien de determinados servicios y puedan utilizar el potencial de un conjunto de herramientas tecnológicas; además, de los continuos avances tecnológicos que están trayendo consigo nuevas formas de almacenar, tratar y comunicar los datos. Lo anterior, permitirá poner en contexto al lector, para darle conocer acerca de sus características, tipos, y modelos de despliegue; puntos importantes para que el lector comprenda la respuesta a algunas inquietudes que se plantean durante el desarrollo de la lectura.

Mejores prácticas en el desarrollo seguro de aplicaciones

Delagado González, Iván Andrés | 2020-12-18

Las aplicaciones creadas por las empresas de desarrollo a nivel mundial han facilitado la realización de muchas actividades de sus usuarios, permitiendo el intercambio de información, interacción rápida y fácil entre clientes, automatización de procesos, recolección de datos, entre otras. En la actualidad las aplicaciones son parte esencial de la actividad humana (realización de compras, ventas, pagos, solicitud de servicios, búsqueda de amigos y parejas sentimentales, etc.), tanto así que, el uso de computadores y smartphones es algo usual en las poblaciones y tienen un gran impacto en la comunicación (Quinde, 2018). Sin embargo, la información compartida a través de las aplicaciones es vulnerable frente a software malicioso o hackers, si no se aplican políticas de seguridad adecuadas (Pinilla, 2014). Para el desarrollo de aplicaciones seguras es necesario contar con un flujo de trabajo dinámico que permita obtener resultados confiables y útiles para el público objetivo. En este sentido, el presente artículo presenta una propuesta que incluye las siguientes fases: 1) Levantamiento y análisis de requerimientos, 2) Diseño y arquitectura de software, 3) Implementación, 4) Prueba y corrección de errores, y 5) Despliegue y puesta en marcha (Figura 1). El propósito de la etapa de llevantamiento y análisis de requerimientos es definir el concepto de aplicación y evaluar su viabilidad, lo cual incluye desarrollar un plan de proyecto, redactar los requisitos del mismo y asignar recurso humano. Respecto al diseño y arquitectura de software pretende diseñar un producto que cumpla con los requisitos deseados, modelar la estructura de la aplicación y sus escenarios de uso, así como elegir componentes que puedan acelerar el desarrollo. En cuanto a la etapa de implementación consiste en la creación real de la aplicación, escribir su código, depurarlo y producir compilaciones estables adecuadas para las pruebas. Por su parte la fase de prueba tiene como finalidad descubrir y corregir errores de aplicación, mediante la ejecución de pruebas automáticas y manuales, y la identificación y solución de problemas. En la etapa final, ddespliegue y puesta en marcha, hay activación de la aplicación y muchas instancias se ejecutan en una variedad de entornos. Eventualmente, nuevas versiones y parches están disponibles y algunos clientes optan por actualizar, mientras que otros deciden mantener las versiones anteriores (Sommerville, 2017; Positive Technologies, 2020).

Estado actual de la auditoria de seguridad en los sistemas de información de educación superior

Mena Mosquera, Alan Jafeth | 2020-12-15

Hablar sobre el estado actual de la auditoria de seguridad en los sistemas de información de educación superior es un tema que aqueja mucho, puesto que son muchos los estudios que se han ido desarrollando al respecto donde se muestran las falencias con las que cuentan los centros de educación en Colombia, es de vital importancia implementar planes de auditorías de seguridad a los diferentes sistemas de gestión de la seguridad de la información, bajo la norma ISO/IEC 27001:2013 la cual va garantizar el uso adecuado de controles y políticas de seguridad, las cuales juegan un papel fundamental en las organizaciones, ya que por medio de sus diferentes herramientas van a salvaguardar la información teniendo siempre presente la integridad, disponibilidad y confiabilidad. La utilización de las diferentes metodologías en las auditorias de seguridad va permitir encontrar amenazas y vulnerabilidades con la finalidad de asegurar la mitigación de los riesgos encontrados los diferentes sistemas informáticos.

Análisis comparativo aspectos de la política de datos de Facebook versus cumplimiento regulatorio sobre los datos personales

Grajales Agudelo, Santiago | 2020-08-28

El uso frecuente de redes sociales en la actualidad ha ocasionado que plataformas como Facebook, se conviertan en un medio indispensable de comunicación entre las personas, por esta razón se analiza la forma mediante la cual estas plataformas recopilan la información y secuencialmente se identifica el uso y tratamiento de estos datos personales, teniendo en cuenta ambas premisas se investiga las normativas internacionales que regulan el actuar de las redes sociales, que al ser comparadas con situaciones polémicas en cuanto a tratamiento de información en las que se ha visto inmersa Facebook permite determinar el cumplimiento normativo de esta red social, todo esto a través del análisis de una recopilación bibliográfica que abre el horizonte de conocimiento en cuanto al funcionamiento de la plataforma, este análisis también ayudó a determinar que en las políticas de datos de Facebook las formas de recopilación y uso de información van orientadas a beneficiar al usuario, pero los antecedentes dieron a conocer que el mayor beneficio lo obtiene la compañía, se determina entonces que el papel que juega el usuario y sus datos personales en este escenario va más enfocado a ser el producto representativo de un servicio que se ofrece de forma gratuita.

Componente de seguridad de la información en el Ciclo de Vida del Desarrollo de Software aplicado al procedimiento PR-M7-P5-033 en la Gobernación de Antioquia

Díaz Ayala, Santiago Elías | 2020-08-28

El Ciclo de Vida de Desarrollo de Software (CVDS), como una de las actividades más importantes de la ingeniería de software, representa una secuencia estructurada y bien definida para desarrollar el producto deseado. El CVDS se compone de una serie de pasos a seguir con la finalidad de diseñar y desarrollar un producto de manera eficiente en su funcionamiento (Becerra & Sanjuan, 2014). Partiendo del hecho que una de las finalidades más importantes de una aplicación es la óptima administración de la información en ella contenida y acorde a los lineamientos de familia de normas ISO 27000 y de las directrices del Ministerio de la Tecnologías y Comunicaciones de Colombia en materia de seguridad y privacidad de la información (MinTIC, 2016) para el sector público; este artículo pretende aumentar la conciencia en materia de prácticas de seguridad de información teniendo de cuenta los pasos o etapas correspondientes para tal fin en el marco de esta temática enmarcada en el procedimiento PR-M7-P5-033 de desarrollo de software en la Gobernación de Antioquia.

Método para la Gestión de la Seguridad de los activos de Información en el Proceso de Operación Aduanera

Giraldo Mejía, Juan Camilo | 2020-08-28

Para mantener y preservar la seguridad de la información, es necesario tener en cuenta aspectos tales como la integridad, confidencialidad y la disponibilidad. El propósito de este documento es presentar un método que gestiona los activos de información de un proceso en una organización, con el fin de salvaguardar la seguridad de la información de dichos activos; para su desarrollo se soportó en un problema de seguridad de información, en el que se observó que el desconocimiento y la falta de conciencia generaban como consecuencia vulnerabilidad en nivel de la seguridad de la información; para esto , fue necesario iniciar con la revisión de literatura relacionada con la seguridad de la información utilizando diferentes fuentes científicas, se consultaron datos estadísticos de la encuesta Mundial de Seguridad de la Información ,elaborada por PwC España (2018 y del ESET SECURITY REPORT Latinoamérica 2019. En el método se realizaron diferentes actividades comenzando con la identificación y clasificación de los activos de información, se detectaron vulnerabilidades relacionadas con los activos de información mediante una herramienta diagnostica, se identificaron y analizaron riesgos, se sugirieron controles para los riesgos identificados y finalmente se realizó una validación de la metodología utilizada mediante caso de estudio. con la implementación del método como medida de control se observaron beneficios que permitieron mejorar el estado de vulnerabilidad, prevenir riesgos y salvaguardar la seguridad de la información en un proceso.

Marco de trabajo para la selección de la arquitectura de un proyecto de software mediante la aplicación de patrones arquitectónicos

Giraldo Mejía, Juan Camilo | 2020-08-28

Existe una serie de problemas de diseño de los productos de Software que se ven reflejados en el desacoplamiento de los diferentes aspectos de los proyectos, en la lógica de negocio, en la interfaz de usuario, en la navegación y en la arquitectura de información, afectando principalmente la calidad del producto resultante. Este documento identifica y caracteriza algunos patrones de Software, destinados a proporcionar un conjunto de soluciones comprobadas abarcando varios niveles de abstracción, desde arquitecturas de información y patrones de interoperabilidad hasta patrones de navegación, interacción y visualización. Lo anterior con el propósito de diseñar un marco de trabajo que permite seleccionar y aplicar el patrón de arquitectura de software apropiado según el contexto de la aplicación a desarrollar, soportado en los tipos desarrollo de software y variables identificadas en la literatura que permiten una mejor clasificación a la hora de desarrollar un proyecto de software. Mediante la aplicabilidad de una extensa revisión de la literatura y de la indagación a desarrolladores de algunas compañías con el fin de analizar los patrones de gran impacto en la actualidad, e identificando la taxonomía de los proyectos de desarrollo de software según el contexto de aplicación, se obtuvieron resultados por medio de una encuesta que presentó los siguientes datos: del 100% de los encuestados, del 40% se determinó que la arquitectura en la nube es el patrón más recomendado en la actualidad para desarrollo de proyectos de software, seguido por el patrón MVC con un porcentaje de 26,7% de los encuestados, y finalmente los microservicios con un 13,3%; Así mismo, se destacaron las arquitecturas MVP y MVC como potenciales para los dispositivos móviles y sitios web, los cuales ofrecen flexibilidad, independencia y usabilidad; mientras que para las aplicaciones y servicios web tiene un alto impacto la arquitectura en la nube y los microservicios, reduciendo las complejidades de los diseños en cada uno de los ámbitos que se desean implementar, permitiendo estructurar de manera correcta un proyecto, y reduciendo la probabilidad de riesgos a corto y a largo plazo.

Desafíos de seguridad en las redes WBAN para Soluciones IoT

Osorio Jaramillo, Juan Esteban | 2020-08-28

Las comunicaciones inalámbricas de corto alcance que se llevan a cabo dentro del cuerpo humano o cerca de él, es conocida como red inalámbrica de área corporal (WBAN); en los últimos años se han realizado diversos desarrollos alrededor de esta tecnología; en este artículo se presentan las características y aplicaciones de esta tecnología, así como los desafíos de seguridad a la que se ve enfrentada. El artículo se desarrolla en cuatro fases, en la primera nos adentramos en la arquitectura de WBAN y se hace énfasis en las aplicaciones de esta tecnología; en la segunda fase, analizaremos las vulnerabilidades a las que está expuesta una solución de dispositivos IoT interconectados por una red WBAN a nivel de hardware, comunicación y seguridad; Basado en lo anterior se presenta en la tercera fase, los diferentes mecanismos que se han desarrollado para mitigar los ataques cibernéticos; En la última fase de este artículo, se evidencia los desafíos a los que se enfrenta esta tecnología que deben ser el foco de atención para el desarrollo de mejoras que permitan un mayor aprovechamiento en las aplicaciones actuales.

Evaluación de la implementación de la norma ISO 27001 en empresas del sector privado, bajo un enfoque cultural

Cardona Fernández, Juan Ignacio | 2020-08-28

Los avances tecnológicos y su aplicación en las empresas como herramienta en las funciones operativas y administrativas involucran también una gran cantidad de riesgos y amenazas. La información se convierte a su vez en el activo más importante de las compañías por lo que es vital analizar las razones por las cuales muchas de ellas carecen de políticas de seguridad apropiadas, más concretamente la norma ISO/IEC 27001:2013. El factor humano juega un papel fundamental (Hernández, 2019) y por eso se analiza la importancia de adoptar las mejores prácticas en la seguridad de la información, crear reglas y controles eficaces como también fomentar la cultura de la seguridad en las compañías. La finalidad del artículo es la generación de conciencia cultural en las empresas y el impacto y la relevancia de la implementación de la norma ISO 27001, brindando algunas técnicas y actividades que faciliten la implementación, llevando finalmente a las organizaciones a uno de sus objetivos principales, la seguridad de su información.

Soluciones de seguridad para dispositivos IOT que usan la tecnología ZIGBEE

Mateus Hernandez, Milton Javier | 2020-08-28

En el presente artículo presentaremos algunas de las soluciones de seguridad disponibles para la tecnología Zigbee, lo cual inicialmente se van a identificar los diferentes componentes técnicos, las normas internacionales de comunicación que aplican, el funcionamiento lógico, relación entre nodos y los componentes físicos de cada dispositivo. Luego se caracterizarán las vulnerabilidades identificadas y los diferentes vectores de ataque a nivel de aplicación, interceptación de datos y disponibilidad de servicio. Esto apoyándonos en el listado internacional de la “Common Vulnerabilities and Exposures” y la “National Vulnerability Database”. Por último, se abordarán diferentes soluciones de seguridad que están al alcance técnico de la tecnología que evitan la explotación de estas vulnerabilidades y mitigación de riesgos, los cuales se encuentran entre las más comunes el cifrado de comunicaciones, manejo de llaves de encriptación, uso de listas blancas, control de acceso y actualización constante del firmware del dispositivo.

Metodología de evaluación de migración de servicios a computación en la nube en pequeñas y medianas empresas

Buitrago Montoya, Jose Danilo | 2020-08-28

La computación en la nube consiste en ofrecer productos y servicios para ser consumidos a través de internet. El propósito principal es obtener el mayor provecho del procesamiento y almacenamiento computacional que ejercen las organizaciones, utilizando la conectividad a gran escala que ofrece internet para alojar múltiples recursos, programas e información, permitiendo que los usuarios accedan a ellos través de cualquier ordenador o dispositivo móvil. Actualmente existen diferentes tipos de computación en la nube: privada, pública e híbrida y también diferentes modelos de servicio como: Software como Servicio (SaaS), Plataforma como Servicio (PaaS), Infraestructura como Servicio (IaaS). Cada uno de ellos ofrecen beneficios que pueden verse reflejados en la reducción de costos para infraestructura, economía de los espacios, centralización de la información y trabajo remoto para los colaboradores de las compañías que hagan uso de estas tecnologías. Con la intención de apoyar a las pequeñas y medianas empresas en la decisión de transferir sus diferentes servicios a la nube, se propone una herramienta de diagnóstico que permite medir el grado de madurez tecnológica de los procesos que las componen, ayudando identificar el estado actual de las capacidades de sus procesos, con el fin de desarrollar una estrategia de migración y puesta en marcha de la computación en la nube.

Razones de la falta de certificación de las organizaciones colombianas en la norma ISO/IEC 27001:2013

Giraldo Bedoya, Nelson Mauricio | 2020-09-28

En las organizaciones, la tecnología y la información se han convertido en activos claves, por lo cual la seguridad de la información debe ser considerada como punto crítico, debido a las múltiples amenazas internas y externas a las cuales podrían estar expuestas. El presente texto tiene como objetivo conocer las razones que tienen las organizaciones colombianas en la falta de certificación de los procesos en seguridad de la información o lo hagan de forma parcial en la norma ISO/IEC 27001:2013. Se utiliza como metodología el análisis crítico de contenido de Fairclough (2016) obteniendo tres momentos de análisis, el contenido del texto, su interpretación y su praxis social. Los hallazgos se plantean desde las categorías emergentes en este nivel de análisis, la responsabilidad de la alta dirección, la importancia de una cultura de la gestión en seguridad de la información, el talento humano, los procesos de gestión y sus costos. Finalmente se concluye, el rol relevante en la certificación de la norma ISO/IEC 27001:2013 es la cultura organizacional pues esta es el alma que conecta los diferentes sistemas que apoyada por la alta dirección posibilita la interrelación para dar respuesta a los principios de seguridad de la información como son la integridad, la confidencialidad y la disponibilidad.

Estado de la seguridad de la Información de los usuarios de una Entidad Pública

Vásquez E., Gladis Helena | 2020-08-28

En un entorno empresarial globalizado y competitivo como el existente en Colombia, las empresas dependen cada vez más de sus sistemas de información; es por esto que los procesos realizados en la Municipio de Medellín, son procedimientos definitions y regulados en la ley, para la realización de trámites que generen satisfacción y suplan las necesidades generales a los ciudadanos en cuanto los servicios que presta la entidad. Es así como el Municipio de Medellín define políticas para la adecuada custodia, controles de seguridad y uso de la información que administra. Sin embargo, el Municipio de Medellín en la actualidad está implementando plataformas digítales con el fin de que los ciudadanos utilicen los medios electrónicos para la realización de sus trámites, lo que implica un riesgo latente para la seguridad, ya que por la poca preparación por parte de la ciudadanía para utilizar estas plataformas hace mal uso de la información, igualmente al no existir un repositorio que almacene todos los datos en conjunto, implica el ciudadano brindar de nuevo su información en cualquier dependencia de la entidad. Por ende, se deben de buscar soluciones de seguridad informática enfocadas a preservar la integridad, disponibilidad y confidencialidad de la información