Especialización en Seguridad de la Información

|

Análisis comparativo aspectos de la política de datos de Facebook versus cumplimiento regulatorio sobre los datos personales

Grajales Agudelo, Santiago | 2020-08-28

El uso frecuente de redes sociales en la actualidad ha ocasionado que plataformas como Facebook, se conviertan en un medio indispensable de comunicación entre las personas, por esta razón se analiza la forma mediante la cual estas plataformas recopilan la información y secuencialmente se identifica el uso y tratamiento de estos datos personales, teniendo en cuenta ambas premisas se investiga las normativas internacionales que regulan el actuar de las redes sociales, que al ser comparadas con situaciones polémicas en cuanto a tratamiento de información en las que se ha visto inmersa Facebook permite determinar el cumplimiento normativo de esta red social, todo esto a través del análisis de una recopilación bibliográfica que abre el horizonte de conocimiento en cuanto al funcionamiento de la plataforma, este análisis también ayudó a determinar que en las políticas de datos de Facebook las formas de recopilación y uso de información van orientadas a beneficiar al usuario, pero los antecedentes dieron a conocer que el mayor beneficio lo obtiene la compañía, se determina entonces que el papel que juega el usuario y sus datos personales en este escenario va más enfocado a ser el producto representativo de un servicio que se ofrece de forma gratuita.

Componente de seguridad de la información en el Ciclo de Vida del Desarrollo de Software aplicado al procedimiento PR-M7-P5-033 en la Gobernación de Antioquia

Díaz Ayala, Santiago Elías | 2020-08-28

El Ciclo de Vida de Desarrollo de Software (CVDS), como una de las actividades más importantes de la ingeniería de software, representa una secuencia estructurada y bien definida para desarrollar el producto deseado. El CVDS se compone de una serie de pasos a seguir con la finalidad de diseñar y desarrollar un producto de manera eficiente en su funcionamiento (Becerra & Sanjuan, 2014). Partiendo del hecho que una de las finalidades más importantes de una aplicación es la óptima administración de la información en ella contenida y acorde a los lineamientos de familia de normas ISO 27000 y de las directrices del Ministerio de la Tecnologías y Comunicaciones de Colombia en materia de seguridad y privacidad de la información (MinTIC, 2016) para el sector público; este artículo pretende aumentar la conciencia en materia de prácticas de seguridad de información teniendo de cuenta los pasos o etapas correspondientes para tal fin en el marco de esta temática enmarcada en el procedimiento PR-M7-P5-033 de desarrollo de software en la Gobernación de Antioquia.

Método para la Gestión de la Seguridad de los activos de Información en el Proceso de Operación Aduanera

Giraldo Mejía, Juan Camilo | 2020-08-28

Para mantener y preservar la seguridad de la información, es necesario tener en cuenta aspectos tales como la integridad, confidencialidad y la disponibilidad. El propósito de este documento es presentar un método que gestiona los activos de información de un proceso en una organización, con el fin de salvaguardar la seguridad de la información de dichos activos; para su desarrollo se soportó en un problema de seguridad de información, en el que se observó que el desconocimiento y la falta de conciencia generaban como consecuencia vulnerabilidad en nivel de la seguridad de la información; para esto , fue necesario iniciar con la revisión de literatura relacionada con la seguridad de la información utilizando diferentes fuentes científicas, se consultaron datos estadísticos de la encuesta Mundial de Seguridad de la Información ,elaborada por PwC España (2018 y del ESET SECURITY REPORT Latinoamérica 2019. En el método se realizaron diferentes actividades comenzando con la identificación y clasificación de los activos de información, se detectaron vulnerabilidades relacionadas con los activos de información mediante una herramienta diagnostica, se identificaron y analizaron riesgos, se sugirieron controles para los riesgos identificados y finalmente se realizó una validación de la metodología utilizada mediante caso de estudio. con la implementación del método como medida de control se observaron beneficios que permitieron mejorar el estado de vulnerabilidad, prevenir riesgos y salvaguardar la seguridad de la información en un proceso.

Marco de trabajo para la selección de la arquitectura de un proyecto de software mediante la aplicación de patrones arquitectónicos

Giraldo Mejía, Juan Camilo | 2020-08-28

Existe una serie de problemas de diseño de los productos de Software que se ven reflejados en el desacoplamiento de los diferentes aspectos de los proyectos, en la lógica de negocio, en la interfaz de usuario, en la navegación y en la arquitectura de información, afectando principalmente la calidad del producto resultante. Este documento identifica y caracteriza algunos patrones de Software, destinados a proporcionar un conjunto de soluciones comprobadas abarcando varios niveles de abstracción, desde arquitecturas de información y patrones de interoperabilidad hasta patrones de navegación, interacción y visualización. Lo anterior con el propósito de diseñar un marco de trabajo que permite seleccionar y aplicar el patrón de arquitectura de software apropiado según el contexto de la aplicación a desarrollar, soportado en los tipos desarrollo de software y variables identificadas en la literatura que permiten una mejor clasificación a la hora de desarrollar un proyecto de software. Mediante la aplicabilidad de una extensa revisión de la literatura y de la indagación a desarrolladores de algunas compañías con el fin de analizar los patrones de gran impacto en la actualidad, e identificando la taxonomía de los proyectos de desarrollo de software según el contexto de aplicación, se obtuvieron resultados por medio de una encuesta que presentó los siguientes datos: del 100% de los encuestados, del 40% se determinó que la arquitectura en la nube es el patrón más recomendado en la actualidad para desarrollo de proyectos de software, seguido por el patrón MVC con un porcentaje de 26,7% de los encuestados, y finalmente los microservicios con un 13,3%; Así mismo, se destacaron las arquitecturas MVP y MVC como potenciales para los dispositivos móviles y sitios web, los cuales ofrecen flexibilidad, independencia y usabilidad; mientras que para las aplicaciones y servicios web tiene un alto impacto la arquitectura en la nube y los microservicios, reduciendo las complejidades de los diseños en cada uno de los ámbitos que se desean implementar, permitiendo estructurar de manera correcta un proyecto, y reduciendo la probabilidad de riesgos a corto y a largo plazo.

Desafíos de seguridad en las redes WBAN para Soluciones IoT

Osorio Jaramillo, Juan Esteban | 2020-08-28

Las comunicaciones inalámbricas de corto alcance que se llevan a cabo dentro del cuerpo humano o cerca de él, es conocida como red inalámbrica de área corporal (WBAN); en los últimos años se han realizado diversos desarrollos alrededor de esta tecnología; en este artículo se presentan las características y aplicaciones de esta tecnología, así como los desafíos de seguridad a la que se ve enfrentada. El artículo se desarrolla en cuatro fases, en la primera nos adentramos en la arquitectura de WBAN y se hace énfasis en las aplicaciones de esta tecnología; en la segunda fase, analizaremos las vulnerabilidades a las que está expuesta una solución de dispositivos IoT interconectados por una red WBAN a nivel de hardware, comunicación y seguridad; Basado en lo anterior se presenta en la tercera fase, los diferentes mecanismos que se han desarrollado para mitigar los ataques cibernéticos; En la última fase de este artículo, se evidencia los desafíos a los que se enfrenta esta tecnología que deben ser el foco de atención para el desarrollo de mejoras que permitan un mayor aprovechamiento en las aplicaciones actuales.

Evaluación de la implementación de la norma ISO 27001 en empresas del sector privado, bajo un enfoque cultural

Cardona Fernández, Juan Ignacio | 2020-08-28

Los avances tecnológicos y su aplicación en las empresas como herramienta en las funciones operativas y administrativas involucran también una gran cantidad de riesgos y amenazas. La información se convierte a su vez en el activo más importante de las compañías por lo que es vital analizar las razones por las cuales muchas de ellas carecen de políticas de seguridad apropiadas, más concretamente la norma ISO/IEC 27001:2013. El factor humano juega un papel fundamental (Hernández, 2019) y por eso se analiza la importancia de adoptar las mejores prácticas en la seguridad de la información, crear reglas y controles eficaces como también fomentar la cultura de la seguridad en las compañías. La finalidad del artículo es la generación de conciencia cultural en las empresas y el impacto y la relevancia de la implementación de la norma ISO 27001, brindando algunas técnicas y actividades que faciliten la implementación, llevando finalmente a las organizaciones a uno de sus objetivos principales, la seguridad de su información.

Soluciones de seguridad para dispositivos IOT que usan la tecnología ZIGBEE

Mateus Hernandez, Milton Javier | 2020-08-28

En el presente artículo presentaremos algunas de las soluciones de seguridad disponibles para la tecnología Zigbee, lo cual inicialmente se van a identificar los diferentes componentes técnicos, las normas internacionales de comunicación que aplican, el funcionamiento lógico, relación entre nodos y los componentes físicos de cada dispositivo. Luego se caracterizarán las vulnerabilidades identificadas y los diferentes vectores de ataque a nivel de aplicación, interceptación de datos y disponibilidad de servicio. Esto apoyándonos en el listado internacional de la “Common Vulnerabilities and Exposures” y la “National Vulnerability Database”. Por último, se abordarán diferentes soluciones de seguridad que están al alcance técnico de la tecnología que evitan la explotación de estas vulnerabilidades y mitigación de riesgos, los cuales se encuentran entre las más comunes el cifrado de comunicaciones, manejo de llaves de encriptación, uso de listas blancas, control de acceso y actualización constante del firmware del dispositivo.

Metodología de evaluación de migración de servicios a computación en la nube en pequeñas y medianas empresas

Buitrago Montoya, Jose Danilo | 2020-08-28

La computación en la nube consiste en ofrecer productos y servicios para ser consumidos a través de internet. El propósito principal es obtener el mayor provecho del procesamiento y almacenamiento computacional que ejercen las organizaciones, utilizando la conectividad a gran escala que ofrece internet para alojar múltiples recursos, programas e información, permitiendo que los usuarios accedan a ellos través de cualquier ordenador o dispositivo móvil. Actualmente existen diferentes tipos de computación en la nube: privada, pública e híbrida y también diferentes modelos de servicio como: Software como Servicio (SaaS), Plataforma como Servicio (PaaS), Infraestructura como Servicio (IaaS). Cada uno de ellos ofrecen beneficios que pueden verse reflejados en la reducción de costos para infraestructura, economía de los espacios, centralización de la información y trabajo remoto para los colaboradores de las compañías que hagan uso de estas tecnologías. Con la intención de apoyar a las pequeñas y medianas empresas en la decisión de transferir sus diferentes servicios a la nube, se propone una herramienta de diagnóstico que permite medir el grado de madurez tecnológica de los procesos que las componen, ayudando identificar el estado actual de las capacidades de sus procesos, con el fin de desarrollar una estrategia de migración y puesta en marcha de la computación en la nube.

Razones de la falta de certificación de las organizaciones colombianas en la norma ISO/IEC 27001:2013

Giraldo Bedoya, Nelson Mauricio | 2020-09-28

En las organizaciones, la tecnología y la información se han convertido en activos claves, por lo cual la seguridad de la información debe ser considerada como punto crítico, debido a las múltiples amenazas internas y externas a las cuales podrían estar expuestas. El presente texto tiene como objetivo conocer las razones que tienen las organizaciones colombianas en la falta de certificación de los procesos en seguridad de la información o lo hagan de forma parcial en la norma ISO/IEC 27001:2013. Se utiliza como metodología el análisis crítico de contenido de Fairclough (2016) obteniendo tres momentos de análisis, el contenido del texto, su interpretación y su praxis social. Los hallazgos se plantean desde las categorías emergentes en este nivel de análisis, la responsabilidad de la alta dirección, la importancia de una cultura de la gestión en seguridad de la información, el talento humano, los procesos de gestión y sus costos. Finalmente se concluye, el rol relevante en la certificación de la norma ISO/IEC 27001:2013 es la cultura organizacional pues esta es el alma que conecta los diferentes sistemas que apoyada por la alta dirección posibilita la interrelación para dar respuesta a los principios de seguridad de la información como son la integridad, la confidencialidad y la disponibilidad.

Estado de la seguridad de la Información de los usuarios de una Entidad Pública

Vásquez E., Gladis Helena | 2020-08-28

En un entorno empresarial globalizado y competitivo como el existente en Colombia, las empresas dependen cada vez más de sus sistemas de información; es por esto que los procesos realizados en la Municipio de Medellín, son procedimientos definitions y regulados en la ley, para la realización de trámites que generen satisfacción y suplan las necesidades generales a los ciudadanos en cuanto los servicios que presta la entidad. Es así como el Municipio de Medellín define políticas para la adecuada custodia, controles de seguridad y uso de la información que administra. Sin embargo, el Municipio de Medellín en la actualidad está implementando plataformas digítales con el fin de que los ciudadanos utilicen los medios electrónicos para la realización de sus trámites, lo que implica un riesgo latente para la seguridad, ya que por la poca preparación por parte de la ciudadanía para utilizar estas plataformas hace mal uso de la información, igualmente al no existir un repositorio que almacene todos los datos en conjunto, implica el ciudadano brindar de nuevo su información en cualquier dependencia de la entidad. Por ende, se deben de buscar soluciones de seguridad informática enfocadas a preservar la integridad, disponibilidad y confidencialidad de la información