Está en la página 1de 4

RESUMEN DEL ARTICULO "RIESGOS DE

CIBERSEGURIDAD EN LAS EMPRESAS"


Rodríguez Vergara Roberto Carlos, Rodriguez Oviedo Amaury Leonardo, Montaño Fernando
Corporación Universitaria del Cáribe -CECAR-
Sincelejo, Colombia
roberto.rodriguez@cecar.edu.co
amaury.rodriguez@cecar.edu.co
fernando.montano@cecar.edu.co


Resumen— En este documento se describe en forma general conceptos que hacen parte de la seguridad en sistemas
algunos conceptos que hacen parte de la seguridad informática, operativos y la seguridad en redes, y serán contextualizados
haciendo un pequeño acercamiento por el área de seguridad en en un caso práctico propuesto en el desarrollo de la actividad
sistemas de información y auditoria de sistemas dentro de una inicial de este curso.
organización.

Para su desarrollo tomaremos un caso especial de una empresa Este articulo comprende el análisis de un caso de estudio
que presenta serios problemas de perdida de información donde una empresa presenta algunos problemas de seguridad,
valiosa, lo cual está afectando a gran escala la productividad de indicando la perdida de información confidencial, la cual se
la empresa y por ende llevándola al incumplimiento de las metas estaría filtrando hacia algunas empresas de la competencia,
trazadas. afectando los tiempos de respuesta de los sistemas de
información, la productividad y las metas por cumplir.
Finalmente se propone una solución que recomiende las mejores
prácticas para solucionar los inconvenientes presentados,
determinando su origen a través de una técnica denominada Para dar solución a estos problemas que está presentando esta
Ethical Hacking Focalizado aplicada a los sistemas de empresa se deberá hacer un estudio para determinar el origen
informáticos de esta organización. de los problemas presentes y proponer un plan de
mejoramiento que permita controlar perfectamente los
sistemas de información y así evitar la pérdida de este activo
Palabras clave— Seguridad, informática, auditoria de dentro de la organización, haciendo que esta vuelva a retomar
sistemas, perdida de información, Ethical Hacking.
sus niveles óptimos de producción y venta de sus productos.

Abstract— This document describes in general terms some


concepts that are part of computer security, making a small area
approaching the security in information systems and auditing II. ARTICULO
systems within an organization. El presente resumen se apoya en el articulo "Riesgos de
For its development we will take a special case of a company
CiberSeguridad en las Empresas", publicado por los doctores
that presents serious problems of loss of valuable information, Enrique Javier Santiago y Jesus Sanchez Allend, quienes
which is affecting large-scale enterprise productivity and thus destacan una creciente dependencia tecnológica en las
leading her failure to meet the goals. organizaciones de hoy, enfatizando en que además de los
beneficios inherentes a ella, es importante gestionar los
Finally a solution to recommend best practices to solve the riesgos asociados a la infraestructura tecnológica, a los
problems presented, determining its origin through a technique procesos de negocio, a las personas y a una gran cantidad de
called Ethical Hacking Focused applied to computer systems of
this organization is proposed. amenazas que podrían aprovechar sus vulnerabilidades y
comprometer de manera seria sus activos de información.
Keywords— S Security, information technology, auditing El articulo recopila los riesgos de seguridad a los que se
systems, loss of data, Ethical Hacking. encuentran expuestas las organizaciones actuales, enfatizando
en las amenazas digitales, la evolución del malware, el
aumento de los ataques informáticos y de las organizaciones
I. INTRODUCCIÓN cibercriminales.
La seguridad informática como disciplina que es incorpora El artículo inicia presentando una introducción a los
varios conceptos importantes que debe conocer perfectamente riesgos de seguridad a los que están expuestos las empresas,
el profesional en seguridad informática para desempañar este posteriormente destaca la importancia de la información, así
rol dentro cualquier tipo de empresa, sea esta pública o como el aumento de la dependencia tecnológica de las
privada. En este artículo no se abordaran todos los temas de organizaciones y los efectos no deseados que traen consigo la
la seguridad informática pero si serán mencionados algunos falta de monitorización de los activos de información.
De igual manera, se enfatiza en el artículo, sobre los

riesgos de la materialización de posibles incidentes de Chicano [2] para dar una solución a los problemas de
seguridad, el origen de las vulnerabilidades, los tipos de seguridad informática en la empresa PyR es necesario hacerle
vulnerabilidades y finalmente describe los principales ataques una auditoria a los sistemas informáticos que esta posee para
informáticos que podrían afectar la integridad, la proteger la información y los equipos o elementos que la
confidencialidad y la disponibilidad de los activos de resguardan.
información, así como los principales vectores de propagación
usados por los agresores. Por lo tanto lo primero que debería hacer el equipo auditor
es trazar un plan de trabajo que le permita conocer toda la
I. RESUMEN información que se considere pertinente, desde información
organizacional hasta la información de los sistemas
informáticos. Esta etapa de recolección de información se
Importancia de la Información para las Organizaciones
puede hacer de distintas formas desde visitas con el propósito
Los autores resaltan la importancia de la información en la de observar el funcionamiento de todos los procesos
organizaciones de hoy, considerándolas el activo más administrativos e informáticos donde se van haciendo las
importante, destacando que de la completitud, disponibilidad, anotaciones que el auditor considere importantes hasta
integridad y calidad de la misma son la base del exito de la entrevistas a los usuarios que interactúan con los sistemas
operación corporativa informáticos de distintos niveles jerárquicos y la solicitud de
razón vamos a ver algunos conceptos importantes a documentación corporativa como manuales de funciones y
continuación: guías de uso de los sistemas informáticos.

Ethical Hacker: Se define con este concepto a los Una vez recolectada toda la información necesaria es
“profesionales de la seguridad informática que utilizan sus momento de trazar el plan de auditoria donde se describen los
conocimientos de Hacking con fines defensivos” [1] y no objetivos de esta, el alcance que nos permite definir a su vez
ofensivo, en el cual su función principalmente será el tipo de auditoria si es general o si es específica a uno o
determinar lo que un intruso puede hacer en un sistema de varios sistemas en particular.
información y evitar o contrarrestar los ataques producidos
por este intruso. Con el plan de auditoria elaborado quedan definidos varios
aspectos sobre el procedimiento a seguir durante la
Fig. 1. Protección de la Información realización de la auditoria, entre los cuales según Ester
Chicano los mínimos deben ser:
Objetivos y alcance de la auditoria, criterios utilizados,
identificación de las áreas que serán auditadas, identificación
del personal y de las funciones de las áreas auditadas,
identificación de los aspectos de calidad, identificación de la
documentación de referencia, tiempo y duración estimados de
las entrevistas iniciales, ubicación de la auditoria y fechas
estimadas, cronograma de las reuniones, requerimientos,
contenido, formato y estructura del informe final.

Definido el plan de auditoria se procede a su


implementación, lo cual significa de acuerdo a una
metodología previamente diseñada en el plan de trabajo
realizar una serie de test o pruebas rigurosas que le permitirá
al equipo auditor determinar las fortalezas y debilidades
encontradas a los sistemas informáticos.
Fuente: Hacking desde cero
Existen una serie de pruebas que normalmente se realizan
Auditoria informática: La auditoría informática “consiste en en los procesos de auditorías de sistemas informáticos, las
una serie de técnicas y procedimientos realizados con el cuales tendrían aplicación en este contexto, como obtención
objetivo de evaluar y controlar un sistema de información, y de información a través de entrevistas, cuestionarios, uso de
el objetivo de avaluar es proteger los activos y recursos del aplicaciones especializadas, etc. Pero para este caso también
sistema de información mediante una ejecución correcta, se utilizaría una prueba muy especial denominada Ethical
eficiente y productiva de las actividades que se llevan a cabo Hacking.
en todo el proceso del sistema” [2].
El Ethical Hacking permite evaluar la seguridad de los
Estos dos conceptos van a ser la base para la realización de la sistemas informáticos a través de múltiples pruebas de ataque
propuesta que conlleve a la solución de perdida de a un sistema de información pero de manera controlada,
información en la empresa mencionada en el caso de estudio. utilizando herramientas que con uso adecuado evitan causar
daño a la información de los sistemas informáticos. Es
II. SINTESIS importante mencionar que estas pruebas deben ser realizadas
por expertos que normalmente son profesionales en seguridad
Según los principios de auditoria de sistemas o auditoria de
seguridad informática como se menciona en el libro de Ester
informática y para ser realizadas deben ser autorizadas por
escrito por los directivos de la empresa. Fig. 2.

Fig. 2. Sistema vulnerable

Fuente: Hacking desde cero

Finalmente esta prueba va a permitir determinar si existen


vulnerabilidades en el sistema de información para proceder
con las recomendaciones de mejoras y control que se
entregarían en un informe final por parte del equipo auditor.

El informe final de la auditoria según E. Chicano en su libro


Auditoria de Seguridad Informática [2], debe contener al
menos la siguiente información:

a. Fecha emisión del informe.


b. Alcance de la auditoria.
Fuente: Auditoria de Seguridad Informática
c. Descripción de la metodología
d. Documentación revisada de la auditoria.
e. Pruebas de auditoria realizadas. III. CONCLUSIONES
f. Fechas en las que se realizó el proceso de auditoría.
g. Limitaciones detectadas en la realización de las pruebas. Este artículo demostró cuán importante es la seguridad de la
h. Informe ejecutivo. información en las empresas y los riesgos a los cuales
i. Recomendaciones conlleva un inadecuado sistema de gestión de seguridad de la
j. Anexos información o la ausencia de este en una organización donde
k. Firma del auditor o auditores se considere la información como uno de los principales
activos.

Hay tres aspectos fundamentales a tener en cuenta en el tema


de la seguridad informática dentro de una empresa, estos son
la Confidencialidad, donde un documento o información
Fig. 3. Formato plan de auditoria debe ser accesible y verificada solo por el personal autorizado.
La Disponibilidad, que hace referencia a que esta
información esté disponible en el momento que sea requerida
por el personal autorizado. Y La Integridad, cualidad donde
se validad que un documento o cierta información no ha sido
modificada o alterada.

IV. AGRADECIMIENTOS

V. REFERENCIAS
[1] D. Benchimol. Hacking. 1 ed. Buenos Aires: Fox Andina;
Banfield – Lomas de Zamora: Gradi, 2011. 192p. ISBN 978-
987-1773-03-9

[2] E. Chicano. Auditoria de Seguridad Informática. Madrid


España: IC Editorial, 2014. Obtenido de:
http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.actio
n?docID=11126290&p00=seguridad+en+sistemas+operativos

VI. BIOGRAFÍA

Roberto Rodríguez nació en Colombia – Sincelejo, el 6


de septiembre de 1974. Se graduó de la Unidades
Tecnológicas de Santander UTS, en Tecnología en
Electricidad, luego se graduó de la Universidad nacional
Abierta y a Distancia UNAD en Ingeniería de Sistemas y
estudia actualmente en la misma universidad su
especialización en Seguridad Informática.

Su experiencia profesional esta enfocada a la interventoría,


coordinación y gerencia de proyectos relacionados con implementación de las
TIC en todos los sectores de la sociedad.