Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Anteliz Suárez José Luis, Ayala Torres Luz Marina, Moreno Beltrán Ruth Claudia
Florez Tunaroza Danilo Jherson, Urrego Duvan Esteban
Universidad Nacional Abierta y a Distancia – UNAD
Colombia
joseanteliz2@gmail.com, Ayala.luz@gmail.com, ruclamo@gmail.com,dani07florez@gmail.com,
deuf19@gmail.com
Resumen—El gobierno colombiano requiere conformar un hecho, la información es la base del negocio en muchos casos.
grupo especializado en Seguridad Informática por lo que Con el fin de apoyar el procesamiento de los datos, se hace
deciden convocar inicialmente a un ingeniero experto en uso de las denominadas Tecnologías de Información o TI, que
seguridad para que se encargue de explicar al gobierno abarcan el hardware, el software, la tecnología de redes, etc.
algunos conceptos básicos de Seguridad informática para La Seguridad Informática se refiere entonces a salvaguardar la
convencer e iniciar la conformación del grupo. El grupo confidencialidad e integridad de la información que es
llevará por nombre HACKGOV. El experto en seguridad procesada, transmitida y/o almacenada mediante TI,
plantea mencionar dentro de las temáticas lo siguiente: garantizando a la vez su disponibilidad. La confidencialidad
seguridad informática y seguridad de la información, consiste en que solo debe tener acceso a la información quien
responsabilidades en la seguridad informática, cobit, itil, haya sido autorizado; por su parte la integridad consiste en que
conocimientos básicos de un experto en seguridad no debe haber alteraciones no deseadas o no autorizadas, es
informática, importancia de invertir en seguridad
decir, la información debe ser consistente y fidedigna. Por
informática, una vez finalice sabe que debe exponer de
último, la disponibilidad se relaciona con la posibilidad de
forma entendible para los directivos del gobierno los
acceso al recurso por parte de un usuario autorizado.
cuales desean contribuir para conformar el grupo
HACKGOV.
Fig. 1 Seguridad de la Información y Seguridad Informática
Entonces, se podría decir que la Seguridad de la Información Tabla 1. Comparación COBIT, ITIL E ISO
abarca todo un sistema de gestión, mientras que la Seguridad Elemento COBIT ITIL ISO 27000 ISO 27001
Informática es un proceso dentro de dicho sistema; la Alcance Mejores Mejores Estándar Estándar
Seguridad de la Información se mueve a nivel estratégico, prácticas prácticas en TI Terminología requisitos de un
Gobierno de de un SGSI SGSI
mientras que la Seguridad Informática es de nivel táctico y TI
operativo. Aunque los términos se usen de forma indistinta, Estructura 34 objetivos 5 etapas: 5 secciones y 8 secciones, 130
hay diferencias considerables en su alcance e implementación. de control de Estrategia, dos anexos requisitos
alto nivel y Diseño,
318 objetivos Transición,
de control Operación y
II. COBIT, ITIL, ISO27000 E ISO 27001 detallados Mejora
Continua del
COBIT, Control Objectives for Information and related Servicio.
Technology – Objetivos de control para la información y Mejora Ciclo de Enfoque de Sólo a nivel Ciclo de
continua mejora siete pasos de definición Deming
tecnologías relacionadas es un framework o marco de trabajo
continua
para el gobierno de TI que actualmente está estructurado en 34 (ciclo de
procesos agrupados en 4 dominios; proporciona las Deming)
herramientas para dirigir y supervisar todas las actividades Nivel Estratégico y Organizacional, Aplicable a Planeación e
organizaciona Técnico y todo tipo de implementación
relacionadas con TI [1]. El concepto de Gobierno de TI surge l del negocio procedimental organización de SGSI
de la necesidad de involucrar a la alta dirección en la en relación de los servicios
comprensión, control y guía de sus actividades de TI, puesto con las TI de TI
que estas, así como son críticas para el éxito empresarial,
implican la administración de recursos que de por sí son Por otra parte, COBIT e ITIL parecen estar concebidos para
escasos y además supone riesgos que repercuten en todos los niveles distintos de la organización, pero en realidad se trata
niveles. de perspectivas: el punto de partida de COBIT es la alta
dirección, mientras que ITIL lo enfoca desde la gestión misma
En cuanto a ITIL, Information Technology Infrastructure de TI. Las implementaciones recientes de ambos se orientan a
Library – Biblioteca de Infraestructura de Tecnología de la lograr una alineación con otros marcos de trabajo y estándares.
Información, es un conjunto de mejores prácticas para
servicios de TI, publicado originalmente por la OGC (Office
of Government Commerce) del gobierno británico en los años III. CONOCIMIENTOS MÍNIMOS DE UN PROFESIONAL DE
1980, y que hoy en día es propiedad de la empresa Axelos. La SEGURIDAD INFORMÁTICA.
versión 3 ha tenido dos ediciones, la más reciente del año
2011, y está compuesta por 26 procesos soportados por cuatro De acuerdo con los objetivos específicos de la Seguridad
funciones organizacionales. En el año 2019 se liberó ITIL V4, Informática, el profesional debe minimizar los riesgos y
pero para efectos del presente trabajo nos referiremos a la detectar los riesgos y fallas de seguridad gestionando los
ITIL V3; ITIL pretende ofrecer una definición común de mismos, garantizar la adecuada utilización de los recursos
conceptos y vocabulario relacionados con la gestión de TI y físicos tecnológicos y su aplicaciones, limitar las pérdidas y
alineados con estándares internacionales [2] conseguir la adecuada recuperación del sistema en caso de un
incidente de seguridad y cumplir con el marco legal y con los
Por su parte ISO27000 e ISO 27001 son estándares publicados requisitos impuestos por los clientes en sus contratos, por
medio de cuatro puntos de vista:
por la ISO, International Organization for Standardization,
orientados específicamente a la Seguridad de la Información.
Técnico: Tanto a nivel físico como a nivel lógico. En este
La ISO 27000 contiene el glosario de la norma, es decir los caso el profesional de seguridad informática debe tener
términos utilizados en la serie de normas de seguridad, y su conocimientos de seguridad de redes, sistemas operativos,
versión más reciente es de 2018. La ISO 27001 es la norma estar actualizado en sistemas y tipos de virus informáticos, así
certificable, esto es, la que establece los requisitos de un como sus variantes, conocer los tipos de filtros de seguridad
Sistema de Gestión de Seguridad de la Información. perimetral como firewalls, servidores proxy que se deban
implementar para contrarrestar ataques informáticos,
En la Tabla 1 se muestran algunos elementos de comparación implementar herramientas criptográficas para evitar el robo de
entre los cuatro marcos de referencia anteriores; información y contraseñas, recomendar la aplicación de
adicionalmente se puede concluir que mientras que COBIT e certificados digitales que aseguren un ingreso transparente a
ITIL son recopilaciones de buenas prácticas, ISO lo es de las aplicaciones web evitando el Phishing, parchado de
requisitos a cumplir, pero ninguno de ellos especifica el equipos de computo cliente y servidores para evitar
“cómo” hacer las cosas. Los estándares como ISO 27000
vulnerabilidades y huecos de seguridad, que pueda ser a prevención y contramedidas ante amenazas a los recursos de
provechada por un atacante por medio de un virus informático. información confidencial. De igual forma se refiere a los
mecanismos y controles de seguridad dentro y alrededor del
Legal: Rigiéndose por los estándares y normatividad que le centro de cómputo, medios de acceso remoto hacia él y desde
corresponda según la necesidad que se quiere cubrir, como en el mismo y son implementados para proteger el hardware y
puede ser el caso de una entidad financiera, con el fin de tener medios de almacenamiento de estos.
un estándar que haga cumplir las normas que se definan,
acogiéndose a normas estatales, propiedad intelectual, firmas Fig. 3 Seguridad Física: Dispositivos control de acceso
digitales, código penal.
Los sistemas de información están expuestos a amenazas de Medidas más utilizadas para salvaguardar la
todo tipo, por este motivo es importante tener en cuenta los disponibilidad
siguientes pasos: saber cómo identificarlas, poder evaluarlas y mecanismos de control de acceso.
analizarla, y por último tomar medidas de seguridad que se monitorización del tráfico y recursos de red
adoptarán para tratar de mitigar el riesgo. En este último paso incluyendo servidores.
se aprende a controlar el riesgo, ya que eliminarlo al 100% no Cortafuegos.
es posible o es poco probable. Es importante que cada medida sistemas redundantes, copias de respaldo de
de seguridad que se lleve a cabo debe aplicarse en función de seguridad.
un contexto determinado, tomando como base lo anterior se
expondrá las dimensiones de la seguridad informática. Autenticación: Es la situación en la cual se puede
verificar la veracidad de un usuario, su objetivo consiste
Confidencialidad: La información debe ser accesible en garantizar un grado aceptable de confianza al
únicamente a las personas autorizadas. Esto comprende autenticar un usuario (contraseña, certificado digital o
también la privacidad (Protección de datos personales). Su acceso biométrico) que intenta acceder a un recurso o un
objetivo consiste en garantizar que los datos solamente pueden servicio.
ser leídos por sus destinatarios. Ataques más frecuentes de autenticación:
Ataques más frecuentes a la confidencialidad: Shoulder surfing
Acceso remoto no autorizado. keylogger
Acceso a archivos no autorizado. SAM de Windows
Sniffer de red.
Medidas más utilizadas para salvaguardar la
Medidas más utilizadas para salvaguardar la Autenticación:
confidencialidad: mecanismos de ingeniería social.
Cifrado de datos. Auditorias.
Listas de control de acceso. registros de actividad (logs).
Privilegios de acceso.
Cortafuegos. No repudio: Permite probar las partes en una comunicación
Ssh. frente a un tercero.
El no repudio busca hacer disponible y validar una evidencia
Integridad: La información debe mantenerse completa en relación a un suceso o acción con el fin de resolver disputas
(íntegra) y libre de cualquier manipulación, de manera que acerca del suceso. El no repudio es un servicio típicamente
sean confiables. ofrecido por medio de una firma electrónica. Se clasifica de
dos formas:
No repudio de origen: Se utiliza para impedir la negación de
un emisor de haber enviado los datos.
No repudio de entrega: Se utiliza para impedir la negación de modelo, efectuando una eficiente administración del riesgo,
un destinatario de haber recibido los datos. como se muestra en la Fig. 7.
Las grandes y medianas empresas son las más atacadas, según Fig. 7 Defensa en Profundidad
un estudio sobre seguridad y crimen informático del Computer
Security Institute, en adelante CSI, arroja datos en los que se
estiman pérdidas de los sistemas analizados en más de 141
millones de dólares [5] por problemas de seguridad la teoría
de que en seguridad informática el dinero que se gasta es: o
bien antes, en proteger, o posteriormente, en recuperar
información.
El CSI y el FBI realizan este estudio anualmente en base a
encuestas a empresas, se pueden clasificar dos tipos de
amenazas. amenazas externas: son los hackers y el malware,
amenazas internas: procedentes de empleados y personal
interno, que pueden causar daños severos en los sistemas
informáticos, ya sea de forma deliberada o sin intención.
7. Nivel de datos: listas de control de acceso (ACL) y Planes de recuperación y preparación para desastres
cifrado de datos. Estrategias de selección de personal y separación
Registro y contabilidad de personal
VII. SISTEMAS DE CONTROL DE ACCESO
Por su grado de complejidad se pueden clasificar los controles
de acceso en:
Un sistema de control de acceso es un mecanismo que nos
permite controlar quien tiene acceso a qué, ayudándonos a Autónomos: Este como su nombre lo indica no requiere
proteger la confidencialidad, integridad y disponibilidad de la ningún tipo de gestión, disponiendo de memoria y de
información, dado que permiten que los usuarios autorizados capacidad de gestionar los usuarios.
solo accedan a los recursos que tienen permisos y evita que
usuarios no autorizados puedan acceder a información, Gestionados: Este tipo de control de acceso dispone de un
contando con tres pasos: aplicativo que es el encargado de controlar accesos a recursos,
La identificación permisos, horarios y realizar monitoreo de del sistema.
Autenticación Corporativos: busca la integración multi-plataforma para la
Autorización gestión de cualquier solución de acceso entre los que se
encuentra: CCTV, intrusión, accesos de vehículos, interfonía,
Los Controles de acceso se clasifican en tres principales: alertas, mensajería, gestión de activos, ciberseguridad (accesos
físicos/lógicos), sistemas de control de asistencia o presencia,
Controles físicos etc.
Este control se implemente en una infraestructura definida, se
encarga de detener o identificar acceso de un individuo u
objeto, entre los que se encuentran: Fig. 9 Reloj Biométrico Huella Red K40 Zk
Tarjetas inteligentes
Autenticación a nivel de la red
Listas de control de acceso (ACLs)
Software de auditoría de integridad de archivos
Fig. 10 Blue Profesional como durante su transmisión a los clientes dentro y fuera de la
empresa excepto el administrador.
Es decir, un Hacker ético genera ataques controlados a También se abordó el concepto de Defensa en Profundidad,
sistemas digitales con ambientes controlados que reúnen todos que se fundamenta en la redundancia de controles para
los permisos y autorizaciones para realizar estas acciones. minimizar el riesgo de intrusiones, mediante un modelo de
Mientras que un Hacker no ético o delincuente informático capas de protección. Entre los mecanismos empleados para
genera ataques a los sistemas sin los permisos respectivos, que este finalidad se encuentran los sistemas de control de acceso
si es descubierto es sancionado. que pueden involucrar dispositivos tanto autónomos como de
red, pero también pueden ser técnicos y administrativos.
El mundo digital en la actualidad afronta retos son muy
grandes. Los mayores activos de las empresas es la El componente humano de la Seguridad Informática y de la
información y la protección de sus datos, y en su afán de Información también se abordó en este trabajo, realizando una
protegerla por ahorrar recursos contratan a gancho ciego caracterización de dos tipos de personas: el responsable de la
funcionarios en seguridad informática y terminan siendo Seguridad Informática y su antagonista, el delincuente
víctimas y dependientes de éstos. Es ahí la importancia de informático. El término Hacker puede aplicarse a ambos,
tener claridad en lo que se quiere, lo que se desea proteger e teniendo en cuenta que el profesional de Seguridad puede y
indagar ampliamente sobre la persona que estará al frente de debe tener competencia como Hacker ético o White Hacker,
esta tarea para evitar contratiempos. empleando su conocimiento para descubrir vulnerabilidades
que contribuyan a mejorar la seguridad de sus sistemas
informáticos. Por otra parte, el delincuente informático se
podría denominar como Black Hacker, esto es que aplica sus
habilidades (ya sea a nivel aficionado o profesional) para
causar daño.
XII. VIDEO DE PRESENTACIÓN XIV. BIOGRAFÍA
El video unificado se puede descargar de:
https://drive.google.com/file/d/1EZKKN000_gwbklAQimbIz5 José Luis Anteliz Suarez nació en
AOf1_LVQB3/view?usp=sharing Colombia – Pamplona (Norte de Santander),
el 24 de Diciembre de 1981. Se graduó de
También se puede ver en Youtube en el siguiente vínculo: la Corporación Universitaria de Ciencia y
https://youtu.be/x_QK-r8FvBU Desarrollo - UNICIENCIA, en Ingeniería
Informática, actualmente cursa una
Especialización en Seguridad Informática en
XIII. BIBLIOGRAFÍA la Universidad Nacional Abierta y a
Distancia – UNAD Su experiencia profesional se ha llevado a
cabo en la dirección de infraestructura en una entidad
[ IT Governance Institute, «Alineando COBIT 4.1, ITILV3 e financiera desempeñándose como profesional de plataforma
1 ISO/IEC 27002 en beneficio de la empresa,» 2008. [En cliente.
] línea]. Available: Alineando COBIT 4.1, ITIL V3 e
ISO/IEC 27002 en beneficio de la empresa. [Último acceso:
07 04 2019]. Luz Marina Ayala Torres es Ingeniera de
[ S. Joret, «Everything you wanted to know about ITIL in one Sistemas egresada de la Universidad Antonio
2 thousand words!,» 02 2019. [En línea]. Available: Nariño- en el año 2.002. Cursa actualmente
] https://www.axelos.com/case-studies-and-white- la Especialización en Seguridad Informática
papers/everything-you-wanted-know-about-itil-1000-words. en la Universidad Nacional Abierta y a
[Último acceso: 07 04 2019]. Distancia – UNAD. Se ha desempeñado
[ A. Gómez Vieites, Enciclopedia de la Seguridad como ingeniero de Soporte en el Hospital
3 Informática. 2a. Edición Actualizada, Madrid, España: RA- Universitario Erasmo Meoz - Cúcuta. Actualmente labora en
] MA Editorial, 2011. una firma que vende Soluciones Informáticos Servitec
Ingenieros S.A.S.
[ L. Y. Espejo Romero, «Seguridad Informática - Blogspot,»
4 29 03 2017. [En línea]. Available: Ruth Claudia Moreno Beltrán es Ingeniera de Sistemas
] http://uniminuto2017seguridadinf.blogspot.com/2017/03/se egresada de la Universidad Industrial de
guridad-fisica.html. [Último acceso: 04 04 2019]. Santander - UIS en el año 2.002. Cursa
[ G. Alvarez Marañón y P. P. Pérez García, Seguridad actualmente la Especialización en
5 informática para empresa y particulares, McGraw-Hill Seguridad Informática en la Universidad
] Interamericana de España, 2004. Nacional Abierta y a Distancia – UNAD.
[ J. A. Calvo Sánchez, «Metodología para la implementación Se ha desempeñado en Desarrollo
6 del modelo de arquitectura de Seguridad de la Información Software en particular en aplicaciones
] (MASI),» 2010. [En línea]. Available: Web, Ingeniería del Software, Auditoría de Calidad y Soporte
https://repository.upb.edu.co/bitstream/handle/20.500.1191 Tecnológico. Actualmente labora en una Cooperativa de
2/1007/digital_19847.pdf?sequence=1. [Último acceso: 04 Ahorro y Crédito de Bucaramanga.
04 2019].
[ «Seguridad Física y Lógica,» 2015. [En línea]. Available: Duvan Esteban Urrego Fernandez es
7 https://slideplayer.es/slide/4201267. [Último acceso: 04 04 Ingeniero de Sistemas egresado de la
] 2019]. Universidad de Cundinamarca en el año
2014. Se desempeña como Ingeniero de
[ C. Dussan, «Slideshare - Que es ergonomía y seguridad Soporte en una empresa dedicada a
8 tecnológica,» 30 07 2013. [En línea]. Available: prestar soluciones de seguridad
] https://es.slideshare.net/camiladussan12/que-es-ergonoma- informática, en este momento cursa 1
y-seguridad-tecnologica. [Último acceso: 04 04 2019]. semestre de la Especialización en
[ J. A. Moreno López, «Defensa en Profundidad,» 2015. [En Seguridad Informática de la UNAD.
9 línea]. Available:
] http://polux.unipiloto.edu.co:8080/00001345.pdf.