Grupo especializado en Seguridad HACKGOV

Anteliz Suárez José Luis, Ayala Torres Luz Marina, Moreno Beltrán Ruth Claudia
Florez Tunaroza Danilo Jherson, Urrego Duvan Esteban
Universidad Nacional Abierta y a Distancia – UNAD
Colombia
joseanteliz2@gmail.com, Ayala.luz@gmail.com, ruclamo@gmail.com,dani07florez@gmail.com,
deuf19@gmail.com


Resumen—El gobierno colombiano requiere conformar un
grupo especializado en Seguridad Informática por lo que
deciden convocar inicialmente a un ingeniero experto en
seguridad para que se encargue de explicar al gobierno
algunos conceptos básicos de Seguridad informática para
convencer e iniciar la conformación del grupo. El grupo
llevará por nombre HACKGOV. El experto en seguridad
plantea mencionar dentro de las temáticas lo siguiente:
seguridad informática y seguridad de la información,
responsabilidades en la seguridad informática, cobit, itil,
conocimientos básicos de un experto en seguridad
informática, importancia de invertir en seguridad
informática, una vez finalice sabe que debe exponer de
forma entendible para los directivos del gobierno los
cuales desean contribuir para conformar el grupo
HACKGOV.
hecho, la información es la base del negocio en muchos casos.
Con el fin de apoyar el procesamiento de los datos, se hace
uso de las denominadas Tecnologías de Información o TI, que
abarcan el hardware, el software, la tecnología de redes, etc.
La Seguridad Informática se refiere entonces a salvaguardar la
confidencialidad e integridad de la información que es
procesada, transmitida y/o almacenada mediante TI,
garantizando a la vez su disponibilidad. La confidencialidad
consiste en que solo debe tener acceso a la información quien
haya sido autorizado; por su parte la integridad consiste en que
no debe haber alteraciones no deseadas o no autorizadas, es
decir, la información debe ser consistente y fidedigna. Por
último, la disponibilidad se relaciona con la posibilidad de
acceso al recurso por parte de un usuario autorizado.
Fig. 1 Seguridad de la Información y Seguridad Informática

Palabras clave— Seguridad informática, Seguridad de la

Información, COBIT, ITIL, ISO27000, ISO27001.

Abstract— The Colombian government needs to form a

specialized group in IT Security, so they decide that an
expert security engineer will be responsible for clarifying
some basic concepts on Computer Security to contextualize
the government and initiate the conformation of the group.
The group will be called HACKGOV. The security expert
exposes the following topics: IT security and information
security, responsibilities in IT security, COBIT, ITIL,
basic knowledge of an expert in IT security, importance of
investing in IT security. Once finished, he knows that he
must explain in an understandable way to the government
officials who wish to contribute to the HACKGOV group.
Sin embargo, por más que se emplee la tecnología más
Keywords— IT Security, Information Security, COBIT,
avanzada y “segura” para proteger la información, existen
ITIL, ISO27000, ISO 27001.
riesgos que la Seguridad Informática no alcanza a cubrir; las
I. SEGURIDAD INFORMÁTICA Y SEGURIDAD DE LA vulnerabilidades pueden estar en cualquier parte, no solamente
INFORMACIÓN
en el aspecto tecnológico, y el impacto de una falla de
seguridad puede tener repercusión en los procesos misionales
Se entiende la información como un conjunto o serie de datos de la organización. Además de la tecnología, una organización
que han sido recolectados, organizados y procesados con el fin cuenta con personas (recurso humano) y procesos: estos
de dotarlos de comprensión y utilidad para determinado elementos también son fuente de amenazas a la seguridad. Por
propósito; el aprovechamiento de la información permite la esta razón se habla de Seguridad de la Información, que es la
toma de decisiones y es la base de la gestión de conocimiento. disciplina orientada a proteger la integridad, confidencialidad
En este orden de ideas, la protección de la información es un y disponibilidad de la información, independientemente del
tema de vital importancia para cualquier organización, de medio en el que ésta se encuentre contenida, es decir no se
centra únicamente en el aspecto tecnológico, sino que concibe
la seguridad como objeto de un sistema de gestión, en el cual sirven para proporcionar orientación sobre la terminología,
se identifican y evalúan riesgos, y se implementan controles pero no son certificables, esto es, no definen requisitos que
para reducir o eliminar tales riesgos. puedan ser auditados y certificados, como lo es la ISO 27000.

Entonces, se podría decir que la Seguridad de la Información Tabla 1. Comparación COBIT, ITIL E ISO
abarca todo un sistema de gestión, mientras que la Seguridad Elemento COBIT ITIL ISO 27000 ISO 27001
Informática es un proceso dentro de dicho sistema; la Alcance Mejores Mejores Estándar Estándar
Seguridad de la Información se mueve a nivel estratégico, prácticas prácticas en TI Terminología requisitos de un
Gobierno de de un SGSI SGSI
mientras que la Seguridad Informática es de nivel táctico y TI
operativo. Aunque los términos se usen de forma indistinta, Estructura 34 objetivos 5 etapas: 5 secciones y 8 secciones, 130
hay diferencias considerables en su alcance e implementación. de control de Estrategia, dos anexos requisitos
alto nivel y Diseño,
318 objetivos Transición,
de control Operación y
II. COBIT, ITIL, ISO27000 E ISO 27001 detallados Mejora
Continua del
COBIT, Control Objectives for Information and related Servicio.
Technology – Objetivos de control para la información y Mejora Ciclo de Enfoque de Sólo a nivel Ciclo de
continua mejora siete pasos de definición Deming
tecnologías relacionadas es un framework o marco de trabajo
continua
para el gobierno de TI que actualmente está estructurado en 34 (ciclo de
procesos agrupados en 4 dominios; proporciona las Deming)
herramientas para dirigir y supervisar todas las actividades Nivel Estratégico y Organizacional, Aplicable a Planeación e
organizaciona Técnico y todo tipo de implementación
relacionadas con TI [1]. El concepto de Gobierno de TI surge l del negocio procedimental organización de SGSI
de la necesidad de involucrar a la alta dirección en la en relación de los servicios
comprensión, control y guía de sus actividades de TI, puesto con las TI de TI
que estas, así como son críticas para el éxito empresarial,
implican la administración de recursos que de por sí son Por otra parte, COBIT e ITIL parecen estar concebidos para
escasos y además supone riesgos que repercuten en todos los niveles distintos de la organización, pero en realidad se trata
niveles. de perspectivas: el punto de partida de COBIT es la alta
dirección, mientras que ITIL lo enfoca desde la gestión misma
En cuanto a ITIL, Information Technology Infrastructure de TI. Las implementaciones recientes de ambos se orientan a
Library – Biblioteca de Infraestructura de Tecnología de la lograr una alineación con otros marcos de trabajo y estándares.
Información, es un conjunto de mejores prácticas para
servicios de TI, publicado originalmente por la OGC (Office
of Government Commerce) del gobierno británico en los años III. CONOCIMIENTOS MÍNIMOS DE UN PROFESIONAL DE
1980, y que hoy en día es propiedad de la empresa Axelos. La SEGURIDAD INFORMÁTICA.
versión 3 ha tenido dos ediciones, la más reciente del año
2011, y está compuesta por 26 procesos soportados por cuatro De acuerdo con los objetivos específicos de la Seguridad
funciones organizacionales. En el año 2019 se liberó ITIL V4, Informática, el profesional debe minimizar los riesgos y
pero para efectos del presente trabajo nos referiremos a la detectar los riesgos y fallas de seguridad gestionando los
ITIL V3; ITIL pretende ofrecer una definición común de mismos, garantizar la adecuada utilización de los recursos
conceptos y vocabulario relacionados con la gestión de TI y físicos tecnológicos y su aplicaciones, limitar las pérdidas y
alineados con estándares internacionales [2] conseguir la adecuada recuperación del sistema en caso de un
incidente de seguridad y cumplir con el marco legal y con los
Por su parte ISO27000 e ISO 27001 son estándares publicados requisitos impuestos por los clientes en sus contratos, por
medio de cuatro puntos de vista:
por la ISO, International Organization for Standardization,
orientados específicamente a la Seguridad de la Información.
Técnico: Tanto a nivel físico como a nivel lógico. En este
La ISO 27000 contiene el glosario de la norma, es decir los caso el profesional de seguridad informática debe tener
términos utilizados en la serie de normas de seguridad, y su conocimientos de seguridad de redes, sistemas operativos,
versión más reciente es de 2018. La ISO 27001 es la norma estar actualizado en sistemas y tipos de virus informáticos, así
certificable, esto es, la que establece los requisitos de un como sus variantes, conocer los tipos de filtros de seguridad
Sistema de Gestión de Seguridad de la Información. perimetral como firewalls, servidores proxy que se deban
implementar para contrarrestar ataques informáticos,
En la Tabla 1 se muestran algunos elementos de comparación implementar herramientas criptográficas para evitar el robo de
entre los cuatro marcos de referencia anteriores; información y contraseñas, recomendar la aplicación de
adicionalmente se puede concluir que mientras que COBIT e certificados digitales que aseguren un ingreso transparente a
ITIL son recopilaciones de buenas prácticas, ISO lo es de las aplicaciones web evitando el Phishing, parchado de
requisitos a cumplir, pero ninguno de ellos especifica el equipos de computo cliente y servidores para evitar
“cómo” hacer las cosas. Los estándares como ISO 27000
vulnerabilidades y huecos de seguridad, que pueda ser a
provechada por un atacante por medio de un virus informático.
Legal: Rigiéndose por los estándares y normatividad que le
corresponda según la necesidad que se quiere cubrir, como en
puede ser el caso de una entidad financiera, con el fin de tener
un estándar que haga cumplir las normas que se definan,
acogiéndose a normas estatales, propiedad intelectual, firmas
digitales, código penal.
prevención y contramedidas ante amenazas a los recursos de
información confidencial. De igual forma se refiere a los
mecanismos y controles de seguridad dentro y alrededor del
centro de cómputo, medios de acceso remoto hacia él y desde
el mismo y son implementados para proteger el hardware y
medios de almacenamiento de estos.
Fig. 3 Seguridad Física: Dispositivos control de acceso

Humano: Mediante la realización de campañas de formación

y sensibilización a los empleados para que adquieran el hábito
de asegurar ellos mismos los procesos que se deben llevar a
cabo, toda vez que se involucre o se comprometa la seguridad
física y lógica de la organización.

Organizativo: Definición e implantación de políticas de

seguridad, planes, normas, procedimientos y buenas prácticas
de actualización. Tomando como referencia por ejemplo el
estándar COBIT, para la elaboración lineamientos de auditoria
o para crear su política de Gestión Informática o framework
como ITIL para tomar como marco de referencia para la
elaboración de estas.

Fig. 2 Conocimientos mínimos de un Profesional de Seguridad

Informática

Fig. 4 Seguridad Física: Dispositivos Vigilancia

Fuente Enciclopedia de la seguridad informática [3]

De igual forma debe tener conocimiento de los riesgos de Seguridad Tecnológica:

tener información sensible, como protegerla, asegurando su
integridad, confidencialidad, disponibilidad, pero controlando
los accesos y realizando copias de seguridad.
IV. SEGURIDAD FÍSICA Y SEGURIDAD TECNOLÓGICA
Seguridad Física:
Es todo lo relacionado con la seguridad y la protección de
todos los bienes tangibles de los sistemas computacionales de
la empresa, tales como hardware, periféricos y equipos
asociados a las instalaciones eléctricas, las instalaciones de
comunicación y de datos. Consiste en la aplicación de barreras
físicas y procedimientos de control, como medidas de
Se enfoca en la protección de la infraestructura computacional
y todo lo relacionado con esta y especialmente, la información
contenida o circulante. Para ellos existen una serie de
estándares, protocolos métodos, reglas, herramientas y leyes
concebidas para minimizar los posibles riesgos a la
infraestructura o a la información. La seguridad informática
comprende software (bases de datos, metadatos, archivos),
hardware y todo lo que la organización valore y signifique un
riesgo si esta información llega a manos de otras personas,
convirtiéndose, por ejemplo, en información privilegiada.
 Fig. 5 Seguridad Lógica
Fuente: [4]
V. DIMENSIONES DE LA SEGURIDAD INFORMÁTICA Y SU
IMPORTANCIA EN LAS ORGANIZACIONES
La Seguridad de la Información de define como la gestión de
la seguridad esto es el resultado de operaciones realizadas por
personas y soportada por la tecnología,
Los sistemas de información están expuestos a amenazas de
todo tipo, por este motivo es importante tener en cuenta los
siguientes pasos: saber cómo identificarlas, poder evaluarlas y
analizarla, y por último tomar medidas de seguridad que se
adoptarán para tratar de mitigar el riesgo. En este último paso
se aprende a controlar el riesgo, ya que eliminarlo al 100% no
es posible o es poco probable. Es importante que cada medida
de seguridad que se lleve a cabo debe aplicarse en función de
un contexto determinado, tomando como base lo anterior se
expondrá las dimensiones de la seguridad informática.
Confidencialidad: La información debe ser accesible
únicamente a las personas autorizadas. Esto comprende
también la privacidad (Protección de datos personales). Su
objetivo consiste en garantizar que los datos solamente pueden
ser leídos por sus destinatarios.
 Ataques más frecuentes a la confidencialidad:
 Acceso remoto no autorizado.
 Acceso a archivos no autorizado.
 Sniffer de red.
 Medidas más utilizadas para salvaguardar la
confidencialidad:
 Cifrado de datos.
 Listas de control de acceso.
 Privilegios de acceso.
 Cortafuegos.
 Ssh.
Integridad: La información debe mantenerse completa
(íntegra) y libre de cualquier manipulación, de manera que
sean confiables.
su objetivo consiste en garantizar que los datos no han sido
alterados, permanecen completos, la alteración puede ocurrir
durante su almacenamiento, transporte o procesamiento.
 Ataques más frecuentes a la integridad:
 virus (caballos de Troya, malware).
 fallas humanas (involuntariamente, deliberadamente).
 Medidas más utilizadas para salvaguardar la
integridad:
 cifrado de datos.
 autenticación de usuarios.
 autorización de usuarios.
 sistema de detección de intrusos(IDS).
Disponibilidad: La información debe ser accesible a los
usuarios autorizados siempre que se la necesite.
su objetivo consiste en garantizar que los datos permanezcan
accesibles sin interrupciones cuando y donde se necesiten una
gestión rápida y eficiente, redundancia en caso de fallos y
copias de seguridad.
 Ataques más frecuentes a la disponibilidad:
 ataques de denegación de servicio(Denial of Service
o Dos).
 cortes en las líneas de comunicaciones y energía.
 virus que encriptan o destruyen información.
 Medidas más utilizadas para salvaguardar la
disponibilidad
 mecanismos de control de acceso.
 monitorización del tráfico y recursos de red
incluyendo servidores.
 Cortafuegos.
 sistemas redundantes, copias de respaldo de
seguridad.
Autenticación: Es la situación en la cual se puede
verificar la veracidad de un usuario, su objetivo consiste
en garantizar un grado aceptable de confianza al
autenticar un usuario (contraseña, certificado digital o
acceso biométrico) que intenta acceder a un recurso o un
servicio.
 Ataques más frecuentes de autenticación:
 Shoulder surfing
 keylogger
 SAM de Windows
 Medidas más utilizadas para salvaguardar la
Autenticación:
 mecanismos de ingeniería social.
 Auditorias.
 registros de actividad (logs).
No repudio: Permite probar las partes en una comunicación
frente a un tercero.
El no repudio busca hacer disponible y validar una evidencia
en relación a un suceso o acción con el fin de resolver disputas
acerca del suceso. El no repudio es un servicio típicamente
ofrecido por medio de una firma electrónica. Se clasifica de
dos formas:
No repudio de origen: Se utiliza para impedir la negación de
un emisor de haber enviado los datos.
No repudio de entrega: Se utiliza para impedir la negación de modelo, efectuando una eficiente administración del riesgo,
un destinatario de haber recibido los datos. como se muestra en la Fig. 7.

Las grandes y medianas empresas son las más atacadas, según Fig. 7 Defensa en Profundidad
un estudio sobre seguridad y crimen informático del Computer
Security Institute, en adelante CSI, arroja datos en los que se
estiman pérdidas de los sistemas analizados en más de 141
millones de dólares [5] por problemas de seguridad la teoría
de que en seguridad informática el dinero que se gasta es: o
bien antes, en proteger, o posteriormente, en recuperar
información.
El CSI y el FBI realizan este estudio anualmente en base a
encuestas a empresas, se pueden clasificar dos tipos de
amenazas. amenazas externas: son los hackers y el malware,
amenazas internas: procedentes de empleados y personal
interno, que pueden causar daños severos en los sistemas
informáticos, ya sea de forma deliberada o sin intención.

Los activos de información de empresas y organizaciones

pueden ser tangibles, como por ejemplo un disco duro o un
servidor, e intangibles, como por ejemplo una base de datos
con la información de clientes. De acuerdo a lo anterior se
puede establecer las siguientes preguntas de valor en caso de
fallos de hardware o software:
1. ¿Cuáles activos son los más valiosos?
2. ¿Cuánto es su valor? En caso de que se presente algún incidente de seguridad en
3. ¿En caso de pérdida se pueden reponer? alguna de las capas, la siguiente capa contara con controles y
4. ¿Hay medidas preventivas para mitigar la pérdida del protecciones diferentes con el fin de mitigar o evitar que el
activo? ataque continúe a una siguiente fase, este esquema de
controles por capa se puede observar a continuación (Fig. 8):
Fig. 6. Matriz de riesgos
Fig. 8 Esquema de controles en la DiD - modelo Microsoft

Fuente: basado en [6]

Fuente: Seguridad informática para empresa y particulares [5]

1. Nivel de directivas, procedimientos y
En la Fig. 6 Matriz de riesgos se expone que cuanto mayor es concienciación: Software y capacitaciones a nivel de
el valor del activo mayor es su grado de exposición a
amenazas, mayor es su riesgo y más prioritaria la exigencia de usuario final.
protegerlo. 2. Nivel de seguridad física: guardias de seguridad,

VI. DEFENSA EN PROFUNDIDAD (DID) biométricos, controles de acceso por roles.

3. Nivel perimetral: VLAN, VPN, UTM, Proxy,Virtual
Este modelo diseña la aplicación de controles en seguridad host, etc.
para proteger los datos de una compañía en diferentes capas o
en forma de cebolla, implementando acciones y estrategias 4. Nivel de red de Internet: IPS, IDS, HIPS, registro
para asegurar cada una de las capas que representan la base del de paquetes y WAF
 5. Nivel de host: contraseñas robustas, permisos de Controles administrativos
usuarios, controles de contenido, aislamiento de
Este es el encargado de definir los roles que tiene cada usuario
equipos, DMZ, parches de seguridad, antimalware y determinar quién tiene acceso a que, este se realiza por
medio de:
6. Nivel de aplicación: Contraseñas de acceso,
programación segura, ambiente de desarrollo.  Entrenamiento y conocimiento

7. Nivel de datos: listas de control de acceso (ACL) y
cifrado de datos.
VII. SISTEMAS DE CONTROL DE ACCESO
Un sistema de control de acceso es un mecanismo que nos
permite controlar quien tiene acceso a qué, ayudándonos a
proteger la confidencialidad, integridad y disponibilidad de la
información, dado que permiten que los usuarios autorizados
solo accedan a los recursos que tienen permisos y evita que
usuarios no autorizados puedan acceder a información,
contando con tres pasos:
 La identificación
 Autenticación
 Autorización
Los Controles de acceso se clasifican en tres principales:
Controles físicos
Este control se implemente en una infraestructura definida, se
encarga de detener o identificar acceso de un individuo u
objeto, entre los que se encuentran:
 Planes de recuperación y preparación para desastres
 Estrategias de selección de personal y separación
 Registro y contabilidad de personal
Por su grado de complejidad se pueden clasificar los controles
de acceso en:
Autónomos: Este como su nombre lo indica no requiere
ningún tipo de gestión, disponiendo de memoria y de
capacidad de gestionar los usuarios.
Gestionados: Este tipo de control de acceso dispone de un
aplicativo que es el encargado de controlar accesos a recursos,
permisos, horarios y realizar monitoreo de del sistema.
Corporativos: busca la integración multi-plataforma para la
gestión de cualquier solución de acceso entre los que se
encuentra: CCTV, intrusión, accesos de vehículos, interfonía,
alertas, mensajería, gestión de activos, ciberseguridad (accesos
físicos/lógicos), sistemas de control de asistencia o presencia,
etc.
Fig. 9 Reloj Biométrico Huella Red K40 Zk

 Cámaras de circuito cerrado

 Sistemas de alarmas térmicos o de movimiento
 Guardias de seguridad
 Identificación con fotos
 Puertas de acero con seguros especiales
 Biométrica
Controles técnicos

Este control se basa en la utilización de tecnología para evitar

el uso y acceso a información confidencial, estos incluyen
tecnologías como:
 Encriptación Costo: $ 424.900

 Tarjetas inteligentes
 Autenticación a nivel de la red
 Listas de control de acceso (ACLs)
 Software de auditoría de integridad de archivos
 Fig. 10 Blue Profesional
Costo: $1.670.423
Fig. 11 ZK Time
Costo: $1.200.000
VIII. PILARES DE LA SEGURIDAD INFORMÁTICA
Fig. 12. Principios fundamentales de la seguridad.
Fuente: seguridad informática para empresa y particulares.
Confidencialidad: Ningún usuario podrá ver, modificar,
agregar, eliminar información relativa a proyectos, cómo
estudios, informes y entregables durante su almacenamiento,
como durante su transmisión a los clientes dentro y fuera de la
empresa excepto el administrador.
Integridad: si usted no es el usuario receptor por la empresa
cualquier retención, difusión, distribución y edición está
prohibida de ninguna forma o por cualquier forma ya sea
electrónica, mecánica sin previo permiso. será sancionado de
acuerdo a la ley vigente de protección de datos
Disponibilidad: Los usuarios del servidor de base de datos
deberán utilizar un mecanismo de respaldo como (copias de
seguridad y sistemas redundantes) de esta manera previniendo
la perdida de información de la empresa.
IX. BLACK HACKERS Y WHITE HACKERS
Un hacker informático es un usuario experto en tecnología que
manipula y detiene los sistemas informáticos para que hagan
funciones no intencionadas en la naturaleza del sistema.
A veces esta manipulación es noble, con el objetivo de crear
algo beneficioso. Otras veces, es mal intencionada, y hecha
con el objetivo malvado de hacer daño a la gente a través del
robo de identidad u otros daños.
Black Hat o Hacker de Sombrero Negro: Se llaman Hacker
de Sombrero negro = Criminales o delincuentes: a los aquel
usuarios expertos en tecnología y/o piratas informático que
violenta la seguridad y se infiltra en redes seguras para
destruir, modificar, o robar datos; muestran sus habilidades en
informática rompiendo sistemas de seguridad de
computadoras, colapsando servidores, entrando a zonas
restringidas, infectando redes, apoderándose de ellas o
creando virus, entre otras muchas cosas utilizando sus
destrezas en métodos hacking. Rompen la seguridad
informática, buscando la forma de entrar a programas y
obtener información o generar virus en el equipo o cuenta
ingresada.
Por lo general son usuarios dotados pero no éticos que están
motivados por sentimientos de poder y venganza. Son matones
en todos los sentidos de la palabra, y comparten los mismos
rasgos de personalidad.
Los hackers de sombrero negro son reconocidos por los
siguientes delitos informáticos:
• Ataques DDoS que dañan las redes de ordenadores.
• El robo de identidad. Hurto de contraseñas
• El vandalismo de los sistemas.
• La creación de programas destructivos, como los gusanos.
Métodos Hacking: Son métodos utilizados por los hackers
para robar contraseñas. Entre los métodos más comunes
utilizados:
• Prueba y error
• Ataque con diccionario
• Suplantación de identidad o Phishing:
• Keyloggers
• Virus, Gusanos y Troyanos
• Secuestro de sesión (hijacking)
• Hackeo mediante teléfonos
White Hacker o Hacker de Sombrero Blanco. Los Hacker
de Sombrero blanco conocidos como "hackers éticos", son
talentosos usuarios de seguridad informática que ayudan a
proteger los sistemas de información ante cualquier alerta.
Están motivados por un salario fijo.
Algunos hackers de sombrero blanco son hackers
‘académicos’. Estos son artesanos del ordenador que están
menos interesados en la protección de sistemas, y más
interesados en la creación de programas inteligentes y
hermosas interfaces. Su motivación es mejorar un sistema a
través de alteraciones y adiciones. Los piratas informáticos
académicos pueden ser aficionados casuales, o pueden ser
ingenieros informáticos que trabajan en grados de nivel alto.
X. COMPARACIÓN ENTRE HACKERS Y DELINCUENTES
INFORMÁTICOS
Por lo general la palabra “Hacker” es asociada a la figura de
delincuente. Pero un Hacker es simplemente una persona con
altos conocimientos informáticos que utiliza sus capacidades y
habilidades para descubrir vulnerabilidades en las redes y
sistemas informáticos, tiene la capacidad de advertir, predecir
fallas, vulnerabilidades, malas configuraciones en los sistemas
físicos o digitales aportando constantemente y mejorando las
fallas digitales.
Los Delincuentes Informáticos son muy hábiles, tienen
grandes conocimientos informáticos pero sin “ética”, lo que
los hace fácilmente corruptibles, aprovechan toda la
información para su provecho, viven en ese mundo motivados
por intereses económicos, conocimientos, retos a vulnerar,
reconocimiento en el medio digital y de sistemas, son
tipificados por la ley como criminales. Se dedican al robo de
información, extorsión, divulgación de información
confidencial, distribución de pornografía infantil, envío de
correo basura, terrorismo, fraudes, robo de identidad,
falsificación de información, piratería, entre otros.
Es decir, un Hacker ético genera ataques controlados a
sistemas digitales con ambientes controlados que reúnen todos
los permisos y autorizaciones para realizar estas acciones.
Mientras que un Hacker no ético o delincuente informático
genera ataques a los sistemas sin los permisos respectivos, que
si es descubierto es sancionado.
El mundo digital en la actualidad afronta retos son muy
grandes. Los mayores activos de las empresas es la
información y la protección de sus datos, y en su afán de
protegerla por ahorrar recursos contratan a gancho ciego
funcionarios en seguridad informática y terminan siendo
víctimas y dependientes de éstos. Es ahí la importancia de
tener claridad en lo que se quiere, lo que se desea proteger e
indagar ampliamente sobre la persona que estará al frente de
esta tarea para evitar contratiempos.
XI. CONCLUSIONES
La dependencia cada vez mayor de las tecnologías de
información en las organizaciones hace que cualquier
menoscabo en su funcionamiento no afecte solo a las áreas de
tecnología en sí, sino que atenten contra el cumplimiento de
los objetivos de negocio y pongan en vilo la supervivencia
misma de las organizaciones. Un solo evento de denegación
de servicio que no cuente con adecuados mecanismos de
respuesta y restablecimiento puede sacar del mercado a una
organización dedicada al comercio electrónico; una fuga de
datos personales puede acarrear millonarias sanciones a una
organización por cuenta de incumplimiento a la Ley de
Protección de Datos. Existen innumerables ejemplos como los
anteriores, pero a pesar de ello aun es difícil convencer a los
altos directivos sobre la necesidad de realizar mayor y mejor
inversión y participar, no solo como espectadores en la
implementación de controles de seguridad informática.
Justamente el objetivo del presente trabajo es el de lograr una
ilustración de diferentes temáticas relacionadas con la
Seguridad Informática y de la Información con el fin de
sensibilizar al Gobierno colombiano sobre esta problemática y
conseguir su aprobación y apoyo para crear el grupo
especializado HACKGOV.
Por consiguiente, en el presente documento se trata el
concepto de Seguridad Informática como la combinación de
tres dimensiones: integridad, es decir que la información
transmitida, procesada o almacenada en medios tecnológicos
no sea alterada o dañada; disponibilidad, que la información
esté al alcance y en condiciones de ser procesada; y la
confidencialidad, que se dé acceso a usuarios autorizados y se
rechace a los no autorizados. Por otra parte se encontró que
existe un concepto más amplio y de nivel superior, la
Seguridad de la Información, que involucra no sólo a los
activos tecnológicos y la información que procesan, sino
también a las personas y procesos que también son fuente de
riesgo para la seguridad.
También se abordó el concepto de Defensa en Profundidad,
que se fundamenta en la redundancia de controles para
minimizar el riesgo de intrusiones, mediante un modelo de
capas de protección. Entre los mecanismos empleados para
este finalidad se encuentran los sistemas de control de acceso
que pueden involucrar dispositivos tanto autónomos como de
red, pero también pueden ser técnicos y administrativos.
El componente humano de la Seguridad Informática y de la
Información también se abordó en este trabajo, realizando una
caracterización de dos tipos de personas: el responsable de la
Seguridad Informática y su antagonista, el delincuente
informático. El término Hacker puede aplicarse a ambos,
teniendo en cuenta que el profesional de Seguridad puede y
debe tener competencia como Hacker ético o White Hacker,
empleando su conocimiento para descubrir vulnerabilidades
que contribuyan a mejorar la seguridad de sus sistemas
informáticos. Por otra parte, el delincuente informático se
podría denominar como Black Hacker, esto es que aplica sus
habilidades (ya sea a nivel aficionado o profesional) para
causar daño.
 XII. VIDEO DE PRESENTACIÓN
El video unificado se puede descargar de:
https://drive.google.com/file/d/1EZKKN000_gwbklAQimbIz5
AOf1_LVQB3/view?usp=sharing
También se puede ver en Youtube en el siguiente vínculo:
https://youtu.be/x_QK-r8FvBU
XIII. BIBLIOGRAFÍA
[ IT Governance Institute, «Alineando COBIT 4.1, ITILV3 e
1 ISO/IEC 27002 en beneficio de la empresa,» 2008. [En
] línea]. Available: Alineando COBIT 4.1, ITIL V3 e
ISO/IEC 27002 en beneficio de la empresa. [Último acceso:
07 04 2019].
[ S. Joret, «Everything you wanted to know about ITIL in one
2 thousand words!,» 02 2019. [En línea]. Available:
] https://www.axelos.com/case-studies-and-white-
papers/everything-you-wanted-know-about-itil-1000-words.
[Último acceso: 07 04 2019].
[ A. Gómez Vieites, Enciclopedia de la Seguridad
3 Informática. 2a. Edición Actualizada, Madrid, España: RA-
] MA Editorial, 2011.
[ L. Y. Espejo Romero, «Seguridad Informática - Blogspot,»
4 29 03 2017. [En línea]. Available:
] http://uniminuto2017seguridadinf.blogspot.com/2017/03/se
guridad-fisica.html. [Último acceso: 04 04 2019].
[ G. Alvarez Marañón y P. P. Pérez García, Seguridad
5 informática para empresa y particulares, McGraw-Hill
] Interamericana de España, 2004.
[ J. A. Calvo Sánchez, «Metodología para la implementación
6 del modelo de arquitectura de Seguridad de la Información
] (MASI),» 2010. [En línea]. Available:
https://repository.upb.edu.co/bitstream/handle/20.500.1191
2/1007/digital_19847.pdf?sequence=1. [Último acceso: 04
04 2019].
[ «Seguridad Física y Lógica,» 2015. [En línea]. Available:
7 https://slideplayer.es/slide/4201267. [Último acceso: 04 04
] 2019].
[ C. Dussan, «Slideshare - Que es ergonomía y seguridad
8 tecnológica,» 30 07 2013. [En línea]. Available:
] https://es.slideshare.net/camiladussan12/que-es-ergonoma-
y-seguridad-tecnologica. [Último acceso: 04 04 2019].
[ J. A. Moreno López, «Defensa en Profundidad,» 2015. [En
9 línea]. Available:
] http://polux.unipiloto.edu.co:8080/00001345.pdf.
XIV. BIOGRAFÍA
José Luis Anteliz Suarez nació en
Colombia – Pamplona (Norte de Santander),
el 24 de Diciembre de 1981. Se graduó de
la Corporación Universitaria de Ciencia y
Desarrollo - UNICIENCIA, en Ingeniería
Informática, actualmente cursa una
Especialización en Seguridad Informática en
la Universidad Nacional Abierta y a
Distancia – UNAD Su experiencia profesional se ha llevado a
cabo en la dirección de infraestructura en una entidad
financiera desempeñándose como profesional de plataforma
cliente.
Luz Marina Ayala Torres es Ingeniera de
Sistemas egresada de la Universidad Antonio
Nariño- en el año 2.002. Cursa actualmente
la Especialización en Seguridad Informática
en la Universidad Nacional Abierta y a
Distancia – UNAD. Se ha desempeñado
como ingeniero de Soporte en el Hospital
Universitario Erasmo Meoz - Cúcuta. Actualmente labora en
una firma que vende Soluciones Informáticos Servitec
Ingenieros S.A.S.
Ruth Claudia Moreno Beltrán es Ingeniera de Sistemas
egresada de la Universidad Industrial de
Santander - UIS en el año 2.002. Cursa
actualmente la Especialización en
Seguridad Informática en la Universidad
Nacional Abierta y a Distancia – UNAD.
Se ha desempeñado en Desarrollo
Software en particular en aplicaciones
Web, Ingeniería del Software, Auditoría de Calidad y Soporte
Tecnológico. Actualmente labora en una Cooperativa de
Ahorro y Crédito de Bucaramanga.
Duvan Esteban Urrego Fernandez es
Ingeniero de Sistemas egresado de la
Universidad de Cundinamarca en el año
2014. Se desempeña como Ingeniero de
Soporte en una empresa dedicada a
prestar soluciones de seguridad
informática, en este momento cursa 1
semestre de la Especialización en
Seguridad Informática de la UNAD.