GERENCIA DE PROYECTOS EN SEGURIDAD DE LA INFORMACIÓN 

 
ENTREGA 1 
ESCENARIO 3 
 
 
 
Presentación de proyecto
 
 
Docente 
José Eduardo Patiño Santafé 
 
 
Alumnos 
YESID DARIO BAQUERO CELIS 
OSCAR JAVIER GONZALEZ 
 
 
 
ESPECIALIZACION VIRTUAL SEGURIDAD DE LA INFORMACION 
POLITÉCNICO GRANCOLOMBIANO 
2do SEMESTRE 
Bogotá D.C. – Colombia 
2023 
Tabla de contenido
Nombre del proyecto.............................................................................................................................3
Director de Proyecto / Nivel de autoridad.............................................................................................3
Problema y Justificación.........................................................................................................................3
Objetivo..................................................................................................................................................4
Requerimientos / Descripción del producto final...................................................................................4
Recursos asignados................................................................................................................................4
Partes implicadas (Stakeholders)...........................................................................................................4
Estimación inicial de riesgos...................................................................................................................5
Estimación inicial de tiempo...................................................................................................................5
Estimación inicial de costes....................................................................................................................5
Requerimientos y responsables de aprobación......................................................................................5
Nombre y firma......................................................................................................................................5
Estructura jerárquica..............................................................................................................................6
Análisis de las partes interesadas...........................................................................................................6
ESTADO DEL ARTE..................................................................................................................................7
ENTREGA 2 SEMANA 5.........................................................................................................................13
DICCIONARIO WBS...............................................................................................................................14
GESTION DE RIESGOS...........................................................................................................................15
Referencias...........................................................................................................................................16
Nombre del proyecto

Diseño de una Política de Desarrollo de Software Seguro basada en OWASP

para la empresa Global Risk Solutions

Director de Proyecto / Nivel de autoridad

Oscar Javier Gonzalez y Yesid Dario Baquero Celis

Total autoridad en la administración de costes y recursos asociados al proyecto.

Cambios en alcance y tiempo deberán ser acordados con el Management.

Problema y Justificación

La Corporación con el objetivo de dar cumplimiento al “core” de negocio, ha desarrollado una serie
de aplicaciones las cuales han cumplido con su cometido en alcanzar las metas, dichas aplicaciones
han sido desarrolladas acorde a las tecnologías de cada época, no obstante, junto con la evolución de
estas tecnologías, han surgido nuevos requerimientos y técnicas en el desarrollo, y de manera
paralela, nuevos aspectos relacionados con la Seguridad Informática aparecen, se hacen evidentes y
se convierten en situaciones que deben ser atendidas.

A este respecto, después de llevar acabó un ASSESSMENT de Seguridad de las 63 aplicaciones Tier I
desarrolladas, se encuentra un total de 36 vulnerabilidades, clasificadas como: Medium Risk (13),
High Risk (9), Critical (7) y Minimal Set of Security Standards (7), las cuales ponen riesgo la
información de los usuarios y las convierte en blanco de probables ataques a las aplicaciones.

La implementación de nuevas técnicas y estándares para evaluar la seguridad de aplicaciones e

infraestructuras permitió confirmar algunas de las vulnerabilidades previamente relacionadas
mediante un Pentest, sin embargo, muchas de las aplicaciones no cuentan con un esquema de
pruebas periódico.

El proceso de centralización de infraestructura en centros de datos estratégicos y servicios en la nube

requiere que las aplicaciones cumplan con los estándares de desarrollo vigentes, en este ítem, las
aplicaciones desarrolladas más recientemente han sido diseñadas de acuerdo con los lineamientos
de la arquitectura de software, no obstante, las aplicaciones más antiguas deben ser sometidas a un
proceso de actualización, el cual puede permitir la remediación de vulnerabilidades encontradas.

Partiendo de lo anterior, se debe implementar una Política de Seguridad que establezca las bases o
requerimientos mínimos para el desarrollo de aplicaciones, estandarizando los procesos de
desarrollo de software para remediar la exposición de vulnerabilidades ya existentes, esta política
debe ser revisada de manera periódica para incluir nuevos lineamientos de seguridad que deban ser
considerados.
Objetivo

Diseñar una Política de Seguridad que establezca los requisitos mínimos de configuración de
usuarios, infraestructura y pruebas penetración de las aplicaciones desarrolladas e implementadas
por la corporación.

Objetivos específicos

1. Identificar los tipos de vulnerabilidades más comunes en las aplicaciones corporativas

2. Clasificar las vulnerabilidades de acuerdo con su criticidad

3. Establecer los lineamientos de seguridad de acuerdo con el tipo de vulnerabilidad identificada

Requerimientos / Descripción del producto final

Política de seguridad, regida por los lineamientos de seguridad establecidas en el marco de las NIST,
así mismo como los controles de seguridad como las CIS, las Normas ISO 27001, 27002 y 27005
adicional a esto, se llevara a cabo el proyecto ceñido a principales organizaciones que buscan
contrarrestar las vulnerabilidades más comunes en las aplicaciones corporativas, como lo es las
Web Application Security Consortium (WASC) , la National Institute of Standards and Technology
(NIST), Open Web Application Security Project (OWASP) entre otras.

El producto final es tener el diseño de una politica de seguridad, que ayude a reducir las
vulnerabilidades en las aplicaciones corporativas.

Recursos asignados

Para la planificación inicial:

 Un ingeniero al 50% de horario laboral durante un mes

 Un Ingeniero especializado al 25% de horario laboral durante tres meses

El resto de los recursos necesarios para la planificación en detalle y la construcción deberán ser
subcontratados. En caso de ser totalmente necesario, se deberán requerir recursos adicionales a
través del jefe de desarrollo los cuales estarían sujetos a estudio de presupuesto.

Partes implicadas (Stakeholders)

  Junta directiva, encargada de dar el visto bueno al diseño. Además, la junta espera una
realización del proyecto ejemplar en cuanto a supervisión de costes y cumplimiento de
plazos.
 Planificación interna, deberá desarrollarse un cronograma de actividades para la
implementación de la política.

Estimación inicial de riesgos

El mayor riesgo es un retraso en la implementación de la política debido a que se requieren hacer

cambios en el desarrollo, capacitaciones y socialización de esta.

Estimación inicial de tiempo

Finalización: La política de seguridad debe estar documentada y lista para implementarse con todos
los vistos buenos de las juntas directivas.

Fecha de finalización: 23 de agosto de 2023.

Estimación inicial de costes

El presupuesto total para el desarrollo del diseño de la política de seguridad, son ocho millones de
pesos colombianos.

Requerimientos y responsables de aprobación

 Aprobación del diseño preliminar.

 Aprobación del contrato para la implementación
 Aceptación final.
 Aceptación de cambios en plazos y/o costes adicionales: Jefe de Operaciones

Nombre y firma

Sponsor: Jefe de Proyecto:

Xxxxx xxxx xxxxx Oscar Javier Gonzalez
Estructura jerárquica
Diseño de una Política de Desarrollo
de Software Seguro basada en
OWASP para la empresa Global Risk
Solutions

Identificación del problema

Elaboración de solución en el
Analisis del problema Propuesta de objetivos Elaborar el estado del arte
desarrollo de politica de seguridad

Analizar el assessment

Análisis de las partes interesadas

Legitimidad
Urgencia
Poder
El poder
Es
El objetivo
de vital
deimportancia
es
la lograr unalos
seguridad dedesarrollos
en las aplicaciones
las politicas
demás
estas
originales
politicaspara
corporativas. debido
la seguridad
a que
de las aplicaciones
tambien se desarrollan nuevas formas de ataques.
Se anexa el estado del arte

ESTADO DEL ARTE 

Situación de la seguridad informática en la actualidad postpandemia. 
 
La seguridad informática en todas sus categorías siempre ha representado una preocupación para los
usuarios, principalmente para aquellos que manejan información susceptible, confidencial o masiva,
sin embargo, la pandemia  generada por el Covid 19 junto con el confinamiento y posterior
aislamiento representaron un cambio significativo en el uso de las plataformas digitales,
transformando con ello las dinámicas cotidianas respecto a los aspectos políticos, socioeconómicos,
laborales, culturales, de manejo de la información y el uso de bienes y servicios. 

De acuerdo con un informe especial presentado por CEPAL (2020) “Los datos de movilidad
durante los primeros meses de las cuarentenas muestran un mundo paralizado en lo físico,
pero no en lo virtual (…) el tráfico en sitios web y el uso de aplicaciones de teletrabajo,
educación en línea y compras en línea revelan un significativo aumento del uso de soluciones
digitales. Entre el primer y segundo trimestre de 2020, el uso de soluciones de teletrabajo
aumentó un 324% y la educación en línea, más del 60%”1 
 
Frente a lo anterior, aparece sobre la mesa la discusión que tiene que ver con la protección de
datos y la privacidad de los usuarios pues, en el mismo informe nos señala que “Las
amenazas que representa para la seguridad el despliegue masivo de datos sensibles son un
nuevo tema de conflicto entre las autoridades y las empresas administradoras de
datos”(CEPAL,2020), esto debido a que proporcional al aumento del tráfico de datos también
se ha evidenciado el acrecentamiento de los ataques informáticos. 
 
Por ello, debemos tener en cuenta que, si bien, la seguridad de la información no es un tema
nuevo, ha adquirido mayor relevancia debido justamente a democratización que se ha
pretendido generar con motivo de las cuarentenas y de lo que la INTERPOL (2020) ha
denominado un “aumento alarmante de los ciberataques”, en su informe titulado
“Ciberdelincuencia: efectos de la COVID19”. 
 
En dicho informe la INTERPOL (2020) realizó una evaluación global sobre los principales
delitos cibernéticos relacionados con la pandemia, buscando con ello ofrecer una visión sobre
el panorama que se debe atacar de acuerdo con las debilidades encontradas2.  
La principal amenaza y tendencia para el caso de las Américas que se encontró y que nos
atañe tiene que ver con el hecho de que “Como muchas empresas de la región de las
Américas han introducido el teletrabajo, los ciberdelincuentes se centran cada vez más en los
empleados para conseguir un acceso remoto a las redes corporativas y hacerse con su
control, con miras a robar información confidencial” (Interpol, 2020). 
 
A su vez, otro documento que da cuenta sobre las principales vulnerabilidades encontradas
para el año 2021, es el presentado por la fundación OWASP 3(2021) en su top 10, donde se
enfocan en presentar cuales fueron los mayores riesgos que se presentaron en las más de
500.000 apps que donaron sus datos para realizar dicha encuesta, donde a su vez hace la
comparación con las principales debilidades que se habían encontrado durante el año 2017 de
acuerdo con el listado de vulnerabilidades años 2017 y 2021 (ver Tabla 1: Total Anual de
Delitos Informáticos a nivel Nacional) 
 
Para el caso de nuestro país la fundación PARES (2022) en su informe “La ciberseguridad
después de la pandemia: una mirada a los delitos informáticos en Colombia” 4, nos indica que
“Si bien Colombia es uno de los países de la región que tiene un gran avance en materia de
ciberseguridad, también cuenta con una de las mayores cualificaciones por parte de la
ciberdelincuencia. Son diversas las modalidades que emplean las organizaciones de
delincuencia organizada para la comisión de estos delitos: softwares maliciosos o malwares,
aplicaciones clonadas, phishing, entre otras”. 
 
En dicho informe y citando al BID nos indica que Colombia en materia de reglamentación
posee amplias regulaciones de ciberespacio que buscan “fortalecer las capacidades del
Estado para responder a las amenazas en materia de seguridad cibernética y defensa en este
campo del país” (BID, 2020, p. 81). Tales reglamentaciones están divididas en dos grandes
componentes, el primero de ellos se enfoca en la seguridad nacional y el segundo en la
seguridad ciudadana5. 
 
Legislación colombiana 
En Colombia, ley 1273 de 2009 se establece que la información y los datos como bienes
tutelados, por lo tanto, se fueron agregados 9 nuevos delitos informáticos al sistema penal los
cuales, convirtiéndolos en objeto de análisis y seguimiento por parte de las autoridades de
policía en el país.  
A su vez, a Ley 1581 de 2012 reconoce el derecho constitucional de los ciudadanos respecto a
la protección y así como el derecho a la rectificación de los datos personales, así como el
acceso a la información. Es así como, al reglamentar el ciberespacio desde un enfoque de
derechos se busca que sea el Estado el garante de estos derechos por medio de la
ciberseguridad. 
Sumado a lo anterior, es importante mencionar la adhesión de Colombia Convenio de
Budapest contra la Ciberdelincuencia en 2020. Dicho convenio se encarga de ofrecer
orientaciones respecto a la construcción de políticas públicas que puedan hacer frente a las
bandas delincuenciales, en materia de ciberespacio. La recomendación que más se resalta en
este informe es la que tiene que ver con “las medidas nacionales que deben adoptarse frente a
la categorización penal de los delitos informáticos, así como las acciones que se deben
implementar frente a los daños causados a las personas jurídicas y naturales por parte la
ciberdelincuencia”6. 
Frente al alto flujo de información que se produjo en nuestro país durante la pandemia, los
riesgos asociados a los ciberdelitos se aumentaron exponencialmente desde el año 2020 y
registraron una tendencia al alza en los años siguientes. Frente a esto, en los últimos dos años
se observó un aumento alarmante de los delitos informáticos a nivel nacional.  
De acuerdo con los datos del SIEDCOi7 citado en el informe de Pares (2022), “estos
incrementaron en un 104% para 2020 respecto a 2019, y en un 15% en 2021. Al parecer,
esta tendencia de crecimiento correspondería a una adaptación por parte de la delincuencia
organizada a raíz la pandemia, produciendo con ello una ampliación de las modalidades de
hurto y estafa por medio de plataformas digitales y redes sociales8”. 
A continuación, se presentan las gráficas contextuales realizadas por Pares (2022) utilizando
como fuente la información de SIEDCO (Ver Gráfico 1: Total Anual de Delitos Informáticos
a nivel Nacional). 
En el gráfico N° 1 se presentan los totales de delitos informáticos a nivel nacional durante los
años 2019, 2020 y 2021 (ver Tabla 2: Total Anuales Discriminados Delitos Informáticos a
nivel Nacional). 
 
Mientras que la tabla N° 1 nos presenta los tipos de delitos y sus totales anuales a nivel
nacional en el mismo rango de años, es decir, de 2019 a 2021, en esta tabla, puede
evidenciarse que de los 9 delitos informáticos que existen, 6 de ellos presentaron aumentos
superiores al 100% en el primer año de la pandemia, siendo estos: 
 
o Suplantación de sitios web para capturar datos. 
o Interceptación de datos informáticos. 
o Violación de datos personales. 
o Obstaculización ilegítima de sistema informático o red de
telecomunicación. 
o Daño informático.  
o Transferencia no consentida de activos9. 
Vale la pena aclarar que los otros 3 delitos también aumentaron, pero en proporciones
menores, entre el 40% y 90% respectivamente. 
Complementando lo anterior, encontramos que el Informe SAFE (2021) - Tendencias del
Cibercrimen 2021 – 2022 nos presenta un panorama similar al anterior, presentándonos los
siguientes datos “Al analizar el comportamiento del cibercrimen en Colombia reflejado en el
número de denuncias instauradas ante el ecosistema de la Fiscalía General de la Nación, las
policías judiciales del CTI y la Policía Nacional (DIJIN-SIJIN) a través del aplicativo a
denunciar, al finalizar el mes de noviembre del 2021 se habían registrado 46.527 denuncias
por distintos delitos lo que equivale a un incremento del 21% respecto al 2020. Si se tienen
en cuenta comparativamente los años 2019 y 2021, es decir sin contabilizar el año de
pandemia, el incremento alcanzó un 107% acumulado entre el incremento suscitado durante
el 2020 y el aumento continuo durante el 2021”. 
 
A la vez nos presenta los delitos con mayor crecimiento durante el 2021, de la siguiente
manera: 
 
 La violación de datos (13.458 – aumento del 45%). 
 Acceso abusivo a sistemas informáticos (9.926 – aumento del 18%) 
 Hurto por medios informáticos (17.608 – aumento 3%) 
 Suplantación de sitios web (7.654- aumento 3%) 
Otro detalle relevante tiene que ver con algunos actores del cibercrimen, donde presenta el
siguiente panorama, “al revisar los grupos cibercriminales internacionales con injerencia en
Colombia destaca el grupo APT C36 que según la publicación del sitio web especializado de
MITRE ATT&CK10(…) Algunos dominios maliciosos utilizados por el atacante APT C36
también se hacen pasar por sitios web del gobierno colombiano. Por ejemplo,
“diangovcomuiscia.com” que suplanta al dominio oficial “muisca.dian.gov.co”
perteneciente a la Dirección Nacional de Impuestos y Aduanas” (Informe SAFE, 2021). 
Finalmente, David Braue en el Cybercrime Magazine (10 de septiembre de 2021) 11 presenta
un panorama que resulta desalentador, en caso de no tomar las medidas pertinentes, en cuanto
a seguridad de la información se refiere, al indicar que “el costo del cibercrimen alcanzará en
2025 los 10.5 billones de dólares; lo que equivale a la suma de las economías de Japón,
tercera en el planeta, Alemania cuarta y Suiza la 18ª” esto teniendo en cuenta que los costos
promedios por daños globales en el año 2021 ascenderían a los 6 trillones de dólares. 
Por todo lo anterior, y teniendo en cuenta que la seguridad informática no es un asunto nuevo,
a nivel internacional se han desarrollado una serie de estándares, guías, normas y buenas
prácticas, también conocidos como marcos de ciberseguridad, que buscan gestionar los
riesgos que pueden presentarse en el mundo digital, estos, han sido ampliamente difundidos y
usados, a continuación, se presentan las más relevantes para nuestra propuesta. 
 

Presentación de algunos marcos de referencia de seguridad informática 

 
Gutiérrez (2020) en su artículo titulado Marcos de Ciberseguridad: La Guía Definitiva12,
explica los marcos de ciberseguridad o framework de la siguiente manera “En el mundo
físico, esto se refiere literalmente al sistema de vigas que sostienen un edificio. En el mundo
de las ideas, se refiere a una estructura que sustenta un sistema o concepto. Un framework es
una forma de organizar la información y, en la mayoría de los casos, tareas relacionadas”. 
 
En el mismo documento, utilizando como referencia la conferencia RSA de 2019 13, se
presentan las categorías y propósitos de los marcos de ciberseguridad, de la siguiente manera: 
 
 “Marcos de control: 
 Priorizar la implementación de controles. 
 Evaluar el estado técnico actual. 
 Desarrollar una estrategia básica para el equipo de seguridad. 
 Proporcionar un conjunto de controles básicos. 
 
 Marcos programáticos: 
   Evalúa el estado actual del programa de seguridad. 
 Construir un programa integral de seguridad. 
 Medir la seguridad del programa / análisis competitivo. 
 Simplificar la comunicación entre el equipo. de seguridad y los líderes
de empresa. 
 
 Marcos de riesgo: 
 Definir pasos clave del proceso para evaluar / gestionar el riesgo. 
 Identificar, medir y cuantificar el riesgo. 
 Estructurar el programa para la gestión del riesgo. 
 Priorizar las actividades de seguridad”14. 
Aunque existen diversos marcos, hay algunos más utilizados y populares, dentro de los que
encontramos el marco NIST, el CIS o los marcos ISO, a continuación, los presentaremos
grosso modo. 
 
Marco NIST15 
 
El Instituto Nacional de Estándares y Tecnología (NIST por sus siglas en inglés)este es un
marco voluntario que tiene como objetivo ayudar a las empresas y organizaciones a conocer
los riesgos de ciberseguridad que tienen, a la vez que ofrece orientación frente a la
administración y reducción de los mismos en pro de proteger sus redes y datos, esto por
medio de reseñas acerca de las mejores prácticas, que le permitan a las empresas decidir
dónde concentrar el dinero y el tiempo respecto a la ciberseguridad .  
 
Este marco se puede implementar en 5 áreas: 
 Identificación. 
 Protección. 
 Detección. 
 Respuesta. 
 Recuperación. 
 

Controles CIS16 
 
Desarrollados por el Center for Internet Security, son un conjunto de pautas acerca de buenas
prácticas con respecto a la seguridad cibernética y sus respectivas acciones defensivas cuyo
objetivo es el de mitigar los ataques considerados más peligrosos y de mayor significancia.
Consta de 20 acciones principales, denominadas controles de seguridad críticos, que
contienen un lenguaje fácil de entender. CIS divide los controles en tres categorías, que a la
vez se subdividen de acuerdo con sus objetivos: 
 
 “Básicas. 
 
 Inventario y control de activos de hardware. 
 Inventario continuo de gestión de vulnerabilidades y control de activos de
software. 
 Uso controlado de privilegios administrativos. 
 Configuración segura de hardware y software en dispositivos móviles,
computadoras portátiles, estaciones de trabajo y servidores. 
 Mantenimiento, seguimiento y análisis de registros de auditoría. 
Mantenimiento, seguimiento y análisis de registros de auditoría”17. 
 
 “Fundamentales 
 
 Protección del navegador web y del correo electrónico. 
 Defensas contra malware. 
 Limitación y control de puertos, protocolos y servicios de red. 
 Capacidades de recuperación de datos. 
 Configuración segura para dispositivos de red como firewalls, enrutadores y
conmutadores. 
 Defensa de fronteras. 
Protección de datos. 
Acceso controlado basado en la necesidad de saber. 
Control de acceso inalámbrico. 
Seguimiento y control de cuentas. 
 
 
 
 Organizativas 
 Implementar un programa de capacitación y concientización sobre seguridad. 
 Seguridad del software de aplicación”18. 
 Respuesta y gestión de incidentes. 
 Pruebas de penetración y ejercicios del equipo rojo. 
 
Normas ISO 
El autor Jeffrey Borbón (2018) en su artículo titulado “Buenas prácticas, estándares y
normas”19 nos hace un breve recorrido por los principales estándares y guías en materia de
seguridad informática, en primer lugar, se refiere a las normas propuestas por la Organización
Internacional de Estandarización, (ISO, por sus siglas en inglés) y la Comisión Electrotécnica
Internacional o IEC (por sus siglas en inglés) nos presenta las siguientes: 
*ISO/IEC 27001: Esta norma ofrece un “Sistema de Gestión de la Seguridad de la
Información (SGSI)” que se enfoca en medidas orientadas hacia la protección de la
información, independientemente del formato en el que se encuentre, contra cualquier
amenaza, esto con el objetivo de garantizar en todo momento la continuidad de las
operaciones en las empresas, utilizando el ciclo de Deming-PHVA y a través de los procesos
de planificar, hacer, verificar y actuar. 
Los pilares en los que se fundamenta el SGSI consisten en preservar la confidencialidad,
integridad y disponibilidad de la información.  
*ISO/IEC 27002: Actualizada y renombrada en el año 2005, esta norma internacional
establece el código de buenas prácticas para la implementación del SGSI en las
organizaciones, sean estas de carácter público o privado, de gran tamaño o pequeñas, con o
sin ánimo de lucro. Y no solo a empresas de tecnología. 
 En dicha norma se establece como se instauran los controles, que a su vez deben ser elegidos
de acuerdo con una evaluación de riesgos respecto a los activos más importantes de la
compañía.  
*ISO/IEC 27005: El portal web especializado SGSI (2017a) informa que la esta norma
reemplaza la ISO13335-2 “Gestión de Seguridad de la Información y la tecnología de las
comunicaciones”.  
Aquí se define al riesgo como una amenaza que puede causar daños relacionados con el uso,
la propiedad, la operación o la adopción de tecnologías en una empresa. Por esto, presenta
algunos procedimientos de carácter sistemático, estructurado y riguroso para la gestión de
dichos riesgos. 
Otros marcos de seguridad son: 
 Objetivos de control para la información y tecnologías relacionadas o
COBIT por sus siglas en inglés20. 
 ITIL (siglas en inglés) Biblioteca de infraestructura de tecnología de la
información21. 
 BS2599922 
 
Principales organizaciones que pretenden encontrar y contrarrestar las
vulnerabilidades más comunes en las aplicaciones corporativas. 
 
En términos de informática, Ginzo nos indica que se conoce como “vulnerabilidad
informática a toda aquella debilidad que presente un software o hardware, que puede ser
explotada por un ataque cibernético para acceder de forma no autorizada al sistema
informático, permitiendo que un atacante comprometa la integridad, disponibilidad o
confidencialidad del sistema o los datos que allí procesa. Todo esto porque puede acceder a
la memoria de un sistema, instalar malware y robar, destruir o modificar datos
confidenciales”23, de acuerdo con lo anterior, y en pro de ayudar a contrarrestar los riesgos que
representan dichas vulnerabilidades, existen diferentes organismos y organizaciones que
clasifican los diferentes tipos de vulnerabilidades.  
Algunas de ellas serán presentadas a continuación: 
 Web Application Security Consortium (WASC)24: Es una organización sin
ánimo de lucro, conformado por organizaciones, profesionales de la seguridad y
expertos internacionales, quienes realizan una clasificación de 49 riesgos en la
web, que se encuentran repartidas en amenazas y debilidades.  
  The MITRE corporation: Entidad sin ánimo de lucro que identifica y crea una
lista que contiene más de 1000 debilidades comunes en el software denominado
Common Weakness Enumeration (CWE25), lo más relevante es el CWE Top 25 
que año tras año presenta  una lista que contiene las 25 debilidades de software
más peligrosas.  
 
 National Institute of Standards and Technology (NIST): Esta organización crea
una lista26 de 14 vulnerabilidades, que se seleccionan teniendo en cuenta su alta
probabilidad a ser explotadas, a su vez dicha lista incluye un conjunto de
herramientas que buscan ayudar a las empresas en la detección y mitigación de
dichas vulnerabilidades. 
 
 SANS institute: Institución que agrupa 165000 profesionales de la seguridad
informática y que tiene como objetivos principales la recolección de acerca de
todo lo que se refiere a seguridad informática y la capacitación en este mismo
ámbito. En conjunto con MITRE desarrollaron el CWE/SANS TOP 25 Most
Dangerous Software Errors27, una lista que recoge los 25 errores de software que
son considerados los más peligrosos. 
 
 Open Web Application Security Project (OWASP): referenciada en un
apartado anterior, la fundación OWASP presenta periódicamente su top 10,
consistente en una clasificación que contiene los 10 tipos de vulnerabilidades más
explotadas en aplicaciones web. Vale la pena destacar que esta clasificación es la
más utilizada por las empresas desarrolladoras que buscan proteger el código
fuente de sus proyectos de software. 
 
SEI CERT C Coding Standard, Se trata de un esfuerzo para la estandarización en las buenas prácticas
en el desarrollo, principalmente enfocado en lenguajes de alto nivel (C, C++, Perl, Java) incluyo
implementaciones para Android. Proporciona recomendaciones de codificación para la remediación y
prevención de vulnerabilidades y fallos conocidos mantenidos en su base de datos. Adicionalmente
editó y publicó libros técnicos como referencia a prevención de vulnerabilidades y buenas prácticas
en el desarrollo. Al momento el proyecto se mantiene inactivo desde 2018, sin embargo, muchos de
sus lineamientos siguen siendo útiles en el ámbito del desarrollo de aplicaciones.

ENTREGA 2 SEMANA 5

Presentación de WBS (Work Breakdown Structure)

 Diseño de una Política de Desarrollo
de Software Seguro basada en
OWASP para la empresa Global Risk
Solutions

Trabajo: 100%

Presupuesto: 8‘000.000

Trabajo: 20% Identificación del problema

Trabajo: 10%
Analisis del problema Trabajo: Propuesta de objetivos Trabajo: Elaborar el estado del arte Trabajo: Elaboración de solución en el
desarrollo de politica de seguridad
20% 20% 20%

Analizar el assessment
Trabajo: 10%

DICCIONARIO WBS

No. Artículo Descripción

1 Código EDT Diseño de una Política de Desarrollo de Software Seguro
basada en OWASP para la empresa Global Risk Solutions
2 Organización responsable/ Global Risk Solutions
Individuo
3 Descripción Diseñar una Política de Seguridad que establezca los
requisitos mínimos de configuración de usuarios,
infraestructura y pruebas penetración de las aplicaciones
desarrolladas e implementadas por la corporación.
4 Entregables Una política de seguridad de desarrollo de software.
5 Criterios de aceptación Se busca mitigar las vulnerabilidades de la seguridad en las
aplicaciones corporativas, implementando un diseño de
seguridad, atacando los puntos débiles a la hora de
desarrollar o actualizar las aplicaciones.
6 Presupuesto Se estima un presupuesto de 8 millones de pesos
colombianos por semestre si se lleva a cabo dentro del
tiempo estimado, cada mes adicional tendrá un coste de 2
millones de pesos por adiciones al diseño a implementar.
7 Hitos Fecha inicial: 11 de enero elaboración de proyecto.
Análisis de problema
Propuesta de objetivos
Elaboración del estado del arte
Elaboración de la solución
Fecha final: 23 de agosto del presente año.
No. Artículo Descripción
8 Riesgos  Por falta de tiempo en la implementación se dilaten
los tiempos para llevar a cabo el diseño de seguridad.
 No poder implementar el diseño de seguridad por no
tener contemplado presupuesto adicional.
9 información adicional En la actualidad se encuentran varios controles con respecto
a la seguridad de la información, debido a que se han
fortalecido los ataques cibernéticos y la información es más
vulnerable conforme va pasando el tiempo, por ello es
importante fortalecer las medidas de seguridad.
10 Aprobaciones:                  Fecha: 04-07-2023 Rdo:

GESTION DE RIESGOS

Identificación:

 Por falta de tiempo en la implementación se dilaten los tiempos para llevar a cabo el diseño
de seguridad.
 No poder implementar el diseño de seguridad por no tener contemplado presupuesto
adicional.

Evaluación:

En el proceso de la elaboración del diseño de seguridad para el desarrollo seguro se encuentra que
hay varias normas y políticas, en donde se puede diseñar una propia para mitigar el mayor número de
vulnerabilidades.

Plan de mitigación:

Debido a que el factor del riesgo es tiempo, se puede mitigar este riesgo acelerando los procesos
dedicar más tiempo para ir proyectando el diseño a implementar.

Administración de contingencia:

La administración de contingencia en el diseño de la política de seguridad en el desarrollo de

aplicaciones corporativas se basa en buscar ayuda adicional para adelantar de manera asertiva en el
proyecto.
Reportes y revisión

Con las entregas se van revisando los avances del proyecto y validar y se logra el objetivo con los
tiempos determinados.

Referencias 
 
 Avilés Armijos, J. M., & Uyaguari Guartatanga, M. E. (2012). Diseño
de una Política de Seguridad para la empresa de telecomunicaciones
PUNTONET en la ciudad de Cuenca, en base a las normas de seguridad
ISO 27001 y ISO 27011 como línea base para las prácticas de tratamiento y
seguridad de la información. Cuenca: Universidad Politécnica Salesiana. 
 Alarcon Vargas, J. O. (2016). Diseño e Implementacion de Políticas de
Seguridad Informática, Red y Virtualización apoyadas con software libre
en la compañia de tecnología y S.A.S. Bogota D.C.: Fundación
Universitaria Los Libertadores. 
 Braue, D. (10 de Septiembre de 2021). CyberCrime Magazine. Fuente
de Global Cybersecurity Spending To Exceed $1.75 Trillion From 2021-
2025: https://cybersecurityventures.com/cybersecurity-spending-2021-
2025/ 
 CEPAL. (2020). Universalizar el acceso a las tecnologías digitales para
enfrentar efectos COVID-19. Informe Especial COVID-19. 
 Fundacion Paz y Reconciliacion PARES. (2022). La Ciberseguridad
despues de la Pandemia: Una mirada a los delitos informáticos en
Colombia.  
 Gestion Calidad. (2 de Septiembre de 2019). Seguridad de la
Información(SI) y orígines de los estándares ISO 27000. Fuente de
Seguridad Informacion: https://gestion-calidad.com/seguridad-informacion 
 Gutierrez, N. (4 de Junio de 2020). Blog Preypoject. Fuente de Marcos
de Ciberseguridad: La Guía Definitiva:
https://preyproject.com/es/blog/marcos-de-ciberseguridad-la-guia-
definitiva 
 INTERPOL. (4 de Agosto de 2020). Un informe de INTERPOL
muestra un aumento alarmante de los ciberataques durante la epidemia de
COVID-19. Fuente de https://www.interpol.int/es/Noticias-y-
acontecimientos/Noticias/2020/Un-informe-de-INTERPOL-muestra-un-
aumento-alarmante-de-los-ciberataques-durante-la-epidemia-de-COVID-
19 
 MINTIC. (2016). Elaboración de la política general de seguridad y
privacidad de la informacion. MINTIC. 
 Montoya Gomez, D. J., Arias Vargas, J. C., & Avila Quiceno, A.
(2022). Análisis del estado actual de la seguridad informática en tiempos
de pandemia, entregando un conjunto de buenas prácticas, para fomentar la
seguridad informática en las organizaciones de la ciudad de Medellín.
Revista CIES – ISSN-e 2216-0167. Volumen 13. Número 1, 19-41. 
 OSTEC. (30 de Diciembre de 2016). ISO 27002: Buenas prácticas para
gestión de la seguridad de la información. Fuente de OSTEC Blog:
https://ostec.blog/es/aprendizaje-descubrimiento/iso-27002-buenas-
practicas-gsi/?cn-reloaded=1 
 OWASP Org. (2022). OWASP TOP 10. Fuente de OWASP:
https://owasp.org/Top10/es/ 
 Sanabria, J. S. (s.f.). Buenas prácticas, estándares y normas. Fuente de
Revista Seguridad UNAM:
https://revista.seguridad.unam.mx/numero-11/buenas-pr%C3%A1cticas-est
%C3%A1ndares-y-normas 
 Suarez, J. L. (s.f.). Importancia de la Seguridad Informática y
Ciberseguridad en el Mundo Actual. Universidad Piloto de Colombia. 
 Svoboda, D. (05 de Diciembre de 2018). SEI CERT C Coding
Standard. Fuente de SEI CERT C Coding Standard, Fuente:
https://wiki.sei.cmu.edu/confluence/display/c/SEI+CERT+C+Coding+Stan
dard 
 Council of Europe (2001), Serie de Tratados Europeos No. 185,
Convenio sobre la Ciberdelincuencia, Fuente en:
https://www.oas.org/juridico/english/cyb_pry_convenio.pdf 
 Sánchez Martinez, José L. (2021), APT-C-36, MITRE ATT&CK,
Fuente en: https://attack.mitre.org/groups/G0099/ 
 Braue, David (2017), Global Cybersecurity Spending To Exceed $1.75
Trillion From 2021-2025, CYBERSECURITY MARKET REPORT,
Fuente en: https://cybersecurityventures.com/cybersecurity-spending-2021-
2025/ 
 Gutierrez, Norman (2020), Fundamentos de Ciberseguridad, Marcos de
Ciberseguridad: La Guía Definitiva, Fuente en:
https://preyproject.com/es/blog/marcos-de-ciberseguridad-la-guia-
definitiva 
 RSA Conference (2019), How to Make Sense of Cybersecurity
Frameworks, Fuente: https://www.youtube.com/watch?v=dt2IqidgpS4 
 Comisión Federal de Comercio (), Qué es y Cómo funciona el Marco de
CiberSeguridad NIST, Fuente: https://www.ftc.gov/es/guia-para-
negocios/protegiendo-pequenos-negocios/ciberseguridad/marco-
ciberseguridad-nist 
 Ciberseguridad (), Guía completa sobre controles de seguridad CIS,
Fuente: https://ciberseguridad.com/herramientas/controles-seguridad-cis/ 
 Borbón Sanabria, Jeffrey Steve (2011), Buenas prácticas, estándares y
normas. Universidad Autónoma de México, Fuente:
https://revista.seguridad.unam.mx/numero-11/buenas-pr%C3%A1cticas-est
%C3%A1ndares-y-normas 
 ISACA (), COBIT and ISACA Framework, Fuente:
https://www.isaca.org/resources/cobit 
 Ruiz Vivanco, Omar A., Llanos Yánez, Alonso (2017), TIL y el
mejoramiento de la gestión de servicios informáticos, Caso: TECNOPRO
CÍA. LTDA, Universidad Andina Simón Bolívar, Sede Ecuador, Fuente:
https://repositorio.uasb.edu.ec/bitstream/10644/5877/1/T2444-MBA-Ruiz-
ITIL.pdf 
 Rodríguez Lache, Edith Y., Correa Cano, Deisy (), Plan de Continuidad
BS 25999, Universidad de Boyacá, Fuente:
https://www.sisteseg.com/files/Microsoft_Word_-
_Articulo_BS_25999_DEF1.pdf 
 Ginzo Tech (), Vulnerabilidades informáticas, Fuente:
https://ginzo.tech/blog/vulnerabilidades-informaticas-que-son-tipos/ 
 Auger, Robert (2012), The WASC Threat Classification v2.0, Web
Application Security Consortium, Fuente:
http://projects.webappsec.org/f/WASC-TC-v2_0.pdf 
 Common Weakness Enumeration (2022), CWE VIEW: Weaknesses in
the 2022 CWE Top 25 Most Dangerous Software Weaknesses, Fuente:
https://cwe.mitre.org/data/definitions/1387.html 
 Paul E. Black, Elizabeth N. Fong, Vadim Okun, Romain Gaucher
(2008), Software Assurance Tools: Web Application Security Scanner
Functional Specification Version 1.0, NIST, Fuente:
https://www.nist.gov/publications/software-assurance-tools-web-
application-security-scanner-functional-specification 
 SANS (), What Errors Are Included in the Top 25 Software Errors?,
Fuente: https://www.sans.org/top25-software-errors/ 
 IBM (2021), Política y objetivos de seguridad, Fuente:
https://www.ibm.com/docs/es/i/7.3?topic=security-policy-objectives 
 UNIR (2020), Claves de las políticas de seguridad informática, Unir
Revista, Fuente: https://www.unir.net/ingenieria/revista/politicas-
seguridad-informatica/