Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Manuel Neira
2023
LECTURA No. 01
1. ¿Cuál podría ser el vínculo que existe entre el cloud computing y la norma
ISO/IEC 27001?
Los procesos de negocio son todos aquellas actividades y tareas que las organizaciones
efectúan con el propósito de cumplir sus objetivos. Mientras que la ciberseguridad son
todas esas prácticas de protección a los activos de la información. Esta última es tan
importante, ya que apoya el recubrimiento de la entidad ante amenazas y riesgos digitales
que podría tener para afectar la continuidad de la operación, robo o daño de información
crítica como (de propiedad intelectual, clientes, proveedores, productos), afectación legal y
de buen nombre, por medio herramientas, políticas, conceptos de seguridad y tecnologías.
Una de las ventajas del SGSI es que permite garantizar niveles adecuados de protección de
la información empresarial como recurso vital para la toma de decisiones empresariales.
Otras ventajas
-Hace aún más fácil la validación de la información en la organización
-Reduce el riesgo de que se produzcan pérdidas de información
- Contar con un SGSI otorga a la organización una garantía frente a los
interesados de la organización
-Optimiza el funcionamiento de los procesos de información y por lo tanto
ofrece una deducción de costes.
- Nube privada: Posee los servicios de forma exclusiva a una única organización y
no se ofrecen al público. Los servicios desplegados pueden ser de propiedad de la
organización, administrados y operados por ésta o por un tercero, o una
combinación de ambos.
- Nube pública: La infraestructura la ópera un proveedor que ofrece uno o varios
servicios cloud al público en general.
- La nube comunitaria: Es aquella que ha sido organizada para servir a una
función o propósito común de un grupo de consumidores específicos, quienes
comparten objetivos comunes.
- La nube híbrida: Es una combinación de las anteriores y puede desplegar
diferentes servicios de forma pública, privada o comunitaria.
7. ¿Cuáles son las seis capas del modelo de clasificación de activos tecnológicos en
la norma española UNE 71504:2008 - Metodología de análisis y gestión de
riesgos para los sistemas de información?
La matriz FODA representa fortalezas, las oportunidades, las debilidades y las amenazas
que tiene la organización a analizar, iniciando con el proceso de identificación de riesgos
tomando como base las debilidades y amenazas.
Permite establecer qué tan grave sería que se materialice una amenaza y cómo podría llegar
a afectar la información empresarial, así como los activos tecnológicos que la soportan en
términos de confidencialidad, integridad y disponibilidad. Siendo medidos en términos
porcentuales, en función de dos parámetros (probabilidad e impacto).
10. Desarrollé un ejemplo sobre escenarios de riesgo en las tecnologías de la
información, dónde se presenta la amenaza, el activo amenazado y el contexto.
EJEMPLOS:
Amenaza
Activo de la información
Contexto
- Nivel bajo de aseguramiento: Este nivel acoge a la información no crítica para los
procesos de la entidad y en las cuales no necesita medidas relevantes para su
aseguramiento. Como datos de reunión de equipo, información no relacionados
al negocio.
- Compromiso de la alta y media dirección: Estás serán quienes darán los vistos
buenos de los procesos iniciados, así mismo en la norma 27001 se sustenta en su
apartado de Liderazgo la importancia del compromiso de la alta dirección con
relación a la seguridad de la información y la administración del riesgo.
- La creación de un grupo multidisciplinario de Modelo Estándar de Control
Interno (MECI): Establece para las entidades del Estado evaluando así, su
estructura para el control a la estrategia y la gestión de entidades del Estado. Esto
con el propósito de tener una mirada más amplia a la evaluación de procesos y los
riesgos que puede acarrear.
- Capacitación: El grupo MECI debe capacitarse con relación a la metodología para
la evaluación de riesgos de la seguridad teniendo en cuenta otros proyectos como el
MPSI "Modelo de privacidad y seguridad de la información" para el mejoramiento
de resultados
- Definición de roles El estándar ISO/IEC 27002:2013 establece la necesidad de
definir y asignar todas las responsabilidades de seguridad de la información con el
objetivo de administrar el riesgo, con el objetivo de fijarse de acuerdo con las
diversas políticas de seguridad de la información, mediante la identificación de
responsabilidades para la protección de activos individuales y con el fin de llevar a
cabo procesos de seguridad específicos.
- Monitoreo y revisión del riesgo Establece si los planes de acción implementados
fueron efectivos, si los niveles de riesgos permanecen o se han modificado, de un
periodo a otro cuántos riesgos importantes permanecen, cuantos riesgos
inaceptables, los controles y si se han materializado o no.
- Evaluación y mejora continua PHVA: la base de los procesos de seguridad de la
información se ha desarrollado a partir de que lo se ha denominado sistema de
gestión de seguridad de la información
Su propósito se trata de determinar qué podría suceder en caso tal que cause una pérdida
potencial, y llegar a comprender las razones es decir el cómo, dónde, y por qué podría
ocurrir está perdida, y como se podría posteriormente solucionar y que no se vuelva a
repetir.
- Capacitar: Al identificar los riesgos permite a las entidades prever situaciones que
pueden generar pérdidas, se puede hacer procesos de capacitación para la
identificacion de riesgos y así minimizar los efectos contraproducentes de los
riesgos.
- Prevenir: En la identificación de riesgos es relevante la prevención debido a que
este es un aspecto crítico, garantizando la seguridad y protección de la información.
Así mismo ayuda, a las evaluaciones de riesgos y sistemas e infraestructuras TI,
implementación de politicas de seguridad, implementación de capacitaciones para
minimizar riesgos, estipular controles de acceso y actividades como backups
regulares.
- PHVA: El proceso de mejora continua, apoya a la identificación de riesgos. Ya que
al
● Planificar: Se identifican y evalúan, se estipulan, analizan, herramientas
planes y personas para proyectos que ayuden a esta identificación.
● Hacer: Llevar a cabo lo planificado y la identificación del impacto de cada
riesgo no contemplado.
● Verificar: Los resultados obtenidos durante la evaluacion sean precisos y
confiables, se realizan pruebas y simulación para determinar la probabilidad
y su impacto.
● Actuar: Tomar medidas para mitigar riesgos, identificar controle de
seguridad adicionales, implementación de controles de seguridad y
elaboracion de planes de contingencia.
- Preventivos: Estos buscan la eliminación de primera mano del riesgo y sus causas
para evitar su existencia, ocurrencia o materialización.
- Correctivos: son aquellos que dan solución o eliminación a ese riesgo con el
propósito de la reincorporación de las actividades y procesos normales de la entidad
así como el replanteamiento de aquellas acciones que condujeron al riesgo o que
fueron insuficientes para el mismo.
- Disponibilidad
- Confidencialidad
- Integridad
- Confiabilidad
Al ocasionar una amenaza para los usuarios en el manejo de sus datos sensibles con
propósitos no éticos, dado a una vulnerabilidad en los sistemas de información, con el
riesgo de divulgación de información sensible, generaría para la imagen de la compañía una
percepción de desconfianza y mala publicidad por parte de la ciudadanía hacia la compañía,
incluso como un riesgo al cual perjudica totalmente a la empresa es el cierre definitivo de
esta.
10. ¿Cuáles son las consecuencias operativas que las entidades deberán identificar
dentro de su organización?
LECTURA No. 03
El informe de ciberseguridad en América Latina y el Caribe señala que los sectores más
vulnerables ante los ciberataques en la región son los servicios financieros, la energía, la
salud y el gobierno. Estos sectores son los que registran un mayor número de incidentes de
ciberseguridad de alta complejidad.
Respuesta: Es Falsa porque este tratado 1 no contempla delitos como el acoso cibernético
y en Colombia su normalización es por medio de una Ley.
Argumento:
Respuesta: La afirmación es falsa debido a que el segundo eje no tiene en cuenta la ética y
en el quinto eje no se estipula igualmente la seguridad cibernética como una dimensión
dentro del modelo de Madurez.(Página 20).
Respuesta: A
A: La suplantación de sitios web tiene que ver con la persona que, sin estar facultada para
ello, impida o obstaculice el funcionamiento o el acceso normal a un sistema informático, a
los datos informáticos allí contenidos, o a una red de telecomunicaciones. Su pena de
prisión es de 48 a 96 meses
B: La suplantación de sitios web tiene que ver con el que, sin estar facultado para ello,
produzca software malicioso u otros programas de computación de efectos dañinos. Su
pena de prisión es de 48 a 96 meses
a) A y B son correctas
b) A y B son falsas
el que modifique el sistema de resolución de nombres de dominio, de tal manera que haga
entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio
personal o de confianza, siempre que la conducta no constituya delito sancionado con pena
más grave.
9. ¿En que decreto esta establecido la politica de gobierno digital y de que trata?
Respuesta: Se establece en el decreto N° 1.008 de 2018, donde se la describe como “el uso
y aprovechamiento de las TIC para consolidar un Estado y ciudadanos competitivos,
proactivos, e innovadores, que generen valor público en un entorno de confianza digital”.
10. ¿En qué año fue diseñado el Modelo de Madurez de Capacidad de Ciberseguridad
para Naciones (CMM), a que se encuentra sometido este modelo y en qué año se
actualiza el modelo?
LECTURA No. 4
Los beneficios del Gobierno en Línea para los ciudadanos y las empresas en Colombia
incluyen el acceso rápido y fácil a información y servicios públicos, la reducción de
trámites y costos, la mejora de la eficiencia en la gestión pública, y la promoción de la
transparencia y la participación ciudadana.
En el plan maestro se definen los servicios públicos de información como aquellos que el
Estado presta para garantizar a la ciudadanía el acceso a la información y al conocimiento,
así como para facilitar la gestión de información necesaria para el cumplimiento de sus
funciones.
5.¿Cuáles son los tres componentes funcionales dentro de la estrategia para la toma de
decisiones que tienen como objetivo, acortar el tiempo de respuesta para la mitigación
en cuanto a la propagación de incidentes y sus daños a los recursos de Tecnologías de
la información y a la triada de la seguridad? (Página 22)
segundo ejemplo: Código Malicioso podría acarrear Infección con virus los
diferentes sistemas de la entidad por lo cual su estrategia de contención seria
la Desconexión de la red del equipo afectado
● Erradicación y Recuperación: Se hacen conjuntamente, después de que el
incidente ha sido contenido se debe realizar una erradicación y eliminación de
cualquier rastro dejado por el incidente como código malicioso y posteriormente se
procede a la recuperación a través de la restauración de los sistemas y/o servicios
afectados para lo cual el administrador de TI o quien haga sus veces deben
restablecer la funcionalidad de los sistemas afectados, y realizar un endurecimiento
del sistema que permita prevenir incidentes similares en el futuro.
7. ¿Cúal es el único punto de contacto y que ademas actua como grupo coordinador
que apoya en respuestas de manera rápida y eficiente a sucesos relacionados a
incidentes y vulnerabilidades de Seguridad Digital que puedan afectar la seguridad
Nacional Digital? (página 10)
• Qué sucedió.
• Dónde sucedió.
• Cuando sucedió.
• Como sucedió.
Este actor debe ser un apoyo para los demás actores en caso de dudas sobre los
procedimientos y debe ejercer un liderazgo técnico en el proceso de atención de Incidentes
de seguridad de la información.
● Inferior con un valor de 0,10 y está enfocado a los sistemas no críticos, como
estaciones de trabajo de usuarios con funciones no críticas.
● Bajo con un valor de 0,25 y está enfocado a los sistemas que apoyan a una sola
dependencia o proceso de una entidad.
● Medio con un valor de 0,50 y está enfocado a los sistemas que apoyan más de una
dependencia o proceso de la entidad.
● Alto con un valor de 0,75 y está enfocado a los sistemas pertenecientes al área de
tecnología y estaciones de trabajo de usuarios con funciones críticas.
● Superior con un valor de 1,00 y está enfocado a los sistemas críticos.
10. Según los roles y perfiles necesarios para la atención de incidentes argumente con
sus propias palabras cuál es la similitud que tiene un Analista Forense y un
profesional de la información.
La relación en la que se puede reflejar el archivista y la informática forense es que el
analista forense se ocupa de recuperar, preservar, analizar, y documentar las evidencias
digitales en una investigación para ayudar en los tribunales judiciales; el Archivista, por lo
tanto protegerá la integridad de los Activos de información o bienes documentales que
salvaguardan para que constituyan fiel testimonio del pasado y así garantizar el testimonio
de la actividad de personas o entidades. Por ende la similitud es la preservación del material
probatorio para facilitar el acceso a la información y agilizar los distintos procesos
judiciales. Un ejemplo de esto es la JEP o la Comisión de la verdad que se dio en
Colombia en donde se recopilaron los testimonios de las personas afectadas en distintos
conflictos para la reparación de víctimas.