Documentos de Académico
Documentos de Profesional
Documentos de Cultura
FACULTAD DE INGENIERÍA
BOGOTÁ D.C
2021
TRABAJO DE GRADO
Docente
FACULTAD DE INGENIERÍA
BOGOTÁ D.C
2021
Dedicatoria
Agradecimientos
3
https://creativecommons.org/licenses/by-nc/4.0/deed.es
4
TABLA DE CONTENIDO
Pág.
1. Introducción 7
2. Generalidades 9
2.1. Línea de Investigación 9
2.2. Planteamiento del Problema 9
2.2.1. Antecedentes del problema 9
2.2.2. Pregunta de investigación 11
2.2.3. Variables del problema 11
2.2.4. Justificación 11
3. Objetivos 13
3.1. Objetivo general 13
3.2. Objetivos específicos 13
4. Marcos de referencia 14
4.1. Marco conceptual 14
4.2. Marco teórico 19
4.3. Marco jurídico 28
4.4. Marco geográfico 28
4.5. Estado del arte 29
5. Metodología 31
5.1. Fases del trabajo de grado 31
5.2. Instrumentos o herramientas utilizadas 32
5.3. Alcances y limitaciones 32
6. Productos a entregar 33
7. ENTREGA DE RESULTADOS E IMPACTOS 34
8. NUEVAS ÁREAS DE ESTUDIO 58
9. CONCLUSIONES 59
10. BIBLIOGRAFÍA 62
5
FIGURAS
Pág.
6
1. INTRODUCCIÓN
7
sociedad frente a los temas de seguridad.
8
2. GENERALIDADES
Teniendo en cuenta que la empresa privada Makoto S.A.S en sus sistemas requiere
y, es de vital importancia que se desarrolle una evaluación de los riesgos a sus
activos los cuales están expuestos constantemente, y por consiguiente fortalecer
sus procesos, protocolos, políticas y lineamientos de seguridad existentes y que son
el pilar fundamental para el proceso de estructuración corporativa y de seguridad.
Por lo anterior, se evidenció la importancia de proteger sus datos que pueden ser
utilizados para acciones delictivas y el robo de su información por lo pertinente se
debe realizar la implementación de métodos o normas de aseguramiento que
permitan minimizar los riesgos a los activos de información, ya que se busca
preservar la confidencialidad, disponibilidad e integridad de la información para que
su operación sea continua con el fin de atender las necesidades de los empleados
de manera oportuna y efectiva.
9
Un SGSI (Sistema Gestión de Seguridad de la Información) es un estándar
internacional ISO 27001 el cual nos permite hacer un enfoque sistemático para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar la
seguridad de la información de una organización y lograr sus objetivos comerciales
y/o de servicio, podría decirse que es una guía de comportamiento de sus
colaboradores en todos sus procesos.
Una vez definidos los objetivos del proyecto se realiza una búsqueda de información
adecuada con la metodología para la evaluación del riesgo organizacional en
seguridad de la información en los siguientes motores de búsqueda:
10
Ministerio de Tecnologías de la Información y las Comunicaciones de
Colombia.
Google Académico (https://scholar.google.com)
Biblioteca virtual, recursos electrónicos
Bases de datos de la Universidad Católica
Repositorios digitales
Libros electrónicos.
2.2.4. JUSTIFICACIÓN
11
cibernéticos, es indispensable contar con medios económicos para el diseño de
estrategias de seguridad así como que proveedores y clientes del mercado bancario
y privado exigen a empresas prestadoras de servicios de seguridad de la
información, tener sus riesgos identificados y gestionados, al ser Makoto S.A.S, una
empresa de este tipo, es estratégico contar con una evaluación del riesgo propuesto
y tener en sus objetivos la implementación de la norma ISO 27005:2018.
12
3. OBJETIVOS
13
4. MARCOS DE REFERENCIA
Las empresas deben saber sobre las mejores prácticas, tendencias y marcos de
referencia de la industria que ayudan a su implementación en seguridad de la
información se implementara las diferentes etapas y con la ayuda de las
herramientas que permiten llevar a cabo una evaluación de riesgos reales que
permitan establecer alternativas de prevención y corrección, acerca de los
principios, lineamientos y lecciones aprendidas que se deben tener en cuenta para
la implementación efectiva de una evaluación riesgos de seguridad de la
información se identificará la estructura organizacional, roles y responsabilidades
que se deben definir para la implementación de técnicas y herramientas para el
apoyo de los procesos de implementación y evaluación de riesgos de acuerdo a la
norma a seguir.
Principios de seguridad.
Existen varios métodos para proteger la información o los datos, contra el uso no
permitido, estos son: el cifrado o encriptación, la autenticación y el control de
acceso.
14
información, exactamente igual en cualquier momento que se haga la consulta; para
garantizar la integridad se pueden utilizar métodos como la función hash, las
comprobaciones de validación de datos, las comprobaciones de consistencia de los
datos y los controles de acceso.(3)
Principio de disponibilidad
Esta es una de las actividades básicas y estratégicas y que son establecidas en los
estándares de seguridad para la protección de la información, sobre las amenazas
obtenidas de los propietarios, los usuario, de la revisión de incidentes y de otras
fuentes, se debe identificar las amenazas y su origen, una amenaza tiene el
potenciar de causar daños a activos como información, procesos y sistemas y a las
organizaciones, estas puedes ser de origen natural o humano y ser accidentales o
deliberadas.
15
Figura No.1 de identificación de riesgo - Autor
16
Accidentales: Es una situación y un método que puede explotar accidentalmente
una vulnerabilidad.
Para saber el contexto general del riesgo es importante tener en cuenta las
siguientes definiciones el proceso que se encarga de identificar y cuantificar la
probabilidad de que se produzcan amenazas y de establecer un nivel aceptable de
riesgo para la organización, considerando el impacto potencial de un incidente no
deseado, Otra explicación es el riesgo como la amenaza, determinando el grado de
exposición a la ocurrencia de una pérdida, con la probabilidad de que la amenaza
se materialice utilizando vulnerabilidades existentes en un activo, generando
pérdidas o daños en los activos se encuentran relacionados, directa o
indirectamente, con las demás entidades según el siguiente esquema. (16)
Entrada: alcance y límites para la valoración del riesgo lista de los componentes
(propietarios, ubicación y funciones).
Acción: identificar los activos dentro del alcance establecido con un nivel adecuado
de detalle, con información suficiente para la valoración del riesgo. Se debe
identificar al propietario de cada activo – responsabilidad y rendición de cuentas
17
Salidas: Lista de los activos que van a estar sometidos a gestión del riesgo y una
lista de los procesos del negocio relacionados con los activos y su importancia.
Ejemplos de consecuencias:
18
todas las actividades de la organización y se debería demostrar su liderazgo y
compromiso.
19
actividades transversales: monitoreo, revisión, comunicación y consulta. De
acuerdo con las actividades, la identificación pretende conocer los activos más
importantes para una organización junto con las amenazas que podrían afectarlos.
Posteriormente, el análisis de los riesgos permite caracterizar cada uno de ellos
para luego ser evaluados de forma cualitativa o cuantitativa en función de los
criterios. Todo esto se considera dentro de la fase de valoración. (16)
Reducción del riesgo mediante la selección de controles, de tal manera que el riesgo
residual se pueda revaluar como aceptable, los controles se deberían seleccionar
tomando en consideración los requisitos identificados en la valoración y el
tratamiento del riesgo, la selección debería tener en cuenta los criterios de
aceptación del riesgo, los controles pueden brindar uno o más de los siguientes
tipos de protección: corrección, eliminación, prevención, minimización del impacto,
disuasión, detección, recuperación, monitoreo y toma de conciencia.
Retención del riesgo: por tratarse de un tratamiento del riesgo la decisión sobre la
retención del riesgo sin acción posterior de debería tomar dependiendo de la
evaluación del riesgo, la norma ISO 27001 establece aceptar los riesgos con
conocimiento y objetividad, siempre y cuando satisfagan claramente la política y los
criterios de la organización para la aceptación de los riesgos, si el nivel del riesgo
satisface los criterios de aceptación, no es necesario implementar controles
adicionales y el riesgo se puede retener.
Evitación del riesgo: la acción se debería evitar la actividad o la acción que da origen
al riesgo particular, aplicable con frecuencia cuando los riesgos identificados se
consideran muy altos, o si los costos para implementar otras opciones de
tratamiento del riesgo exceden los beneficios.
Comunicación y Consulta
20
Evitar o reducir tanto la ocurrencia como la consecuencia de las brechas de
seguridad de la información debido a la falta de entendimiento entre quienes
toman las decisiones de las partes interesadas.
Brindar soporte para la toma de decisiones.
Obtener conocimientos nuevos sobre la seguridad de la información.
Coordinar con otras partes y planificar las respuestas para reducir las
consecuencias de cualquier incidente.
Dar a quienes toman las decisiones y a las partes involucradas en sentido de
responsabilidad acerca de los riesgos.
Mejorar la toma de conciencia.
Monitoreo y Revisión
Registro e informe:
21
Reporte y tableros de control.
Material de entretenimiento.
22
¿Qué es tratamiento del riesgo?
Se debe evaluar los niveles de riesgos con propiedad de acuerdo con los criterios
de evaluación del riesgo, con relación a los escenarios de incidente que llevan a
tales riesgos, se debe seleccionar controles para reducir, retener, evitar o trasferir
los riesgos y se debe definir un plan para su tratamiento del riesgo. Se debe
gestionar un tratamiento del riesgo y riesgo residuales sujetos a la decisión de
aceptación de los directores de la organización.
Evitar el riesgo
Aceptar o aumentar el riesgo
Eliminar la fuente del riesgo
Modificar la probabilidad
Modificar las consecuencias
Compartir el riesgo
Retener el riesgo (decisión informada)
Definición de activos
23
Los activos son todos los elementos que una organización posee para el tratamiento
de la información (Información, Servicios, Intangibles, hardware, software,
recurso humano, entre otros). Es importante tener en cuenta que los activos se
deben agrupar en varios tipos de acuerdo a la función que ejercen en el tratamiento
de la información.
Los resultados de estas actividades se utilizan para evaluar los riesgos y luego
identificar su tratamiento. Las consecuencias se pueden evaluar de varias maneras,
incluyendo el uso de medidas cuantitativas, por ejemplo monetarias y cualitativas
(las cuales se pueden basar en el uso de adjetivos tales como moderado o grave)
o una combinación de ambas. Para evaluar la probabilidad de ocurrencia o una
amenaza, se debería establecer el marco temporal en el cual el activo tendrá valor
o necesitara protección.
24
en cada uno de los activos que ya se identificaron previamente.
Probabilidad Valores:
Niveles
Descripción
de
Probabilidad
Riesgo cuya materialización es
5 Muy alta
recurrente (Casi seguro).
Riesgo que puede materializarse de
4 Alta
manera habitual (Probable).
Riesgo que se presenta de forma casual
3 Moderada
o accidental (Posible).
Riesgo que puede presentarse de
2 Baja
manera eventual (Raro).
Riesgo cuya probabilidad de
1 Muy baja
materializarse es mínima (Improbable).
SEGURIDAD Y PRIVACIDAD DE LA
NIVEL CONCEPTO DESCRIPCIÓN
INFORMACIÓN
Si el hecho llegara a presentarse tendría consecuencias
1 Muy Bajo Afecta a una actividad del proceso.
o efectos mínimos sobre la organización
Afecta a un grupo de trabajo, a una
Si el hecho llegara a presentarse, tendría bajo impacto
2 Bajo persona, grupo de personas o algunas
o efecto sobre la organización.
actividades del proceso.
Si el hecho llegara a presentarse tendría medianas Afecta un conjunto de datos personales o
3 Moderado
consecuencias o efectos sobre la organización. el proceso.
Si el hecho llegara a presentarse tendría altas Afecta varios conjuntos de datos
4 Alto
consecuencias o efectos sobre la organización. personales o procesos de la organización.
Afecta toda la organización. Multas por
Si el hecho llegara a presentarse tendría desastrosas incumplimiento de la Legislación.
5 Muy Alto
consecuencias o efectos sobre la organización. Suspensión de las actividades misionales
de la organización.
25
Nivel de riesgo: Nivel Probabilidad X Impacto: Valores
26
Identificación de amenazas:
Una amenaza es aquella que tiene un potencial para hacer daño a los activos de
una organización, tales como, información, procesos, sistemas y perjuicio en la
organización, se asocia con el aspecto negativo de riesgo.
Daño Físico.
Desastre natural.
Perdida de servicios esenciales.
Trastornos caudados por la radiación.
Información comprometida.
Fallas técnicas
Acciones no autorizada.
Tipos de amenazas
Para cada uno de los tipos de amenazas, la siguiente lista indica los casos en que
D (deliberadas), A (accidentales) y E (ambientales) son pertinentes. La letra D se
utiliza para todas la acciones deliberadas que tienen como objetivo los activos de la
información, A se utiliza para las acciones humanas que puedan dañar
accidentalmente los activos de información y E se utiliza para los accidentes que no
se basa en las acciones humanas. Los grupos de amenaza no están en orden de
prioridad. Ejemplo de amenazas:
27
4.3. MARCO JURÍDICO
El desarrollo del presente documento tiene como objetivo principal entregar una
evaluación de gestión de seguridad de la información, el cual se implementó en la
sede principal de la empresa Makoto S.A.S, la cual está ubicada en la ciudad de
Bogotá Colombia en Ak. 70 #51-63 a 51-61.
28
Figura No.12 de ubicación empresa
Según la organización ColCERT se presentaron los siguientes datos sobre los tipos
de ataques cibernéticos en Colombia en el año 2017. Según la figura 13 se
evidencia que el ataque más frecuente es el defacement con el 64%, seguido del
29
phishing con el 25.3 %, y el tipo de ataque menos frecuente es la vulnerabilidad
DNS.
30
5. METODOLOGÍA
Hardware Software
Redes Personas
Ubicación Estructura de la organización.
Fase 4. Valoración de activos por tipos: Se realizó con base a la tabla de criterio y la
valoración del activo.
31
Fase 8. Origen de las amenazas: Teniendo en cuenta la valoración de amenazas
realizada, es necesario determinar el origen de las amenazas, las cuales pueden ser
deliberadas, accidentales o ambientales (naturales).
El alcance:
El alcance de este proyecto es diseñar una evaluación de riesgos que sirva como
modelo para concienciar a los empleados, para mitigar la materialización de los
riesgos asociados y que afectan la confidencialidad, integridad y disponibilidad de
la información que aquí se maneja.
Norma ISO 27005: 2013 Requisitos para la implementación del sistema gestión de
seguridad de la información.
Limitaciones:
Dentro de las limitaciones definidas, cabe mencionar que solo se hará la evaluación
Cuantitativa de los riesgos y se pondrá a prueba con los encargados del área de IT,
más no con todos los empleados.
32
6. PRODUCTOS A ENTREGAR
1. Articulo IEEE.
2. Archivo de evaluación del riesgo.
3. Archivo de matriz de riesgo.
33
7. ENTREGA DE RESULTADOS E IMPACTOS
34
Figura. Proceso de gestión del riesgo en seguridad de la información de la norma
NTC-ISO 27005:2018
Hardware
Software
Redes
Personal
Ubicación
Estructura de la organización
35
CODIFICACIÓN O ETIQUETACIÓN DE LOS ACTIVOS
Hardware Personal
Software Ubicación
Redes Estructura de la organización
Los activos son todos los componentes y dispositivo o dato que la organización
posee para el tratamiento de la información, estos se deben de agrupar en varios
tipos de acuerdo a la función que ejercen en el tratamiento de la información, estos
son los activos de la empresa de acuerdo a la norma ISO 27005:2018.
ACTIVO HARDWARE
Servidores:
Computadores de escritorio:
Portátiles:
Dispositivos móviles:
Impresoras:
AS400:
Equipos multifuncional:
Router:
Teléfonos:
Módems:
Memoria USB:
CD/DVD:
Dispositivo portables:
Cámaras de seguridad
seleccionados por la empresa:
Lector Huellas Dactilar:
Televisores:
Fuente: Autor
36
Tabla No.2 Activos de información datos
Los activos de datos e información que posee la empresa y que se deben tener
en cuenta:
37
Tabla No.5 Activos de información servicios
38
Tabla No.7 Etiquetación tipo de activos
Según la norma ISO 27005:2018, se debe pactar la escala que se va a utilizar y los
criterios para la asignación de una ubicación particular en esa escala para cada uno
de los activos, esta es la tabla para el nivel de valor, que va desde 0 hasta 5 para
establecer su valor y tipo de daño que está expuesto los activos.
39
Tabla No.9 Criterios de valoración de activos nivel de valor
40
Tabla No.11 Valoración de activos de información
41
Tabla No.13 Valoración de activos de personas
42
información o personas que son afectadas. El impacto es la relación con el grado
de éxito del incidente y tiene un efecto inmediato (operacional) o un efecto futuro
(en el negocio) que incluye consecuencias financieras y de mercado y estos son
los valores para cada uno de los activos, ya sea de índole: Directo e Indirecto.
43
Tabla No.18 Valoración de impacto Personas
44
Tabla No.21 Valoración de impacto Software
Con base en la norma ISO 27005:2018 se define las siguientes procedencias de las
amenazas clasificadas así, de acuerdo a la guía; es importante clasificar las
amenazas según su tipo y naturaleza, ya sea su origen: Deliberadas, Ambiental y
Accidental.
45
Tabla No.23 Amenazas de tipo Compromiso de la Información
46
Tabla No.26 Amenazas de tipo eventos naturales
47
Fase 7 - Origen de las Amenazas
48
Tabla No.31 Acciones no autorizadas y su origen
49
Tabla No.33 Compromiso de las funciones y su origen
50
Tabla No.35 Fallas técnicas y su origen
Para iniciar con las vulnerabilidades y habiendo identificado las amenazas y con la
lista de activos, se puede establecer las debilidades en los activos y que pueden ser
explotadas por una amenaza para causar daño a los activos.
51
Tabla No.37 Identificación de vulnerabilidades
La sola presencia de una vulnerabilidad no causa daño por sí misma, dado que es
necesario que haya una amenaza presente para explotarla. Una vulnerabilidad que
no tiene una amenaza correspondiente puede no requerir de la implementación de
un control, pero es recomendable reconocerla y monitorearla para determinar los
cambios.
En virtud de lo anterior se establece que, una amenaza es una causa potencial para
general un incidente no deseado el cual puede ocasionar daño a un activo el cual
puede ser vulnerado por una debilidad por falta de un control y este es explotado
por una amenaza.
52
Tipo de activo Amenaza Vulnerabilidad
Accidente Importante Sobrecargas
Daño por agua Ubicación en un área
susceptible de
inundación
Hardware Daño por fuego Ubicación en un área
susceptible
Error en el uso Configuración
incorrecta de
parámetros
Falla del equipo Mantenimiento
insuficiente
Mal funcionamiento del equipo Contaminación
mecánica
Perdida de suministro de No hay energía para el
energía funcionamiento de los
dispositivos y
continuar con el
Hardware proceso de trabajo
Polvo, corrosión, Deterioro del hardware
congelamiento
Uso no autorizado del equipo Falta de revisiones
regulares por parte de
la gerencia
Destrucción del Equipo o de Falta de esquemas de
los Medios reemplazo periódico
Accidente Importante Sobrecargas
Daño por agua Ubicación en un área
susceptible de
inundación
Fuente: Autor.
53
Fase 9 MATRIZ DE RIESGO
Esta matriz nos permitió establecer un contexto y análisis de los riesgos existentes
en los activos de información y con base a su resultado se selecciona los más
relevantes para aplicarles los controles y así determinar los riesgos y consecuencias
para los activos de información que posee la empresa.
IMPACTO
Insignificante Menor Moderado Mayor Catastrófico
1 4 9 16 25
Casi 5 20 45 80 125
Seguro
5
PROBA Probable 4 4 16 36 64 100
BILIDAD Posible 3 3 12 27 48 75
Improbab 2 8 18 32 50
le
2
Raro 1 1 4 9 16 25
Fuente: Autor.
La grafica de matriz de riesgo de activos nos permitió identificar los controles para
este trabajo como es el caso de los riesgos residuales.
54
Figura No. 15 de Tabla de riesgos residuales
IMPACTO
Insignifica
Menor Moderado Mayor Catastrófico
nte
1 4 9 16 25
Casi 0 0 0 0 0
5
PROBABILIDAD
Seguro
Probable 4 0 0 0 0 0
0 R04 - R03 - R01 - 0
R05 - R04 -
Posible 3
R05 -
Improba 0 0 0 R02 - 0
ble
2
Raro 1 0 0 0 0 0
Fuente: Autor.
55
RECOMENDACIONES
Ataques.
Código malicioso.
Denegación de Servicio (DoS) o Denegación de Servicio Distribuida
(DDoS).
Acceso no autorizado, robo o pérdida de datos.
Pruebas y reconocimientos.
Daños físicos.
Robo de contraseñas.
Prácticas de ingeniería social.
El borrado de información a terceros.
La utilización de fallas en los procesos de autenticación para obtener accesos
indebidos.
La utilización de fallas en los procesos de autenticación para obtener
accesos indebidos.
La introducción de código malicioso en la infraestructura tecnológica de una
entidad (virus, troyanos, gusanos, malware en general)
La alteración de información de terceros.
Prácticas de ingeniería social
56
La matriz de riesgos, será administrada por el equipo de tecnología, a quienes,
en conjunto con los líderes y responsables por cada proceso, pondrán en
conocimiento respectivo a la gerencia, sobre aquellas situaciones que sean
propensas a materializar esos riesgos sobre los activos de información,
proponiendo los mejores mecanismos de protección con el fin, que se evalué y
aprueben los recursos que sean necesarios.
57
8. NUEVAS ÁREAS DE ESTUDIO
58
9. CONCLUSIONES
Se realizó una evaluación a los activos de información que nos permitió gestionar
en el área de TI, sus proceso tecnología, instalaciones y el factor humano que se
armonizo con los objetivos estratégicos trazados por la junta, estos factores tienen
el equilibrio en la cadena de seguridad de la información y de acuerdo a eso la
gestión de ellos dependía el nivel de aseguramiento a los activos.
59
Los controles son obligatorios según la aplicabilidad en cada organización. Los
encargados de la seguridad de la información son quienes deben definir cuáles son
los que se van a poner en marcha para garantizar la protección de datos entre
algunos tenemos los siguientes:
Es indispensable generar una capacitación sobre esta norma para establecer los
controles adecuados en la gestión de la seguridad de la información adicional a eso
de debe:
La junta debe definir y cuantificar al final del año el tipo de tolerancia al riesgo
residual para así tomar medidas de prevención al apetito del riesgo.
60
Realizar capacitaciones frecuentemente al grupo de facilitadores de las
diferentes sesiones de la empresa en temas de SGSI, para mejorar y
proteger los activos de la empresa.
61
10. BIBLIOGRAFÍA
6. https://www.google.com/search?rlz=1C1GCEU_esCO887CO887&lei=7RWk
YZjnIsKuwbkPloyG4A0&q=iso%2027005%20%C3%BAltima%20versi%C3
%B3n&ved=2ahUKEwjYkeH8n7z0AhVCVzABHRaGAdwQsKwBKAN6BAhI
EAQ&biw=1366&bih=625&dpr=1.
11. https://www.ealde.es/iso-27005-gestion-de-riesgos/
62
12. International Organization for Standarization, Tecnología de información.
15. MOLANO, Diego. Ley 1581 de 2012. En línea. 17 octubre de 2012. 25 abril
de 2020. Disponible en: https://ucatolica-leyex
info.ucatolica.basesdedatosezproxy.com /normativa /detalle/ley-1581-de-
2012-24760/pdf.
16. https://es.scribd.com/document/327461427/Ejemplo-Vulnerabilidades-y-
Amenazas-Iso-27005
19. https://repository.udistrital.edu.co/bitstream/handle/11349/8322/TapieroTapi
eroHawinAndrei2019.pdf?sequence=1&isAllowed.
21. MinTic. (04 de 2018). Gobierno de Colombia - Archivo general - Manual Para
Implementación de Gobierno Digital. Obtenido de
http://www.archivogeneral.gov.co/sites/default/files/2018-05/articles-
3081_documento.pdf
22. repository.udistrital.edu.co.
63
27000 - Gestión de riesgos: https://avafp.blackboard.com/bbcswebdav/pid-
2101593-dt-
contentrid_24679164_1/courses/ESDEGUE_MCYC_2019_1_S3_GERECI/
03ISO27000%283%29.pdf
29. PÉREZ Sandra - CRUZ Camilo. Análisis de riesgos del Módulo Predis del
aplicativo Sicapit@l Implementado en la Personaría de Bogotá, D.C. Bogotá:
Universidad Católica de Colombia, Faculta de Ingeniería. Trabajo de grado
para optar al título de Especialista en Auditoría de sistemas de Información
2015, p. 22 – 24
64
31. ALARCÓN TAPIERO Cristina, CANTILLO MIRANDA Lilis Johanna
CASTILLO TORRES Wilson, Adaptación de los procesos del marco de
referencia Cobit V5 para pyme del sector salud, Bogotá, (2018), pág. (21,23)
Universidad Católica de Colombia, Faculta de Sistemas
34. TORRES GALÁN, Leonardo (2020). Diseño de una metodología que permita
integrar la NTC 9001:2015, el MIPG y el MECI para la gestión en la
Superintendencia de Notariado y Registro. Tesis de Grado. Universidad
Católica de Colombia. Facultad de Ingeniería. Maestría en Ingeniería y
Gestión de la Innovación. Bogotá, Colombia.
65
PRESAS%20DE%20EMPLEO%20TEMPORAL%20BASADO%20EN%20L
A%20NORMA%20ISO%20270.pdf. . [Último acceso: 04 mayo 2021].
38. González Sánchez Rony Mitshiu & Colo Matoma José Humberto, (2019,
Diseñar un modelo para implementar un sistema de gestión de seguridad de
la información para una PYME del sector privado, pág.4., Trabajo de Grado.
Universidad Católica de Colombia. Facultad de Ingeniería. Programa de
Ingeniería de Sistemas. Especialización en Seguridad de la Información.
Bogotá, Colombia.
66