Especialización en Seguridad de la Información
URI permanente para esta colección
Examinar
Envíos recientes
Mostrando 1 - 5 de 37
- ÍtemLa importancia de la ciberresilencia en las empresas PYMES en Colombia.(2024-06) Morera León, Oscar Julian; Ochoa Bermúdez, Andrés Camilo; Farfán Mancera, John Fredy; Herrera l Herrera, Héctor ManuelEste artículo se plantea la importancia de la ciberresiliencia en las pequeñas y medianas empresas (PYMES) de Colombia, analizando en profundidad la situación actual de estas empresas en cuanto a la concientización y la implementación de medidas de seguridad. La ciberresiliencia se refiere a la capacidad de una organización para prepararse, responder y recuperarse de los ciberataques, y es esencial para garantizar la continuidad operativa y la protección de la información crítica. En este estudio, se pretende identificar el grado de madurez en el que se encuentran las PYMES para afrontar y superar un ciberataque, evaluando su capacidad de respuesta y recuperación ante incidentes de seguridad. Para profundizar en la importancia de la ciberresiliencia, este artículo se centrará en el despliegue de una encuesta dirigida a PYMES de diferentes sectores de mercado. Las preguntas de la encuesta estarán orientadas en los controles de las normas ISO 27001 y 27005, dos estándares internacionales fundamentales para la gestión de la seguridad de la información y la gestión de riesgos, respectivamente. La norma ISO 27001 establece los requisitos para un sistema de gestión de seguridad de la información (SGSI), mientras que la ISO 27005 proporciona directrices para la gestión de riesgos asociados a la seguridad de la información. Al finalizar, se consolidarán los resultados obtenidos para obtener un mayor entendimiento del enfoque del problema y, con ello, proporcionar un listado de recomendaciones y buenas prácticas que estas empresas deberían integrar en sus negocios. Estas recomendaciones incluirán estrategias para mejorar la concientización sobre la ciberseguridad, medidas para fortalecer las políticas de seguridad y sugerencias para optimizar la asignación de recursos a la gestión de riesgos. Asimismo, se propondrán acciones específicas para mejorar la capacidad de respuesta y recuperación ante ciberataques, garantizando así una mayor ciberresiliencia en las PYMES colombianas.
- ÍtemMinería de criptomonedas en servidores médicos: una amenaza emergente.(2024) Cardenas Padilla, Juan Carlos; Diaz Alvarado, Nidia Aleyda; Herrera Herrera, Hector ManuelEn el presente artículo se busca identificar, las posibles vulnerabilidades en los sistemas informáticos de las entidades prestadoras de servicio del sector salud, las cuales cuentan con servidores en infraestructuras con plataformas on premise y nube (AWS, Digital Ocean, Azure, VMware, Proxmox, etc.); a partir de un análisis minucioso a los mismos, se encontró un malware de criptomoneda llamado XMRIG – MINER, el cual se caracteriza por utilizar una tecnología de código abierto, creada para lograr acceder a los ambientes tecnológicos; de allí se deriva el criptojacking (ciberataque en el que los ciberdelincuentes utilizan la potencia de procesamiento de la computadora para generar y extraer criptomonedas de forma ilegal y encubierta en recursos alternos). Primero se analizaron las consecuencias que el virus causaba en estos servidores y como afectaba el rendimiento de las maquinas cuando el código se inyectaba; A partir de ahí, se detalla el comportamiento del virus cuando se está ejecutando y los resultados obtenidos tras la implementación de los mecanismos de seguridad; posteriormente se plasmaron recomendaciones para las mejores prácticas de seguridad, alineadas con la norma ISO 27001, la cual se tomó como base para identificar los riesgos de seguridad y así aplicar controles que permitan mitigar los mismos, tales como A9 control de acceso, A.9.1 Requisitos del negocio para control de acceso; A.9.2 Gestión de acceso de usuarios y A.9.3 Responsabilidades de los usuarios entre otros.
- ÍtemCibercultura en la FULL: La importancia de capacitar y concientizar a los empleados.(2024) Andrade Campos, Omar; Lopez Alfonso, Brayan Sebastian; Güiza Velasquez, John Alexander; Herrera Herrera, Hector ManuelEl presente artículo tiene como propósito identificar los principales riesgos a los que se podría exponer la Fundación Universitaria Los Libertadores en materia de ciberseguridad al no tener un programa de capacitación para sus empleados. La identificación se hará mediante una encuesta dirigida a las áreas más sensibles de la institución, como la Gerencia Financiera, la Gerencia de Talento Humano y la Secretaría General. El fin de esta encuesta es medir el nivel de conocimiento de los colaboradores en materia de ciberseguridad. También se realizará una prueba de hacking ético por medio de phishing para identificar posibles riesgos con esta técnica. Después de revisar los resultados obtenidos en la encuesta y la prueba de phishing, se llevará a cabo un análisis para interpretar los datos y presentar los hallazgos. Durante esta etapa, se evaluarán detalladamente los resultados de la encuesta, esto implica desglosar los datos, identificar patrones o tendencias, y realizar las conclusiones respectivas. El análisis de los datos puede incluir comparaciones, gráficos, tablas y otros métodos visuales que ayuden a interpretar los resultados de manera más clara. Además, se propone implementar una guía de buenas prácticas en ciberseguridad basada en las normas ISO 27001 e ISO27032. Esta guía servirá como herramienta para el departamento de tecnología, ayudando a mejorar la seguridad en línea y proteger contra posibles amenazas.
- ÍtemHacking ético y cibercultura: impacto en el entorno laboral.(2024-06) Jiménez Calderón, Cristian David; Mendoza Tuay, Diego Alberto; Rodríguez Sánchez, Sebastián; Herrera Herrera, Héctor Manuel; Héctor ManuelEste artículo aborda la problemática de la falta de preparación y conocimiento frente a los diversos tipos de ciberincidentes en las empresas. Se destaca cómo el personal puede convertirse en una brecha de seguridad, dado que los empleados pueden tener acceso a datos confidenciales de la empresa o compartirlos sin las precauciones necesarias. Por lo tanto, es crucial capacitarlos y fomentar una cultura de ciberseguridad. Los métodos preferidos por los ciberdelincuentes incluyen la explotación de aplicaciones públicas, el phishing, el ransomware y el acceso no autorizado a servidores de diversas compañías. Para lograr el objetivo de la investigación, primero se identificarán vulnerabilidades específicas en los sistemas de información de las empresas, especialmente pymes, utilizando herramientas de hacking ético y pentesting. Se evaluará la conciencia de seguridad cibernética y las vulnerabilidades de la empresa mediante el envío de un archivo malicioso. Posteriormente, se analizarán las vulnerabilidades encontradas utilizando metodologías de hacking ético para comprender su impacto y los riesgos asociados. Finalmente, se propone una metodología basada en la norma ISO 27001:2013 y el ciclo PHVA (planificar, hacer, verificar y actuar) para mejorar la postura de seguridad cibernética de las organizaciones. Esta metodología incluirá medidas como la actualización de software, fortalecimiento de políticas de contraseñas, deshabilitación de servicios innecesarios, reducción de privilegios de usuario, capacitación en ciberseguridad e implementación de cabeceras de seguridad. Las recomendaciones buscan fomentar una cultura de seguridad cibernética robusta y continua en las empresas, incentivando la adopción de buenas prácticas y la realización de evaluaciones periódicas de seguridad.
- ÍtemSeguridad, confidencialidad y confiabilidad de procesos y documentación contable en tiempos de trabajo remoto en la compañía Kluger Tech.(2021-11-21) Perez Sequera, Juan Sebastian; Ramirez Galeano, Jose Luis; Sanchez Becerra, Juan ManuelThis document provides guidelines and recommendations for an SME whose work is carried out in remote and insecure environments. determining the level of maturity of the company in areas of Security of Information and identifying the vulnerabilities classified as critical and high for the critical infrastructure of the accounting process, according to the Security Awareness Maturity Model and the report generated by a vulnerability scan with the Nessus tool.