guía de prevención y reglas adaptables para el manejo de
TRANSCRIPT
Guía de prevención y reglas adaptables para el manejo de la seguridad de la
información enfocado en el subsector de la industria del calzado de la ciudad de
Bucaramanga.
Presentado por:
Sergio Alfonso González Villalobos
Wilson Archila Marín
Modalidad de grado para pregrado en ingeniería de sistemas
Asesor de modalidad de grado:
Luis Castellanos Guarín
Universidad Cooperativa de Colombia
Programa de Ingeniería de Sistemas
Bucaramanga
2017
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 2
Tabla de Contenido
Pág.
Introducción 6
Planteamiento del problema 9
Pregunta de investigación 12
Hipótesis 13
Justificación 14
Objetivos 16
Objetivo general 16
Objetivos Específicos 16
Marco teórico 17
Marco conceptual 17
Estado del arte 24
ISO/IEC 27002 26
COBIT (Control Objectives Control Objectives for Information and related Technology) 26
Método MAGERIT 27
Metodología 28
Diseño 28
Metodología 28
Instrumentos 29
Encuesta 29
Procedimiento 30
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 3
Resultados 37
Guía de prevención 37
Vulnerabilidades 37
Servicios Financieros 44
Protección de datos 46
Conclusiones 48
Discusión 49
Bibliografía 50
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 4
Lista de tablas
Pág.
Tabla 1. Acceso a TIC en hogares, porcentaje de hogares que tienen acceso a internet: 24
Tabla 2. Muestreo Aleatorio Simple 30
Tabla 3. Plan de mitigación – riesgo físico 39
Tabla 4. Plan de mitigación – riesgo Humano 42
Tabla 5. Plan de mitigación – riesgo lógico 43
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 5
Lista de figuras
Pág.
Figura 1. Pregunta 1 – encuesta. Por autores 31
Figura 2. Pregunta 2 – encuesta. Por autores 31
Figura 3. Pregunta 3 – encuesta. 32
Figura 4. Pregunta 4 – encuesta 33
Figura 5. Pregunta 5 – encuesta. 34
Figura 6. Pregunta 6 – encuesta 35
Figura 7. Pregunta 7 – encuesta. 36
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 6
Introducción
La seguridad de la información tiene un especial valor en los tiempos actuales. Con internet la
humanidad se encuentra en un momento en el que la información privada de los usuarios cada
vez tiende a ser más pública, un momento en el que los niveles de información alcanzan límites
históricos y en el que la sociedad en general se ha dado cuenta del poder que puede dar la
información (Europa press, 2016).
En un contexto tan interesante, la seguridad de la información parece un tema realmente
importante y es por eso que cuenta con el reconocimiento mundial hoy en día.
La seguridad de la información en todo caso no es una cuestión reciente. Las alusiones en la
historia a la protección de la información son muy numerosas. Como casos más conocidos están
la “máquina enigma” de la II Guerra Mundial o la defensa de archivos estatales en cualquier
país. Pero, ¿cuándo aparece la preocupación por la seguridad de la información en la informática
o en internet?
La respuesta puede ser que desde el principio ha sido un tema que los creadores han tenido en
cuenta, pero no es hasta 1980 cuando se fundamentan sus bases. En este año, James P. Anderson
escribe un documento titulado “Computer Security Threat Monitorin and Survellance”. Lo más
interesante de este documento es que James Anderson da una definición de los principales
agentes de las amenazas informáticas.
Entre sus definiciones se encuentran términos base de la seguridad informática como Ataque
o Vulnerabilidad. En la definición de Vulnerabilidad hace referencia a “una falla conocida o su
sospecha, tanto en hardware como en el diseño de software, o la operación de un sistema que se
expone a la penetración de su información con exposición accidental”. En cuanto el Ataque, lo
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 7
define como “una formulación específica o ejecución de un plan para llevar a cabo una amenaza”
(portaltic, 2010).
La seguridad de la información al avanzar la tecnología va tomando cada vez más
importancia, todas las personas se encuentran expuestas a diferentes riesgos los cuales son
ignorados por su falta de conocimiento. Tomando como partida este hecho las industrias en todas
sus escalas se ven afectadas por diferentes riesgos.
Nuevas empresas se crean alrededor del mundo con el fin de contrarrestar estas posibles
amenazas. En Colombia este tipo de empresas si funcionan, pero para las medianas y pequeñas
empresas no siempre es factible acceder a servicios de este tipo, por sus reducidos presupuestos.
Como resultado del SEMINARIO DE PROFUNDIZACIÓN: “SEGURIDAD DE LA
INFORMACIÓN, Un enfoque aplicado al desarrollo de aplicaciones y bases de datos” se
desarrolló una Guía de prevención y reglas adaptables para el manejo de la seguridad de la
información enfocado en el subsector de la industria del calzado.
La seguridad informática es una disciplina que se encarga de proteger la integridad y la
privacidad de la información almacenada en un sistema informático. De todas formas, no existe
ninguna técnica que permita asegurar la inviolabilidad de un sistema. Un sistema informático
puede ser protegido desde un punto de visto lógico (con el desarrollo de software) o físico
(vinculado al mantenimiento eléctrico, por ejemplo). Por otra parte, las amenazas pueden
proceder desde programas dañinos que se instalan en la computadora del usuario (como un virus)
o llegar por vía remota (los delincuentes que se conectan a internet e ingresan a distintos
sistemas) (Perez & Merino, 2008).
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 8
Las amenazas que existen pueden afectar a empresas a cualquier nivel, el subsector a
investigar es el subsector del calzado el cual Para la industria del departamento de Santander
juega un papel muy importante, ya que es uno de los principales ejes de empleo de la ciudad y
del departamento.
Por esto se desarrollará y socializará una guía con el conocimiento necesario, para que
algunos de los empresarios del calzado tuvieran bases sobre los riesgos y la forma de poder
mitigarlos.
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 9
Planteamiento del problema
Como lo plantea el informe de (PwC, 2015)“A medida que las tecnologías evolucionan, los
atacantes mejoran sus habilidades.
Las vidas personales serán cada vez más digitalizadas, creando una mayor avalancha de datos
que puede ser recopilada, analizada y potencialmente comprometida. Las empresas seguirán
generando y compartiendo más información acerca de las personas. Es por eso que deben estar
mejor preparadas para afrontar estos riesgos, y aún más para el fenómeno “Internet of Things
(IoT)” que se avecina.”.
La informática llega al mundo a pasos agigantados, sus primeras intervenciones tipo militar
dejaban notar su gran importancia estratégica para gobiernos y ejércitos, cada vez invirtiendo
más dinero en ella para obtener mejores resultados y más precisos se podría ajustar de quienes
tenían una mejor tecnología; en cuanto a la guerra éstos tenían la ventaja para lograr la victoria
(Rafael, 2015).
Entre 2008 y 2011, los precios mundiales de la banda ancha se redujeron un 75%.
Los ingresos mundiales generados por los servicios de telecomunicaciones alcanzan 1,5
billones de dólares, lo que corresponde al 2,4% del PIB mundial.
En 2011 se reportó en Colombia un 45,9% de habitantes usando TIC a través de un
computador.
Las cifras muestran que hay un aumento progresivo de las TIC en el mundo. De los diez
países que van a la vanguardia en materia TIC, ocho son europeos y dos son de la región Asia
Pacífico (la República de Corea y Japón) (MINTIC, 2016).
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 10
Pasan los días y la informática se hace accesible a todo el mundo, ya no se considera de uso
estrictamente gubernamental; grandes compañías fueron (Microsoft, 2017) las primeras en tener
acceso a este medio y esto hizo que todas las empresas siguieran su crecimiento natural; con el
paso del tiempo la tecnología comienza a llegar hasta las pequeñas empresas y de personas del
común; es ahí cuando la seguridad comienza a verse más vulnerable, teniendo en cuenta que
comienza a volverse popular para uso libre y delincuentes informáticos toman ventaja de cada
avance que tienen las tecnologías para poder hacer sus actos.
Colombia es uno los países líderes en la fabricación de calzado. Gran parte de la producción
se concentra en Bucaramanga y Bogotá. Según el DANE, las exportaciones del producto en 2012
llegaron a 184 millones de dólares y en cuanto a empleo, en la capital santandereana, este
representa una de las principales fuentes. La Cámara de Comercio de la ciudad señala que da
trabajo a aproximadamente el 27.3% de la población (Ariza & Garcia , 2013).
Según el SENA la zapatería es un arte milenario que se ha desarrollado alrededor del mundo
por cientos de generaciones la mayoría de sus fabricantes en Bucaramanga son empíricos por que
han heredado la labor de sus familiares, los mayores fabricantes de calzado se reúnen en países
asiáticos produciendo más del 50% del calzado a nivel mundial; en todos los países se
encuentran distintos tipos de empresas fabricantes a diferentes niveles de producción y
tecnológicamente hablando unas más avanzadas que otras.
La ciudad de Bucaramanga se ha identificado por ser una ciudad que a nivel nacional se ha
destacado por la fabricación de calzado con muy altos estándares de calidad y también gran
cantidad de fabricantes siendo una de las fuentes de empleo más tradicionales de la ciudad.
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 11
Wilson Gamboa Meza, presidente de la Asociación de Industriales del Calzado y Similares de
Santander, Asoinducals, asegura que “Casi cien mil familias dependen en el departamento de
esta industria en su mayoría de micros, medianas y pequeñas empresas. La generación de trabajo
es grande ya que por cada empleo directo se dan cerca de tres indirectos”.
En el sub-sector del calzado se han realizado diferentes estudios donde se valora su estado
socio económico con respecto a la estabilidad que este sector puede tener con el pasar del tiempo
y el avance de la tecnología. Sector que es golpeado de manera directa por importaciones de baja
calidad que afectan al gremio, circunstancias que hacen que los empresarios no puedan invertir
de la manera aconsejada en su seguridad informática, dentro de la ética que tienen los futuros
ingenieros, se propone mejorar este ambiente de inseguridad con una serie de ayudas como guías
y reuniones enfocadas a generar confianza en los fabricantes para que ellos mismos puedan
implementar medidas de seguridad en sus mismas empresas.
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 12
Pregunta de investigación
¿Se puede desarrollar una guía para el manejo de la seguridad en la información enfocado a las
MIPYMES de la ciudad de Bucaramanga dedicadas al subsector del calzado?
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 13
Hipótesis
La seguridad de la información en las MYPIMES de la ciudad de Bucaramanga dedicadas al
subsector del calzado está en el blanco de los delincuentes informáticos, por la baja importancia
y bajos conocimientos que se tienen en el tema.
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 14
Justificación
El avance de la tecnología se observa en distintos sectores de la informática. Así mismo las
vulnerabilidades aumentan proporcional a su crecimiento, según cisco (Cisco, 2015) en el 2015
utilizando la modalidad malvertising que es un sistema de publicidad engañosa para insertar
malware a usuarios desprevenidos se calcula que el 10% de la población que navega se ha visto
afectada por solo esta modalidad esto deja ver un pequeño panorama de la seguridad de
información.
Estas vulnerabilidades pueden llegar afectar a cualquier persona o entidad, teniendo en cuenta
esto en las empresas dedicadas al subsector del calzado y en general en las MIPYMES, se ha
encontrado el fenómeno que no se le presta la importancia que necesita la seguridad de la
información, la baja prioridad de las empresas, los bajos conocimientos, la falta de personal
capacitado son algunas de las causas por las cuales estas empresas están en alto índice de
vulnerabilidad.
Este proyecto busca beneficiar a los dueños u administradores de las empresas que fabrican
calzado en la ciudad de Bucaramanga, generar buenas prácticas en cuanto a la seguridad de la
información y seguridad personal incluyendo banca virtual que es uno de los servicios más
utilizados por el gremio.
Para desarrollar el proyecto se identificaron distintas metodologías de ellas se llegó a un
hibrido, teniendo en cuenta que la guía también se puede presentar como una especie de manual
procedimental para obtener resultados, dado el conocimiento recibido durante el seminario
anteriormente mencionado se logra fundamentar las listas de reglas procedimientos para lograr
unas buenas practicas.
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 15
Dentro de los estudios que se encuentran relacionados con el subsector del calzado como el
estudio realizado en la universidad industrial de Santander UIS (Torres & Delgado, 2012)se
puede observar que el sector se encuentra en un crecimiento constante tanto en producto como en
cantidad de empresas y en tecnificación de las misma. Claro está que siguen siendo mayoría las
compañías que aun desempeñan la industria de manera artesanal, sin ningún tipo de ayuda
tecnológica (Ariza & Garcia , 2013).
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 16
Objetivos
Objetivo general
Desarrollar una guía para el manejo de la seguridad en la información enfocado a las MIPYMES
de la ciudad de Bucaramanga dedicadas al subsector del calzado.
Objetivos Específicos
Documentar la normatividad que regule los estándares de seguridad de la información en
Colombia y que sea aplicable a los microempresarios del subsector calzado.
Identificar algunas de las vulnerabilidades a las que se encuentra expuesta la información que
mantienen los microempresarios del subsector del calzado en Bucaramanga.
Definir controles que permitan mitigar o prevenir los tipos de vulnerabilidades identificadas
en el objetivo anterior.
Generar guía de seguridad informática para los microempresarios del subsector calzado en
Bucaramanga.
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 17
Marco teórico
Dentro del desarrollo de la investigación es pertinente tener una visión del panorama que rodea
el concepto de seguridad informática, enfocado al subsector de la industria del calzado
Marco conceptual
Según la guía para la implementación de la seguridad de la información en una MIPYME del
MINTIC 2016 (MINTIC, 2016), algunas definiciones que aplican de esta guía al proyecto son:
Activo
En relación con la seguridad de la información, se refiere a cualquier información o elemento
relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas…) que tenga
valor para la organización. (ISO/IEC 27000).
Amenazas
En relación con la informática, es toda circunstancia, evento o persona que tiene el potencial de
causar daño a un sistema de información.
Advertencia
Mensaje, aviso o información que se quiere transmitir e informar al usuario que una acción
puede ocasionar la pérdida de datos del sistema del usuario.
Amenaza
Una amenaza informática es toda circunstancia, evento o persona que tiene el potencial de causar
daño a un sistema en forma de robo, destrucción, divulgación, modificación de datos o negación
de servicio (DoS).
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 18
Amenaza Externa
Evento o persona externa a una organización que puede causar daño.
Amenaza Interna
Evento o persona interna que causa daño a su misma organización.
Antispam
Antispam es un producto, herramienta, servicio o mejor práctica que detiene el spam o correo no
deseado antes de que se convierta en una molestia para los usuarios. El antispam debe ser parte
de una estrategia de seguridad multinivel.
Antivirus
Son programas que fueron creados en la década de los 80's con el objetivo de detectar y
eliminar virus informáticos. Antivirus es una categoría de software de seguridad que protege un
equipo de virus, normalmente a través de la detección en tiempo real y también mediante análisis
del sistema, que pone en cuarentena y elimina los virus.
Ataques Web
Un ataque Web es un ataque que se comete contra una aplicación cliente y se origina desde un
lugar en la Web, ya sea desde sitios legítimos atacados o sitios maliciosos que han sido creados
para atacar intencionalmente a los usuarios de ésta.
Autenticación
Garantía de que una parte de una transacción informática no es falsa. La autenticación
normalmente lleva consigo el uso de una contraseña, un certificado, un número de identificación
personal u otra información que se pueda utilizar para validar la identidad en una red de equipos.
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 19
Caballo de Troya
Son un tipo de código malicioso que parece ser algo que no es. Una distinción muy importante
entre troyanos y virus reales es que los troyanos no infectan otros archivos y no se propagan
automáticamente. Los caballos de troya tienen códigos maliciosos que cuando se activan causa
pérdida, incluso robo de datos. Por lo general, también tienen un componente de puerta trasera,
que le permite al atacante descargar amenazas adicionales en un equipo infectado. Normalmente
se propagan a través de descargas inadvertidas, archivos adjuntos de correo electrónico o al
descargar o ejecutar voluntariamente un archivo de Internet, generalmente después de que un
atacante ha utilizado ingeniería social para convencer al usuario de que lo haga.
Contraseña
Cadena exclusiva de caracteres que introduce un usuario como código de identificación para
restringir el acceso a equipos y archivos confidenciales. El sistema compara el código con una
lista de contraseñas y usuarios autorizados. Si el código es correcto, el sistema permite el acceso
en el nivel de seguridad aprobado para el propietario de la contraseña.
Cuarentena
Aislar archivos sospechosos de contener algún virus, de modo que no se pueden abrir ni ejecutar.
Encriptación
La encriptación es un método de cifrado o codificación de datos para evitar que los usuarios no
autorizados lean o manipulen los datos. Sólo los individuos con acceso a una contraseña o clave
pueden descifrar y utilizar los datos. A veces, el malware utiliza la encriptación para ocultarse
del software de seguridad. Es decir, el malware cifrado revuelve el código del programa para que
sea difícil detectarlo.
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 20
Firewall
Un firewall es una aplicación de seguridad diseñada para bloquear las conexiones en
determinados puertos del sistema, independientemente de si el tráfico es benigno o maligno. Un
firewall debería formar parte de una estrategia de seguridad estándar de múltiples niveles.
Gusanos
Los gusanos son programas maliciosos que se reproducen de un sistema a otro sin usar un
archivo anfitrión, a diferencia de un Virus.
Ingeniería Social
Método utilizado por los atacantes para engañar a los usuarios informáticos, para que realicen
una acción que normalmente producirá consecuencias negativas, como la descarga de malware o
la divulgación de información personal. Los ataques de phishing con frecuencia aprovechan las
tácticas de ingeniería social.
Riesgo
El riesgo es el efecto de la incertidumbre sobre los objetivos.
Sistema de detección de intrusos
Es un servicio que monitorea y analiza los eventos del sistema para encontrar y proporcionar en
tiempo real o casi real advertencias de intentos de acceso a los recursos del sistema de manera no
autorizada. Es la detección de ataques o intentos de intrusión, que consiste en revisar registros u
otra información disponible en la red. Un sistema de detección de intrusos debe ser parte de una
estrategia de seguridad estándar de múltiples niveles.
Sistema de prevención de intrusos
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 21
Un sistema de prevención de intrusos es un dispositivo (hardware o software) que supervisa las
actividades de la red o del sistema en busca de comportamiento no deseado o malicioso y puede
reaccionar en tiempo real para bloquear o evitar esas actividades. Un sistema de prevención de
intrusos debe ser parte de una estrategia de seguridad estándar de múltiples niveles.
Spam
También conocido como correo basura, el spam es correo electrónico que involucra mensajes
casi idénticos enviados a numerosos destinatarios. Un sinónimo común de spam es correo
electrónico comercial no solicitado (UCE). El malware se utiliza a menudo para propagar
mensajes de spam al infectar un equipo, buscar direcciones de correo electrónico y luego utilizar
esa máquina para enviar mensajes de spam. Los mensajes de spam generalmente se utilizan
como un método de propagación de los ataques de phishing
Spyware o Software Espía
El software espía consta de un paquete de software que realiza un seguimiento y envía
información confidencial o personal a terceros. La información personal es información que
puede atribuirse a una persona específica, como un nombre completo. La información
confidencial incluye datos que la mayoría de las personas no desearía compartir con otras, como
detalles bancarios, números de tarjetas de créditos y contraseñas. Terceros puede hacer referencia
a sistemas remotos o partes con acceso local.
Virus
Programa informático escrito para alterar la forma como funciona una computadora, sin permiso
o conocimiento del usuario.
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 22
Muchos de los virus actuales están programados para operar sigilosamente la computadora del
usuario con el fin de robar información personal y utilizarla para cometer delitos. Otros
menoscaban el equipo dañando los programas, eliminando archivos o volviendo a formatear el
disco duro.
Vulnerabilidad
Una vulnerabilidad es un estado viciado en un sistema informático (o conjunto de sistemas) que
afecta las propiedades de confidencialidad, integridad y disponibilidad de los sistemas.
Bases de datos
Una base de datos es una herramienta para recopilar y organizar información. Las bases de datos
pueden almacenar información sobre personas, productos, pedidos u otras cosas. Muchas bases
de datos comienzan como una lista en una hoja de cálculo o en un programa de procesamiento de
texto. A medida que la lista aumenta su tamaño, empiezan a aparecer redundancias e
inconsistencias en los datos. Cada vez es más difícil comprender los datos en forma de lista y los
métodos de búsqueda o extracción de subconjuntos de datos para revisión son limitados. Una vez
que estos problemas comienzan a aparecer, una buena idea es transferir los datos a una base de
datos creada con un sistema de administración de bases de datos (DBMS), como Access.
Una base de datos computarizada es un contenedor de objetos. Una base de datos puede
contener más de una tabla. Por ejemplo, un sistema de seguimiento de inventario que usa tres
tablas no son tres bases de datos, sino una base de datos que contiene tres tablas. Salvo que haya
sido específicamente diseñada para usar datos o códigos de otro origen, una base de datos de
Access almacena sus tablas en un solo archivo, junto con otros objetos como formularios,
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 23
informes, macros y módulos. Las bases de datos creadas en el formato Access 2007 (que también
usan Access 2016, Access 2013 y Access 2010) tienen la extensión de archivo .accdb y las bases
de datos creadas en formatos anteriores de Access tienen la extensión de archivo .mdb. Puede
usar Access 2016, Access 2013, Access 2010 o Access 2007 para crear archivos en formatos de
archivo anteriores (por ejemplo, Access 2000 y Access 2002-2003) (Microsoft, 2017).
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 24
Estado del arte
En Colombia la utilización de computadores y dispositivos electrónicos con conexión a internet
se ha incrementado de manera significativa según la estadísticas emitidas por Comisión
Económica para América Latina (CEPAL), esto advierte el crecimiento del 38 % en el
incremento de los riesgos a delitos informáticos al que están expuestas las compañías del mundo
que corren las empresas informado por (PwC, 2015).
Tabla 1. Acceso a TIC en hogares, porcentaje de hogares que tienen acceso a internet:
País 2010
Colombia 19,3
País 2013
Colombia 35,7
País 2015
Colombia 42
Por : Comisión Económica para América Latina (CEPAL)
1. MIPYMES en Colombia
En Colombia la revolución de la tecnología agiganto las brechas que existían entre las grandes y
pequeñas empresas en el sentido tecnológico esto género interés del estado en fortalecer las
tecnologías de la información en Colombia con diferentes programas. Según (Portafolio, 2009)
en Colombia para el año 2009 las MIPYMES representaban el 96.4% de los establecimientos
comerciales del país y estas mismas generaban el 80.8% de los empleos a nivel nacional.
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 25
A nivel del mundo los esfuerzos para la generación de nuevas MIPYMES se han hecho notar
teniendo en cuenta que son parte fundamental para el desarrollo de un país. Tantos países
desarrollados como no desarrollados buscan implementar ambientes propicios para el aumento
de este tipo de empresas.
La investigación dirigida a los riesgos y vulnerabilidades presentados en los diferentes
escenarios a nivel mundial, dejan notar la gran expectativa que se crea antes este tema, sobre
todo dirigido a las pequeñas empresas. Es en las MIPYME donde existen los riesgos pero los
afectados creen tener una baja probabilidad de ser blanco de estos ataques.
El Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST, 2016) pone en
circulación la guía de recomendaciones para pequeñas empresas basándose en sus estándares de
seguridad informática. Dentro de las razones para hacer pública esta guía se encuentra que sus
autores perciben la gran ventana que se abren en cuestiones de vulnerabilidades en la seguridad
de la información. Según la NIST las grandes empresas se protegen muy bien y le dan la
importancia al tema de la seguridad y claro esta porque tienen los medios económicos y técnicos
para poderlo hacer, los delincuentes informáticos ven como camino fácil tomar las pequeñas
empresas como objetivo de su ataque.
En el mundo existen distintas entidades que ayudan a generar estándares para la seguridad
informática en sus territorios en Europa se encuentra la The European Union Agency for
Network and Information Security (ENISA), la cual genera periódicamente guías con estándares
de seguridad basados en distintos campos de interés general como lo son a seguridad en la nube
la seguridad personal , estándares de seguridad en el trabajo, seguridad en big data son solo un
una pequeña muestra de lo que ENISA regula con la circulación de sus guías.
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 26
Dentro de los métodos y buenas prácticas más reconocidas y más homologadas a nivel del
mundo se encuentra la ISO/IEC 27002 que Es la evolución certificable del código de buenas
prácticas ISO 17799. Define cómo organizar la seguridad de la información en cualquier tipo de
organización, con o sin fines de lucro, privada o pública, pequeña o grande.
A continuación se nombran tres estándares mundiales de estándares de seguridad en la
información aplicables y modificables según sea el caso.
ISO/IEC 27002
Según (Gutierrez , 2013) “Dentro de la ISO/IEC 27002 se extiende la información de los
renovados anexos de ISO/IEC 27001-2013, donde básicamente se describen los dominios de
control y los mecanismos de control, que pueden ser implementados dentro de una organización,
siguiendo las directrices de ISO 27001. En esta nueva versión de la norma se encuentran los
controles que buscan mitigar el impacto o la posibilidad de ocurrencia de los diferentes riesgos a
los cuales se encuentra expuesta la organización”.
COBIT (Control Objectives Control Objectives for Information and related Technology)
“B es un Marco de Referencia basado en las mejores prácticas referidas a auditoría y control de
procesos en sistemas de información.
Es una guía para la selección de controles que pueden ser implementados para organizar y
gestionar de forma óptima las Tecnologías de la Información. Controlar, auditar y administrar la
organización y gestión de las tecnologías de la Información.
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 27
Los objetivos del control son genéricos, y se dirigen hacia actividades y tareas, siendo
independientes de cualquier plataforma tecnológica. COBIT ha sido diseñado pensando en que
sea utilizado por tres audiencias diferenciadas”.
Método MAGERIT
“El método MAGERIT, son las siglas de Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información de la Administraciones, dicho método cubre la fase AGR (Análisis y
Gestión de Riesgos). Si hablamos de Gestión global de la Seguridad de un Sistema de Seguridad
de la Información basado en ISO 27001, MAGERIT, es el núcleo de toda actuación organizada
en dicha materia, ya que influye en todas las fases que sean de tipo estratégico y se condiciona la
profundidad de las fases de tipo logístico” (SGSI, 2015).
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 28
Metodología
Diseño
El diseño metodológico aplicado para el desarrollo de este proyecto, se relacionó de manera
directa con el comportamiento en general que tienen las personas que diariamente se movilizan
dentro del comercio del sub sector del calzado en la ciudad de Bucaramanga.
Según (Hernández, Fernández, & Baptista, 2006)” la investigación no experimental es
investigación sistemática y empírica en la que las variables independientes no se manipulan por
que ya han sucedido. Las inferencias sobre las relaciones entre variables se realizan sin
intervención o influencia directa y dichas relaciones se observan tal y como se han dado en su
contexto natural”.
Teniendo en cuenta los anteriores argumentos presentados por los autores del libro
metodología de la investigación, se decide utilizar en este proyecto la metodología de
investigación no experimental, esta metodología da la flexibilidad de mirar el panorama real de
los empresarios del calzado sin tener variables que afecten la principal por que el conocimiento
que ellos tiene sobre el tema no puede ser alterado por un experimento.
Metodología
Tomado de la metodología para generar manuales de procedimientos (Duarte , 1993), se hizo un
hibrido de esta para lograr las siguientes etapas
Observación: En la primera etapa se seleccionó el tema y la problemática a tratar.
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 29
Análisis: se basó en la recolección de información de las necesidades y el estado del tema a
tratar, específicamente las normativas y necesidades encontradas en el subsector del calzado
en Bucaramanga.
Registro: Estructurar el documento teniendo en cuenta sus principales lectores.
Instrumentos
Dentro del desarrollo de la investigación la universidad cooperativa pone a nuestra disposición
diferentes bases de datos las cuales fueron consultadas durante el periodo en que se desarrolló el
proyecto
La base de datos que fue utilizada por parte de la universidad fue Proquest Computing donde
se encontraron gran cantidad de artículos que tratan la seguridad informática desde un punto de
problemática a superar, es una base de datos dedicada y especializada en computación y
tecnología
Encuesta
Para recolectar información actualizada y comparable, se tomó una muestra de 30 empresarios a
los cuales se les aplicó una encuesta construida por los autores del proyecto; para identificar
necesidades y peligros a los que se sienten que está expuesta su información empresarial.
Para definir la muestra a utilizar en el estudio metodológico del proyecto, se realizó una
observación continua durante una semana en el centro, donde se encuentran las principales
peleterías y venta de insumos para el sub sector calzado. La idea era determinar el día donde se
presentará la mayor afluencia de microempresarios y a través de un muestreo no probabilístico,
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 30
se definió la muestra a la cual se le iba aplicar la encuesta (anexo 1), para tomar los datos más
relevantes. De la observación se obtuvieron los siguientes resultados:
Tabla 2. Muestreo Aleatorio Simple
No. OBSERVACIÓN DÍA HORARIO CANTIDAD EMPRESARIOS
1 Lunes 8:00 am – 12:00 m 44
2 Lunes 2:00 pm - 6:00 pm 40
3 Martes 8:00 am – 12:00 m 36
4 Martes 2:00 pm - 6:00 pm 30
5 Miércoles 8:00 am – 12:00 m 35
6 Miércoles 2:00 pm - 6:00 pm 30
7 Jueves 8:00 am – 12:00 m 24
8 Jueves 2:00 pm - 6:00 pm 21
9 Viernes 8:00 am – 12:00 m 26
10 Viernes 2:00 pm - 6:00 pm 23
11 Sábado 8:00 am – 12:00 m 22
PROMEDIO
30,09
Por: autores
Procedimiento
Después de realizar la observación y aplicar la encuesta el día lunes a 30 microempresarios del
sub sector calzado, teniendo en cuenta que era el día de mayor afluencia al centro para la compra
de insumos por parte de los microempresarios; se obtuvieron los siguientes resultados:
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 31
Figura 1. Pregunta 1 – encuesta. Por autores
Se puede determinar que el 80% de los microempresarios del sector calzado utilizan medios
digitales y equipos de cómputo para el almacenamiento de toda su información.
Figura 2. Pregunta 2 – encuesta. Por autores
0%
10%
20%
30%
40%
50%
60%
70%
80%
PORCENTAJE
80%
20%
Pregunta 1. Dentro de su empresa cuenta con
equipos de cómputo dedicados al manejo de
datos?
SI NO
42%
44%
46%
48%
50%
52%
54%
PORCENTAJE
47%
53%
Pregunta 2. ¿Tiene used conocimiento de
qué es un virus informático?
SI NO
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 32
El 53% de los empresarios del sub sector calzado, no conocen o anejan el contexto de lo que es
un virus informático.
Figura 3. Pregunta 3 – encuesta.
Fuente: Autores
El 80% de los microempresarios reconocen la palabra antivirus, un bajo porcentaje de ellos
reconocen los otros términos de la selección.
0%
10%
20%
30%
40%
50%
60%
70%
80%
Troyano Spam Firewall Antivirus Keylogger
23% 27%
7%
80%
10%
Pregunta 3. De los siguientes términos, ¿Cuáles se
le hacen familiares?
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 33
Figura 4. Pregunta 4 – encuesta
Fuente: Autores
De los 30 microempresarios encuestados, el 73% utiliza la banca virtual para realizar diferentes
operaciones de sus negocios.
0%
20%
40%
60%
80%
PORCENTAJE
73%
27%
Pregunta 4. ¿Dentro de su negocio maneja las
aplicaciones para manejar cuentas bancarias
(banca virtual)?
SI NO
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 34
Figura 5. Pregunta 5 – encuesta.
Fuente: Autores
Del 73% de los microempresarios que utilizan la banca virtual, el 73% realiza consulta de saldos;
menos del 20% utiliza la banca virtual para realizar recargas y otros pagos.
0%
10%
20%
30%
40%
50%
60%
70%
80%
20%
73%
10%
20%
7%
Pregunta 5. Si la respuesta anterior es afirmativa,
¿Cuál es la transacción más frecuente que realiza
mediante este medio?
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 35
Figura 6. Pregunta 6 – encuesta
Fuente: Autores
En un nivel del 1 al 5 se encuentra el nivel más bajo de percepción de vulnerabilidad, entre el 5 y
10 se alojan la mayoría de personas encuestadas.
0%
2%
4%
6%
8%
10%
12%
14%
16%
18%
20%
1 2 3 4 5 6 7 8 9 10
Pregunta 6. Califique el riesgo que cree usted que corre
coo usuario informático.
PORCENTAJE
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 36
Figura 7. Pregunta 7 – encuesta.
Fuente: Autores
De los 30 microempresarios encuestados, el 73% utiliza o conoce los antivirus como métodos
para proteger la información de sus negocios.
0%
10%
20%
30%
40%
50%
60%
70%
80%
Antivirus Firewalls Ingeniero de
sistemas
Servicios
externos
73%
3%
17%
7%
Pregunta 7. ¿Cuáles de los siguientes métodos de
protección o personas cuenta en su empresa?
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 37
Resultados
Guía de prevención
Vulnerabilidades
De acuerdo a los resultados de la encuesta se evidencia la necesidad de definir los principales
riesgos y posibles vulnerabilidades a los que se encuentran expuestas las empresas del sub sector
calzado; y al mismo tiempo planes de mitigación para controlar los peligros existentes. Las
vulnerabilidades pueden hacer lo siguiente:
Permitir que un atacante ejecute comandos como otro usuario
Permitir a un atacante acceso a los datos, lo que se opone a las restricciones específicas de
acceso a los datos
Permitir a un atacante hacerse pasar por otra entidad
Permitir a un atacante realizar una negación de servicio
Los riesgos se pueden clasificar en tres categorías
Vulnerabilidad por riesgo físico
Vulnerabilidad por riesgo humano
Vulnerabilidad por riesgo lógico
Riesgos físicos
Los riesgos físicos son todos aquellos que afectan directamente al hardware, estos riesgos pueden
ir desde desastres naturales hasta fallas eléctricas.
Los riesgos naturales más frecuentes son:
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 38
Incendios
Un incendio en una empresa puede ser causado por incorrectas conexiones eléctricas, por manejo
inadecuado de combustibles, el fuego es considerado de los riesgos más recurrentes en las
empresas, es un enemigo directo que destruye a su paso toda información importante para su
empresa.
Dentro de una fábrica de calzado se encuentran distintos peligros que pueden representar un
incendio, por ejemplo el uso de disolventes y pegantes que son altamente inflamables; también
se encuentran máquinas con altas fuentes de calor que se deben tener en cuenta a la hora de
definir un plan contra fuego.
Inundaciones:
Las inundaciones, pueden ser naturales por un desbordamiento de aguas, de afluentes o
artificiales; por falla en un drenaje, por condiciones climatológicas variables, que se deben tener
presentes y no descartar este riesgo.
Conexiones electrónicas
teniendo en cuenta que la totalidad de los equipos informáticos necesitan energía, se debe tener
cuidado con las malas prácticas en cuanto a la conexión de un equipo puede ocasionar un corto,
poner en riesgo la integridad del personal y seguridad de la empresa.
Robo
Las computadoras y equipos tecnológicos por su alto valor económico y gran importancia son
objetivos fáciles de robo, gran cantidad de información y fácil portabilidad son buena
combinación para ser las victimas número uno en caso de un robo en su compañía.
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 39
Plan de mitigación del riesgo físico
A continuación se presenta el plan de mitigación para la empresa expuesta al riesgo físico:
Tabla 3. Plan de mitigación – riesgo físico
TIPO DE RIESGO DESCRIPCIÓN FUENTE MEDIDAS DE PREVENCIÓN - CONTROLES A IMPLEMENTAR
FUENTE MEDIO INDIVIDUO
Físico Incendios Conexiones eléctricas,
materiales
combustibles (disolventes,
pegantes) o
máquinas de alto voltaje.
Protección ha cableado, apagado de
máquinas después de su
utilización, rotulación de elementos químicos.
Ambiente libre de contaminación
Capacitación en manejo de extintores
Inundaciones
Fugas de agua,
naturaleza,
fenómenos.
N/A Aislamiento de equipos electrónicos de
lugares húmedos.
Estibas de separación entre suelo y equipos.
Capacitar en atención de emergencias.
Conexiones
electrónicas
Cables en
mal estado,
toma corrientes deteriorados,
mala
clasificación de voltajes.
Protección a
cableado, apagado de
máquinas después de su utilización, rotulación
de elementos químicos.
Ambiente libre de
contaminación
Capacitación en
manejo de extintores
Robo Alteraciones de orden,
personas mal
intencionadas.
Realizar copias de seguridad de forma
periódica, para
mantener los archivos disponibles.
N/A Guardar bajo llave medios de
almacenamiento de fácil
extracción como discos duros, USB o incluso
discos ópticos como CD
o DVD.
Por: Autores
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 40
Riesgo humano
Dentro de las empresas se toman decisiones para contrarrestar las amenazas de tipo tecnológicas
con el uso de antivirus o contra fuegos pero se descarta la posibilidad de tener el principal
enemigo de un sistema quizá trabando en la compañía, el riesgo humano tiene diferentes tipo de
enemigos como los son:
Amenaza de persona incorporada a la compañía de manera no intencionada: es aquella
persona que puede generar una amenaza para la compañía pero que no tiene intenciones de
generala. Para mitigar este riesgo es recomendable formar a la totalidad de los empleados
sobre cuidados a la hora de manipular los sistemas de información y equipos de cómputo.
Presentando los posibles riegos a los que se encuentran expuestos y pueden afectar a la
compañía.
Amenaza de persona incorporada a la compañía de manera intencional: dentro de las
compañías es muy frecuente ver empleados que buscan un beneficio propio poniendo en
riesgo los sistemas informáticos de la compañía; estas personas usan las redes de una empresa
para generar un vacío en la seguridad de la compañía; esta es una de las causas más comunes
por las cuales se le recomienda al empresario que restrinja el uso de equipos informáticos
dentro de su compañía y definir políticas para que la actividad de ellos no genere tanto riesgo.
Un claro ejemplo de esto puede ser un empleado malintencionado que quiera obtener la base
de datos de sus clientes o proveedores; información que con un dispositivo de
almacenamiento como una USB y acceso al sitio de almacenamiento; puede hacer que
información tan importante para su empresa se pueda poner en riesgo.
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 41
Amenaza de persona no incorporada a la compañía de manera no intencional: este caso de
amenaza se puede dar cuando alguien externo a la empresa que quizá no tenga conocimiento
sobre medios informáticos, propague de alguna forma un archivo dañino o virus. Alguno de
sus empleados de forma involuntaria, puede propagar un virus en los equipos de cómputo de
la empresa; este contagio puede contrarrestarse utilizando contrafuegos en las computadoras
de la empresa y teniendo un software ante virus para proteger los equipos de su compañía.
Virus informáticos hay de distintos tipos entre ellos unos más peligrosos que otros; unos solo
se crean para generar publicidad malintencionada y otros pueden hacer que las empresas
gasten importantes sumas de dinero, para poder rescatar la información del equipo, este
último es muy peligroso y se puede considerar en modalidad de extorsión.
Amenaza de persona no incorporada a la compañía de manera intencional: esta es la amenaza
que quizá más daño pueda ocasionar, es generada por un externo que tiene claro que
información requiere de la empresa y que daño quiere causar. Para esto la persona externa
podría intentar acceder a los sistemas de la compañía infectando o encontrando
vulnerabilidades
Plan de mitigación del riesgo humano
A continuación se presenta el plan de mitigación para la empresa expuesta al riesgo humano:
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 42
Tabla 4. Plan de mitigación – riesgo Humano
TIPO DE RIESGO DESCRIPCIÓN FUENTE MEDIDAS DE PREVENCIÓN - CONTROLES A IMPLEMENTAR
FUENTE MEDIO INDIVIDUO
Humano
Amenaza de
persona
incorporada a la compañía de
manera no
intencionada
Persona que
puede generar una amenaza
para la compañía
pero que no tiene intenciones
de generala.
Instalación de
antivirus, generación de
copias de seguridad
N/A
Plan de formación a los
empleados, sobre manipulación de los sistemas de información y
equipos de cómputo.
Amenaza de
persona
incorporada a la
compañía de
manera
intencional
Empleados que buscan un
beneficio propio
poniendo en
riesgo los
sistemas
informáticos de la compañía.
Instalación de
antivirus,
generación de
copias de seguridad
Instalación de
contraseñas o limitación de
navegación y
descarga de archivos
peligrosos
Políticas sobre uso de
equipos de cómputo, dispositivos
de almacenamiento y limitación
en navegación de redes
Amenaza de persona no
incorporada a la
compañía de manera no
intencional
Alguien
externo a la empresa que
quizá no tenga
conocimiento sobre medios
informáticos,
propague de alguna forma un
archivo dañino o
virus.
Contrafuegos
en las computadoras de la empresa y
teniendo un
software ante virus para proteger los
equipos de su
compañía
N/A Formación a empleados
sobre medios informáticos
Amenaza de persona no
incorporada a la
compañía de manera
intencional
Es generada
por un externo que tiene claro
que información
requiere de la empresa y que
daño quiere
causar.
Instalación de
antivirus,
generación de copias de seguridad
N/A
Políticas sobre uso de
equipos de cómputo, dispositivos
de almacenamiento y limitación en navegación de redes
Por: Autores
Riesgo lógico
Es aquel riesgo que puede afectar directamente el software de sus equipos. Entre las técnicas más
utilizadas para vulnerar su seguridad, se encuentran los virus, que son códigos maliciosos que
buscan deteriorar la seguridad de los sistemas informáticos, algunos con fines lucrativos y
extorsivos y otros solo con fines publicitarios.
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 43
Si dentro de la compañía se encuentran computadores al servicio de sus empleados, procurar
que estos ordenadores se encuentren bajo la protección de un antivirus y que tengan procesos de
limpieza y mantenimiento de software malicioso cada vez que se crea necesario.
Tener en cuenta que un código malicioso se puede instalar en un equipo con un simple clic en
un aviso publicitario y puede generar en el equipo desde perdida de información hasta que
divulgación ante cualquier persona de información privada, gran parte de estos ataques son
bloqueados por los antivirus y antispam.
Plan de mitigación del riesgo lógico
Tabla 5. Plan de mitigación – riesgo lógico
TIPO DE RIESGO DESCRIPCIÓN FUENTE MEDIDAS DE PREVENCIÓN - CONTROLES A IMPLEMENTAR
FUENTE MEDI
O
INDIVIDUO
Lógico Es aquel
riesgo que puede afectar
directamente
el software de sus equipos.
Instalación de
antivirus, generación de copias de
seguridad y
mantenimiento de software
N/A Formación a empleados sobre
medios informáticos
Por: Autores
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 44
Servicios Financieros
Banca virtual
Parte fundamental del proceso, es la capacidad en que los empresarios puedan identificar los
principales riesgos a los que se encuentra expuestos en el momento de utilizar los servicios
financieros de forma virtual (banca virtual). Si bien es cierto que los servicios que prestan las
entidades bancarias mediante sus páginas web o sitios virtuales, cuentan con muy buena
seguridad; el riesgo humano a la hora de utilizar estos servicios puede ser determinante para
obtener una transacción segura.
Garantías de las entidades bancarias.
El estado por medio de la súper intendencia financiera se encarga de determinar las normativas y
delimitar las obligaciones que estas entidades tienen con respecto a la utilización de la banca
virtual.
Por ejemplo la Circular básica jurídica C.E.029/14; expedida por la súper intendencia
financiera en la parte 1 dedicado a las Instrucciones generales aplicables a las entidades
vigiladas, título II prestación de servicios financieros y al capítulo I donde habla de canales,
medios, seguridad y calidad en el manejo de la información en la prestación de servicios
financieros.
En el apartado 2.3.4.11 que dedicado a la banca virtual se habla de la seguridad que el banco
debe prestarle a los usuarios y garantizarle las medidas de seguridad para no poner en riesgo la
transacción.
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 45
En caso que los empresarios del calzado tengan un inconveniente con una entidad por manejo
de la banca virtual, puede remitirse a la supefinanciera teniendo este apartado como presentación
de los derechos, si mediante la utilización de este el empresario ha sido víctima de algún tipo de
fraude o delito informático.
Prevención como usuario
Para evitar que el factor humano, pueda caer en manos de delincuentes informáticos, que
pueden estar detrás de su información bancaria o incluso su dinero, las personas deben tener en
cuenta las siguientes recomendaciones:
Al momento del ingreso
Destine un equipo en la empresa para esta actividad, evite que personas ajenas o que no sean
de su confianza puedan utilizar este equipo. Dentro de las modalidades de robo de
información se encuentran los keylogger, son programas que pueden instalarse de manera
muy fácil y rápida en el computador; el programa lo que hace es capturar todas las
interacciones que usted tenga en el computador. Con esta modalidad el delincuente podría
obtener todas las claves que la persona a digitado en su computador. Por este motivo es
recomendable tener un antivirus actualizado e instalado en el computador detectando posibles
amenazas.
Evitar ingresar a la banca virtual desde links que le sean proporcionados desde correos
electrónicos o mensajes de texto, esta es una de las modalidades más utilizadas por los
delincuentes informáticos. La ingeniería social, la cual es la forma en que el delincuente le
hace creer o se hace pasar fraudulentamente por una entidad bancaria, que usted puede
frecuentar, el phishing y el pharming son los métodos a los que recurren para este tipo de
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 46
fraude, por ello una de las forma de detectar una página segura para ingresar claves y usuarios
es fijarse que en la barra de direcciones de navegador muestre la figura de un candado cerrado
como forma de determinar que la página es segura.
Dentro de la aplicación
Siempre tener en cuenta que al intentar realizar una transacción debe estar seguro del
movimiento a ejecutar.
Proteja sus datos, no guarde archivos en el computador con sus claves o usuarios personales.
Seguir las recomendaciones de manejo de su banca virtual, de acuerdo a demos o
explicaciones de su banco; ellos están en la obligación de prestársela.
No descuide la aplicación durante el desarrollo de una transacción.
Al terminar
Siempre cerrar la sesión de la aplicación, no es recomendable solo cerrar la aplicación o el
navegador; siempre que pueda cierre la sesión, un cerrado no seguro podría mantener la
operación abierta.
Mantenga en constante actualización sus claves para evitar posibles fraudes.
Si es posible ejecute un programa que borre la cache de su computador luego de una
transacción.
Protección de datos
Actualmente en Colombia para la protección de datos personales se encuentra la ley abeas data,
donde se puede encontrar la reglamentación para el manejo de datos. Según la superintendencia
de industria y comercio define” El derecho de hábeas data es aquel que tiene toda persona de
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 47
conocer, actualizar y rectificar la información que se haya recogido sobre ella en archivos y
bancos de datos de naturaleza pública o privada.”
Los empresarios del sub sector calzado debe sensibilizarse con esta ley para no incurrir en un
delito; tener autorización de las personas naturales o jurídicas que hacen parte de sus bases de
datos es algo primordial para manejar esta información adecuadamente. Un posible error en que
usted puede incurrir y que le puede generar problemas administrando una base de datos de sus
clientes, es con datos personales de los mismos, al divulgarlos, transferirlos sin autorización de
ellos o vender esta información sin consentimiento de sus clientes; puede hacer que usted
incurra en un delito.
Para ello empresario es recomendable leer y poner en práctica las indicaciones plasmadas en
la ley estatutaria 1581 de 2012 reglamentada por el decreto 1377 de 2013 de Colombia; por la
cual se dictan disposiciones generales para la protección de datos personales.
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 48
Conclusiones
Para emitir una guía práctica y de fácil comprensión sobre modos seguros de navegación,
protección de la información y prevención de vulnerabilidad sobre los sistemas de información y
equipos de cómputo manejados en las empresas del subsector calzado en la ciudad de
Bucaramanga, se obtuvieron las siguientes conclusiones:
El subsector del calzado de Bucaramanga pieza fundamental para la economía de la ciudad,
con más de 100.000 empleos directos eh indirectos, detecta bajos niveles de conocimiento en
el área de la seguridad de la información, un porcentaje menor al 30% de los encuestados
conocen términos especializados enfocados a vulnerabilidades informáticas.
Más del 50% de las personas que pertenecen al gremio, sienten una amenaza inminente en su
seguridad de la información, según su clasificación y percepción personal en la encuesta.
El lenguaje y terminología requeridos para la elaboración de la guía de prevención debieron
ser adaptados, a los conocimientos de los empresarios, reflejados en la encuesta.
Los estándares, normas y leyes aplicables al subsector del calzado, son las mismas para el
resto de MIPYMES del territorio colombiano.
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 49
Discusión
La hipótesis planteada en este proyecto “La seguridad de la información en las MYPIMES de la
ciudad de Bucaramanga dedicadas al subsector del calzado están en el blanco de los delincuentes
informáticos, por la baja importancia y bajos conocimientos que se tienen en el tema.” Se puede
dar como cumplida luego de la reunión de los distintos puntos de vista del gremio, en general los
empresarios notan una falta de acompañamiento por parte del gobierno para poder calificase
mejor como personas y a la vez sus empresas en temas tecnológicos, enfocados en la seguridad
de la información.
Es constate que en los estudios encontrados y analizados enfocados en la seguridad de la
información, se deje notar la misma percepción sobre la falta de aceptación de las MIPYMES
sobre su posibilidad de caer en manos criminales, incluso tener pérdidas de información por
causas humanas causadas por el mismo afectado, el instituto nacional de estándares y tecnología
de los Estados Unidos dentro de su guía de seguridad de la información para que pequeñas
empresas (NIST, 2016) , resalta los aspectos de baja prioridad que le dan las pequeñas empresas
al tema de la seguridad de la información, del mismo modo adquieren un lenguaje menos técnico
dentro de su guía y más práctico, para que el lector pueda comprenderlo mejor.
Las opciones de mejora que se encuentran en la legislación en Colombia, enfocadas a la
reglamentación y o estandarización de la seguridad de la información, comparándola con la de
países más desarrollados se puede observar que se siguen algunos estándares pero aún falta
mucha promoción y caracterización de los sectores para poder implementar tipos de guías como
la del (MINTIC, 2016).
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 50
Bibliografía
MINTIC. (30 de Marzo de 2016). Recuperado el 2 de febrero de 2017, de Oficina Internacional:
http://www.mintic.gov.co/portal/604/w3-article-4425.html
American Psychological Association. (2010). Manual de publicaciones de la American
Psychological Association. México: Manual Moderno.
Ariza, T., & Garcia , S. (25 de Julio de 2013). Periódico SENA. Recuperado el 20 de enero de
2017, de http://periodico.sena.edu.co/productividad/noticia.php?i=1069
Cisco. (2015). cisco.com. Recuperado el 22 de enero de 2017, de
http://www.cisco.com/c/dam/en/us/solutions/collateral/borderless-networks/threat-
defense/asr-infographic-2016.pdf
Duarte , E. (1993). Guía técnica para la elaboración de manuales de procedimientos. sonora :
universidad de sonora .
Europa press. (30 de Noviembre de 2016). Europa press. Recuperado el 17 de enero de 2017, de
Portal TIC: http://www.europapress.es/portaltic/sector/noticia-seguridad-informacion-era-
informatica-20101130080003.html
Europapress. (28 de Enero de 2017). Europapress. Recuperado el 22 de 1 de 2017, de
http://www.europapress.es/portaltic/sector/noticia-seguridad-informacion-era-
informatica-20101130080003.html
Fundación Universitaria Konrad Lorenz. (10 de Julio de 2014). Para Autores: Revista
Latinoamericana de Psicología. Obtenido de
http://publicaciones.konradlorenz.edu.co/index.php/rlpsi/about/submissions#onlineSubmi
ssions
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 51
Gutierrez , c. (12 de 12 de 2013). welivesecurity. Recuperado el 5 de 2 de 2017, de
http://www.welivesecurity.com/la-es/2013/12/12/iso-iec-27002-2013-cambios-dominios-
control/
Hernández, R., Fernández, C., & Baptista, P. (2006). Metodología de la investigación. México:
MacGraw-Hill.
Microsoft. (2017). Microsoft. Obtenido de https://support.office.com/es-es/article/Conceptos-
básicos-sobre-bases-de-datos-a849ac16-07c7-4a31-9948-3c8c94a7c204
MINTIC. (2016). mintic.gov.co. Recuperado el 25 de enero de 2017, de
http://www.mintic.gov.co/gestionti/615/articles-
5482_Guia_Seguridad_informacion_Mypimes.pdf
NIST. (2016). Small Business Information Security: the fundamentals. USA: National Institute of
Standards and Technology .
Perez, J., & Merino, M. (2008). definicion.de. Recuperado el 18 de 1 de 2017, de
http://definicion.de/seguridad-informatica/
Portafolio. (2009). las mipymes y la economia colombiana . portafolio, 3.
portaltic. (30 de noviembre de 2010). Recuperado el 17 de enero de 2017, de euriopapress:
http://www.europapress.es/portaltic/sector/noticia-seguridad-informacion-era-
informatica-20101130080003.html
Porto, J. P. (2008). Definición.de. Recuperado el 9 de 2 de 2017, de
http://definicion.de/seguridad-informatica/
PwC. (2015). resultados de la Encuesta Global de Seguridad de la Información 2015. Argentina
: PricewaterhouseCoopers .
Guía de prevención y reglas adaptables para el manejo de la seguridad de la información
enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 52
Rafael, B. (25 de 7 de 2015). Universidad de Murcia. Recuperado el 20 de enero de 2017, de
http://www.um.es/docencia/barzana/IACCSS/Historia-de-la-informatica.html
SGSI. (16 de 3 de 2015). Blog especializado en Sistemas de Gestión . Obtenido de
http://www.pmg-ssi.com/2015/03/iso-27001-el-metodo-magerit/
Torres, J., & Delgado, C. (2012). www.uis.edu.co. Recuperado el 2 de febrero de 2017, de
http://repositorio.uis.edu.co/jspui/bitstream/123456789/8480/2/143208.pdf