Guía de prevención y reglas adaptables para el manejo de ...

Guía de prevención y reglas adaptables para el manejo de la seguridad de la

información enfocado en el subsector de la industria del calzado de la ciudad de

Bucaramanga.

Presentado por:

Sergio Alfonso González Villalobos

Wilson Archila Marín

Modalidad de grado para pregrado en ingeniería de sistemas

Asesor de modalidad de grado:

Luis Castellanos Guarín

Universidad Cooperativa de Colombia

Programa de Ingeniería de Sistemas

Bucaramanga

2017

Guía de prevención y reglas adaptables para el manejo de la seguridad de la información

enfocado en el subsector de la industria del calzado de la ciudad de Bucaramanga. 2

Tabla de Contenido

Pág.

Introducción 6

Planteamiento del problema 9

Pregunta de investigación 12

Hipótesis 13

Justificación 14

Objetivos 16

Objetivo general 16

Objetivos Específicos 16

Marco teórico 17

Marco conceptual 17

Estado del arte 24

ISO/IEC 27002 26

COBIT (Control Objectives Control Objectives for Information and related Technology) 26

Método MAGERIT 27

Metodología 28

Diseño 28

Metodología 28

Instrumentos 29

Encuesta 29

Procedimiento 30



Resultados 37

Guía de prevención 37

Vulnerabilidades 37

Servicios Financieros 44

Protección de datos 46

Conclusiones 48

Discusión 49

Bibliografía 50



Lista de tablas

Pág.

Tabla 1. Acceso a TIC en hogares, porcentaje de hogares que tienen acceso a internet: 24

Tabla 2. Muestreo Aleatorio Simple 30

Tabla 3. Plan de mitigación – riesgo físico 39

Tabla 4. Plan de mitigación – riesgo Humano 42

Tabla 5. Plan de mitigación – riesgo lógico 43



Lista de figuras

Pág.

Figura 1. Pregunta 1 – encuesta. Por autores 31

Figura 2. Pregunta 2 – encuesta. Por autores 31

Figura 3. Pregunta 3 – encuesta. 32

Figura 4. Pregunta 4 – encuesta 33


Figura 6. Pregunta 6 – encuesta 35




Introducción

La seguridad de la información tiene un especial valor en los tiempos actuales. Con internet la

humanidad se encuentra en un momento en el que la información privada de los usuarios cada

vez tiende a ser más pública, un momento en el que los niveles de información alcanzan límites

históricos y en el que la sociedad en general se ha dado cuenta del poder que puede dar la

información (Europa press, 2016).

En un contexto tan interesante, la seguridad de la información parece un tema realmente

importante y es por eso que cuenta con el reconocimiento mundial hoy en día.

La seguridad de la información en todo caso no es una cuestión reciente. Las alusiones en la

historia a la protección de la información son muy numerosas. Como casos más conocidos están

la “máquina enigma” de la II Guerra Mundial o la defensa de archivos estatales en cualquier

país. Pero, ¿cuándo aparece la preocupación por la seguridad de la información en la informática

o en internet?

La respuesta puede ser que desde el principio ha sido un tema que los creadores han tenido en

cuenta, pero no es hasta 1980 cuando se fundamentan sus bases. En este año, James P. Anderson

escribe un documento titulado “Computer Security Threat Monitorin and Survellance”. Lo más

interesante de este documento es que James Anderson da una definición de los principales

agentes de las amenazas informáticas.

Entre sus definiciones se encuentran términos base de la seguridad informática como Ataque

o Vulnerabilidad. En la definición de Vulnerabilidad hace referencia a “una falla conocida o su

sospecha, tanto en hardware como en el diseño de software, o la operación de un sistema que se

expone a la penetración de su información con exposición accidental”. En cuanto el Ataque, lo



define como “una formulación específica o ejecución de un plan para llevar a cabo una amenaza”

(portaltic, 2010).

La seguridad de la información al avanzar la tecnología va tomando cada vez más

importancia, todas las personas se encuentran expuestas a diferentes riesgos los cuales son

ignorados por su falta de conocimiento. Tomando como partida este hecho las industrias en todas

sus escalas se ven afectadas por diferentes riesgos.

Nuevas empresas se crean alrededor del mundo con el fin de contrarrestar estas posibles

amenazas. En Colombia este tipo de empresas si funcionan, pero para las medianas y pequeñas

empresas no siempre es factible acceder a servicios de este tipo, por sus reducidos presupuestos.

Como resultado del SEMINARIO DE PROFUNDIZACIÓN: “SEGURIDAD DE LA

INFORMACIÓN, Un enfoque aplicado al desarrollo de aplicaciones y bases de datos” se

desarrolló una Guía de prevención y reglas adaptables para el manejo de la seguridad de la

información enfocado en el subsector de la industria del calzado.

La seguridad informática es una disciplina que se encarga de proteger la integridad y la

privacidad de la información almacenada en un sistema informático. De todas formas, no existe

ninguna técnica que permita asegurar la inviolabilidad de un sistema. Un sistema informático

puede ser protegido desde un punto de visto lógico (con el desarrollo de software) o físico

(vinculado al mantenimiento eléctrico, por ejemplo). Por otra parte, las amenazas pueden

proceder desde programas dañinos que se instalan en la computadora del usuario (como un virus)

o llegar por vía remota (los delincuentes que se conectan a internet e ingresan a distintos

sistemas) (Perez & Merino, 2008).



Las amenazas que existen pueden afectar a empresas a cualquier nivel, el subsector a

investigar es el subsector del calzado el cual Para la industria del departamento de Santander

juega un papel muy importante, ya que es uno de los principales ejes de empleo de la ciudad y

del departamento.

Por esto se desarrollará y socializará una guía con el conocimiento necesario, para que

algunos de los empresarios del calzado tuvieran bases sobre los riesgos y la forma de poder

mitigarlos.



Planteamiento del problema

Como lo plantea el informe de (PwC, 2015)“A medida que las tecnologías evolucionan, los

atacantes mejoran sus habilidades.

Las vidas personales serán cada vez más digitalizadas, creando una mayor avalancha de datos

que puede ser recopilada, analizada y potencialmente comprometida. Las empresas seguirán

generando y compartiendo más información acerca de las personas. Es por eso que deben estar

mejor preparadas para afrontar estos riesgos, y aún más para el fenómeno “Internet of Things

(IoT)” que se avecina.”.

La informática llega al mundo a pasos agigantados, sus primeras intervenciones tipo militar

dejaban notar su gran importancia estratégica para gobiernos y ejércitos, cada vez invirtiendo

más dinero en ella para obtener mejores resultados y más precisos se podría ajustar de quienes

tenían una mejor tecnología; en cuanto a la guerra éstos tenían la ventaja para lograr la victoria

(Rafael, 2015).

Entre 2008 y 2011, los precios mundiales de la banda ancha se redujeron un 75%.

Los ingresos mundiales generados por los servicios de telecomunicaciones alcanzan 1,5

billones de dólares, lo que corresponde al 2,4% del PIB mundial.

En 2011 se reportó en Colombia un 45,9% de habitantes usando TIC a través de un

computador.

Las cifras muestran que hay un aumento progresivo de las TIC en el mundo. De los diez

países que van a la vanguardia en materia TIC, ocho son europeos y dos son de la región Asia

Pacífico (la República de Corea y Japón) (MINTIC, 2016).



Pasan los días y la informática se hace accesible a todo el mundo, ya no se considera de uso

estrictamente gubernamental; grandes compañías fueron (Microsoft, 2017) las primeras en tener

acceso a este medio y esto hizo que todas las empresas siguieran su crecimiento natural; con el

paso del tiempo la tecnología comienza a llegar hasta las pequeñas empresas y de personas del

común; es ahí cuando la seguridad comienza a verse más vulnerable, teniendo en cuenta que

comienza a volverse popular para uso libre y delincuentes informáticos toman ventaja de cada

avance que tienen las tecnologías para poder hacer sus actos.

Colombia es uno los países líderes en la fabricación de calzado. Gran parte de la producción

se concentra en Bucaramanga y Bogotá. Según el DANE, las exportaciones del producto en 2012

llegaron a 184 millones de dólares y en cuanto a empleo, en la capital santandereana, este

representa una de las principales fuentes. La Cámara de Comercio de la ciudad señala que da

trabajo a aproximadamente el 27.3% de la población (Ariza & Garcia , 2013).

Según el SENA la zapatería es un arte milenario que se ha desarrollado alrededor del mundo

por cientos de generaciones la mayoría de sus fabricantes en Bucaramanga son empíricos por que

han heredado la labor de sus familiares, los mayores fabricantes de calzado se reúnen en países

asiáticos produciendo más del 50% del calzado a nivel mundial; en todos los países se

encuentran distintos tipos de empresas fabricantes a diferentes niveles de producción y

tecnológicamente hablando unas más avanzadas que otras.

La ciudad de Bucaramanga se ha identificado por ser una ciudad que a nivel nacional se ha

destacado por la fabricación de calzado con muy altos estándares de calidad y también gran

cantidad de fabricantes siendo una de las fuentes de empleo más tradicionales de la ciudad.



Wilson Gamboa Meza, presidente de la Asociación de Industriales del Calzado y Similares de

Santander, Asoinducals, asegura que “Casi cien mil familias dependen en el departamento de

esta industria en su mayoría de micros, medianas y pequeñas empresas. La generación de trabajo

es grande ya que por cada empleo directo se dan cerca de tres indirectos”.

En el sub-sector del calzado se han realizado diferentes estudios donde se valora su estado

socio económico con respecto a la estabilidad que este sector puede tener con el pasar del tiempo

y el avance de la tecnología. Sector que es golpeado de manera directa por importaciones de baja

calidad que afectan al gremio, circunstancias que hacen que los empresarios no puedan invertir

de la manera aconsejada en su seguridad informática, dentro de la ética que tienen los futuros

ingenieros, se propone mejorar este ambiente de inseguridad con una serie de ayudas como guías

y reuniones enfocadas a generar confianza en los fabricantes para que ellos mismos puedan

implementar medidas de seguridad en sus mismas empresas.



Pregunta de investigación

¿Se puede desarrollar una guía para el manejo de la seguridad en la información enfocado a las

MIPYMES de la ciudad de Bucaramanga dedicadas al subsector del calzado?



Hipótesis

La seguridad de la información en las MYPIMES de la ciudad de Bucaramanga dedicadas al

subsector del calzado está en el blanco de los delincuentes informáticos, por la baja importancia

y bajos conocimientos que se tienen en el tema.



Justificación

El avance de la tecnología se observa en distintos sectores de la informática. Así mismo las

vulnerabilidades aumentan proporcional a su crecimiento, según cisco (Cisco, 2015) en el 2015

utilizando la modalidad malvertising que es un sistema de publicidad engañosa para insertar

malware a usuarios desprevenidos se calcula que el 10% de la población que navega se ha visto

afectada por solo esta modalidad esto deja ver un pequeño panorama de la seguridad de

información.

Estas vulnerabilidades pueden llegar afectar a cualquier persona o entidad, teniendo en cuenta

esto en las empresas dedicadas al subsector del calzado y en general en las MIPYMES, se ha

encontrado el fenómeno que no se le presta la importancia que necesita la seguridad de la

información, la baja prioridad de las empresas, los bajos conocimientos, la falta de personal

capacitado son algunas de las causas por las cuales estas empresas están en alto índice de

vulnerabilidad.

Este proyecto busca beneficiar a los dueños u administradores de las empresas que fabrican

calzado en la ciudad de Bucaramanga, generar buenas prácticas en cuanto a la seguridad de la

información y seguridad personal incluyendo banca virtual que es uno de los servicios más

utilizados por el gremio.

Para desarrollar el proyecto se identificaron distintas metodologías de ellas se llegó a un

hibrido, teniendo en cuenta que la guía también se puede presentar como una especie de manual

procedimental para obtener resultados, dado el conocimiento recibido durante el seminario

anteriormente mencionado se logra fundamentar las listas de reglas procedimientos para lograr

unas buenas practicas.



Dentro de los estudios que se encuentran relacionados con el subsector del calzado como el

estudio realizado en la universidad industrial de Santander UIS (Torres & Delgado, 2012)se

puede observar que el sector se encuentra en un crecimiento constante tanto en producto como en

cantidad de empresas y en tecnificación de las misma. Claro está que siguen siendo mayoría las

compañías que aun desempeñan la industria de manera artesanal, sin ningún tipo de ayuda

tecnológica (Ariza & Garcia , 2013).



Objetivos

Objetivo general

Desarrollar una guía para el manejo de la seguridad en la información enfocado a las MIPYMES

de la ciudad de Bucaramanga dedicadas al subsector del calzado.

Objetivos Específicos

Documentar la normatividad que regule los estándares de seguridad de la información en

Colombia y que sea aplicable a los microempresarios del subsector calzado.

Identificar algunas de las vulnerabilidades a las que se encuentra expuesta la información que

mantienen los microempresarios del subsector del calzado en Bucaramanga.

Definir controles que permitan mitigar o prevenir los tipos de vulnerabilidades identificadas

en el objetivo anterior.

Generar guía de seguridad informática para los microempresarios del subsector calzado en

Bucaramanga.



Marco teórico

Dentro del desarrollo de la investigación es pertinente tener una visión del panorama que rodea

el concepto de seguridad informática, enfocado al subsector de la industria del calzado

Marco conceptual

Según la guía para la implementación de la seguridad de la información en una MIPYME del

MINTIC 2016 (MINTIC, 2016), algunas definiciones que aplican de esta guía al proyecto son:

Activo

En relación con la seguridad de la información, se refiere a cualquier información o elemento

relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas…) que tenga

valor para la organización. (ISO/IEC 27000).

Amenazas

En relación con la informática, es toda circunstancia, evento o persona que tiene el potencial de

causar daño a un sistema de información.

Advertencia

Mensaje, aviso o información que se quiere transmitir e informar al usuario que una acción

puede ocasionar la pérdida de datos del sistema del usuario.

Amenaza

Una amenaza informática es toda circunstancia, evento o persona que tiene el potencial de causar

daño a un sistema en forma de robo, destrucción, divulgación, modificación de datos o negación

de servicio (DoS).



Amenaza Externa

Evento o persona externa a una organización que puede causar daño.

Amenaza Interna

Evento o persona interna que causa daño a su misma organización.

Antispam

Antispam es un producto, herramienta, servicio o mejor práctica que detiene el spam o correo no

deseado antes de que se convierta en una molestia para los usuarios. El antispam debe ser parte

de una estrategia de seguridad multinivel.

Antivirus

Son programas que fueron creados en la década de los 80's con el objetivo de detectar y

eliminar virus informáticos. Antivirus es una categoría de software de seguridad que protege un

equipo de virus, normalmente a través de la detección en tiempo real y también mediante análisis

del sistema, que pone en cuarentena y elimina los virus.

Ataques Web

Un ataque Web es un ataque que se comete contra una aplicación cliente y se origina desde un

lugar en la Web, ya sea desde sitios legítimos atacados o sitios maliciosos que han sido creados

para atacar intencionalmente a los usuarios de ésta.

Autenticación

Garantía de que una parte de una transacción informática no es falsa. La autenticación

normalmente lleva consigo el uso de una contraseña, un certificado, un número de identificación

personal u otra información que se pueda utilizar para validar la identidad en una red de equipos.

http://www.gcfaprendelibre.org/tecnologia/curso/virus_informaticos_y_antivirus/los_virus_informaticos/1.do



Caballo de Troya

Son un tipo de código malicioso que parece ser algo que no es. Una distinción muy importante

entre troyanos y virus reales es que los troyanos no infectan otros archivos y no se propagan

automáticamente. Los caballos de troya tienen códigos maliciosos que cuando se activan causa

pérdida, incluso robo de datos. Por lo general, también tienen un componente de puerta trasera,

que le permite al atacante descargar amenazas adicionales en un equipo infectado. Normalmente

se propagan a través de descargas inadvertidas, archivos adjuntos de correo electrónico o al

descargar o ejecutar voluntariamente un archivo de Internet, generalmente después de que un

atacante ha utilizado ingeniería social para convencer al usuario de que lo haga.

Contraseña

Cadena exclusiva de caracteres que introduce un usuario como código de identificación para

restringir el acceso a equipos y archivos confidenciales. El sistema compara el código con una

lista de contraseñas y usuarios autorizados. Si el código es correcto, el sistema permite el acceso

en el nivel de seguridad aprobado para el propietario de la contraseña.

Cuarentena

Aislar archivos sospechosos de contener algún virus, de modo que no se pueden abrir ni ejecutar.

Encriptación

La encriptación es un método de cifrado o codificación de datos para evitar que los usuarios no

autorizados lean o manipulen los datos. Sólo los individuos con acceso a una contraseña o clave

pueden descifrar y utilizar los datos. A veces, el malware utiliza la encriptación para ocultarse

del software de seguridad. Es decir, el malware cifrado revuelve el código del programa para que

sea difícil detectarlo.



Firewall

Un firewall es una aplicación de seguridad diseñada para bloquear las conexiones en

determinados puertos del sistema, independientemente de si el tráfico es benigno o maligno. Un

firewall debería formar parte de una estrategia de seguridad estándar de múltiples niveles.

Gusanos

Los gusanos son programas maliciosos que se reproducen de un sistema a otro sin usar un

archivo anfitrión, a diferencia de un Virus.

Ingeniería Social

Método utilizado por los atacantes para engañar a los usuarios informáticos, para que realicen

una acción que normalmente producirá consecuencias negativas, como la descarga de malware o

la divulgación de información personal. Los ataques de phishing con frecuencia aprovechan las

tácticas de ingeniería social.

Riesgo

El riesgo es el efecto de la incertidumbre sobre los objetivos.

Sistema de detección de intrusos

Es un servicio que monitorea y analiza los eventos del sistema para encontrar y proporcionar en

tiempo real o casi real advertencias de intentos de acceso a los recursos del sistema de manera no

autorizada. Es la detección de ataques o intentos de intrusión, que consiste en revisar registros u

otra información disponible en la red. Un sistema de detección de intrusos debe ser parte de una

estrategia de seguridad estándar de múltiples niveles.

Sistema de prevención de intrusos



Un sistema de prevención de intrusos es un dispositivo (hardware o software) que supervisa las

actividades de la red o del sistema en busca de comportamiento no deseado o malicioso y puede

reaccionar en tiempo real para bloquear o evitar esas actividades. Un sistema de prevención de

intrusos debe ser parte de una estrategia de seguridad estándar de múltiples niveles.

Spam

También conocido como correo basura, el spam es correo electrónico que involucra mensajes

casi idénticos enviados a numerosos destinatarios. Un sinónimo común de spam es correo

electrónico comercial no solicitado (UCE). El malware se utiliza a menudo para propagar

mensajes de spam al infectar un equipo, buscar direcciones de correo electrónico y luego utilizar

esa máquina para enviar mensajes de spam. Los mensajes de spam generalmente se utilizan

como un método de propagación de los ataques de phishing

Spyware o Software Espía

El software espía consta de un paquete de software que realiza un seguimiento y envía

información confidencial o personal a terceros. La información personal es información que

puede atribuirse a una persona específica, como un nombre completo. La información

confidencial incluye datos que la mayoría de las personas no desearía compartir con otras, como

detalles bancarios, números de tarjetas de créditos y contraseñas. Terceros puede hacer referencia

a sistemas remotos o partes con acceso local.

Virus

Programa informático escrito para alterar la forma como funciona una computadora, sin permiso

o conocimiento del usuario.



Muchos de los virus actuales están programados para operar sigilosamente la computadora del

usuario con el fin de robar información personal y utilizarla para cometer delitos. Otros

menoscaban el equipo dañando los programas, eliminando archivos o volviendo a formatear el

disco duro.

Vulnerabilidad

Una vulnerabilidad es un estado viciado en un sistema informático (o conjunto de sistemas) que

afecta las propiedades de confidencialidad, integridad y disponibilidad de los sistemas.

Bases de datos

Una base de datos es una herramienta para recopilar y organizar información. Las bases de datos

pueden almacenar información sobre personas, productos, pedidos u otras cosas. Muchas bases

de datos comienzan como una lista en una hoja de cálculo o en un programa de procesamiento de

texto. A medida que la lista aumenta su tamaño, empiezan a aparecer redundancias e

inconsistencias en los datos. Cada vez es más difícil comprender los datos en forma de lista y los

métodos de búsqueda o extracción de subconjuntos de datos para revisión son limitados. Una vez

que estos problemas comienzan a aparecer, una buena idea es transferir los datos a una base de

datos creada con un sistema de administración de bases de datos (DBMS), como Access.

Una base de datos computarizada es un contenedor de objetos. Una base de datos puede

contener más de una tabla. Por ejemplo, un sistema de seguimiento de inventario que usa tres

tablas no son tres bases de datos, sino una base de datos que contiene tres tablas. Salvo que haya

sido específicamente diseñada para usar datos o códigos de otro origen, una base de datos de

Access almacena sus tablas en un solo archivo, junto con otros objetos como formularios,



informes, macros y módulos. Las bases de datos creadas en el formato Access 2007 (que también

usan Access 2016, Access 2013 y Access 2010) tienen la extensión de archivo .accdb y las bases

de datos creadas en formatos anteriores de Access tienen la extensión de archivo .mdb. Puede

usar Access 2016, Access 2013, Access 2010 o Access 2007 para crear archivos en formatos de

archivo anteriores (por ejemplo, Access 2000 y Access 2002-2003) (Microsoft, 2017).



Estado del arte

En Colombia la utilización de computadores y dispositivos electrónicos con conexión a internet

se ha incrementado de manera significativa según la estadísticas emitidas por Comisión

Económica para América Latina (CEPAL), esto advierte el crecimiento del 38 % en el

incremento de los riesgos a delitos informáticos al que están expuestas las compañías del mundo

que corren las empresas informado por (PwC, 2015).

Tabla 1. Acceso a TIC en hogares, porcentaje de hogares que tienen acceso a internet:

País 2010

Colombia 19,3

País 2013

Colombia 35,7

País 2015

Colombia 42

Por : Comisión Económica para América Latina (CEPAL)

1. MIPYMES en Colombia

En Colombia la revolución de la tecnología agiganto las brechas que existían entre las grandes y

pequeñas empresas en el sentido tecnológico esto género interés del estado en fortalecer las

tecnologías de la información en Colombia con diferentes programas. Según (Portafolio, 2009)

en Colombia para el año 2009 las MIPYMES representaban el 96.4% de los establecimientos

comerciales del país y estas mismas generaban el 80.8% de los empleos a nivel nacional.



A nivel del mundo los esfuerzos para la generación de nuevas MIPYMES se han hecho notar

teniendo en cuenta que son parte fundamental para el desarrollo de un país. Tantos países

desarrollados como no desarrollados buscan implementar ambientes propicios para el aumento

de este tipo de empresas.

La investigación dirigida a los riesgos y vulnerabilidades presentados en los diferentes

escenarios a nivel mundial, dejan notar la gran expectativa que se crea antes este tema, sobre

todo dirigido a las pequeñas empresas. Es en las MIPYME donde existen los riesgos pero los

afectados creen tener una baja probabilidad de ser blanco de estos ataques.

El Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST, 2016) pone en

circulación la guía de recomendaciones para pequeñas empresas basándose en sus estándares de

seguridad informática. Dentro de las razones para hacer pública esta guía se encuentra que sus

autores perciben la gran ventana que se abren en cuestiones de vulnerabilidades en la seguridad

de la información. Según la NIST las grandes empresas se protegen muy bien y le dan la

importancia al tema de la seguridad y claro esta porque tienen los medios económicos y técnicos

para poderlo hacer, los delincuentes informáticos ven como camino fácil tomar las pequeñas

empresas como objetivo de su ataque.

En el mundo existen distintas entidades que ayudan a generar estándares para la seguridad

informática en sus territorios en Europa se encuentra la The European Union Agency for

Network and Information Security (ENISA), la cual genera periódicamente guías con estándares

de seguridad basados en distintos campos de interés general como lo son a seguridad en la nube

la seguridad personal , estándares de seguridad en el trabajo, seguridad en big data son solo un

una pequeña muestra de lo que ENISA regula con la circulación de sus guías.



Dentro de los métodos y buenas prácticas más reconocidas y más homologadas a nivel del

mundo se encuentra la ISO/IEC 27002 que Es la evolución certificable del código de buenas

prácticas ISO 17799. Define cómo organizar la seguridad de la información en cualquier tipo de

organización, con o sin fines de lucro, privada o pública, pequeña o grande.

A continuación se nombran tres estándares mundiales de estándares de seguridad en la

información aplicables y modificables según sea el caso.

ISO/IEC 27002

Según (Gutierrez , 2013) “Dentro de la ISO/IEC 27002 se extiende la información de los

renovados anexos de ISO/IEC 27001-2013, donde básicamente se describen los dominios de

control y los mecanismos de control, que pueden ser implementados dentro de una organización,

siguiendo las directrices de ISO 27001. En esta nueva versión de la norma se encuentran los

controles que buscan mitigar el impacto o la posibilidad de ocurrencia de los diferentes riesgos a

los cuales se encuentra expuesta la organización”.

COBIT (Control Objectives Control Objectives for Information and related Technology)

“B es un Marco de Referencia basado en las mejores prácticas referidas a auditoría y control de

procesos en sistemas de información.

Es una guía para la selección de controles que pueden ser implementados para organizar y

gestionar de forma óptima las Tecnologías de la Información. Controlar, auditar y administrar la

organización y gestión de las tecnologías de la Información.



Los objetivos del control son genéricos, y se dirigen hacia actividades y tareas, siendo

independientes de cualquier plataforma tecnológica. COBIT ha sido diseñado pensando en que

sea utilizado por tres audiencias diferenciadas”.

Método MAGERIT

“El método MAGERIT, son las siglas de Metodología de Análisis y Gestión de Riesgos de los

Sistemas de Información de la Administraciones, dicho método cubre la fase AGR (Análisis y

Gestión de Riesgos). Si hablamos de Gestión global de la Seguridad de un Sistema de Seguridad

de la Información basado en ISO 27001, MAGERIT, es el núcleo de toda actuación organizada

en dicha materia, ya que influye en todas las fases que sean de tipo estratégico y se condiciona la

profundidad de las fases de tipo logístico” (SGSI, 2015).



Metodología

Diseño

El diseño metodológico aplicado para el desarrollo de este proyecto, se relacionó de manera

directa con el comportamiento en general que tienen las personas que diariamente se movilizan

dentro del comercio del sub sector del calzado en la ciudad de Bucaramanga.

Según (Hernández, Fernández, & Baptista, 2006)” la investigación no experimental es

investigación sistemática y empírica en la que las variables independientes no se manipulan por

que ya han sucedido. Las inferencias sobre las relaciones entre variables se realizan sin

intervención o influencia directa y dichas relaciones se observan tal y como se han dado en su

contexto natural”.

Teniendo en cuenta los anteriores argumentos presentados por los autores del libro

metodología de la investigación, se decide utilizar en este proyecto la metodología de

investigación no experimental, esta metodología da la flexibilidad de mirar el panorama real de

los empresarios del calzado sin tener variables que afecten la principal por que el conocimiento

que ellos tiene sobre el tema no puede ser alterado por un experimento.

Metodología

Tomado de la metodología para generar manuales de procedimientos (Duarte , 1993), se hizo un

hibrido de esta para lograr las siguientes etapas

Observación: En la primera etapa se seleccionó el tema y la problemática a tratar.



Análisis: se basó en la recolección de información de las necesidades y el estado del tema a

tratar, específicamente las normativas y necesidades encontradas en el subsector del calzado

en Bucaramanga.

Registro: Estructurar el documento teniendo en cuenta sus principales lectores.

Instrumentos

Dentro del desarrollo de la investigación la universidad cooperativa pone a nuestra disposición

diferentes bases de datos las cuales fueron consultadas durante el periodo en que se desarrolló el

proyecto

La base de datos que fue utilizada por parte de la universidad fue Proquest Computing donde

se encontraron gran cantidad de artículos que tratan la seguridad informática desde un punto de

problemática a superar, es una base de datos dedicada y especializada en computación y

tecnología

Encuesta

Para recolectar información actualizada y comparable, se tomó una muestra de 30 empresarios a

los cuales se les aplicó una encuesta construida por los autores del proyecto; para identificar

necesidades y peligros a los que se sienten que está expuesta su información empresarial.

Para definir la muestra a utilizar en el estudio metodológico del proyecto, se realizó una

observación continua durante una semana en el centro, donde se encuentran las principales

peleterías y venta de insumos para el sub sector calzado. La idea era determinar el día donde se

presentará la mayor afluencia de microempresarios y a través de un muestreo no probabilístico,



se definió la muestra a la cual se le iba aplicar la encuesta (anexo 1), para tomar los datos más

relevantes. De la observación se obtuvieron los siguientes resultados:

Tabla 2. Muestreo Aleatorio Simple

No. OBSERVACIÓN DÍA HORARIO CANTIDAD EMPRESARIOS

1 Lunes 8:00 am – 12:00 m 44

2 Lunes 2:00 pm - 6:00 pm 40

3 Martes 8:00 am – 12:00 m 36

4 Martes 2:00 pm - 6:00 pm 30

5 Miércoles 8:00 am – 12:00 m 35

6 Miércoles 2:00 pm - 6:00 pm 30

7 Jueves 8:00 am – 12:00 m 24

8 Jueves 2:00 pm - 6:00 pm 21

9 Viernes 8:00 am – 12:00 m 26

10 Viernes 2:00 pm - 6:00 pm 23

11 Sábado 8:00 am – 12:00 m 22

PROMEDIO

30,09

Por: autores

Procedimiento

Después de realizar la observación y aplicar la encuesta el día lunes a 30 microempresarios del

sub sector calzado, teniendo en cuenta que era el día de mayor afluencia al centro para la compra

de insumos por parte de los microempresarios; se obtuvieron los siguientes resultados:



Figura 1. Pregunta 1 – encuesta. Por autores

Se puede determinar que el 80% de los microempresarios del sector calzado utilizan medios

digitales y equipos de cómputo para el almacenamiento de toda su información.

Figura 2. Pregunta 2 – encuesta. Por autores

0%

10%

20%

30%

40%

50%

60%

70%

80%

PORCENTAJE

80%

20%

Pregunta 1. Dentro de su empresa cuenta con

equipos de cómputo dedicados al manejo de

datos?

SI NO

42%

44%

46%

48%

50%

52%

54%

PORCENTAJE

47%

53%

Pregunta 2. ¿Tiene used conocimiento de

qué es un virus informático?

SI NO



El 53% de los empresarios del sub sector calzado, no conocen o anejan el contexto de lo que es

un virus informático.

Figura 3. Pregunta 3 – encuesta.

Fuente: Autores

El 80% de los microempresarios reconocen la palabra antivirus, un bajo porcentaje de ellos

reconocen los otros términos de la selección.

0%

10%

20%

30%

40%

50%

60%

70%

80%

Troyano Spam Firewall Antivirus Keylogger

23% 27%

7%

80%

10%

Pregunta 3. De los siguientes términos, ¿Cuáles se

le hacen familiares?



Figura 4. Pregunta 4 – encuesta

Fuente: Autores

De los 30 microempresarios encuestados, el 73% utiliza la banca virtual para realizar diferentes

operaciones de sus negocios.

0%

20%

40%

60%

80%

PORCENTAJE

73%

27%

Pregunta 4. ¿Dentro de su negocio maneja las

aplicaciones para manejar cuentas bancarias

(banca virtual)?

SI NO




Fuente: Autores

Del 73% de los microempresarios que utilizan la banca virtual, el 73% realiza consulta de saldos;

menos del 20% utiliza la banca virtual para realizar recargas y otros pagos.

0%

10%

20%

30%

40%

50%

60%

70%

80%

20%

73%

10%

20%

7%

Pregunta 5. Si la respuesta anterior es afirmativa,

¿Cuál es la transacción más frecuente que realiza

mediante este medio?



Figura 6. Pregunta 6 – encuesta

Fuente: Autores

En un nivel del 1 al 5 se encuentra el nivel más bajo de percepción de vulnerabilidad, entre el 5 y

10 se alojan la mayoría de personas encuestadas.

0%

2%

4%

6%

8%

10%

12%

14%

16%

18%

20%

1 2 3 4 5 6 7 8 9 10

Pregunta 6. Califique el riesgo que cree usted que corre

coo usuario informático.

PORCENTAJE




Fuente: Autores

De los 30 microempresarios encuestados, el 73% utiliza o conoce los antivirus como métodos

para proteger la información de sus negocios.

0%

10%

20%

30%

40%

50%

60%

70%

80%

Antivirus Firewalls Ingeniero de

sistemas

Servicios

externos

73%

3%

17%

7%

Pregunta 7. ¿Cuáles de los siguientes métodos de

protección o personas cuenta en su empresa?



Resultados

Guía de prevención

Vulnerabilidades

De acuerdo a los resultados de la encuesta se evidencia la necesidad de definir los principales

riesgos y posibles vulnerabilidades a los que se encuentran expuestas las empresas del sub sector

calzado; y al mismo tiempo planes de mitigación para controlar los peligros existentes. Las

vulnerabilidades pueden hacer lo siguiente:

Permitir que un atacante ejecute comandos como otro usuario

Permitir a un atacante acceso a los datos, lo que se opone a las restricciones específicas de

acceso a los datos

Permitir a un atacante hacerse pasar por otra entidad

Permitir a un atacante realizar una negación de servicio

Los riesgos se pueden clasificar en tres categorías

Vulnerabilidad por riesgo físico

Vulnerabilidad por riesgo humano

Vulnerabilidad por riesgo lógico

Riesgos físicos

Los riesgos físicos son todos aquellos que afectan directamente al hardware, estos riesgos pueden

ir desde desastres naturales hasta fallas eléctricas.

Los riesgos naturales más frecuentes son:



Incendios

Un incendio en una empresa puede ser causado por incorrectas conexiones eléctricas, por manejo

inadecuado de combustibles, el fuego es considerado de los riesgos más recurrentes en las

empresas, es un enemigo directo que destruye a su paso toda información importante para su

empresa.

Dentro de una fábrica de calzado se encuentran distintos peligros que pueden representar un

incendio, por ejemplo el uso de disolventes y pegantes que son altamente inflamables; también

se encuentran máquinas con altas fuentes de calor que se deben tener en cuenta a la hora de

definir un plan contra fuego.

Inundaciones:

Las inundaciones, pueden ser naturales por un desbordamiento de aguas, de afluentes o

artificiales; por falla en un drenaje, por condiciones climatológicas variables, que se deben tener

presentes y no descartar este riesgo.

Conexiones electrónicas

teniendo en cuenta que la totalidad de los equipos informáticos necesitan energía, se debe tener

cuidado con las malas prácticas en cuanto a la conexión de un equipo puede ocasionar un corto,

poner en riesgo la integridad del personal y seguridad de la empresa.

Robo

Las computadoras y equipos tecnológicos por su alto valor económico y gran importancia son

objetivos fáciles de robo, gran cantidad de información y fácil portabilidad son buena

combinación para ser las victimas número uno en caso de un robo en su compañía.



Plan de mitigación del riesgo físico

A continuación se presenta el plan de mitigación para la empresa expuesta al riesgo físico:

Tabla 3. Plan de mitigación – riesgo físico

TIPO DE RIESGO DESCRIPCIÓN FUENTE MEDIDAS DE PREVENCIÓN - CONTROLES A IMPLEMENTAR

FUENTE MEDIO INDIVIDUO

Físico Incendios Conexiones eléctricas,

materiales

combustibles (disolventes,

pegantes) o

máquinas de alto voltaje.

Protección ha cableado, apagado de

máquinas después de su

utilización, rotulación de elementos químicos.

Ambiente libre de contaminación

Capacitación en manejo de extintores

Inundaciones

Fugas de agua,

naturaleza,

fenómenos.

N/A Aislamiento de equipos electrónicos de

lugares húmedos.

Estibas de separación entre suelo y equipos.

Capacitar en atención de emergencias.

Conexiones

electrónicas

Cables en

mal estado,

toma corrientes deteriorados,

mala

clasificación de voltajes.

Protección a

cableado, apagado de

máquinas después de su utilización, rotulación

de elementos químicos.

Ambiente libre de

contaminación

Capacitación en

manejo de extintores

Robo Alteraciones de orden,

personas mal

intencionadas.

Realizar copias de seguridad de forma

periódica, para

mantener los archivos disponibles.

N/A Guardar bajo llave medios de

almacenamiento de fácil

extracción como discos duros, USB o incluso

discos ópticos como CD

o DVD.

Por: Autores



Riesgo humano

Dentro de las empresas se toman decisiones para contrarrestar las amenazas de tipo tecnológicas

con el uso de antivirus o contra fuegos pero se descarta la posibilidad de tener el principal

enemigo de un sistema quizá trabando en la compañía, el riesgo humano tiene diferentes tipo de

enemigos como los son:

Amenaza de persona incorporada a la compañía de manera no intencionada: es aquella

persona que puede generar una amenaza para la compañía pero que no tiene intenciones de

generala. Para mitigar este riesgo es recomendable formar a la totalidad de los empleados

sobre cuidados a la hora de manipular los sistemas de información y equipos de cómputo.

Presentando los posibles riegos a los que se encuentran expuestos y pueden afectar a la

compañía.

Amenaza de persona incorporada a la compañía de manera intencional: dentro de las

compañías es muy frecuente ver empleados que buscan un beneficio propio poniendo en

riesgo los sistemas informáticos de la compañía; estas personas usan las redes de una empresa

para generar un vacío en la seguridad de la compañía; esta es una de las causas más comunes

por las cuales se le recomienda al empresario que restrinja el uso de equipos informáticos

dentro de su compañía y definir políticas para que la actividad de ellos no genere tanto riesgo.

Un claro ejemplo de esto puede ser un empleado malintencionado que quiera obtener la base

de datos de sus clientes o proveedores; información que con un dispositivo de

almacenamiento como una USB y acceso al sitio de almacenamiento; puede hacer que

información tan importante para su empresa se pueda poner en riesgo.



Amenaza de persona no incorporada a la compañía de manera no intencional: este caso de

amenaza se puede dar cuando alguien externo a la empresa que quizá no tenga conocimiento

sobre medios informáticos, propague de alguna forma un archivo dañino o virus. Alguno de

sus empleados de forma involuntaria, puede propagar un virus en los equipos de cómputo de

la empresa; este contagio puede contrarrestarse utilizando contrafuegos en las computadoras

de la empresa y teniendo un software ante virus para proteger los equipos de su compañía.

Virus informáticos hay de distintos tipos entre ellos unos más peligrosos que otros; unos solo

se crean para generar publicidad malintencionada y otros pueden hacer que las empresas

gasten importantes sumas de dinero, para poder rescatar la información del equipo, este

último es muy peligroso y se puede considerar en modalidad de extorsión.

Amenaza de persona no incorporada a la compañía de manera intencional: esta es la amenaza

que quizá más daño pueda ocasionar, es generada por un externo que tiene claro que

información requiere de la empresa y que daño quiere causar. Para esto la persona externa

podría intentar acceder a los sistemas de la compañía infectando o encontrando

vulnerabilidades

Plan de mitigación del riesgo humano

A continuación se presenta el plan de mitigación para la empresa expuesta al riesgo humano:



Tabla 4. Plan de mitigación – riesgo Humano


FUENTE MEDIO INDIVIDUO

Humano

Amenaza de

persona

incorporada a la compañía de

manera no

intencionada

Persona que

puede generar una amenaza

para la compañía

pero que no tiene intenciones

de generala.

Instalación de

antivirus, generación de

copias de seguridad

N/A

Plan de formación a los

empleados, sobre manipulación de los sistemas de información y

equipos de cómputo.

Amenaza de

persona

incorporada a la

compañía de

manera

intencional

Empleados que buscan un

beneficio propio

poniendo en

riesgo los

sistemas

informáticos de la compañía.

Instalación de

antivirus,

generación de

copias de seguridad

Instalación de

contraseñas o limitación de

navegación y

descarga de archivos

peligrosos

Políticas sobre uso de

equipos de cómputo, dispositivos

de almacenamiento y limitación

en navegación de redes

Amenaza de persona no

incorporada a la

compañía de manera no

intencional

Alguien

externo a la empresa que

quizá no tenga

conocimiento sobre medios

informáticos,

propague de alguna forma un

archivo dañino o

virus.

Contrafuegos

en las computadoras de la empresa y

teniendo un

software ante virus para proteger los

equipos de su

compañía

N/A Formación a empleados

sobre medios informáticos

Amenaza de persona no

incorporada a la

compañía de manera

intencional

Es generada

por un externo que tiene claro

que información

requiere de la empresa y que

daño quiere

causar.

Instalación de

antivirus,

generación de copias de seguridad

N/A

Políticas sobre uso de

equipos de cómputo, dispositivos

de almacenamiento y limitación en navegación de redes

Por: Autores

Riesgo lógico

Es aquel riesgo que puede afectar directamente el software de sus equipos. Entre las técnicas más

utilizadas para vulnerar su seguridad, se encuentran los virus, que son códigos maliciosos que

buscan deteriorar la seguridad de los sistemas informáticos, algunos con fines lucrativos y

extorsivos y otros solo con fines publicitarios.



Si dentro de la compañía se encuentran computadores al servicio de sus empleados, procurar

que estos ordenadores se encuentren bajo la protección de un antivirus y que tengan procesos de

limpieza y mantenimiento de software malicioso cada vez que se crea necesario.

Tener en cuenta que un código malicioso se puede instalar en un equipo con un simple clic en

un aviso publicitario y puede generar en el equipo desde perdida de información hasta que

divulgación ante cualquier persona de información privada, gran parte de estos ataques son

bloqueados por los antivirus y antispam.

Plan de mitigación del riesgo lógico

Tabla 5. Plan de mitigación – riesgo lógico


FUENTE MEDI

O

INDIVIDUO

Lógico Es aquel

riesgo que puede afectar

directamente

el software de sus equipos.

Instalación de

antivirus, generación de copias de

seguridad y

mantenimiento de software

N/A Formación a empleados sobre

medios informáticos

Por: Autores



Servicios Financieros

Banca virtual

Parte fundamental del proceso, es la capacidad en que los empresarios puedan identificar los

principales riesgos a los que se encuentra expuestos en el momento de utilizar los servicios

financieros de forma virtual (banca virtual). Si bien es cierto que los servicios que prestan las

entidades bancarias mediante sus páginas web o sitios virtuales, cuentan con muy buena

seguridad; el riesgo humano a la hora de utilizar estos servicios puede ser determinante para

obtener una transacción segura.

Garantías de las entidades bancarias.

El estado por medio de la súper intendencia financiera se encarga de determinar las normativas y

delimitar las obligaciones que estas entidades tienen con respecto a la utilización de la banca

virtual.

Por ejemplo la Circular básica jurídica C.E.029/14; expedida por la súper intendencia

financiera en la parte 1 dedicado a las Instrucciones generales aplicables a las entidades

vigiladas, título II prestación de servicios financieros y al capítulo I donde habla de canales,

medios, seguridad y calidad en el manejo de la información en la prestación de servicios

financieros.

En el apartado 2.3.4.11 que dedicado a la banca virtual se habla de la seguridad que el banco

debe prestarle a los usuarios y garantizarle las medidas de seguridad para no poner en riesgo la

transacción.



En caso que los empresarios del calzado tengan un inconveniente con una entidad por manejo

de la banca virtual, puede remitirse a la supefinanciera teniendo este apartado como presentación

de los derechos, si mediante la utilización de este el empresario ha sido víctima de algún tipo de

fraude o delito informático.

Prevención como usuario

Para evitar que el factor humano, pueda caer en manos de delincuentes informáticos, que

pueden estar detrás de su información bancaria o incluso su dinero, las personas deben tener en

cuenta las siguientes recomendaciones:

Al momento del ingreso

Destine un equipo en la empresa para esta actividad, evite que personas ajenas o que no sean

de su confianza puedan utilizar este equipo. Dentro de las modalidades de robo de

información se encuentran los keylogger, son programas que pueden instalarse de manera

muy fácil y rápida en el computador; el programa lo que hace es capturar todas las

interacciones que usted tenga en el computador. Con esta modalidad el delincuente podría

obtener todas las claves que la persona a digitado en su computador. Por este motivo es

recomendable tener un antivirus actualizado e instalado en el computador detectando posibles

amenazas.

Evitar ingresar a la banca virtual desde links que le sean proporcionados desde correos

electrónicos o mensajes de texto, esta es una de las modalidades más utilizadas por los

delincuentes informáticos. La ingeniería social, la cual es la forma en que el delincuente le

hace creer o se hace pasar fraudulentamente por una entidad bancaria, que usted puede

frecuentar, el phishing y el pharming son los métodos a los que recurren para este tipo de



fraude, por ello una de las forma de detectar una página segura para ingresar claves y usuarios

es fijarse que en la barra de direcciones de navegador muestre la figura de un candado cerrado

como forma de determinar que la página es segura.

Dentro de la aplicación

Siempre tener en cuenta que al intentar realizar una transacción debe estar seguro del

movimiento a ejecutar.

Proteja sus datos, no guarde archivos en el computador con sus claves o usuarios personales.

Seguir las recomendaciones de manejo de su banca virtual, de acuerdo a demos o

explicaciones de su banco; ellos están en la obligación de prestársela.

No descuide la aplicación durante el desarrollo de una transacción.

Al terminar

Siempre cerrar la sesión de la aplicación, no es recomendable solo cerrar la aplicación o el

navegador; siempre que pueda cierre la sesión, un cerrado no seguro podría mantener la

operación abierta.

Mantenga en constante actualización sus claves para evitar posibles fraudes.

Si es posible ejecute un programa que borre la cache de su computador luego de una

transacción.

Protección de datos

Actualmente en Colombia para la protección de datos personales se encuentra la ley abeas data,

donde se puede encontrar la reglamentación para el manejo de datos. Según la superintendencia

de industria y comercio define” El derecho de hábeas data es aquel que tiene toda persona de



conocer, actualizar y rectificar la información que se haya recogido sobre ella en archivos y

bancos de datos de naturaleza pública o privada.”

Los empresarios del sub sector calzado debe sensibilizarse con esta ley para no incurrir en un

delito; tener autorización de las personas naturales o jurídicas que hacen parte de sus bases de

datos es algo primordial para manejar esta información adecuadamente. Un posible error en que

usted puede incurrir y que le puede generar problemas administrando una base de datos de sus

clientes, es con datos personales de los mismos, al divulgarlos, transferirlos sin autorización de

ellos o vender esta información sin consentimiento de sus clientes; puede hacer que usted

incurra en un delito.

Para ello empresario es recomendable leer y poner en práctica las indicaciones plasmadas en

la ley estatutaria 1581 de 2012 reglamentada por el decreto 1377 de 2013 de Colombia; por la

cual se dictan disposiciones generales para la protección de datos personales.



Conclusiones

Para emitir una guía práctica y de fácil comprensión sobre modos seguros de navegación,

protección de la información y prevención de vulnerabilidad sobre los sistemas de información y

equipos de cómputo manejados en las empresas del subsector calzado en la ciudad de

Bucaramanga, se obtuvieron las siguientes conclusiones:

El subsector del calzado de Bucaramanga pieza fundamental para la economía de la ciudad,

con más de 100.000 empleos directos eh indirectos, detecta bajos niveles de conocimiento en

el área de la seguridad de la información, un porcentaje menor al 30% de los encuestados

conocen términos especializados enfocados a vulnerabilidades informáticas.

Más del 50% de las personas que pertenecen al gremio, sienten una amenaza inminente en su

seguridad de la información, según su clasificación y percepción personal en la encuesta.

El lenguaje y terminología requeridos para la elaboración de la guía de prevención debieron

ser adaptados, a los conocimientos de los empresarios, reflejados en la encuesta.

Los estándares, normas y leyes aplicables al subsector del calzado, son las mismas para el

resto de MIPYMES del territorio colombiano.



Discusión

La hipótesis planteada en este proyecto “La seguridad de la información en las MYPIMES de la

ciudad de Bucaramanga dedicadas al subsector del calzado están en el blanco de los delincuentes

informáticos, por la baja importancia y bajos conocimientos que se tienen en el tema.” Se puede

dar como cumplida luego de la reunión de los distintos puntos de vista del gremio, en general los

empresarios notan una falta de acompañamiento por parte del gobierno para poder calificase

mejor como personas y a la vez sus empresas en temas tecnológicos, enfocados en la seguridad

de la información.

Es constate que en los estudios encontrados y analizados enfocados en la seguridad de la

información, se deje notar la misma percepción sobre la falta de aceptación de las MIPYMES

sobre su posibilidad de caer en manos criminales, incluso tener pérdidas de información por

causas humanas causadas por el mismo afectado, el instituto nacional de estándares y tecnología

de los Estados Unidos dentro de su guía de seguridad de la información para que pequeñas

empresas (NIST, 2016) , resalta los aspectos de baja prioridad que le dan las pequeñas empresas

al tema de la seguridad de la información, del mismo modo adquieren un lenguaje menos técnico

dentro de su guía y más práctico, para que el lector pueda comprenderlo mejor.

Las opciones de mejora que se encuentran en la legislación en Colombia, enfocadas a la

reglamentación y o estandarización de la seguridad de la información, comparándola con la de

países más desarrollados se puede observar que se siguen algunos estándares pero aún falta

mucha promoción y caracterización de los sectores para poder implementar tipos de guías como

la del (MINTIC, 2016).



Bibliografía

MINTIC. (30 de Marzo de 2016). Recuperado el 2 de febrero de 2017, de Oficina Internacional:

http://www.mintic.gov.co/portal/604/w3-article-4425.html

American Psychological Association. (2010). Manual de publicaciones de la American

Psychological Association. México: Manual Moderno.

Ariza, T., & Garcia , S. (25 de Julio de 2013). Periódico SENA. Recuperado el 20 de enero de

2017, de http://periodico.sena.edu.co/productividad/noticia.php?i=1069

Cisco. (2015). cisco.com. Recuperado el 22 de enero de 2017, de

http://www.cisco.com/c/dam/en/us/solutions/collateral/borderless-networks/threat-

defense/asr-infographic-2016.pdf

Duarte , E. (1993). Guía técnica para la elaboración de manuales de procedimientos. sonora :

universidad de sonora .

Europa press. (30 de Noviembre de 2016). Europa press. Recuperado el 17 de enero de 2017, de

Portal TIC: http://www.europapress.es/portaltic/sector/noticia-seguridad-informacion-era-

informatica-20101130080003.html

Europapress. (28 de Enero de 2017). Europapress. Recuperado el 22 de 1 de 2017, de

http://www.europapress.es/portaltic/sector/noticia-seguridad-informacion-era-


Fundación Universitaria Konrad Lorenz. (10 de Julio de 2014). Para Autores: Revista

Latinoamericana de Psicología. Obtenido de

http://publicaciones.konradlorenz.edu.co/index.php/rlpsi/about/submissions#onlineSubmi

ssions



Gutierrez , c. (12 de 12 de 2013). welivesecurity. Recuperado el 5 de 2 de 2017, de

http://www.welivesecurity.com/la-es/2013/12/12/iso-iec-27002-2013-cambios-dominios-

control/

Hernández, R., Fernández, C., & Baptista, P. (2006). Metodología de la investigación. México:

MacGraw-Hill.

Microsoft. (2017). Microsoft. Obtenido de https://support.office.com/es-es/article/Conceptos-

básicos-sobre-bases-de-datos-a849ac16-07c7-4a31-9948-3c8c94a7c204

MINTIC. (2016). mintic.gov.co. Recuperado el 25 de enero de 2017, de

http://www.mintic.gov.co/gestionti/615/articles-

5482_Guia_Seguridad_informacion_Mypimes.pdf

NIST. (2016). Small Business Information Security: the fundamentals. USA: National Institute of

Standards and Technology .

Perez, J., & Merino, M. (2008). definicion.de. Recuperado el 18 de 1 de 2017, de

http://definicion.de/seguridad-informatica/

Portafolio. (2009). las mipymes y la economia colombiana . portafolio, 3.

portaltic. (30 de noviembre de 2010). Recuperado el 17 de enero de 2017, de euriopapress:

http://www.europapress.es/portaltic/sector/noticia-seguridad-informacion-era-


Porto, J. P. (2008). Definición.de. Recuperado el 9 de 2 de 2017, de

http://definicion.de/seguridad-informatica/

PwC. (2015). resultados de la Encuesta Global de Seguridad de la Información 2015. Argentina

: PricewaterhouseCoopers .



Rafael, B. (25 de 7 de 2015). Universidad de Murcia. Recuperado el 20 de enero de 2017, de

http://www.um.es/docencia/barzana/IACCSS/Historia-de-la-informatica.html

SGSI. (16 de 3 de 2015). Blog especializado en Sistemas de Gestión . Obtenido de

http://www.pmg-ssi.com/2015/03/iso-27001-el-metodo-magerit/

Torres, J., & Delgado, C. (2012). www.uis.edu.co. Recuperado el 2 de febrero de 2017, de

http://repositorio.uis.edu.co/jspui/bitstream/123456789/8480/2/143208.pdf

Guía de prevención y reglas adaptables para el manejo de ...

Documents

Transcript of Guía de prevención y reglas adaptables para el manejo de ...