Mostrar el registro sencillo del documento
Marco de gestión de riesgos de tecnologías de información y comunicación en un entorno multi empresarial, basado en análisis de datos de seguridad (logs) para la empresa CasaLuker S.A
dc.rights.license | Reconocimiento 4.0 Internacional |
dc.contributor.advisor | Valencia Duque, Francisco Javier |
dc.contributor.author | Ramírez Granada, Jorge Andrés |
dc.date.accessioned | 2022-02-17T17:18:30Z |
dc.date.available | 2022-02-17T17:18:30Z |
dc.date.issued | 2021 |
dc.identifier.uri | https://repositorio.unal.edu.co/handle/unal/81006 |
dc.description | gráficos, tablas |
dc.description.abstract | Las organizaciones corporativas como CasaLuker, objeto del actual estudio, establecen diferentes estrategias de funcionamiento como lo es la aplicación parcial de la misma tecnología para sus operaciones diarias en función del macroproceso, lo cual es la razón de ser de una empresa. Por consiguiente, se requiere de la protección de la información como activo primordial que, por lo regular, es supervisada desde el área “Tecnología de la Información”, quien provee y parametriza herramientas tecnológicas que proporcionan registros (Logs) sobre las amenazas que afectan la seguridad de la información. Por tanto, la gestión del riesgo se convierte en un proceso de vital importancia para mitigar el posible impacto negativo generado por la materialización de un evento que ocasione un daño en los activos de la empresa, con ello se garantiza la continuidad de las operaciones de la empresa. El presente estudio abarca una revisión de la literatura acerca de los marcos metodológicos sobre la gestión del riesgo de Tecnologías de Información y Comunicación. Se elige OWASP Risk Rating por ser un modelo flexible y ligero para establecer y validar una propuesta basada en eventos de amenazas de seguridad de la información mediante los 212.690 registros (Logs) obtenidos de las herramientas tecnológicas existentes del entorno multi empresarial. De esta forma, se presentaron aportes tangibles sobre el estado actual de las amenazas detectadas como parte de los insumos en la toma de decisiones respecto al mejoramiento de la barrera de seguridad de la información (Texto tomado de la fuente) |
dc.description.abstract | Corporate organizations such as CasaLuker, object of the current study, stablish different operating strategies such as the partial application of the same technology for their daily operations based on their macro process, which is the reason for being of a company. Therefore, the protection of information is required as a primary asset, usually supervised from the "Information Technology" area, which provides and parameterizes technological tools that provide records (Logs) on the threats affecting information security. Therefore, risk management becomes a process of vital importance to mitigate the possible negative impact generated by the materialization of an event that causes damage to the company's assets, thereby guaranteeing the continuity of the operations of the company. This study includes a review of the literature on the methodological frameworks on the Risk management of Information and Communication Technologies. OWASP Risk Rating was chosen for being a flexible and lightweight model to establish and validate a proposal based on information security threat events through the 212,690 records (Logs) obtained from the existing technological tools of the multi-business environment. In this way, tangible information is provided on the current status of the threats detected as part of the inputs in decision-making regarding the improvement of the information security barrier |
dc.format.extent | ix, 121 páginas |
dc.format.mimetype | application/pdf |
dc.language.iso | spa |
dc.publisher | Universidad Nacional de Colombia |
dc.rights.uri | http://creativecommons.org/licenses/by/4.0/ |
dc.subject.ddc | 000 - Ciencias de la computación, información y obras generales::001 - Conocimiento |
dc.title | Marco de gestión de riesgos de tecnologías de información y comunicación en un entorno multi empresarial, basado en análisis de datos de seguridad (logs) para la empresa CasaLuker S.A |
dc.type | Trabajo de grado - Maestría |
dc.type.driver | info:eu-repo/semantics/masterThesis |
dc.type.version | info:eu-repo/semantics/acceptedVersion |
dc.publisher.program | Manizales - Administración - Maestría en Administración de Sistemas Informáticos |
dc.contributor.researchgroup | Teoría y Gestión de Tecnologías de la Información |
dc.description.degreelevel | Maestría |
dc.description.degreename | Magister en Administración de Sistemas Informáticos |
dc.description.methods | La metodología usada para el desarrollo del trabajo fue la multi metodología de Mingers y Brocklesby (Mingers,2006), que involucra métodos cuantitativos y cualitativos para obtener una visión desde diferentes perspectivas del sistema. La multi metodología fue propuesta por Mingers y Brocklesby (1997), plantea cuatro fases: Apreciación, Análisis, Evaluación y Acción (Mingers, 2006) |
dc.description.researcharea | Riesgos Organizaciones y de Tecnologías de Información |
dc.identifier.instname | Universidad Nacional de Colombia |
dc.identifier.reponame | Repositorio Institucional Universidad Nacional de Colombia |
dc.identifier.repourl | https://repositorio.unal.edu.co/ |
dc.publisher.department | Departamento de Informática y Computación |
dc.publisher.faculty | Facultad de Administración |
dc.publisher.place | Manizales, Colombia |
dc.publisher.branch | Universidad Nacional de Colombia - Sede Manizales |
dc.relation.references | Agrawal, V. (2017). A Comparative Study on Information Security Risk Analysis Methods. Journal of Computers, 12(1), 57–67. https://doi.org/10.17706/jcp.12.1.57-67 |
dc.relation.references | Almanza J., A. R. (2019). XIX Encuesta Nacional de Seguridad Informática. Revista Sistemas, 151, 12–41. https://doi.org/10.29236/sistemas.n151a3 |
dc.relation.references | Amutio Gómez, M. A. (2012). Ministerio de Hacienda y Administraciones Publicas. 127. http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html |
dc.relation.references | B. S., K., SRIDHAR, V., & K. R., S. (2019). a Case Study: Risk Rating Methodology for EGovernance Application Security Risks. I-Manager’s Journal on Software Engineering, 13(3), 39. https://doi.org/10.26634/jse.13.3.15546 |
dc.relation.references | Benavides, E., Fuertes, W., & Sanchez, S. (2020). Caracterización de los ataques de phishing y técnicas para mitigarlos. Ataques: una revisión sistemática de la literatura. Ciencia y Tecnología, 13(1), 97–104. https://doi.org/10.18779/cyt.v13i1.357 |
dc.relation.references | Bornman, W. G., & Labuschagne, L. (2004). A comparative framework for evaluating information security risk management methods. Information Security South Africa Conference. http://icsa.cs.up.ac.za/issa/2004/Proceedings/Full/015.pdf |
dc.relation.references | Burkert, R., van Hagen, J., Wehrmann, M., & Jansen, M. (2022). Protection Against Online Fraud Using Blockchain. In Lecture Notes in Networks and Systems: Vol. 320 LNNS (pp. 34–43). https://doi.org/10.1007/978-3-030-86162-9_4 |
dc.relation.references | Centro de seguridad y cumplimiento - Service Descriptions | Microsoft Docs. (n.d.). Retrieved July 14, 2021, from https://docs.microsoft.com/eses/office365/servicedescriptions/office-365-platform-service-description/office-365-securitycompliance-center |
dc.relation.references | CONPES. (2016). Política Nacional de Seguridad Digital. CONPES 3854 - Política Nacional de Seguridad Digital, 91. https://colaboracion.dnp.gov.co/CDT/Conpes/Economicos/3854.pdf |
dc.relation.references | ENISA. (2006). Inventory of risk assessment and risk management methods. ENISA Ad Hoc Working Group on Risk Assessment and Risk Management, 1–56. http://www.enisa.europa.eu/act/rm/files/deliverables/inventory-of-risk-assessment-and- risk-management-methods/at_download/fullReport |
dc.relation.references | Fabisiak, L., Hyla, T., & Klasa, T. (2012). Comparative Analysis of Information Security Assessment and Management Methods. Studia i Materialy Polskiego Stowarzyszenia Zarzadzania Wiedza / Studies & Proceedings Polish Association for Knowledge Management, 60, 55–70. |
dc.relation.references | FERMA. (2003). Estándares de Gerencia de Riesgo (1). |
dc.relation.references | Flores Urgilés, C., Zhinin Aguayza, B., Segovia Cantos, A., Mayancela Zhinin, M., & Marlene García, J. (2018). Evaluación de seguridad de la información en las páginas web pertenecientes a los municipios de la provincia del Cañar. Killkana Técnica, 2(1), 13. https://doi.org/10.26871/killkana_tecnica.v2i1.286 |
dc.relation.references | Fortinet. (n.d.-a). Is Your Data Center Ready for Machine Learning Hardware? White Paper. https://www.datacenterknowledge.com/machine-learning/your-data-centerready-machine-learning-hardware |
dc.relation.references | Fortinet. (n.d.-b). Next-Generation Firewall (NGFW) | Fortinet. Retrieved July 15, 2021, from https://www.fortinet.com/lat/products/next-generation-firewall |
dc.relation.references | Fortinet. (2021a). Technical Tip : FortiGate - UDP Flooding Attack is blocked but amount of traffic does not decrease. 9–10. |
dc.relation.references | Fortinet. (2021b). Threat Encyclopedia | FortiGuard. https://www.fortiguard.com/encyclopedia/ips/100663398 |
dc.relation.references | Fortinet. (2021c). What is ICMP (Internet Control Message Protocol)? | Fortinet. https://www.fortinet.com/lat/resources/cyberglossary/internet-control-messageprotocol-icmp |
dc.relation.references | Fortinet. (2021d). What Is Unified Threat Management (UTM)? | Fortinet. https://www.fortinet.com/resources/cyberglossary/unified-threat-management |
dc.relation.references | Fuentes, L. F. (2008). Malware, una amenaza de Internet. Revista Digital Universitaria, 9(4), 1–9. |
dc.relation.references | ISO/IEC. (2009). Information technology - Security techniques - Information security management systems - Overview and vocabulary. Iso/Iec, 2009, ISO/IEC27000:2009(E). https://www.iso.org/standard/73906.html |
dc.relation.references | ISO/IEC 27000. (2018). International Standard ISO / IEC Information technology — Security techniques — Information security management systems — Overview and. ACM Workshop on Formal Methods in Security Engineering.Washington, DC, USA, 34(19), 45–55. https://doi.org/10.1016/j.im.2003.02.002 |
dc.relation.references | ISO 31000. (2018). ISO 31000:2018(es), Gestión del riesgo — Directrices. https://www.iso.org/obp/ui#iso:std:iso:31000:ed-2:v1:es |
dc.relation.references | López, M. de los Á., Albanese, D. E., & Sánchez, M. A. (2014). Gestión de riesgos para la adopción de la computación en nube en entidades financieras de la República argentina. Contaduria y Administracion. https://doi.org/10.1016/s0186-1042(14)71266-5 |
dc.relation.references | Marsh. (2019). 2019 Global Cyber Risk Perception Survey. Microsoft Insights, September, 1–36. https://www.marsh.com/us/insights/research/marsh-microsoftcyber-survey-report-2019.html |
dc.relation.references | Microsoft. (2021a). Anti-spam protection - Office 365 | Microsoft Docs. https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/antispam-protection?view=o365-worldwide |
dc.relation.references | Microsoft. (2021c). Cyberthreats, viruses, and malware - Microsoft Security Intelligence.2021. https://www.microsoft.com/en-us/wdsi/threats |
dc.relation.references | Microsoft. (2021d). Nombres de malware - Windows security | Microsoft Docs. Microsoft. https://docs.microsoft.com/es-es/windows/security/threatprotection/intelligence/malware-naming |
dc.relation.references | Mingers, J. (2006). Realising Systems Thinking : Knowledge and Action in Management Science OR and Systems Thinking for Community Development Participatory Policy Design and Governance for a Global Age. In Order A Journal On The Theory Of Ordered Sets And Its Applications. |
dc.relation.references | MinTIC, M. de las T. y las T. (2015). Modelo de Seguridad y Privacidad de la Información. Diario Oficial, 1–32. http://www.mintic.gov.co/gestionti/615/articles-5482_Modelo_Seguridad.pdf |
dc.relation.references | MinTIC, M. de las T. y las T. (2016). Modelo de Seguridad y Privacidad de La Información - Guía de Mejora Continua. Diario Oficial, 58. https://www.mintic.gov.co/gestionti/615/articles-5482_Modelo_de_Seguridad_Privacidad.pdf%0Ahttps://www.mintic.gov.co/gestionti/ 615/articles-5482_G17_Mejora_continua.pdf |
dc.relation.references | Munir, R., Mufti, M. R., Awan, I., Hu, Y. F., & Disso, J. P. (2015). Detection, mitigation and quantitative security risk assessment of invisible attacks at enterprise network. Proceedings - 2015 International Conference on Future Internet of Things and Cloud, FiCloud 2015 and 2015 International Conference on Open and Big Data, OBD 2015,256–263. https://doi.org/10.1109/FiCloud.2015.24 |
dc.relation.references | Olivares, B., & Eduardo, G. (n.d.). MODELADO DE AMENAZAS, UNA TÉCNICA DE ANÁLISIS Y GESTIÓN DE RIESGO ASOCIADO A SOFTWARE Y APLICACIONES. |
dc.relation.references | Owasp. (2013). OWASP Risk Rating Methodology. Owasp. https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology |
dc.relation.references | OWASP. (2021). OWASP Top Ten Web Application Security Risks | OWASP. https://owasp.org/www-project-top-ten/ |
dc.relation.references | OWASP Top 10-2017. (2003). https://github.com/OWASP/Top10/issues |
dc.relation.references | PANDEY, S. K. (2012). A Comparative Study of Risk Assessment Methodologies for Information Systems. Bulletin of Electrical Engineering and Informatics, 1(2), 111–122. https://doi.org/10.12928/eei.v1i2.231 |
dc.relation.references | Pinzon G., L. C., Talero M., M. B., & Bohada, J. A. (2013). Intrusion Test and OpenSource. Revista Ciencia, Innovacion y Tegnologia (RCYIT), 1(Enero-Diciembre), 25–38. |
dc.relation.references | Schoenfield, B. (2015). Information Security Risk. In Securing Systems (Issue 5). Springer International Publishing. https://doi.org/10.1201/b18465-7 |
dc.relation.references | Singh, U. K., & Joshi, C. (2018). Comparative Study of Information Security Risk Assessment Frameworks. International Journal of Computer Application, 2(8). https://doi.org/10.26808/rs.ca.i8v2.08 |
dc.relation.references | Sophos. (2012). Endpoint Protection. https://community.broadcom.com/symantecenterprise/communities/communityhome/ librarydocuments/viewdocument?DocumentKey=418004dd-c06e-41e6-b268-27dbcb5d2fe1&CommunityKey=1ecf5f55-9545-44d6-b0f4-4e4a7f5f5e68&tab=librarydocuments |
dc.relation.references | Sophos. (2021a). Protección PUA y seguridad adware. Detección y limpieza de amenazas PUA. Sophos. https://www.sophos.com/es-es/threat-center/threatanalyses/adware-and-puas.aspx |
dc.relation.references | Sophos. (2021b). Sophos Endpoint: Download reputation frequently asked questions. https://support.sophos.com/support/s/article/KB-000035337?language=en_US#What-is-Download-Reputation? |
dc.relation.references | Sophos Central Admin. (2021). Tipos de evento de malware y PUA. https://docs.sophos.com/central/Customer/help/eses/central/Customer/concepts/EventTypes.html |
dc.relation.references | Susanto, H., Almunawar, M., & Tuan, Y. (2011). Information security management system standards: A comparative study of the big five. International Journal of Electrical Computer Sciences IJECS-IJENS, 11(5), 23–29. |
dc.relation.references | Syalim, A., Hori, Y., & Sakurai, K. (2009). Comparison of risk analysis methods: Mehari, magerit, NIST800-30 and microsoft’s security management guide. Proceedings - International Conference on Availability, Reliability and Security, ARES 2009, 726– 731. https://doi.org/10.1109/ARES.2009.75 |
dc.relation.references | Tejena-Macías, M. A. (2018). Análisis de riesgos en seguridad de la información. Polo Del Conocimiento, 3(4), 230. https://doi.org/10.23857/pc.v3i4.809 |
dc.relation.references | Valencia-Duque, F. J., & Orozco-Alzate, M. (2017). Metodología para la implementación de un Sistema de Gestión de Seguridad de la Información basado en la familia de normas ISO/IEC 27000. RISTI - Revista Iberica de Sistemas e Tecnologias de Informacao, 22, 73–88. https://doi.org/10.17013/risti.22.73-88 |
dc.relation.references | Valencia Duque, F. J. (2018). Aseguramiento y auditoría de tecnologías de información orientados a riesgos. Un enfoque basado en estándares internacionales. 145. https://www.uneditorial.com/aseguramiento-y-auditoria-de-tecnologias-deinformacion-orientados-a-riesgos-un-enfoque-basado-en-estandaresinternacionales-informatica.html |
dc.relation.references | Valencia Duque, F. J. (2021). Sistema de gestión de seguridad de la información basado en la familia de normas iso/iec 27000. https://www.uneditorial.com/aseguramiento-yauditoria-de-tecnologias-de-informacion-orientados-a-riesgos-un-enfoque-basadoen-estandares-internacionales-informatica.html |
dc.relation.references | Valencia, F. J., Marulanda, C. E., & Trujillo, M. L. (2016a). Gobierno y Gestión de Riesgos de Tecnologías de Información y Aspectos diferenciadores Government and IT Risk Management and Aspects Differentiators. 15(2015), 65–77. |
dc.relation.references | Valencia, F. J., Marulanda, C. E., & Trujillo, M. L. (2016b). Gobierno y Gestión de Riesgos de Tecnologías de Información y aspectos diferenciadores Government and IT Risk Management y Aspects differentiators with the. 15(2015), 65–77. |
dc.relation.references | Vorster, A., & Labuschagne, L. (2005). A framework for comparing different information security risk analysis methodologies. Information Security, 193(C), 95–103. http://portal.acm.org/citation.cfm?id=1145686 |
dc.relation.references | Wangen, G., Hallstensen, C., & Snekkenes, E. (2018). A framework for estimating information security risk assessment method completeness: Core Unified Risk Framework, CURF. International Journal of Information Security, 17(6), 681–699. https://doi.org/10.1007/s10207-017-0382-0 |
dc.relation.references | WEF. (2019). Informe de riesgos mundiales 2019. In 2017. https://doi.org/10.1017/CBO9781107415324.004 |
dc.relation.references | Williams, J. (n.d.). OWASP Risk Rating Methodology. Retrieved July 22, 2021, from https://owasp.org/www-community/OWASP_Risk_Rating_Methodology |
dc.relation.references | Zabawi, A. Y., Ahmad, R., & Abdul-Latip, S. F. (2015). A comparative study for risk analysis tools in information security. ARPN Journal of Engineering and Applied Sciences, 10(23), 17672–17678. |
dc.rights.accessrights | info:eu-repo/semantics/openAccess |
dc.subject.lemb | Seguridad informática |
dc.subject.proposal | Seguridad de la información |
dc.subject.proposal | Metodología |
dc.subject.proposal | Riesgos |
dc.subject.proposal | OWASP |
dc.subject.proposal | Logs |
dc.subject.proposal | Herramientas tecnológicas |
dc.subject.proposal | Information security |
dc.subject.proposal | Methodology |
dc.subject.proposal | Risks |
dc.subject.proposal | Technological tools |
dc.subject.unesco | Protección de datos |
dc.subject.unesco | Data protection |
dc.title.translated | Information and communication technology risk management framework in a multi-business environment, based on security data analysis (logs) for the company CasaLuker S.A |
dc.type.coar | http://purl.org/coar/resource_type/c_bdcc |
dc.type.coarversion | http://purl.org/coar/version/c_ab4af688f83e57aa |
dc.type.content | Image |
dc.type.content | Text |
oaire.accessrights | http://purl.org/coar/access_right/c_abf2 |
dcterms.audience.professionaldevelopment | Bibliotecarios |
dcterms.audience.professionaldevelopment | Estudiantes |
dcterms.audience.professionaldevelopment | Investigadores |
dcterms.audience.professionaldevelopment | Maestros |
dcterms.audience.professionaldevelopment | Público general |
dc.description.curriculararea | Departamento de Informática y Computación |
Archivos en el documento
Este documento aparece en la(s) siguiente(s) colección(ones)
Esta obra está bajo licencia internacional Creative Commons Reconocimiento-NoComercial 4.0.Este documento ha sido depositado por parte de el(los) autor(es) bajo la siguiente constancia de depósito