Marco de gestión de riesgos de tecnologías de información y comunicación en un entorno multi empresarial, basado en análisis de datos de seguridad (logs) para la empresa CasaLuker S.A

Ramírez Granada, Jorge Andrés

Marco de gestión de riesgos de tecnologías de información y comunicación en un entorno multi empresarial, basado en análisis de datos de seguridad (logs) para la empresa CasaLuker S.A

dc.contributor.advisor	Valencia Duque, Francisco Javier
dc.contributor.author	Ramírez Granada, Jorge Andrés
dc.contributor.researchgroup	Teoría y Gestión de Tecnologías de la Información	spa
dc.date.accessioned	2022-02-17T17:18:30Z
dc.date.available	2022-02-17T17:18:30Z
dc.date.issued	2021
dc.description	gráficos, tablas	spa
dc.description.abstract	Las organizaciones corporativas como CasaLuker, objeto del actual estudio, establecen diferentes estrategias de funcionamiento como lo es la aplicación parcial de la misma tecnología para sus operaciones diarias en función del macroproceso, lo cual es la razón de ser de una empresa. Por consiguiente, se requiere de la protección de la información como activo primordial que, por lo regular, es supervisada desde el área “Tecnología de la Información”, quien provee y parametriza herramientas tecnológicas que proporcionan registros (Logs) sobre las amenazas que afectan la seguridad de la información. Por tanto, la gestión del riesgo se convierte en un proceso de vital importancia para mitigar el posible impacto negativo generado por la materialización de un evento que ocasione un daño en los activos de la empresa, con ello se garantiza la continuidad de las operaciones de la empresa. El presente estudio abarca una revisión de la literatura acerca de los marcos metodológicos sobre la gestión del riesgo de Tecnologías de Información y Comunicación. Se elige OWASP Risk Rating por ser un modelo flexible y ligero para establecer y validar una propuesta basada en eventos de amenazas de seguridad de la información mediante los 212.690 registros (Logs) obtenidos de las herramientas tecnológicas existentes del entorno multi empresarial. De esta forma, se presentaron aportes tangibles sobre el estado actual de las amenazas detectadas como parte de los insumos en la toma de decisiones respecto al mejoramiento de la barrera de seguridad de la información (Texto tomado de la fuente)	spa
dc.description.abstract	Corporate organizations such as CasaLuker, object of the current study, stablish different operating strategies such as the partial application of the same technology for their daily operations based on their macro process, which is the reason for being of a company. Therefore, the protection of information is required as a primary asset, usually supervised from the "Information Technology" area, which provides and parameterizes technological tools that provide records (Logs) on the threats affecting information security. Therefore, risk management becomes a process of vital importance to mitigate the possible negative impact generated by the materialization of an event that causes damage to the company's assets, thereby guaranteeing the continuity of the operations of the company. This study includes a review of the literature on the methodological frameworks on the Risk management of Information and Communication Technologies. OWASP Risk Rating was chosen for being a flexible and lightweight model to establish and validate a proposal based on information security threat events through the 212,690 records (Logs) obtained from the existing technological tools of the multi-business environment. In this way, tangible information is provided on the current status of the threats detected as part of the inputs in decision-making regarding the improvement of the information security barrier	eng
dc.description.curriculararea	Departamento de Informática y Computación	spa
dc.description.degreelevel	Maestría	spa
dc.description.degreename	Magister en Administración de Sistemas Informáticos	spa
dc.description.methods	La metodología usada para el desarrollo del trabajo fue la multi metodología de Mingers y Brocklesby (Mingers,2006), que involucra métodos cuantitativos y cualitativos para obtener una visión desde diferentes perspectivas del sistema. La multi metodología fue propuesta por Mingers y Brocklesby (1997), plantea cuatro fases: Apreciación, Análisis, Evaluación y Acción (Mingers, 2006)	spa
dc.description.researcharea	Riesgos Organizaciones y de Tecnologías de Información	spa
dc.format.extent	ix, 121 páginas	spa
dc.format.mimetype	application/pdf	spa
dc.identifier.instname	Universidad Nacional de Colombia	spa
dc.identifier.reponame	Repositorio Institucional Universidad Nacional de Colombia	spa
dc.identifier.repourl	https://repositorio.unal.edu.co/	spa
dc.identifier.uri	https://repositorio.unal.edu.co/handle/unal/81006
dc.language.iso	spa	spa
dc.publisher	Universidad Nacional de Colombia	spa
dc.publisher.branch	Universidad Nacional de Colombia - Sede Manizales	spa
dc.publisher.department	Departamento de Informática y Computación	spa
dc.publisher.faculty	Facultad de Administración	spa
dc.publisher.place	Manizales, Colombia	spa
dc.publisher.program	Manizales - Administración - Maestría en Administración de Sistemas Informáticos	spa
dc.relation.references	Agrawal, V. (2017). A Comparative Study on Information Security Risk Analysis Methods. Journal of Computers, 12(1), 57–67. https://doi.org/10.17706/jcp.12.1.57-67	spa
dc.relation.references	Almanza J., A. R. (2019). XIX Encuesta Nacional de Seguridad Informática. Revista Sistemas, 151, 12–41. https://doi.org/10.29236/sistemas.n151a3	spa
dc.relation.references	Amutio Gómez, M. A. (2012). Ministerio de Hacienda y Administraciones Publicas. 127. http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html	spa
dc.relation.references	B. S., K., SRIDHAR, V., & K. R., S. (2019). a Case Study: Risk Rating Methodology for EGovernance Application Security Risks. I-Manager’s Journal on Software Engineering, 13(3), 39. https://doi.org/10.26634/jse.13.3.15546	spa
dc.relation.references	Benavides, E., Fuertes, W., & Sanchez, S. (2020). Caracterización de los ataques de phishing y técnicas para mitigarlos. Ataques: una revisión sistemática de la literatura. Ciencia y Tecnología, 13(1), 97–104. https://doi.org/10.18779/cyt.v13i1.357	spa
dc.relation.references	Bornman, W. G., & Labuschagne, L. (2004). A comparative framework for evaluating information security risk management methods. Information Security South Africa Conference. http://icsa.cs.up.ac.za/issa/2004/Proceedings/Full/015.pdf	spa
dc.relation.references	Burkert, R., van Hagen, J., Wehrmann, M., & Jansen, M. (2022). Protection Against Online Fraud Using Blockchain. In Lecture Notes in Networks and Systems: Vol. 320 LNNS (pp. 34–43). https://doi.org/10.1007/978-3-030-86162-9_4	spa
dc.relation.references	Centro de seguridad y cumplimiento - Service Descriptions \| Microsoft Docs. (n.d.). Retrieved July 14, 2021, from https://docs.microsoft.com/eses/office365/servicedescriptions/office-365-platform-service-description/office-365-securitycompliance-center	spa
dc.relation.references	CONPES. (2016). Política Nacional de Seguridad Digital. CONPES 3854 - Política Nacional de Seguridad Digital, 91. https://colaboracion.dnp.gov.co/CDT/Conpes/Economicos/3854.pdf	spa
dc.relation.references	ENISA. (2006). Inventory of risk assessment and risk management methods. ENISA Ad Hoc Working Group on Risk Assessment and Risk Management, 1–56. http://www.enisa.europa.eu/act/rm/files/deliverables/inventory-of-risk-assessment-and- risk-management-methods/at_download/fullReport	spa
dc.relation.references	Fabisiak, L., Hyla, T., & Klasa, T. (2012). Comparative Analysis of Information Security Assessment and Management Methods. Studia i Materialy Polskiego Stowarzyszenia Zarzadzania Wiedza / Studies & Proceedings Polish Association for Knowledge Management, 60, 55–70.	spa
dc.relation.references	FERMA. (2003). Estándares de Gerencia de Riesgo (1).	spa
dc.relation.references	Flores Urgilés, C., Zhinin Aguayza, B., Segovia Cantos, A., Mayancela Zhinin, M., & Marlene García, J. (2018). Evaluación de seguridad de la información en las páginas web pertenecientes a los municipios de la provincia del Cañar. Killkana Técnica, 2(1), 13. https://doi.org/10.26871/killkana_tecnica.v2i1.286	spa
dc.relation.references	Fortinet. (n.d.-a). Is Your Data Center Ready for Machine Learning Hardware? White Paper. https://www.datacenterknowledge.com/machine-learning/your-data-centerready-machine-learning-hardware	spa
dc.relation.references	Fortinet. (n.d.-b). Next-Generation Firewall (NGFW) \| Fortinet. Retrieved July 15, 2021, from https://www.fortinet.com/lat/products/next-generation-firewall	spa
dc.relation.references	Fortinet. (2021a). Technical Tip : FortiGate - UDP Flooding Attack is blocked but amount of traffic does not decrease. 9–10.	spa
dc.relation.references	Fortinet. (2021b). Threat Encyclopedia \| FortiGuard. https://www.fortiguard.com/encyclopedia/ips/100663398	spa
dc.relation.references	Fortinet. (2021c). What is ICMP (Internet Control Message Protocol)? \| Fortinet. https://www.fortinet.com/lat/resources/cyberglossary/internet-control-messageprotocol-icmp	spa
dc.relation.references	Fortinet. (2021d). What Is Unified Threat Management (UTM)? \| Fortinet. https://www.fortinet.com/resources/cyberglossary/unified-threat-management	spa
dc.relation.references	Fuentes, L. F. (2008). Malware, una amenaza de Internet. Revista Digital Universitaria, 9(4), 1–9.	spa
dc.relation.references	ISO/IEC. (2009). Information technology - Security techniques - Information security management systems - Overview and vocabulary. Iso/Iec, 2009, ISO/IEC27000:2009(E). https://www.iso.org/standard/73906.html	spa
dc.relation.references	ISO/IEC 27000. (2018). International Standard ISO / IEC Information technology — Security techniques — Information security management systems — Overview and. ACM Workshop on Formal Methods in Security Engineering.Washington, DC, USA, 34(19), 45–55. https://doi.org/10.1016/j.im.2003.02.002	spa
dc.relation.references	ISO 31000. (2018). ISO 31000:2018(es), Gestión del riesgo — Directrices. https://www.iso.org/obp/ui#iso:std:iso:31000:ed-2:v1:es	spa
dc.relation.references	López, M. de los Á., Albanese, D. E., & Sánchez, M. A. (2014). Gestión de riesgos para la adopción de la computación en nube en entidades financieras de la República argentina. Contaduria y Administracion. https://doi.org/10.1016/s0186-1042(14)71266-5	spa
dc.relation.references	Marsh. (2019). 2019 Global Cyber Risk Perception Survey. Microsoft Insights, September, 1–36. https://www.marsh.com/us/insights/research/marsh-microsoftcyber-survey-report-2019.html	spa
dc.relation.references	Microsoft. (2021a). Anti-spam protection - Office 365 \| Microsoft Docs. https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/antispam-protection?view=o365-worldwide	spa
dc.relation.references	Microsoft. (2021c). Cyberthreats, viruses, and malware - Microsoft Security Intelligence.2021. https://www.microsoft.com/en-us/wdsi/threats	spa
dc.relation.references	Microsoft. (2021d). Nombres de malware - Windows security \| Microsoft Docs. Microsoft. https://docs.microsoft.com/es-es/windows/security/threatprotection/intelligence/malware-naming	spa
dc.relation.references	Mingers, J. (2006). Realising Systems Thinking : Knowledge and Action in Management Science OR and Systems Thinking for Community Development Participatory Policy Design and Governance for a Global Age. In Order A Journal On The Theory Of Ordered Sets And Its Applications.	spa
dc.relation.references	MinTIC, M. de las T. y las T. (2015). Modelo de Seguridad y Privacidad de la Información. Diario Oficial, 1–32. http://www.mintic.gov.co/gestionti/615/articles-5482_Modelo_Seguridad.pdf	spa
dc.relation.references	MinTIC, M. de las T. y las T. (2016). Modelo de Seguridad y Privacidad de La Información - Guía de Mejora Continua. Diario Oficial, 58. https://www.mintic.gov.co/gestionti/615/articles-5482_Modelo_de_Seguridad_Privacidad.pdf%0Ahttps://www.mintic.gov.co/gestionti/ 615/articles-5482_G17_Mejora_continua.pdf	spa
dc.relation.references	Munir, R., Mufti, M. R., Awan, I., Hu, Y. F., & Disso, J. P. (2015). Detection, mitigation and quantitative security risk assessment of invisible attacks at enterprise network. Proceedings - 2015 International Conference on Future Internet of Things and Cloud, FiCloud 2015 and 2015 International Conference on Open and Big Data, OBD 2015,256–263. https://doi.org/10.1109/FiCloud.2015.24	spa
dc.relation.references	Olivares, B., & Eduardo, G. (n.d.). MODELADO DE AMENAZAS, UNA TÉCNICA DE ANÁLISIS Y GESTIÓN DE RIESGO ASOCIADO A SOFTWARE Y APLICACIONES.	spa
dc.relation.references	Owasp. (2013). OWASP Risk Rating Methodology. Owasp. https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology	spa
dc.relation.references	OWASP. (2021). OWASP Top Ten Web Application Security Risks \| OWASP. https://owasp.org/www-project-top-ten/	spa
dc.relation.references	OWASP Top 10-2017. (2003). https://github.com/OWASP/Top10/issues	spa
dc.relation.references	PANDEY, S. K. (2012). A Comparative Study of Risk Assessment Methodologies for Information Systems. Bulletin of Electrical Engineering and Informatics, 1(2), 111–122. https://doi.org/10.12928/eei.v1i2.231	spa
dc.relation.references	Pinzon G., L. C., Talero M., M. B., & Bohada, J. A. (2013). Intrusion Test and OpenSource. Revista Ciencia, Innovacion y Tegnologia (RCYIT), 1(Enero-Diciembre), 25–38.	spa
dc.relation.references	Schoenfield, B. (2015). Information Security Risk. In Securing Systems (Issue 5). Springer International Publishing. https://doi.org/10.1201/b18465-7	spa
dc.relation.references	Singh, U. K., & Joshi, C. (2018). Comparative Study of Information Security Risk Assessment Frameworks. International Journal of Computer Application, 2(8). https://doi.org/10.26808/rs.ca.i8v2.08	spa
dc.relation.references	Sophos. (2012). Endpoint Protection. https://community.broadcom.com/symantecenterprise/communities/communityhome/ librarydocuments/viewdocument?DocumentKey=418004dd-c06e-41e6-b268-27dbcb5d2fe1&CommunityKey=1ecf5f55-9545-44d6-b0f4-4e4a7f5f5e68&tab=librarydocuments	spa
dc.relation.references	Sophos. (2021a). Protección PUA y seguridad adware. Detección y limpieza de amenazas PUA. Sophos. https://www.sophos.com/es-es/threat-center/threatanalyses/adware-and-puas.aspx	spa
dc.relation.references	Sophos. (2021b). Sophos Endpoint: Download reputation frequently asked questions. https://support.sophos.com/support/s/article/KB-000035337?language=en_US#What-is-Download-Reputation?	spa
dc.relation.references	Sophos Central Admin. (2021). Tipos de evento de malware y PUA. https://docs.sophos.com/central/Customer/help/eses/central/Customer/concepts/EventTypes.html	spa
dc.relation.references	Susanto, H., Almunawar, M., & Tuan, Y. (2011). Information security management system standards: A comparative study of the big five. International Journal of Electrical Computer Sciences IJECS-IJENS, 11(5), 23–29.	spa
dc.relation.references	Syalim, A., Hori, Y., & Sakurai, K. (2009). Comparison of risk analysis methods: Mehari, magerit, NIST800-30 and microsoft’s security management guide. Proceedings - International Conference on Availability, Reliability and Security, ARES 2009, 726– 731. https://doi.org/10.1109/ARES.2009.75	spa
dc.relation.references	Tejena-Macías, M. A. (2018). Análisis de riesgos en seguridad de la información. Polo Del Conocimiento, 3(4), 230. https://doi.org/10.23857/pc.v3i4.809	spa
dc.relation.references	Valencia-Duque, F. J., & Orozco-Alzate, M. (2017). Metodología para la implementación de un Sistema de Gestión de Seguridad de la Información basado en la familia de normas ISO/IEC 27000. RISTI - Revista Iberica de Sistemas e Tecnologias de Informacao, 22, 73–88. https://doi.org/10.17013/risti.22.73-88	spa
dc.relation.references	Valencia Duque, F. J. (2018). Aseguramiento y auditoría de tecnologías de información orientados a riesgos. Un enfoque basado en estándares internacionales. 145. https://www.uneditorial.com/aseguramiento-y-auditoria-de-tecnologias-deinformacion-orientados-a-riesgos-un-enfoque-basado-en-estandaresinternacionales-informatica.html	spa
dc.relation.references	Valencia Duque, F. J. (2021). Sistema de gestión de seguridad de la información basado en la familia de normas iso/iec 27000. https://www.uneditorial.com/aseguramiento-yauditoria-de-tecnologias-de-informacion-orientados-a-riesgos-un-enfoque-basadoen-estandares-internacionales-informatica.html	spa
dc.relation.references	Valencia, F. J., Marulanda, C. E., & Trujillo, M. L. (2016a). Gobierno y Gestión de Riesgos de Tecnologías de Información y Aspectos diferenciadores Government and IT Risk Management and Aspects Differentiators. 15(2015), 65–77.	spa
dc.relation.references	Valencia, F. J., Marulanda, C. E., & Trujillo, M. L. (2016b). Gobierno y Gestión de Riesgos de Tecnologías de Información y aspectos diferenciadores Government and IT Risk Management y Aspects differentiators with the. 15(2015), 65–77.	spa
dc.relation.references	Vorster, A., & Labuschagne, L. (2005). A framework for comparing different information security risk analysis methodologies. Information Security, 193(C), 95–103. http://portal.acm.org/citation.cfm?id=1145686	spa
dc.relation.references	Wangen, G., Hallstensen, C., & Snekkenes, E. (2018). A framework for estimating information security risk assessment method completeness: Core Unified Risk Framework, CURF. International Journal of Information Security, 17(6), 681–699. https://doi.org/10.1007/s10207-017-0382-0	spa
dc.relation.references	WEF. (2019). Informe de riesgos mundiales 2019. In 2017. https://doi.org/10.1017/CBO9781107415324.004	spa
dc.relation.references	Williams, J. (n.d.). OWASP Risk Rating Methodology. Retrieved July 22, 2021, from https://owasp.org/www-community/OWASP_Risk_Rating_Methodology	spa
dc.relation.references	Zabawi, A. Y., Ahmad, R., & Abdul-Latip, S. F. (2015). A comparative study for risk analysis tools in information security. ARPN Journal of Engineering and Applied Sciences, 10(23), 17672–17678.	spa
dc.rights.accessrights	info:eu-repo/semantics/openAccess	spa
dc.rights.license	Reconocimiento 4.0 Internacional	spa
dc.rights.uri	http://creativecommons.org/licenses/by/4.0/	spa
dc.subject.ddc	000 - Ciencias de la computación, información y obras generales::001 - Conocimiento	spa
dc.subject.lemb	Seguridad informática	spa
dc.subject.proposal	Seguridad de la información	spa
dc.subject.proposal	Metodología	spa
dc.subject.proposal	Riesgos	spa
dc.subject.proposal	OWASP	spa
dc.subject.proposal	Logs	spa
dc.subject.proposal	Herramientas tecnológicas	spa
dc.subject.proposal	Information security	eng
dc.subject.proposal	Methodology	eng
dc.subject.proposal	Risks	eng
dc.subject.proposal	Technological tools	eng
dc.subject.unesco	Protección de datos	spa
dc.subject.unesco	Data protection	eng
dc.title	Marco de gestión de riesgos de tecnologías de información y comunicación en un entorno multi empresarial, basado en análisis de datos de seguridad (logs) para la empresa CasaLuker S.A	spa
dc.title.translated	Information and communication technology risk management framework in a multi-business environment, based on security data analysis (logs) for the company CasaLuker S.A	eng
dc.type	Trabajo de grado - Maestría	spa
dc.type.coar	http://purl.org/coar/resource_type/c_bdcc	spa
dc.type.coarversion	http://purl.org/coar/version/c_ab4af688f83e57aa	spa
dc.type.content	Image	spa
dc.type.content	Text	spa
dc.type.driver	info:eu-repo/semantics/masterThesis	spa
dc.type.version	info:eu-repo/semantics/acceptedVersion	spa
dcterms.audience.professionaldevelopment	Bibliotecarios	spa
dcterms.audience.professionaldevelopment	Estudiantes	spa
dcterms.audience.professionaldevelopment	Investigadores	spa
dcterms.audience.professionaldevelopment	Maestros	spa
dcterms.audience.professionaldevelopment	Público general	spa
oaire.accessrights	http://purl.org/coar/access_right/c_abf2	spa

Archivos

Bloque original

Mostrando 1 - 1 de 1

Nombre:: 16078638.2021.pdf
Tamaño:: 1.77 MB
Formato:: Adobe Portable Document Format
Descripción:: Tesis de Maestría en Administración de Sistemas Informáticos

Descargar

Bloque de licencias

Mostrando 1 - 1 de 1

Nombre:: license.txt
Tamaño:: 3.98 KB
Formato:: Item-specific license agreed upon to submission
Descripción:

Descargar

Colecciones

Maestría en Administración de Sistemas Informáticos