Академический Документы
Профессиональный Документы
Культура Документы
ISSN 0121-1129
eISSN 2357-5328
Resumen
Se expone el resultado del diagnstico de seguridad informtica realizado a una organizacin privada en el
departamento de Boyac (Colombia), y de la creacin y aplicacin de un plan de gestin de vulnerabilidades
diseado a la medida de las necesidades de dicha organizacin. Se inici la investigacin con el levantamiento
del inventario tecnolgico de la empresa, para identificar los problemas que pueden causar alguna vulnerabilidad
que afecte la seguridad de la informacin. Tras una etapa de 6 meses de monitoreo del plan de gestin dentro de la
empresa, se evidenci la efectividad de ste, pues se logr una reduccin del 70% en las vulnerabilidades, con la
aplicacin de algunos remedios previamente diseados. Por otro lado, en el artculo se muestran algunos cuadros
comparativos de herramientas informticas que fueron seleccionadas y utilizadas en la aplicacin de las etapas del
plan de gestin, ya que pueden ayudar a investigaciones futuras a la seleccin de herramientas para el monitoreo
y gestin de vulnerabilidades.
Palabras clave: Anlisis de riesgos, Seguridad de la Informacin, ISO 27000, Vulnerabilidades.
Revista Facultad de Ingeniera (Fac. Ing.), Julio-Diciembre 2014, Vol. 23. No. 37. pp. 65-72
. pp. 65-72
65
Estudio y gestin de vulnerabilidades informticas para una empresa privada en el departamento de Boyac (Colombia)
Abstract
The paper shows an informatics security diagnosis results, applied to a private organization in the department
of Boyac, Colombia. It developed and implemented a vulnerability plan management, tailored according to
that organizations needs. It began by raising the companys technological inventory, in order to identify the real
problems that can cause any information security vulnerabilities. This research showed the plans effectiveness,
within the company, achieved after a 6-month monitoring period. It reached 70% vulnerabilities reduction, by
applying some remedies previously designed. Furthermore, the paper shows several comparative informatics
tools tables, which were selected and used in the management plans application stage that could be a help for a
future research, in the tools selection for monitoring and vulnerabilitys management.
Keywords: Information Security, ISO 27001, Risk analysis, Vulnerabilities.
Resumo
Expe-se o resultado do diagnstico de segurana de informtica realizado a uma organizao privada no Estado
de Boyac (Colmbia), e da criao e aplicao de um plano de gesto de vulnerabilidades desenhado medida
das necessidades de dita organizao. Iniciou-se a pesquisa com o levantamento do inventrio tecnolgico da
empresa, para identificar os problemas que podem causar alguma vulnerabilidade que afete a segurana da
informao. Trs uma etapa de 6 meses de monitoramento do plano de gesto dentro da empresa, se evidenciou a
efetividade deste, pois se logrou uma reduo do 70% nas vulnerabilidades, com a aplicao de alguns remdios
previamente desenhados. Por outro lado, no artigo se mostram alguns quadros comparativos de ferramentas
informticas que foram selecionadas e utilizadas na aplicao das etapas do plano de gesto, j que podem ajudar
a pesquisas futuras seleo de ferramentas para o monitoramento e gesto de vulnerabilidades.
Palavras chave: Anlise de riscos, Segurana da Informao, ISO 27000, Vulnerabilidades.
66
Revista Facultad de Ingeniera (Fac. Ing.), Julio-Diciembre 2014, Vol. 23, No. 37
I. Introduccin
En la actualidad, las empresas tanto del sector
pblico como del privado priorizan la seguridad
de la informacin, que es catalogada como uno de
los bienes ms preciados para la continuidad del
negocio y el punto de diferencia con la competencia.
La seguridad de la informacin dentro de una
empresa tiene varios aspectos: seguridad de acceso,
seguridad de dispositivos, manejo de contraseas y
control de vulnerabilidades, entro otros, y cada uno
de estos requiere un estudio, un presupuesto y una
aplicacin, ya sea preventiva o correctiva, sobre los
temas de seguridad que se puedan encontrar; adems,
es imposible encontrar sistemas completamente
seguros, ya que cada da se descubren nuevos riesgos
en distintos niveles. La investigacin se centr en la
creacin y aplicacin de un Plan para la gestin de
vulnerabilidades, el cual, segn [1], tiene como objetivo
reducir los riesgos originados por la explotacin de
vulnerabilidades tcnicas publicadas. Debido a lo
anterior, se cre un mtodo efectivo, sistemtico y
cclico para gestionar las vulnerabilidades, adems de
poder tomar medidas y verificar avances; dentro de esta
gestin deben involucrarse los sistemas operativos de
los equipos y el software que se est usando en ellos. El
artculo inicia con la presentacin de un estado del arte
de la seguridad de la informacin en varios entornos
empresariales; despus se explica la aplicacin de la
estrategia de creacin y ejecucin del plan de gestin
de vulnerabilidades en la empresa, y, por ltimo,
se entregan los resultados y las conclusiones de la
investigacin.
Revista Facultad de Ingeniera (Fac. Ing.), Julio-Diciembre 2014, Vol. 23, No. 37
67
Estudio y gestin de vulnerabilidades informticas para una empresa privada en el departamento de Boyac (Colombia)
III. Metodologa
La investigacin se desarroll bajo un entorno
investigativo exploratorio; se inici con un estado
del arte global y se fueron construyendo bases
para fundamentar el problema y poder sacar las
conclusiones. Este desarrollo se realiz en 4 fases: se
Revista Facultad de Ingeniera (Fac. Ing.), Julio-Diciembre 2014, Vol. 23, No. 37
IV. Resultados
A. Inventario tecnolgico de la empresa
Antes de iniciar con el inventario de los recursos
tecnolgicos de la empresa, fue necesario realizar un
cuadro comparativo de algunas soluciones de software
para realizar esta tarea; en la Tabla 1 se muestra el
resumen de esta comparacin.
Tabla 1
Ocs Inventory
GNU General Public
License, Version 2.0
OCS hace un inventario
de los equipos en red,
identificando las interfaces
donde estn funcionando.
Revista Facultad de Ingeniera (Fac. Ing.), Julio-Diciembre 2014, Vol. 23, No. 37
Veo Ultimate
Versin de prueba
Veo tambin hace un
inventario General de los
equipos que se encuentran
en red.
Permite identificar
equipos, switches,
impresoras y dems; del
mismo modo, la velocidad
del procesador, la
capacidad de RAM y los
nmeros de serial, entre
otros.
Sistemas operativos
y drivers de hardware
existentes.
Permite saber qu usuario
pertenece a ese equipo.
No permite.
69
Estudio y gestin de vulnerabilidades informticas para una empresa privada en el departamento de Boyac (Colombia)
Ocs Inventory
Kaseya
OCS permite sincronizarse
con diferentes productos
Sincronizacin con otros de administracin IT y
No permite
productos
Tareas, adems, software
para asignacin de equipos
y dems.
Caracterstica
Veo Ultimate
No permite
70
Revista Facultad de Ingeniera (Fac. Ing.), Julio-Diciembre 2014, Vol. 23, No. 37
Revista Facultad de Ingeniera (Fac. Ing.), Julio-Diciembre 2014, Vol. 23, No. 37
71
Estudio y gestin de vulnerabilidades informticas para una empresa privada en el departamento de Boyac (Colombia)
V. Conclusiones
La investigacin se centr inicialmente en el estudio
de mtodos y normas, que permiti la eleccin de
documentos para generar un plan de mejoramiento
adaptado a las necesidades de la empresa.
Se formularon recomendaciones especficas a la
empresa para la aplicacin de un plan de remedios
a la medida; se inici con una aplicacin manual en
algunas de las estaciones de trabajo y se termin con
un proceso automatizado aplicado a toda la red.
Con los resultados de la investigacin y con la
aplicacin del plan de gestin de vulnerabilidades
se utilizaron herramientas tcnicamente viables y
aprobadas por la empresa, cuyo objetivo fue el cierre
de vulnerabilidades.
Se obtuvieron mejoras en el proceso de gestin de
vulnerabilidades con el cierre de ms de un 70% en un
tiempo de 6 meses.
Se documentaron todas las etapas de la investigacin,
y se evidenci el cumplimento de los objetivos
ante la organizacin, dotndola de herramientas
metodolgicas, herramientas informticas y procesos
aplicados hacia la proteccin de la informacin en la
empresa.
Referencias
[1] ISO27002 (2014) [Online]. Disponible en:
www.iso27002.es
[2] R. A. Siponen and M. B. Willison, Overcoming
the insider: Reducing employee computer
crime through Situational Crime Prevention,
Communications of the ACM, pp. 133-137,
2009.
[3] D. Parker, Fighting Computer Crime: a New
Framework for Protecting Information, 1998.
72
Revista Facultad de Ingeniera (Fac. Ing.), Julio-Diciembre 2014, Vol. 23, No. 37