SEGURIDAD EN EL CONTROL DE ACCESO LOGICO PARA PEQUEÑAS EMPRESAS
Gina Velandia Bahamón- Lina Lozano Garzon1
Resumen—
Mediante el presente documento se identifican los aspectos más
importantes que deben tener en cuenta las organizaciones en lo
concerniente a la seguridad de su información y la importancia
que tiene el tema dentro las mismas, mediante la realización
de una revisión de literatura y casos de referencia se logró la
identificación de los atributos desarrollados en el presente
escrito, permitiendo evidenciar la importancia de mantener la
información resguardada de manera adecuada. Arrojando
como resultado principal que aunque este no es un tema nuevo
y que día a día surgen diferentes tipos de riesgos, amenazas y
más sofisticación en la ejecución de ciber ataques, existen
empresas que no se preocupan por implementar medidas de
seguridad en sus activos de información ni sobre la información
misma y si lo hacen, las aplicaciones críticas que están en
producción entran en crisis, de igual manera el mercado
aparentemente no reacciona ante los problemas de seguridad
informática ya que vulnerabilidades básicas siguen
apareciendo en los programas, y los usuarios internos de las
organizaciones siguen siendo los principales factores de fuga de
información y de malas prácticas en el manejo de esta sin
evidenciar el riesgo que generan a los activos de información
dentro de la empresa.
Palabras clave— Activo, Ataque, Delincuencia
Informática, Información, Seguridad, Vulnerabilidad,
Ciber ataque.
1. INTRODUCCIÓN
Dentro de los múltiples enunciados sobre seguridad de la
información encontramos que es definida como el conjunto
de medidas preventivas para asegurar los recursos del sistema
de información de una empresa, las medidas adoptadas deben
ser utilizadas de la forma que ha sido decidida por la entidad,
tanto el acceso a la información que se encuentra protegida, así
como controlar que la modificación solo sea posible por parte
de las personas autorizadas para tal fin [1].
Las organizaciones cuentan con información que es
únicamente de conocimiento de su núcleo administrativo,
garantizar la seguridad de la información que poseen se
convierte en uno de los trabajos más difíciles y en el que pocos
11
, Especialización en Seguridad de la información Universidad Politecnico
Grancolombiano
Recibido Junio 16 2020
directivos corporativos se interesan e invierten. La falta de
seguridad en los activos de información es un tema critico, ya
que pueden verse afectadas de gran manera, teniendo en cuenta
que diariamente se sabe de ataques a los sistemas que
provienen de organizaciones Cibercriminales [2].
2. PLANTEAMIENTO DEL PROBLEMA Comentado [WF3]: Se debe ajustar, ya que no se habla nada de
la empresa ECOMIL, sugiero que esté acorde con el objetivo
general.
En muchas organizaciones la alta gerencia se cocentra
unicamente en la gestión de los riesgos estrategicos, financieros
y operativos y no se tiene conciencia de las amenazas
cibernéticas, del riesgo tecnológico y de las
vulnerabilidades de la infraestructura tecnológica, ya que
estos elementos también ponen en peligro el cumplimiento
de los objetivos organizacionales y por ende, la continuidad
del negocio.
No se tiene conciencia que al poseer vulnerabilidades se
corre el riesgo de perder información, esto podría detener
la operación, afectando procesos de producción y
administrativos. Para ello es necesario proteger el
funcionamiento de la información; existen diferentes
maneras o métodos de proteger un sistema de información, Comentado [WF1]: Se debe ajustar, ya que no se habla nada de
todas estas partes del sistema de seguridad deben trabajar la empresa ECOMIL, sugiero que esté acorde con el objetivo
en conjunto para asegurar la informacion y los activos que general.
la contienen [21].
Las organizaciones no comprenden la evolución
tecnológica que con el tiempo ha surgido, por ello es
importante comprender esta evolución para entender como Comentado [WF2]: Se debe ajustar, ya que no se habla nada de
enfocar la seguridad a nivel de informacion en la la empresa ECOMIL, sugiero que esté acorde con el objetivo
general.
actualidad, ya que lo que en algún momento es seguro con
el paso del tiempo ya no lo es [18].
Por lo anteriormente expuesto surgen el planteamiento del
problema:
¿Un Sistema de Gestión de Seguridad de la Información le
proveerá a las empresas los elementos, mecanismo y
lineamientos adecuados para mejorar la seguridad de la
información, la gestión y tratamiento de los riesgos asociados al
uso de la información?
 3. SITUACIONES DESEADAS FUTURAS
ASPECTOS SITUACIONES
DESEADAS
FUTURAS
Administración de La asignación de
sistemas recursos es una prioridad
tecnológicos debió al impacto de la
acción frente a la
solución de la situación
problema.
Sistemas Respaldo Disponer con los equipos
de información tecnológicos para la
realización de copias de
respaldo
determinara los
lineamientos necesarios
para la correcta ejecución
de las copias
Seguridad Dependen de la gerencia,
la aprobación y difusión
de los instructivos,
procedimientos y política
y cumplimiento del
mismo
DRP Con las capacitaciones se
debe busca solucionar
cualquier tipo de riesgo
ya encontrados
4. POSIBLE SOLUCIÓN
Para dar solución a la problemática de mantener de manera
segura tanto los activos como la información misma, sin tener
que invertir grandes cantidades de dinero ya que este es uno de
los principales obstáculos dentro de las organizaciones, se debe
como primera medida tener definido un conjunto de políticas
para la seguridad de la información, aprobadas por la dirección,
publicadas y debidamente comunicadas a los empleados y a las
partes externas pertinentes.
Las políticas para la seguridad de la información deben ser
revisadas a intervalos planificados, o si ocurren cambios
significativos para asegurar su adecuación y eficacia continua.
Dentro de las políticas a implementar una de gran relevancia
es la de control de acceso tanto a nivel logico como a nivel
físico en la cual se deben dejar bien definidos temas como
requisitos del negocio para el control de acceso, gestión de
acceso de usuarios, responsabilidades de los usuarios, control
de acceso a sistemas y aplicaciones, controles criptograficos,
gestion de llaves, control de accesos físicos, perimetro de
seguridad física, seguridad de oficinas e instalaciones,
protección contra amenazas externas e internas, aspectos que
son de gran relevancia para garantizar la seguridad tanto de los
activos de información como de la información misma.
De igual manera el establecimiento de controles que deben
ser adatados a los recursos que dispone la organización que son
de mucha utilidad y eficacia, garantizando la seguridad tanto
los activos como la información misma, sin incurrir en mayor
coste.
Otro solución importante para mantener la seguridad de la
información y los activos que la contienen, es la utilización de
tecnologías que permitan mantener el control de los accesos a
la información, pero debido a los altos costes que genera su
adquisición hace que las organizaciones desistan de su
implementación.
Pero esta problemática se puede contrarrestar mediante la
utilización de Software libre y software open source, los cuales
permiten:
• La libertad de ejecutar el programa como se desee,
con cualquier propósito
• La libertad de estudiar cómo funciona el programa,
y cambiarlo para que haga lo que se quiera.
• La libertad de redistribuir copias para ayudar a otros
• La libertad de distribuir copias de sus versiones
modificadas a terceros . Esto permite la
oportunidad de beneficiarse de las modificaciones.
Tanto el Software Libre como el Software Open Source han
Comentado [WF4]: Se debe ajustar, ya que no se habla nada de
ofrecido a lo largo de los años programas de altísima calidad la empresa ECOMIL, sugiero que esté acorde con el objetivo
como lo son sistemas operativos basados en Linux, que ofrecen general.
libertades en otros ámbitos que el del software cerrado,
adicional la interaccion o acople con otras plataformas que se
encuentren funcionales dentro de la red de cualquier
organización.
Asi las cosas basados en la utilización de los software antes
señalados se puede dar solución a la problemática de tener un
mejor control al acceso a la información esto se podría
mediante la utilización de protocolos libres como freeRadius
para la implementación de un servidor radius, el cual permite
aumentar la seguridad en la red de las organizaciones,
permitiendo el ingreso a personal autorizado y dejando
evidencia o trazabilidad de cada una de estas transacciones.
Otro protocolo que puede ser utilizado para el control de
acceso es el denominado OpenLDAP, el cual permite la
administración de usuarios a nivel de autenticación y la
autorización de los mismos.
El proceso de autenticación servirá para verificar la
identidad de los usuarios mediante diferentes técnicas que
generalmente están relacionada con lo que el usuario sabe, lo
que el usuario tiene y lo que el usuario es. Por otra parte la
autorización hace referencia a la gestión del proceso encargado
de conceder los privilegios con los que cuenta cada usuario de
acuerdo a un perfil definido, y por lo general especificados por
el administrador del sistema.
Otras herramientas de seguridad que se pueden utilizar por
las organizaciones para resguardar la información son los
denominados IPS, IDS, como lo es Snort es un sistema de
detección de intrusos en red, libre y gratuito. Ofrece la
capacidad de almacenamiento de bitácoras en archivos de texto
y en bases de datos abiertas, como MySQL. Implementa un
motor de detección de ataques y escaneo de puertos que
permite registrar, alertar y responder ante cualquier anomalía
previamente definida.
Otra herramienta que se puede implantar open source dentro
de las organizaciones es un sistema de gestión de identidad, el
cual permite a las organizaciones facilitar y controlar el acceso
de los usuarios a sus recursos y aplicaciones, permitiendo a la
vez proteger su información confidencial, tanto personal como
profesional, de usuarios no autorizados.
Las plataformas que soportan estos estándares y
herramientas son las más usadas en el mercado (Linux,
Windows BSD, HP-UX, Solaris, Mac, AIX, Solaris, Microsoft
Windows), el nivel de seguridad junto con el de rendimiento es
bueno y ofrece la opción de mejorarlo.
5. OBJETIVO GENERAL
Mediante la identificación, e implementación de políticas
de control de acceso lógico y la utilización de herramientas,
protocolos y software open source, se estableceran mejoras
en la seguridad de la información y los activos de
información que tiene la empresa ECOMIL SAS. Lo
anterior, generando mitigación de la materialización de los
riesgos asociados.
OBJETIVOS ESPECIFICOS
Identificación de los activos de información de la empresa
ECOMIL SAS, con el fin de adaptarse a la norma ISO
27001, lo cual permitirá realizar el levantamiento y
elaboración de la matriz de riesgos de los activos de
información, con la finalidad de determinar objetivamente
cuáles son los riesgos relevantes para el control de acceso
lógico en la empresa.
Levantamiento de controles de acceso lógico basados en el
anexo A del dominio 9 de la norma ISO 27001, los cuales
tienen el siguiente alcance:
✓ A.9.1.1 Política de control de acceso
✓ A.9.2 Gestión de acceso de usuarios
✓ A.9.2.1 Registro y cancelación del registro de usuarios
✓ A.9.2.2 Suministro de acceso de usuarios
✓ A.9.2.3 Gestión de derechos de acceso privilegiado
✓ A.9.2.5 Revisión de los derechos de acceso de
usuarios
✓ A.9.2.6 Retiro o ajuste de los derechos de acceso
Implementación de un ids bajo la utilicacion de open source
servidor radius, mediante la utilización del protocolo Radius
free, sobre Software Open Source como lo es Linux. Adicional
se realizará la implementación de Snort, el cual es un IDS bajo
la utilización de Software Open Source, como lo es Linux. Para
complementarar las implementaciones se elaborará un
instructivo para la implementación de un servidor de directorio
activo mediante la utilización del Protocolo LDAP Free, sobre
Software Open Source como lo es Linux. Comentado [WF7]: Creo que esta sección aún está en
desarrollo, me confirman si estoy revisando el documento que es?
12 METODOLOGÍA
Para el desarrollo de la investigación se acudirá a la
investigación descriptiva porque ésta busca especificar las
propiedades, características y los perfiles de personas, grupos,
comunidades, procesos, objetos o cualquier otro fenómeno que
se someta a un análisis. Describe tendencias de un grupo o
población. Es decir, únicamente pretenden medir o recoger
información de manera independiente o conjunta sobre los
conceptos o las variables a las que se refieren. Teniendo en
cuenta que el objeto del estudio inicialmente es establecer el
Diseño del sistema de gestión de seguridad de la información
SGSI basado en el estándar ISO 27001, para los procesos
soportados en las entidades. Para lograr este fin se necesita
caracterizar el objeto de estudio, identificar los objetos que
tienen dicha característica, describir el contexto en el cual se
está desarrollando el objeto de estudio, cuantificar que tan
grande es la problemática. El instrumento de recolección de
datos de la información será recopilada por medio de encuestas,
observación directa, listas de chequeo, y entrevistas no
estructuradas, realizadas al personal administrativo, entre los
que cabe resaltar la coordinación de sistemas y a los Comentado [WF5]: OK, recuerden evidenciar "la mitigación en
funcionarios de las entidades. la materialización de los riesgos asociados"
13. CONCLUSIONES
El diseño de un Sistema de Gestión de Seguridad de la
Información basado en un modelo de mejoras practicas y
lineamientos de seguridad, como es la norma ISO/IEC
27001:2013, es un herramientas de gran ayuda que permite
identificar los diferentes aspectos que se deben tener en cuenta
cuando las organizaciones deciden establecer un modelo de Comentado [WF6]: OK
seguridad de la información, ya que si los organizaciones
logran cumplir al pie de la letra lo establecido está en la norma
ISO/IEC 27001:2013, podar llegar a forjar en el tiempo un
adecuado y sostenible Sistema de Gestión de Seguridad de la
Información, aunque dicha labor depende del tamaño y
naturaleza de la entidad y de la cultura de la misma en torno a
la seguridad de la información.
Esta labor debe comenzar con el compromiso demostrable de
la alta directiva hacia la seguridad de la información, labor que
no es nada fácil cuando no se tiene concebida la seguridad de la
información dentro de los objetivos estratégicos de la
organización. El apoyo de la alta directiva, es indispensable
para poder concebir un modelo de Seguridad de la Información
que realmente apoye y apalanque la misión y visión de la
organización, el cual es fundamental que se tenga antes de
comenzar a diseñar un Sistema de Gestión de Seguridad de la
Información, ya que si este no se logra conseguir, es casi
seguro que cualquier iniciativa de seguridad que se pretender
adelantar, no alcancen los resultados esperados y si por el
contrario, genere el rechazo o el poco apoyo o interés por parte
de la organización.
14. REFERENCIAS
[1] «www.pmg-ssi.com,» 21 mayo 2015. [En línea].
Available: https://www.pmg-ssi.com/2015/05/iso-27001-
que-significa-la-seguridad-de-la-informacion/.
[2] «blog.segu-info. com.ar,» 03 2010. [En línea].
Available: http://blog.segu-info. com.ar/2010/03/fbi-
enumera-los-10-principales-
puestos.html#axzz30wysVI3I.
[3] «http://www.cybsec.com,» [En línea].
Available:
http://www.cybsec.com/upload/ArditaSeguridadFinancier
ov2.pdf.
[4] «polux.unipiloto.edu.c,» [En línea].
Available:
http://polux.unipiloto.edu.co:8080/00002874.pdf.
[5] I. Chiavenato , Introducción a la Teoría General de la
Administración, McGraw-Hill Interameticana, 2006.
[6] «conceptodefinicion.de,» [En línea].
Available: https://conceptodefinicion.de/informacion/.
[7] «www.gestiopolis.com,» [En línea].
Available: https://www.gestiopolis.com/la-informacion-
en-la-organizacion-su-gestion-y-auditoria/.
[8] «http://directivos.publicacionmedica.com,» 2010. [En
línea]. Available:
http://directivos.publicacionmedica.com/spip.php?article4
22&varmode=calcul.
[9] J. Caiceo, «http://www.emb.cl,» 12 2018. [En línea].
Available:
http://www.emb.cl/gerencia/articulo.mvc?xid=372&sec=7
. la-seguridad-de-la-informacion/.
[10] «http://www.academia.edu,» 2015. [En línea].
Available:
http://www.academia.edu/22721673/ImportanciadelaInfor
maci%C3%B3nFinancieraenlatomadedecisiones.
[11] «gestion.pe,» [En línea].
Available:
https://gestion.pe/blog/deregresoalobasico/2013/01/la-
importancia-de-la-informaci.html?ref=gesr.
[12] «www.auditool.org,» 2016. [En línea].
Available: https://www.auditool.org/blog/control-
interno/4674-4-pasos-para-proteger-la-informacion-
valiosa-de-una-organizacion.
[13] «https://www.powerdata.es,» 2017. [En línea].
Available: https://www.powerdata.es/seguridad-de-datos.
[14] «tecno.americaeconomia.com,» 2014. [En línea].
Available:
https://tecno.americaeconomia.com/articulos/9-consejos-
para-resguardar-la-informacion-corporativa.
[15] «https://delitosinformaticos.com,» 2002. [En línea].
Available:
https://delitosinformaticos.com/delitos/delitosinformatico
s.shtml.
[16] «www.cisco.com,» 2010. [En línea].
a Available: www.cisco.com.
[17] «www.dinero.com,» 2019. [En línea].
Available:
https://www.dinero.com/internacional/articulo/principales
-cifras-del-cibercrimen-mundo-colombia/213988.
[18] «caivirtual.policia.gov.co/,» 2018. [En línea].
Available:
https://caivirtual.policia.gov.co/sites/default/files/informe
amenazasdecibercrimenencolombia2016-2017.pdf.
[19] C. Tarazona T, «https://revistas.uexternado.edu.co,»
2007. [En línea].
Available:https://revistas.uexternado.edu.co/index.php/der
pen/article/view/965.
[20] «http://www.redseguridad.com,» 2012. [En línea].
Available: http://www.redseguridad.com/especialidades-
tic/proteccion-de-datos/la-importancia-y-la-necesidad-de-
proteger-la-informacion-sensible.
[21] «https://tecnologia-informatica.com,» 2016. [En línea].
Available: https://tecnologia-informatica.com/sistemas-
informacion-empresa/.
[22] «www.welivesecurity.com,» 2017. [En línea].
Available: https://www.welivesecurity.com/la-
es/2017/01/11/desarrollo-programa-de-seguridad-
informacion/.
[23] «www.trustdimension.com,» 2016. [En línea].
Available: www.trustdimension.com/la-importancia-de-
la-seguridad-informatica/.
[24] A. CARVAJAL, Fundamentos de la Inseguridad
informatica, Bogota, 2016.
[25] «pfsgrupo.com,» 2011. [En línea].
Available: http://www.pfsgrupo.com/la-importancia-de-
[26] «http://www.cybsec.com,» 2002. [En línea].
Available:
http://www.cybsec.com/upload/ArditaSeguridadFinancier
ov2.pdf.
[27] «www.elespectador.com,» 2014. [En línea].
Available: www.elespectador.com/noticias/judicial/el-
millonario-fraude-al-bbva-articulo-524960.
[28] «www.enter.co,» [En línea].
Available: www.enter.co/chips-bits/seguridad/hacking-
team-un-proveedor-de-servicios-de-cibervigilancia-fue-
hackeado/.
[29] «www.pmg-ssi.com,» 2017, [En línea].
Available: https://www.pmg-ssi.com/2017/02/algunos-
ejemplos-de-incidentes-de-seguridad-de-la-informacion/.
[30] «www.mintic.gov.co,» [En línea].
Available:
https://www.mintic.gov.co/gestionti/615/articles-
5482GuiaSeguridadinformacionMypimes.pdf.
[31] «www.pmg-ssi.com,» 2017. [En línea].
Available: https://www.pmg-ssi.com/2017/02/algunos-
ejemplos-de-incidentes-de-seguridad-de-la-informacion/.
[32] «www.pmg-ssi.com,» 2017, [En línea].
Available: https://www.pmg-ssi.com/2017/02/algunos-
ejemplos-de-incidentes-de-seguridad-de-la-informacion/.