RESUMEN DEL ARTICULO "RIESGOS DE
CIBERSEGURIDAD EN LAS EMPRESAS"
Rodríguez Vergara Roberto Carlos, Rodriguez Oviedo Amaury Leonardo, Montaño Fernando
Corporación Universitaria del Cáribe -CECAR-
Sincelejo, Colombia
roberto.rodriguez@cecar.edu.co
amaury.rodriguez@cecar.edu.co
fernando.montano@cecar.edu.co

Resumen— En este documento se describe en forma general
algunos conceptos que hacen parte de la seguridad informática,
haciendo un pequeño acercamiento por el área de seguridad en
sistemas de información y auditoria de sistemas dentro de una
organización.
Para su desarrollo tomaremos un caso especial de una empresa
que presenta serios problemas de perdida de información
valiosa, lo cual está afectando a gran escala la productividad de
la empresa y por ende llevándola al incumplimiento de las metas
trazadas.
Finalmente se propone una solución que recomiende las mejores
prácticas para solucionar los inconvenientes presentados,
determinando su origen a través de una técnica denominada
Ethical Hacking Focalizado aplicada a los sistemas de
informáticos de esta organización.
Palabras clave— Seguridad, informática, auditoria de
sistemas, perdida de información, Ethical Hacking.
Abstract— This document describes in general terms some
concepts that are part of computer security, making a small area
approaching the security in information systems and auditing
systems within an organization.
For its development we will take a special case of a company
that presents serious problems of loss of valuable information,
which is affecting large-scale enterprise productivity and thus
leading her failure to meet the goals.
Finally a solution to recommend best practices to solve the
problems presented, determining its origin through a technique
called Ethical Hacking Focused applied to computer systems of
this organization is proposed.
Keywords— S Security, information technology, auditing
systems, loss of data, Ethical Hacking.
I. INTRODUCCIÓN
La seguridad informática como disciplina que es incorpora
varios conceptos importantes que debe conocer perfectamente
el profesional en seguridad informática para desempañar este
rol dentro cualquier tipo de empresa, sea esta pública o
privada. En este artículo no se abordaran todos los temas de
la seguridad informática pero si serán mencionados algunos

conceptos que hacen parte de la seguridad en sistemas
operativos y la seguridad en redes, y serán contextualizados
en un caso práctico propuesto en el desarrollo de la actividad
inicial de este curso.
Este articulo comprende el análisis de un caso de estudio
donde una empresa presenta algunos problemas de seguridad,
indicando la perdida de información confidencial, la cual se
estaría filtrando hacia algunas empresas de la competencia,
afectando los tiempos de respuesta de los sistemas de
información, la productividad y las metas por cumplir.
Para dar solución a estos problemas que está presentando esta
empresa se deberá hacer un estudio para determinar el origen
de los problemas presentes y proponer un plan de
mejoramiento que permita controlar perfectamente los
sistemas de información y así evitar la pérdida de este activo
dentro de la organización, haciendo que esta vuelva a retomar
sus niveles óptimos de producción y venta de sus productos.
II. ARTICULO
El presente resumen se apoya en el articulo "Riesgos de
CiberSeguridad en las Empresas", publicado por los doctores
Enrique Javier Santiago y Jesus Sanchez Allend, quienes
destacan una creciente dependencia tecnológica en las
organizaciones de hoy, enfatizando en que además de los
beneficios inherentes a ella, es importante gestionar los
riesgos asociados a la infraestructura tecnológica, a los
procesos de negocio, a las personas y a una gran cantidad de
amenazas que podrían aprovechar sus vulnerabilidades y
comprometer de manera seria sus activos de información.
El articulo recopila los riesgos de seguridad a los que se
encuentran expuestas las organizaciones actuales, enfatizando
en las amenazas digitales, la evolución del malware, el
aumento de los ataques informáticos y de las organizaciones
cibercriminales.
El artículo inicia presentando una introducción a los
riesgos de seguridad a los que están expuestos las empresas,
posteriormente destaca la importancia de la información, así
como el aumento de la dependencia tecnológica de las
organizaciones y los efectos no deseados que traen consigo la
falta de monitorización de los activos de información.
De igual manera, se enfatiza en el artículo, sobre los
riesgos de la materialización de posibles incidentes de
seguridad, el origen de las vulnerabilidades, los tipos de
vulnerabilidades y finalmente describe los principales ataques
informáticos que podrían afectar la integridad, la
confidencialidad y la disponibilidad de los activos de
información, así como los principales vectores de propagación
usados por los agresores.
I. RESUMEN
Importancia de la Información para las Organizaciones
Los autores resaltan la importancia de la información en la
organizaciones de hoy, considerándolas el activo más
importante, destacando que de la completitud, disponibilidad,
integridad y calidad de la misma son la base del exito de la
operación corporativa
razón vamos a ver algunos conceptos importantes a
continuación:
Ethical Hacker: Se define con este concepto a los
“profesionales de la seguridad informática que utilizan sus
conocimientos de Hacking con fines defensivos” [1] y no
ofensivo, en el cual su función principalmente será
determinar lo que un intruso puede hacer en un sistema de
información y evitar o contrarrestar los ataques producidos
por este intruso.
Fig. 1. Protección de la Información
Fuente: Hacking desde cero
Auditoria informática: La auditoría informática “consiste en
una serie de técnicas y procedimientos realizados con el
objetivo de evaluar y controlar un sistema de información, y
el objetivo de avaluar es proteger los activos y recursos del
sistema de información mediante una ejecución correcta,
eficiente y productiva de las actividades que se llevan a cabo
en todo el proceso del sistema” [2].
Estos dos conceptos van a ser la base para la realización de la
propuesta que conlleve a la solución de perdida de
información en la empresa mencionada en el caso de estudio.
II. SINTESIS
Según los principios de auditoria de sistemas o auditoria de
seguridad informática como se menciona en el libro de Ester
Chicano [2] para dar una solución a los problemas de
seguridad informática en la empresa PyR es necesario hacerle
una auditoria a los sistemas informáticos que esta posee para
proteger la información y los equipos o elementos que la
resguardan.
Por lo tanto lo primero que debería hacer el equipo auditor
es trazar un plan de trabajo que le permita conocer toda la
información que se considere pertinente, desde información
organizacional hasta la información de los sistemas
informáticos. Esta etapa de recolección de información se
puede hacer de distintas formas desde visitas con el propósito
de observar el funcionamiento de todos los procesos
administrativos e informáticos donde se van haciendo las
anotaciones que el auditor considere importantes hasta
entrevistas a los usuarios que interactúan con los sistemas
informáticos de distintos niveles jerárquicos y la solicitud de
documentación corporativa como manuales de funciones y
guías de uso de los sistemas informáticos.
Una vez recolectada toda la información necesaria es
momento de trazar el plan de auditoria donde se describen los
objetivos de esta, el alcance que nos permite definir a su vez
el tipo de auditoria si es general o si es específica a uno o
varios sistemas en particular.
Con el plan de auditoria elaborado quedan definidos varios
aspectos sobre el procedimiento a seguir durante la
realización de la auditoria, entre los cuales según Ester
Chicano los mínimos deben ser:
Objetivos y alcance de la auditoria, criterios utilizados,
identificación de las áreas que serán auditadas, identificación
del personal y de las funciones de las áreas auditadas,
identificación de los aspectos de calidad, identificación de la
documentación de referencia, tiempo y duración estimados de
las entrevistas iniciales, ubicación de la auditoria y fechas
estimadas, cronograma de las reuniones, requerimientos,
contenido, formato y estructura del informe final.
Definido el plan de auditoria se procede a su
implementación, lo cual significa de acuerdo a una
metodología previamente diseñada en el plan de trabajo
realizar una serie de test o pruebas rigurosas que le permitirá
al equipo auditor determinar las fortalezas y debilidades
encontradas a los sistemas informáticos.
Existen una serie de pruebas que normalmente se realizan
en los procesos de auditorías de sistemas informáticos, las
cuales tendrían aplicación en este contexto, como obtención
de información a través de entrevistas, cuestionarios, uso de
aplicaciones especializadas, etc. Pero para este caso también
se utilizaría una prueba muy especial denominada Ethical
Hacking.
El Ethical Hacking permite evaluar la seguridad de los
sistemas informáticos a través de múltiples pruebas de ataque
a un sistema de información pero de manera controlada,
utilizando herramientas que con uso adecuado evitan causar
daño a la información de los sistemas informáticos. Es
importante mencionar que estas pruebas deben ser realizadas
por expertos que normalmente son profesionales en seguridad
informática y para ser realizadas deben ser autorizadas por
escrito por los directivos de la empresa. Fig. 2.

Fig. 2. Sistema vulnerable

Fuente: Hacking desde cero

Finalmente esta prueba va a permitir determinar si existen

vulnerabilidades en el sistema de información para proceder
con las recomendaciones de mejoras y control que se
entregarían en un informe final por parte del equipo auditor.

El informe final de la auditoria según E. Chicano en su libro

Auditoria de Seguridad Informática [2], debe contener al
menos la siguiente información:

a. Fecha emisión del informe.

b. Alcance de la auditoria.
Fuente: Auditoria de Seguridad Informática
c. Descripción de la metodología
d. Documentación revisada de la auditoria.
e. Pruebas de auditoria realizadas. III. CONCLUSIONES
f. Fechas en las que se realizó el proceso de auditoría.
g. Limitaciones detectadas en la realización de las pruebas. Este artículo demostró cuán importante es la seguridad de la
h. Informe ejecutivo. información en las empresas y los riesgos a los cuales
i. Recomendaciones conlleva un inadecuado sistema de gestión de seguridad de la
j. Anexos información o la ausencia de este en una organización donde
k. Firma del auditor o auditores se considere la información como uno de los principales
activos.

Hay tres aspectos fundamentales a tener en cuenta en el tema

Fig. 3. Formato plan de auditoria
de la seguridad informática dentro de una empresa, estos son
la Confidencialidad, donde un documento o información
debe ser accesible y verificada solo por el personal autorizado.
La Disponibilidad, que hace referencia a que esta
información esté disponible en el momento que sea requerida
por el personal autorizado. Y La Integridad, cualidad donde
se validad que un documento o cierta información no ha sido
modificada o alterada.

IV. AGRADECIMIENTOS

V. REFERENCIAS
[1] D. Benchimol. Hacking. 1 ed. Buenos Aires: Fox Andina;
Banfield – Lomas de Zamora: Gradi, 2011. 192p. ISBN 978-
987-1773-03-9

[2] E. Chicano. Auditoria de Seguridad Informática. Madrid

España: IC Editorial, 2014. Obtenido de:
http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.actio
n?docID=11126290&p00=seguridad+en+sistemas+operativos

VI. BIOGRAFÍA

Roberto Rodríguez nació en Colombia – Sincelejo, el 6

de septiembre de 1974. Se graduó de la Unidades
Tecnológicas de Santander UTS, en Tecnología en
Electricidad, luego se graduó de la Universidad nacional
Abierta y a Distancia UNAD en Ingeniería de Sistemas y
estudia actualmente en la misma universidad su
especialización en Seguridad Informática.

Su experiencia profesional esta enfocada a la interventoría,

coordinación y gerencia de proyectos relacionados con implementación de las
TIC en todos los sectores de la sociedad.