dc.contributor.author | Paris García, Luis Enrique | |
dc.contributor.other | Zambrano Hernández, Luis Fernando | |
dc.coverage.spatial | Bogotá D,C. : Escuela Superior de Guerra “General Rafael Reyes Prieto ”2023" | |
dc.date.accessioned | 2024-08-09T19:08:13Z | |
dc.date.available | 2024-08-09T19:08:13Z | |
dc.date.issued | 2023-08-02 | |
dc.date.submitted | 2024-08-09 | |
dc.identifier.citation | APA | es_ES |
dc.identifier.uri | https://hdl.handle.net/20.500.14205/11168 | |
dc.description.abstract | La seguridad digital en el gobierno colombiano se implementa entre otros a través de
lineamientos, apropiación de políticas y gestión del riesgo de seguridad digital, en donde esta
gestión permite la incorporación de medidas efectivas en ciberseguridad, sobre
vulnerabilidades existentes en tecnologías de la información y tecnologías de operación. En el
caso de la Unidad Administrativa Especial de Rehabilitación y Mantenimiento Vial, la gestión
del riesgo de seguridad digital, ha resultado un enorme reto realizar la respectiva aplicación de
los lineamientos y/o directrices emitidas por el Gobierno Nacional, toda vez que su campo de
acción es incompleto.
En virtud de lo anterior, existen lineamientos que tienen sus guías de aplicabilidad, que
carecen de elementos esenciales que abarquen todo el marco del espectro que pretende la
protección de las activos críticos de la entidad, que contribuyan a realizar la adecuada
identificación de es estos activos, para que de esta manera la entidad logre realizar una
pertinente gestión de riesgo en seguridad digital, y de esto modo proteger dichos activos y
cumplir a su vez con los lineamientos generados por el Gobierno Nacional.
Es por ello, que el presente documento, se construyó bajo un método con enfoque
cualitativo, toda vez que se aplicaron técnicas de análisis de información junto con datos
estadísticos de materializaciones de ataques en entidades públicas, producto de la falta de
controles adecuados en sus infraestructuras tecnológica de información y tecnologías de
operación.
Por consiguiente, el presente documento identifica las falencias existentes en el
lineamiento específico de gestión de activos de información, lo cual ocasiona que su
aplicabilidad al interior de la Unidad Administrativa Especial de Rehabilitación y
Mantenimiento Vial. Este problema causa que se realice de forma incompleta e inconsistente. y esto a su vez afecte a la definición de los controles adecuados en ciberseguridad sobre los activos de tecnologías de la información y tecnologías de operación. | es_ES |
dc.description.abstract | Digital security in the Colombian government is implemented, among others, through
guidelines, appropriation of policies and digital security risk management, where this
management allows the incorporation of effective measures in cybersecurity, on existing
vulnerabilities in information technologies and technologies. of operation. In the case of the Special Administrative Unit for Road Rehabilitation and Maintenance, the management of digital security risk has been an enormous challenge to carry out the respective application of the guidelines and/or directives issued by the National Government, since its field of action is incomplete.
By virtue of the foregoing, there are guidelines that have their applicability guides,
which lack essential elements that cover the entire spectrum framework that seeks to protect the critical assets of the entity, which contribute to the adequate identification of these assets. so that in this way the entity manages to carry out a pertinent risk management in digital security, and in this way protect said assets and comply in turn with the guidelines generated by the national government.
That is why the present investigation was carried out under a method with a mixed
approach, since information analysis tools and techniques were applied together with statistical data of materializations of attacks on public entities, as a result of the lack of adequate controls in its information technology infrastructure and operating technologies.
Therefore, this document identifies the existing shortcomings in the specific information asset management guideline, which causes its applicability within the Special
Administrative Unit for Road Rehabilitation and Maintenance. This issue causes it to perform incompletely and inconsistently. | es_ES |
dc.description.sponsorship | Escuela Superior de Guerra | es_ES |
dc.description.tableofcontents | Abreviaturas..5 --
Resumen..6 --
Abstract ..8 --
Introducción ..10 --
CAPÍTULO I Planteamiento de la Investigación..15
Estado del Arte..15 --
Formulación del problema ..21 --
Objetivos de la investigación..23 --
Objetivo general..23
Objetivos específicos..23 --
Metodología ..24 --
CAPÍTULO II Marco de Referencia..26 --
Marco teórico..26 --
Marco conceptual..31 --
CAPÍTULO III..34 --
Caracterizar la importancia que tiene la identificación y valoración de los activos
críticos de Tecnología de la Información y Tecnología de Operación en la Unidad de --
Mantenimiento Vial..34 --
Misión Institucional..34 --
Sistema de Información Geográfica Misional y de Apoyo – SIGMA como
Tecnologías de Información..35 --
Plantas de Producción como Tecnologías de Operación..36 --
Importancia Activos Críticos..39 --
CAPÍTULO IV..43 --
Formular los principales ciber riesgos que supone la inadecuada identificación y
valoración de los activos críticos de Tecnología de la Información y Tecnología de Operación
en la Unidad de Mantenimiento Vial..43 --
Ataques Dirigidos a Entidades Públicas..43 --
Principales Vectores de Ataque..47 --
Principales Ciber Riesgos de la Inadecuada Identificación de Activos Críticos de
Tecnologías de la Información y Tecnología de Operación..50 --
CAPÍTULO V Establecer las principales falencias que presenta la implementación de
la guía de Gestión de Activos de Información del MinTIC, en la identificación y valoración de
los activos críticos de Tecnología de la Información y Tecnología de Operación en la Unidad
de Mantenimiento Vial, con miras a la presentación de posibles soluciones..54 --
Contexto Guía Gestión de Activos..60 --
Principales Falencias Identificadas..63 --
Contexto Propuesta Solución..67
Conclusiones..75 --
Referencias..77 --
Lista de Figuras..82 --
Lista de Anexos..83 -- | es_ES |
dc.format.mimetype | application/pdf | es_ES |
dc.language.iso | spa | es_ES |
dc.rights.uri | http://creativecommons.org/publicdomain/zero/1.0/ | * |
dc.title | Analisis y valoración de la implementación de la guía gestión de activos de información del Mintic al interior de la unidad de mantenimiento vial | es_ES |
dcterms.bibliographicCitation | Acuerdo 761 de 2020 Por medio del cual se adopta el Plan de desarrollo económico, social, ambiental y de obras públicas del Distrito Capital 2020-2024 “Un nuevo contrato social y ambiental para la Bogotá del siglo XXI”. Concejo de Bogotá. (2020). | es_ES |
dcterms.bibliographicCitation | Albarracín, J. (2002). Teoría del Riesgo y el Manejo del Concepto Riesgo en las Sociedades Agropecuarias Andinas. La Paz. http://bibliotecavirtual.clacso.org.ar/Bolivia/cides umsa/20120903104211/albarra.pdf | es_ES |
dcterms.bibliographicCitation | Beck, U. (1996). Teoría de la sociedad del riesgo. Las consecuencias perversas de la modernidad. Perú. | es_ES |
dcterms.bibliographicCitation | Bohórquez, J. (1993). La Teoría General de Sistemas. Revista Colombiana de Geografía. | es_ES |
dcterms.bibliographicCitation | Cámara Colombiana de Informática y Telecomunicaciones. (2022). Estudio Trimestral de Ciberseguridad Ataques a Entidades de Gobierno. http://www.ccit.org.co/estudios/ estudio-trimestral-de-ciberseguridad-ataques-a-entidades-de-gobierno/ | es_ES |
dcterms.bibliographicCitation | Cano, J. (2018). Repensando los fundamentos de la gestión de riesgos. Una propuesta conceptual desde la incertidumbre y la complejidad. Revista Ibérica de Sistemas e Tecnologías de Informação. | es_ES |
dcterms.bibliographicCitation | Cano, J. (2020). Estudio de la Evolución de los Incidentes de los Incidentes de Seguridad Informática en Colombia: 2010-2020. Association For Information Systems Electronic Library (AISeL). | es_ES |
dcterms.bibliographicCitation | Cano, J. (2021). ¿Por qué es tan retador mantener una postura vigilante en seguridad de la información/ciberseguridad en las organizaciones? Global Strategy Report, No 48/2021. | es_ES |
dcterms.bibliographicCitation | Cardona, O. (1993). Evaluación de la Amenaza la Vulnerabilidad y el Riesgo. Bogotá. | es_ES |
dcterms.bibliographicCitation | Cardona, O. (2002). La necesidad de Presentar de Manera Holística los Conceptos de Vulnerabilidad y Riesgo "Una Crítica y una Revisión Necesaria para la Gestión". Universidad de los Andes. | es_ES |
dcterms.bibliographicCitation | Carmona, D. (2016). Gestión de la seguridad de los activos de la información para la administración pública. Revista Gestión Competitividad e Innovación. | es_ES |
dcterms.bibliographicCitation | Centro Criptológico Nacional - CCN-CERT. (2017). Soluciones de Ciberseguridad. España. https://www.ccn-cert.cni.es/soluciones-seguridad.html | es_ES |
dcterms.bibliographicCitation | Comando Conjunto Cibernético (2015). Guía para la Identificación de Infraestructura Crítica Cibernética (ICC) Colombia. Primera Edición. Bogotá D.C. | es_ES |
dcterms.bibliographicCitation | Consejo Nacional de Política Económica y Social. (2011). CONPES 3701 Lineamientos de Política para Ciberseguridad y Ciberdefensa. Bogotá D.C. | es_ES |
dcterms.bibliographicCitation | Consejo Nacional de Política Económica y Social. (2016). CONPES 3854 Política Nacional de Seguridad Digital. Bogotá D.C. | es_ES |
dcterms.bibliographicCitation | Consejo Nacional de Política Económica y Social. (2020). CONPES 3995 Política Nacional de Confianza y Seguridad Digital. Bogotá D.C. | es_ES |
dcterms.bibliographicCitation | Decreto 103 de 2015 Por el cual se reglamenta parcialmente la Ley 1712 de 2014 y se dictan otras disposiciones. (2015). | es_ES |
dcterms.bibliographicCitation | Decreto 1078 de 2015 por medio del cual se expide el Decreto Único Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones. (2015). | es_ES |
dcterms.bibliographicCitation | Decreto 1081 de 2015 Por el cual se reglamenta parcialmente la Ley 1712 de 2014 y se dictan otras disposiciones. (2018). | es_ES |
dcterms.bibliographicCitation | Decreto 2078 de 2012 Por el cual se establece la estructura del Instituto Nacional de Vigilancia de Medicamentos y Alimentos (Invima), y se determinan las funciones de sus dependencias. Función Pública. (2012). | es_ES |
dcterms.bibliographicCitation | Decreto 338 de 2022 Por el cual se establece los lineamientos generales para fortalecer la gobernanza de la seguridad digital. (2022). | es_ES |
dcterms.bibliographicCitation | Delgado, A. (2022). El Caso Stuxnet. Especial Atención a los Desafíos y las Conductas que se Presentan en los Ciberdelitos. España. https://buleria.unileon.es/handle/10612/14441 | es_ES |
dcterms.bibliographicCitation | Díaz, D. (2019). Desarrollo del Plan de Contingencia para Sistemas de Información con Base en la Norma NIST 800-34. Universidad Piloto de Colombia. | es_ES |
dcterms.bibliographicCitation | European Union Agency for Cybersecurity. (2022). Enisa Threat Land Scape for Ransomware Attacks. https://www.enisa.europa.eu/publications/ | es_ES |
dcterms.bibliographicCitation | Fernández, S, Diaz, S. (2002). Investigación Cuantitativa y Cualitativa. Complexo Hospitalario-Universitario Juan Canalejo. | es_ES |
dcterms.bibliographicCitation | Gallardo, S. (2018). Ciberseguridad industrial, seguridad de la información y negocio: ¿encuentro o divorcio.? Revista Sistemas. | es_ES |
dcterms.bibliographicCitation | García, F. (2018). Modelo de Madurez para el Análisis de Riesgos de los Activos de Información Basado en las Metodologías MAGERIT, OCTAVE Y MEHARI; Con enfoque a Empresas Navieras. Revista Ibérica de Sistemas e Tecnologías de Informação. | es_ES |
dcterms.bibliographicCitation | Gutiérrez, M. (1999). Aproximaciones al Estudio del Riesgo. Universidad Nacional de Colombia. | es_ES |
dcterms.bibliographicCitation | Hernández, J. (2018). Desarrollo de una Guía de Controles Ciberseguridad para la Protección Integral en Administraciones Locales: Adaptación al Esquema Nacional de Seguridad. Universitat Oberta de Catalunya. | es_ES |
dcterms.bibliographicCitation | Hernandez, R., Fernandez, C., & Baptista, Pilar. (2014). Metodología de la Investigación. MacGraw Education. (Vol. Sexta) | es_ES |
dcterms.bibliographicCitation | IBM Security X-Force. (2022). X-Force Threat Intelligence Index 2021. https://www.ibm.com/downloads/cas/ADLMYLAZ. | es_ES |
dcterms.bibliographicCitation | Instituto Nacional de Ciberseguridad. (2016). ¿Cómo puedo prevenir la fuga de información dentro de mi empresa? España. | es_ES |
dcterms.bibliographicCitation | International Organization for Standardization. (2022). 27002 Seguridad de la Información, Ciberseguridad y Protección de la Privacidad – Controles de Seguridad de la Información. Tercera Edición. | es_ES |
dcterms.bibliographicCitation | Ley 1341 de 2009 Por la cual se definen principios y conceptos sobre la sociedad de la información y la organización de las tecnologías y las comunicaciones – TIC-, se crea la Agencia Nacional de Espectro y se dictan otras disposiciones. (2019). | es_ES |
dcterms.bibliographicCitation | Ley 1581 de 2012 Por la cual se dictan disposiciones generales para la protección de datos personales. (2012). | es_ES |
dcterms.bibliographicCitation | Ley 1712 de 2014 Por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional y se dictan otras disposiciones. (2014). | es_ES |
dcterms.bibliographicCitation | Luhmann, N. (1996). La contingencia como atributo de la sociedad moderna. Barcelona. | es_ES |
dcterms.bibliographicCitation | Maquera, H., & Serpa, P. (2017). Gestión de Activos Basado en ISO/IEC 27002 Para Garantizar Seguridad de la Información. Ciencia & Desarrollo. | es_ES |
dcterms.bibliographicCitation | Martínez, M. (1993). Elementos de la Teoría del Riesgo. Universidad Veracruzana. | es_ES |
dcterms.bibliographicCitation | Ministerio de Hacienda y Administraciones Públicas. (2012). MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Libro I - Método. Madrid. | es_ES |
dcterms.bibliographicCitation | Ministerio de la Tecnologías de la Información y las Comunicaciones. (2016a). Gestión de Riesgos. Bogotá. D.C. | es_ES |
dcterms.bibliographicCitation | Ministerio de la Tecnologías de la Información y las Comunicaciones. (2016b). Guía para la Gestión y Clasificación de Activos de Información. Bogotá. D.C. | es_ES |
dcterms.bibliographicCitation | Ministerio de la Tecnologías de la Información y las Comunicaciones. (2016c). Modelo de Seguridad y Privacidad de la Información. Bogotá. D.C | es_ES |
dcterms.bibliographicCitation | Ministerio de la Tecnologías de la Información y las Comunicaciones. (2018). Anexo 4 Lineamientos para la Gestión de Riesgos de Seguridad Digital en Entidades Públicas. Bogotá. D.C | es_ES |
dcterms.bibliographicCitation | Ministerio de la Tecnologías de la Información y las Comunicaciones. (2020). Guía para la Administración del Riesgo y el Diseño de Controles en Entidades Públicas. Bogotá. D.C | es_ES |
dcterms.bibliographicCitation | Montaner, A. (2015). Costes y Precios del Riesgo: Aproximación a través de la Teoría de Sistemas [Tesis Doctoral]. Universidad Complutense de Madrid. | es_ES |
dcterms.bibliographicCitation | Montes de Oca Rojas, Y., Castro, W., Melean, R., & et.al. (2020). Tecnologías de Información para la Conformación de Redes Socioproductivas: Reflexiones teóricas. Revista Ibérica de Sistemas e Tecnologías de Informação | es_ES |
dcterms.bibliographicCitation | Oñate, A. (2021). Propuesta de Políticas de Seguridad de la Información Para Proteger los Activos Información en la Organizaciones. Universidad Nacional Abierta y a Distancia. Bogotá D.C. | es_ES |
dcterms.bibliographicCitation | Parker, Kevin. (2014). El uso del Ciber Poder. Fuerza Área de EUA. | es_ES |
dcterms.bibliographicCitation | Parra, C., Tino, G., Parra, J., & et.al. (2021). Metodología básica de análisis de riesgo para evaluar la criticidad de activos industriales. caso de estudio: Línea de manufactura de envases biodegradables. INGEMAN. Escuela Superior de Ingenieros Industriales. | es_ES |
dcterms.bibliographicCitation | Pulzo. (2022). Sobrecostos y Represamientos en Comercio, Temor de Empresarios por Ciberataque a Invima. https://www.pulzo.com/economia/sobrecostos-represamientos productos-consecuencia-ciberataque-invima-PP1212523 | es_ES |
dcterms.bibliographicCitation | Realpe, M. (2020). Amenazas Cibernéticas a la Seguridad y Defensa Nacional. Reflexiones y perspectivas en Colombia. Bogotá: Escuela Superior de Guerra. | es_ES |
dcterms.bibliographicCitation | Resolución 500 de 2021 Por la cual se establecen los lineamientos y estándares para la estrategia de seguridad digital y se adopta el modelo de seguridad y privacidad como habilitador de la política de Gobierno Digital. (2021). | es_ES |
dcterms.bibliographicCitation | Rojas, R., Smarandache, F., & et.al. (2019). Aplicación de la Teoría Neutrosófica para el Tratamiento de la Incertidumbre en la Gestión del Riesgo en la Cadena de Suministro. Revista Aglala. | es_ES |
dcterms.bibliographicCitation | Sonicwall. (2022). Cyber Threat Intelligence for Navigating the Unknowns of Tomorrow. | es_ES |
dcterms.bibliographicCitation | Unidad de Mantenimiento Vial. (2022). Plataforma Estratégica. https://umv.gov.co/portal/plataforma-estrategica/ | es_ES |
dcterms.bibliographicCitation | Zuluaga, D. (2020). Ciberseguridad para la Operación Centralizada y Distribuida de Generación de Energía Eléctrica en ISAGEN. Ingeniería y Ciencia. 16(32), 171-174 | es_ES |
datacite.rights | http://purl.org/coar/access_right/c_16ec | es_ES |
oaire.resourcetype | http://purl.org/coar/resource_type/c_3248 | es_ES |
oaire.version | http://purl.org/coar/version/c_b1a7d7d4d402bcce | es_ES |
dc.audience | Público general | es_ES |
dc.identifier.instname | Escuela Superior de Guerra "General Rafael Reyes Prieto" | es_ES |
dc.identifier.reponame | Repositorio ESDEG | es_ES |
dc.publisher.discipline | Maestría en Ciberseguridad y Ciberdefensa | es_ES |
dc.publisher.place | Bogotá | es_ES |
dc.relation.citationEdition | 84 hojas | es_ES |
dc.rights.accessrights | info:eu-repo/semantics/restrictedAccess | es_ES |
dc.rights.cc | CC0 1.0 Universal | * |
dc.subject.keywords | Activos Críticos | es_ES |
dc.subject.keywords | Gestión de Activos | es_ES |
dc.subject.keywords | Tecnologías de Información | es_ES |
dc.subject.keywords | Tecnologías de Operación | es_ES |
dc.subject.keywords | Critical Assets | es_ES |
dc.subject.keywords | Asset Management Information Technologies | es_ES |
dc.subject.keywords | Operation Technologies | es_ES |
dc.type.driver | info:eu-repo/semantics/doctoralThesis | es_ES |
dc.type.hasversion | info:eu-repo/semantics/draft | es_ES |
dc.type.spa | Tesis | es_ES |