dc.contributor.author | Ríos Castro, Edwin Yamid | |
dc.coverage.spatial | Bogotá D,C. : Escuela Superior de Guerra “General Rafael Reyes Prieto ”2023" | |
dc.date.accessioned | 2024-09-24T16:04:12Z | |
dc.date.available | 2024-09-24T16:04:12Z | |
dc.date.issued | 2023-07-17 | |
dc.date.submitted | 2024-09-18 | |
dc.identifier.citation | APA | es_ES |
dc.identifier.uri | https://hdl.handle.net/20.500.14205/11193 | |
dc.description.abstract | Uno de los errores más comunes es creer que por tener una pequeña o mediana empresa
(pymes) no se puede ser blanco de algún tipo de ataque cibercriminal. Es claro que la tecnología
ha revolucionado nuestras actividades y ha sido clave para el crecimiento y el mantenimiento
empresarial, pero también trajo consigo más riesgos debido a la exposición de información en
las redes privadas y públicas ampliando la exposición a amenazas debido a la cantidad de
vulnerabilidades no controladas. Es importante precisar que las pymes son las más vulnerables,
puesto que un ataque podría suponer una pérdida total, ya que una gran empresa puede perder
millones, pero lo mas seguro es que tenga un músculo financiero para reponerse y continuar su
operación.
Las pymes en Colombia, manejan sus recursos financieros de manera limitada, pues
estos se enfocan en un alto porcentaje en la suplencia de los procesos misionales y de operación
para poderse mantener en el mercado, pero a los temas de tipo operativo y de soporte, no se les
da la importancia que merecen debido a que estas actividades son vistas como un gasto y nunca
como una inversión. En su gran mayoría las pymes no realizan, o lo hacen de manera
inadecuada, una gestión de riesgos para su operación por desconocimiento, por que no cuentan
con personal idóneo para esto, o por que el tema no es sencillo de interpretar y ajustar de manera
particular a la organización, aspectos que generan apatía a abordar este tema tan importante en
las compañías.
Esta investigación es de carácter mixto ya que se propone la revisión de información
extraída a través de entrevistas a personal experto en la materia que permiten identificar el nivel
de apropiación de mecanismos de Gestión de Riesgos en las pymes. Principalmente se propuso
generar una metodología sencilla de interpretar, fácil de implementar y eficiente en su ejecución para la Gestión de Riesgos, realizando una comparación de la información al respecto
contenida en las normas ISO 31000 e ISO 27005.
El objetivo de esta investigación es dotar a las pymes colombianas de una metodología
con el apoyo de un instrumento, que les permita identificar, asociar, tratar y controlar los
riesgos de ciberseguridad presentes y que pueden afectar en menor o mayor medida la
operación normal de sus organizaciones. | es_ES |
dc.description.abstract | One of the most common mistakes is to believe that having a small or medium-sized
business (SMEs) means that you cannot be the target of some type of cybercriminal attack. It
is clear that technology has revolutionized our activities and has been key to business growth
and maintenance, but it has also acquired more risks due to the exposure of information on
private and public networks, increasing exposure to threats due to the number of vulnerabilities
not controlled. It is important to point out that SMEs are the most vulnerable, since an attack
could mean a total loss, since a large company can lose millions, but it most likely has the
financial muscle to recover and continue its operation.
SMEs in Colombia manage their financial resources in a limited way, since these are
focused in a high percentage on the substitution of mission and operation processes to be able
to stay in the market, but on operational and support issues, they do not they are given the
importance they deserve because these activities are seen as an expense and never as an
investment. The vast majority of SMEs do not perform, or do so inadequately, risk management
for their operation due to lack of knowledge, because they do not have adequate personnel for this, or because the issue is not easy to interpret and adjust appropriately. particular to the
organization, aspects that generate apathy to address this important issue in companies.
This research is of a quantitative nature since it is proposed to review the information
obtained through surveys of a personal expert in the field that allows identifying the level of
appropriation of Risk Management mechanisms in SMEs. Mainly what is proposed here is to
generate a methodology, simple to interpret, easy to implement and efficient in its execution
for Risk Management, making a comparison of the information contained in the ISO 31000
and ISO 27005 standards.
The objective of this research is to provide Colombian SMEs with a methodology
supported by an instrument that allows them to identify, associate, treat and control the
cybersecurity risks that are present and that may affect to a lesser or greater extent the normal
operation of their operations. organizations. | es_ES |
dc.description.tableofcontents | Abreviaturas....5 --
Resumen...6 --
Abstrac....7 --
Introducción ....9 --
CAPÍTULO I Planteamiento de la Investigación....11 --
Formulación del problema...14 --
Estado del Arte ...17 --
Objetivos de la investigación...22 --
Objetivo general....22 --
Objetivos específicos...22 --
Metodología....22 --
CAPÍTULO II Marco de Referencia....25 --
Marco teórico...25 --
Marco conceptual ....29 --
Riesgos..29 --
Amenazas...30 --
Vulnerabilidades...31
Ciberespacio...33 --
Ciberseguridad....33 --
Pymes....33 --
CAPÍTULO III Objetivo 1 Identificar los principales riesgos de ciberseguridad de las
pymes....34 --
CAPÍTULO IV Objetivo 2 Identificar los elementos que constituirán la metodología
propuesta ...43
Norma ISO 27005...43
Norma ISO 31000...47
CAPÍTULO V Objetivo 3 Diseñar la metodología para la Gestión de Riesgos de
Ciberseguridad en las Pymes...53 --
Pasos para la metodología...56 --
Identificación de los riesgos ....56 --
Clasificación de riesgos...57 --
Valoración del riesgo...58 --
Nivel de Riesgo...60 --
Establecimiento de Controles..61 --
Planes de Tratamiento....61 --
Valoración de Controles...62 --
Materialización del Riesgo ...63 --
Seguimiento y control...64 --
Conclusiones....65
Referencias...67 -- | es_ES |
dc.format.mimetype | application/pdf | es_ES |
dc.language.iso | spa | es_ES |
dc.rights.uri | http://creativecommons.org/licenses/by-nc-nd/4.0/ | * |
dc.title | Propuesta de una metodología de gestión de riesgos en ciberseguridad para las PYMES en Colombia | es_ES |
dcterms.bibliographicCitation | Anif Centro de Estudios Económicos. (2021) Retos y Oportunidades de las Pymes Bogotá. https://www.anif.com.co/comentarios-economicos-del-dia/retos-y-oportunidades-de las pymes/#:~:text=Las%20micro%2C%20peque%C3%B1as%20y%20medianas,Product o%20Interno%20Bruto%20(PIB). | es_ES |
dcterms.bibliographicCitation | Asociación Colombiana de Ingenieros de Sistemas. (2022). En Colombia las MiPymes representan el 80% del empleo del país y el 90% del sector productivo nacional. Bogotá. https://acis.org.co/portal/content/noticiasdeinteres/en-colombia-las-mipymes representan-el-80-del-empleo-del-pa%C3%ADs-y-el-90-del-sector productivo#:~:text=productivo%20nacional%20%7C%20ACIS- ,En%20Colombia%20las%20MiPymes%20representan%20el%2080%25%20de | es_ES |
dcterms.bibliographicCitation | Cámara Colombiana de Informática y Telecomunicaciones. (2022). Estudio trimestral: Ciberseguridad en redes de telecomunicaciones móviles Bogotá. https://www.ccit.org.co/. | es_ES |
dcterms.bibliographicCitation | Cano, J. (2022). Prospectiva de ciberseguridad nacional para Colombia a 2030. Revista Científica General José María Córdova, (pp. 4-19). | es_ES |
dcterms.bibliographicCitation | Castillo, L. (2019). El modelo Deming (PHVA) como estrategia competitiva para realzar el potencial administrativo. Bogotá: Universidad Militar Nueva Granada. | es_ES |
dcterms.bibliographicCitation | Castillo, A., Bruzza, M., & Tupia, M. (2020). Estado del arte sobre la identificación amenazas no intencionales de ciberseguridad de parte de personal interno en instituciones públicas. Ibérica de Sistemas y Tecnologías de la Información, (pp. 70-82). | es_ES |
dcterms.bibliographicCitation | Chocano, F. (2021). Beneficios e importancia de la Gestión de Riesgos. Seminarios Virtuales Miercoles del Exportador (pág. 30). Perú: Webinar Exportador. | es_ES |
dcterms.bibliographicCitation | Cisco System. (2018). Reporte Anual de Ciberseguridad 2018. San Jose, CA: Cisco. | es_ES |
dcterms.bibliographicCitation | Correa, J. , Rios, E, & Acevedo, J. (2016). Evolución de la cultura de la gestión de riesgos en el entorno empresarial colombiano. Engineering and Technology, (pág. 37). | es_ES |
dcterms.bibliographicCitation | Departamento Administrativo Nacional de Estadística. (2021). Encuesta de Micronegocios (EMICRON). [Boletín Técnico]. Bogotá. | es_ES |
dcterms.bibliographicCitation | Federal Bureau of Investigation. (2019). Internet Crime Report Released. Washington D. C Foro Económico Mundial. (2021). Reporte Global de Riesgos. Ginebra. | es_ES |
dcterms.bibliographicCitation | Franco, M. & Urbano, D. (2019) Caracterización de las pymes colombianas y de sus fundadores: un análisis desde dos regiones del país. Barcelona (pág. 82-84). | es_ES |
dcterms.bibliographicCitation | González, J. & Ramírez, C. (2021). Guía de Controles y Buenas Prácticas de Ciberseguridad para MiPymes. Bogotá. | es_ES |
dcterms.bibliographicCitation | Hernández, R., Fernández, C., & Baptista, P. (2014). Metodología de la Investigación. México. | es_ES |
dcterms.bibliographicCitation | Hubspot. (2021). La importancia de las pymes en Colomboa. https://blog.hubspot.es/marketing/la-importancia-de-las-pymes-en-colombia. | es_ES |
dcterms.bibliographicCitation | Instituto Colombiano de Normas Tecnicas. (2004). Normas Tecnicas Colombianas. Bogotá. | es_ES |
dcterms.bibliographicCitation | Instituto Colombiano de Normas Tecnicas. (2004). Normas Tecnicas Colombianas. Bogotá. | es_ES |
dcterms.bibliographicCitation | Instituto Colombiano de Normas Tecnicas y Certificación. (2009) Norma Tecnica NTC ISO/IEC Colombiana 27005. Bogotá. | es_ES |
dcterms.bibliographicCitation | Instituto Colombiano de Normas Tecnicas y Certificación. (2011) Norma Tecnica NTC-ISO Colombiana 31000. Bogotá. | es_ES |
dcterms.bibliographicCitation | Internacional Organization for Standardization. (2013). ISO27000. Ginebra. https://www.iso27000.es/. | es_ES |
dcterms.bibliographicCitation | Internacional Organization for Standardization. (2015). ISO9001. Ginebra. | es_ES |
dcterms.bibliographicCitation | Mapfre. (2022). Ciberriesgos, el Gran Desafio de las Pymes. Bogotá. https://www.mapfre.com/actualidad/innovacion/ciberriesgos-gran-desafio-de-las pymes/ | es_ES |
dcterms.bibliographicCitation | McAfee Lab. (2021). El volumen de malware aumenta en 2021. California. | es_ES |
dcterms.bibliographicCitation | Montenegro, J. (2020). Propuesta de gestión de riesgos empresariales - El caso del COVID 19. Universidad Nacional de Colombia. Bogotá. | es_ES |
dcterms.bibliographicCitation | Muñoz, D., & Cuadros, A. (2016). Comparación de metodologías para la gestión de riesgos en las Pymes. Ciencias Estratégicas, (pp. 325-330). | es_ES |
dcterms.bibliographicCitation | Palafox, L. (2019). Una metodología de Ciberseguridad para Pymes en entornos industriales. Universidad Internacional de La Rioja. Madrid. | es_ES |
dcterms.bibliographicCitation | Ramirez, A., & Ortiz, Z. (2011). Gestión de Riesgos Tecnológicos basada en ISO 31000 e ISO 27005 y su aporte a la Continuidad de Negocio. Ingenieria Universidad Distrital Francisco José De Caldas. (pp. 56 – 66). | es_ES |
dcterms.bibliographicCitation | Sanchez, P, García, J., Triana, A., & Perez, L. (2021). Medida del nivel de seguridad informática de las pequeñas y medianas empresas (PYMEs) en Colombia. Información Tecnológica, (pp 1-5). | es_ES |
dcterms.bibliographicCitation | Sánchez, P., García, J, & Perez, L. (2021). Medida del nivel de seguridad informática de las pequeñas y medianas empresas (PYMEs) en Colombia. Información tecnológica, (pp 2-8). | es_ES |
dcterms.bibliographicCitation | Santiago, E., & Sanchez, J. (2017). Riesgos de Ciberseguridad en las Emrpesas. Revista de Ciencia, Tecnología y Medio Ambiente, (pp 11-30). | es_ES |
dcterms.bibliographicCitation | Solarte, F., Enriquez, E., & Benavides, M. . (2015). Metodología de análisis y evaluación de riesgos aplicados a la seguridad informática. Tecnológica ESPOL, (pp 492-507). | es_ES |
dcterms.bibliographicCitation | Soler, R., Varela, Oñate, A., & Naranjo, E. (2018). La gestión de riesgo: el ausente recurrente de la administración de empresas. Ciencia UNEMI, (pp 11,26 51-62). | es_ES |
dcterms.bibliographicCitation | Sophos. (2022). Cibersegurity delivered. Londres https://www.sophos.com/en us/content/state-of-ransomware. | es_ES |
dcterms.bibliographicCitation | Universidad Nacional Abierta y a Distancia. (2019). Hacking Web (Análisis de Ataques SQL Inyección, XSS). Bogotá | es_ES |
datacite.rights | http://purl.org/coar/access_right/c_abf2 | es_ES |
oaire.resourcetype | http://purl.org/coar/resource_type/c_bdcc | es_ES |
oaire.version | http://purl.org/coar/version/c_b1a7d7d4d402bcce | es_ES |
dc.audience | Público general | es_ES |
dc.contributor.tutor | Giraldo Ríos, Lucas Adolfo. MSc, MBA | |
dc.identifier.instname | Escuela Superior de Guerra "General Rafael Reyes Prieto" | es_ES |
dc.identifier.reponame | Repositorio ESDEG | es_ES |
dc.publisher.discipline | Maestría en Ciberseguridad y Ciberdefensa | es_ES |
dc.publisher.place | Bogotá | es_ES |
dc.relation.citationEdition | 70 hojas | es_ES |
dc.rights.accessrights | info:eu-repo/semantics/openAccess | es_ES |
dc.rights.cc | Attribution-NonCommercial-NoDerivatives 4.0 Internacional | * |
dc.subject.keywords | Riesgos | es_ES |
dc.subject.keywords | Ciberseguridad | es_ES |
dc.subject.keywords | Metodología | es_ES |
dc.subject.keywords | Risks | es_ES |
dc.subject.keywords | Cybersecurity | es_ES |
dc.subject.keywords | Methodology | es_ES |
dc.type.driver | info:eu-repo/semantics/doctoralThesis | es_ES |
dc.type.hasversion | info:eu-repo/semantics/draft | es_ES |
dc.type.spa | Tesis | es_ES |