Vista previa del material en texto
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE Código: F-010-GB-008 Emisión: 26-06-2020 Versión: 01 Página 1 de 4 FACULTAD INGENIERIA PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN ESPECIALIZACIÓN BOGOTÁ D.C. LICENCIA CREATIVE COMMONS: Atribución ☐ Atribución compartir igual ☐ Atribución no comercial sin derivadas ☐ Atribución sin derivadas ☐ Atribución no comercial compartir igual ☐ Atribución no comercial ☒ AÑO DE ELABORACIÓN: 2022 TÍTULO Estrategia de sensibilización en seguridad de la información y ciberseguridad con enfoque en ingeniería social para la empresa ASSISPREX AUTORES Morales Vidales, Mónica y Plaza Burbano, Christian DIRECTOR(ES) / ASESOR(ES) Bernate Bautista, Sandra Milena MODALIDAD: Trabajo de grado investigación PÁGINAS: 53 TABLAS: n/a CUADROS: n/a FIGURAS: 7 ANEXOS: 2 CONTENIDO 1. INTRODUCCIÓN 2. GENERALIDADES 3. PLANTEAMIENTO DEL PROBLEMA 4. JUSTIFICACIÓN 5. OBJETIVOS 6. MARCOS DE REFERENCIA RESUMEN ANALÍTICO EN EDUCACIÓN - RAE Código: F-010-GB-008 Emisión: 26-06-2020 Versión: 01 Página 2 de 4 7. METODOLOGÍA 8. PRODUCTOS A ENTREGAR 9. ENTREGA DE RESULTADOS E IMPACTOS 10. NUEVAS ÁREAS DE ESTUDIO 11. CONCLUSIONES 12. BIBLIOGRAFÍA DESCRIPCIÓN El documento menciona las generalidades de la seguridad de la información, luego honda en la empresa en mención y su nicho de negocio donde la seguridad de la información tiene un papel importante y como esta estrategia puede generar valor en la sensibilización del personal en busca de generar esa cultura de seguridad en sus procesos. Además de darle importancia al concepto de la ingeniería social como parte del crecimiento de los ataques de phishing donde viene siendo el origen de los ataques que brinda acceso dentro de las compañías. METODOLOGÍA Metodología sobre encuestas y pruebas simuladas. PALABRAS CLAVE Ciberseguridad, seguridad de la información, sensibilización, ingeniería social. CONCLUSIONES De acuerdo con las mediciones realizadas y los resultados obtenidos, se puede identificar que los colaboradores de la empresa Assisprex poseen un buen conocimiento en temas básicos de seguridad de la información e ingeniería social, sin embargo, existe una brecha en el uso de las contraseñas y el campo de seguridad física que podría representar un riesgo en el momento de ser victimas de un ataque. Gracias a la prueba de phishing podemos decir que existen falencias en el cumplimiento de las políticas de seguridad de la información ya que se ve afectado el principio de confidencialidad al ser reveladas algunas contraseñas, esta brecha de seguridad podría dar pie a que un cibercriminal pueda acceder a los sistemas de la empresa y afectar los demás pilares de seguridad de la información que son integridad y disponibilidad, es por esto que es muy importante implementar adicionalmente el uso obligatorio de un doble factor de autenticación como mecanismo de mitigación de las debilidades encontradas. De acuerdo con lo anterior sugerimos a la dirección de tecnología hacer énfasis en el uso de contraseñas seguras, así ́como reforzar las políticas en el directorio activo para que estas cumplan parámetros más rigurosos de seguridad. La estrategia de capacitación realizada se enfoca principalmente en reforzar los conocimientos de seguridad de la información e ingeniería social buscando que tanto los colaboradores nuevos como los antiguos reciban constante información de interés general que les permita tener los conocimientos necesarios para identificar y ser consientes si son victimas de un ataque. Finalmente Podemos establecer que tener un programa organizado de concientización en seguridad de la información y buenas practicas puede contribuir en la seguridad de la empresa porque de esta manera se brinda información y conocimiento de la RESUMEN ANALÍTICO EN EDUCACIÓN - RAE Código: F-010-GB-008 Emisión: 26-06-2020 Versión: 01 Página 3 de 4 importancia de la información para las organizaciones, además al conocer y entender los nuevos métodos de ataques (ingeniería social) los colaboradores pueden ser conscientes en caso de ser victimas de un ataque y así ́evitarlo. FUENTES Policía Nacional de Colombia. (29 de octubre de 2019). Tendencias cibercrimen Colombia 2019-2020. Obtenido de https://www.ccit.org.co/wp- content/uploads/informe-tendencias-cibercrimen_compressed-3.pdf Ayuda ley protección de datos. (s.f.). Seguridad de la información aspectos a tener en cuenta. Obtenido de https://ayudaleyprotecciondatos.es/2020/07/14/seguridad- de-la-informacion/ Eltiempo. (12 de abril de 1999). El rey de los hackers recibe condena. Obtenido de https://www.eltiempo.com/archivo/documento/MAM-914583 Superintendencia de industria y comercio. (5 de enero de 2009). Ley 1273 del 2009. Obtenido de https://www.sic.gov.co/recursos_user/documentos/normatividad/Ley_1273_2009.p df Función pública. (31 de diciembre de 2008). Ley 1266 del 2008. Obtenido de https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=34488 Función Pública. (17 de Octubre de 2012). Ley 1581 del 2012. Obtenido de https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=49981 Blog especializado en Sistemas de Gestión. (11 de 003 de 2021). Blog especializado en Sistemas de Gestión. Obtenido de https://www.pmg- ssi.com/2021/03/que-es-la- seguridad-de-la-informacion-y-cuantos-tipos-hay/ Incibe. (s.f.). Instituto nacional de ciberseguridad. Obtenido de https://www.incibe.es/sites/default/files/contenidos/politicas/documentos/clasificaci on-informacion.pdf Ojeda, C. (s.f.). Ingeniería social: ¿el lado oscuro de la Psicología? Obtenido de psicologiaymente: https://psicologiaymente.com/social/ingenieria-social-psicologia kaspersky. (s.f.). Ingeniería social: definición. Obtenido de latam.kaspersky.com: https://latam.kaspersky.com/resource-center/definitions/what-is-social-engineering Hadnagy, C. (2011). Ingeniería social el arte del hacking. Obtenido de Ediciones Anaya Multimedia MONTERO, M. (s.f.). Psicología social comunitaria. Obtenido de https://d1wqtxts1xzle7.cloudfront.net/49352425/Psicologia_social_comunitaria- with-cover-page- http://www.ccit.org.co/wp- http://www.eltiempo.com/archivo/documento/MAM-914583 http://www.sic.gov.co/recursos_user/documentos/normatividad/Ley_1273_2009.p http://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=34488 http://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=49981 http://www.incibe.es/sites/default/files/contenidos/politicas/documentos/clasificaci RESUMEN ANALÍTICO EN EDUCACIÓN - RAE Código: F-010-GB-008 Emisión: 26-06-2020 Versión: 01 Página 4 de 4 v2.pdf?Expires=1637669100&Signature=TGroX5bDXOrEA4pj~hjNQ9pi9OE8OWh XChqlEjGxTtjrHLoWgOV16OBufGohw0CWLGx6ZqYBsZo2- 43UlJ01XEKIroC7kcjUBsK9i77H6CmJ37DE7VnILXYbZC1p0tJi softwareone. (12 de 05 de 2020). ¿Qué es la ingeniería social y por qué está cambiando el enfoque de la seguridad cibernética? Obtenido de https://www.softwareone.com/es-co/blog/articles/2020/02/14/que-es-la-ingenieria- social-y-por-que-esta-cambiando-el-enfoque-de-la-seguridad-cibernetica Incibe. (s.f.). Técnicas de ingeniería social: ¿Cómo consiguen engañarnos? Obtenido de https://www.osi.es/sites/default/files/docs/c14_pdf_infografia-tecnicas- ingenieria-social.pdf Baher, J. (22 de 04 de 2021). Los estafadores se divierten mientras el negocio digital se dispara: lea más en nuestro informe de 2021. Obtenido de https://bolster.ai/blog/fraudsters-joyride-as-digital-business-skyrockets/ wordreference. (s.f.). wordreference. Obtenido de https://www.wordreference.com/definicion/sensibilizaci%C3%B3n LISTA DE ANEXOS 1. Resultado autodiagnóstico INCIBE 2. Encuesta y respuestas3. Estrategia http://www.softwareone.com/es-co/blog/articles/2020/02/14/que-es-la-ingenieria- http://www.osi.es/sites/default/files/docs/c14_pdf_infografia-tecnicas- http://www.wordreference.com/definicion/sensibilizaci%C3%B3n