Metodología para el análisis y recomendaciones de puntos de control, en la aplicación de administración de token's

Trabajo de InvestigaciónSe concibe una metodología de adopción y se establecen recomendaciones en el desarrollo de las aplicaciones de Administración de Tokens bajo la Norma de gestión de seguridad de la información. Esta metodología abarca los procesos puntuales de cargue, administración, creación, asignación, entrega y bloqueos de Tokens, cubriendo el ciclo de vida, haciendo un énfasis especial en los Token físicos, debido al tiempo de vida de los dispositivos. Nos centramos en identificar una metodología de auditoria con base en buenas prácticas apoyadas en los dominios de la Norma ISO27002, por lo que el foco principal está en las tecnologías de información, los controles y las recomendaciones en cada uno de los procesos principales anteriormente listados con el objetivo de poder asegurar un proceso transparente, seguro y controlado en el sector bancario. Se han elegido los pilares de ISO 27002 porque es una norma aceptada como buena práctica para el control y seguridad de la información.1 INTRODUCCIÓN. 2 MARCOS DE REFERENCIA. 3 METODOLOGÍA. 4 DESARROLLO DE LA PROPUESTA. 5 EVALUACIÓN SIC – SISTEMA DE INFORMACIÓN COMPUTARIZADO. 6 METODOLOGÍA DE APLICACIÓN. 7 CONCLUSIONES, RECOMENDACIONES, APORTES, Y APORTES FUTUROS. 8 ANEXOS. 9 BIBLIOGRAFÍAEspecializaciónEspecialista en Auditoría de Sistemas de Informació

Riesgos y vulnerabilidades informáticas en el uso del FINTECH como innovación en servicios financieros de la economía digital colombiana.

Este trabajo presenta los riesgos y vulnerabilidades informáticas de las Fintech en el sector financiero, mostrando como la seguridad para la gestión del riesgo bajo este esquema Fintech, busca incursionar de forma segura en los modelos financieros, bajo un esquema de computación en la nube.This paper presents the risks and computer vulnerabilities of Fintech companies in the financial sector, showing how security for risk management under this Fintech scheme seeks to safely enter financial models, under a cloud computing scheme

Auditoria al sistema de información de la clínica Laura Daniela de la ciudad de Valledupar.

El proyecto " Auditoria al sistema de información de la clínica Laura Daniela de la ciudad de Valledupar", fue desarrollado con el objetivo de realizar un estudio detallado del funcionamiento y protección de los activos informáticos en especial de la aplicación Krystalos, utilizada en el procesamiento de la información manejada en la Clínica Laura Daniela. Para esto, se aplicó la metodología ISO/IEC 27001, que proporciona técnicas claras que van desde el análisis de los procesos informáticos hasta la implementación de medidas que contribuyan al mejoramiento de éstos. Se clasifica como tipo de investigación descriptiva, de diseño de investigación de campo, transeccional, según los autores Fidias G. Arias (2012) y Sampieri (1998), se tomó como población los empleados de las áreas de sistemas, contabilidad, recursos humanos, etc. que laboran en las mismas y se les aplicó un instrumento tipo encuesta, entrevista y observación directa. El análisis de los resultados, permitió observar el estado actual del tratamiento de los activos, sus vulnerabilidades y niveles de riesgos. Se concluye que la empresa requiere un manual oficial de políticas de seguridad de la información y disminuir los riesgos asociados al sistema de información. Se recomienda implementar los controles sugeridos y estrategias para involucrar a todo el personal en el cuidado de la información. Por otra parte, con miras a establecer Políticas de Seguridad Informática que conlleven a minimizar los riesgos informáticos a los cuales se encuentran expuestos los procedimientos informáticos, se realizó un proceso de análisis de riesgos, utilizando la Metodología MAGERIT, que fue diseñada como respuesta al constante crecimiento tecnológico, y que además, presenta técnicas enfocadas a la detección de amenazas que permiten dimensionar la magnitud de los riesgos existentes en los sistemas de Información.The project "Audit to the information system of the Laura Daniela clinic in the city of Valledupar" was developed with the objective of carrying out a detailed study of the operation and protection of computer assets, especially of the Krystalos application, used in the processing of the information handled at the Laura Daniela Clinic. For this, the methodology was applied ISO / IEC 27001, which provides clear techniques ranging from the analysis of computer processes to the implementation of measures that contribute to the improvement of these. According to authors Fidias G. Arias (2012) and Sampieri (1998), it is classified as a type of descriptive research, field research design, transectional, the population was taken from the areas of systems, accounting, human resources, etc. that work in the same and were applied an instrument type survey, interview and direct observation. The analysis of the results, allowed to observe the current state of the treatment of the assets, their vulnerabilities and levels of risks. It is concluded that the company requires an official manual of information security policies and reduce the risks associated with the information system. It is recommended to implement the suggested controls and strategies to involve all the personnel in the care of the information. On the other hand, in order to establish Computer Security Policies that lead to minimize the computer risks to which the computer procedures are exposed, a process of risk analysis was carried out using the MAGERIT Methodology, which was designed in response to the constant Technological growth, and that also presents techniques focused on the detection of threats that allow to size the magnitude of the existing risks in Information systems

Diseño de un sistema de gestión de seguridad de la información (SGSI) con base los lineamientos y las comunicaciones emitidas por la Superintendencia Financiera de Colombia, según circular externa 029 de 2014 para el Instituto Financiero para el Desarrollo del Huila- Infihuila

Imagenes, Tablas, graficas etcEl Instituto Financiero para el desarrollo del Huila -INFIHUILA, es una institución financiera calificada por la Sociedad Calificadora de Valores Valué and Risk Rating S.A la cual se ha puesto en la tarea de trabajar en su certificación ante la Superintendencia financiera de Colombia, basando en los parámetros contemplados en la circular externa 029 de 2014 emanada por dicha entidad. el proyecto aplicado se basa en el diseño un sistema de Gestión de la Seguridad de la Información, en la cual se delinearán canales, medios, seguridad y calidad en el manejo de los datos. El sistema de Gestión de Seguridad de la Información SGSI, abarca distintas fases, las cuales son el diagnostico o auditorias de dominios, implementación de la metodología MAGERIT la cual monitorea los activos de la entidad minimizando amenazas, evaluando controles, implementación de políticas, procedimientos y capacitación al usuario en temas de seguridad de la información. Como consecuencia de la implementación de dicho diseño se generará integridad, disponibilidad y confiabilidad de la información.The Financial Institute for the development of Huila -INFIHUILA, is a financial institution qualified by the Value and Risk Rating SA Qualification Society which has been put in the task of working on its certification before the Financial Superintendence of Colombia, based on the parameters contemplated in external circular 029 of 2014 issued by said entity. The project applied is based on the design of an Information Security Management system, in which channels, media, security and quality in data management will be delineated. The SGSI Information Security Management system covers different phases, which are the diagnosis or audit of domains, implementation of the MAGERIT methodology which monitors the assets of the entity minimizing threats, evaluating controls, implementation of policies, procedures and user training on information security issues. Because of the implementation of said design, integrity, availability and reliability of the information will be generated. Keywords: SGSI, Gel, ethics hacking, Security incidents, methodologies, MINTIC

Estudio para la implementación del sistema de gestión de seguridad de la información para la secretaria de educación departamental de Nariño basado en la norma ISO/IEC 27001

Gráficos Página 97 a 131-Figura 1 Modelo PHVA- Figura 2 Organigrama SED-Figura 3 Diagrama SIPCO-Anexo A Presupuesto-Anexo B Cronograma- Anexo C Resultados lista de chequeoRealizar un diagnóstico de la seguridad informática en el área financiera de la Secretaría de Educación Departamental de Nariño es un proceso que adquiere importancia y relevancia dado el continuo desarrollo de la tecnología y del acceso a los diferentes canales de comunicación. Así las cosas es de mucha relevancia para el área financiera y para la entidad en general contar con una herramienta que le aporte para la toma de decisiones tendientes a ajustar o eliminar las falencias que se puedan estar presentando tanto en el sistema que soporta los procesos como en el manejo mismo de la información al interior del área y de la entidad.Diagnose computer security in the financial area of the Departmental Education of Nariño is a process that acquires importance and relevance given the continuous development of technology and access to the different channels of communication. As it is of great relevance to the financial area and the organization in general have a tool that brings you for taking decisions to adjust or eliminate the shortcomings that can be presented both in the system that supports the processes and in the same management information into the area and the state

Modelo de administración de identidad digital (IdM) sobre blockchain para la mitigación del riesgo por suplantación en sistemas e-banking

La sociedad moderna depende cada vez más de internet para su desarrollo y normal funcionamiento, para el año 2019 se registraron más de 4.131 millones de usuarios conectados a internet en el mundo y en Colombia más de 19 millones de personas tuvieron un contrato de acceso a este servicio. Para el mismo año, internet se convirtió en el canal más utilizado a nivel transaccional en el país, desplazando a canales tradicionales como las sucursales bancarias y los cajeros automáticos. A la par con este crecimiento, se incrementaron igualmente los riesgos cibernéticos y los delitos informáticos; uno en particular es tema de constante preocupación, investigación y desarrollo para entidades gubernamentales, empresas privadas, sector financiero y universidades; el robo de credenciales y su utilización en la suplantación de identidad digital. Nos enfrentamos entonces a un reto global que es particularmente crítico para el sector financiero, el desarrollar nuevos modelos para la administración de identidades (IdM) disminuyendo el riesgo de suplantación de identidad para los usuarios finales. La aparición de tecnologías como blockchain abre un nuevo panorama frente al problema de la identidad digital, permitiendo replantear los modelos de IdM tradicionales e incorporar fortalezas como la escalabilidad, la transparencia, la seguridad criptográfica y la inmutabilidad inherentes al sistema de bloques. En este trabajo se investigaron y consolidaron las principales técnicas utilizadas para el robo de credenciales en la actualidad, técnicas que exponen las debilidades de los sistemas de IdM tradicionales. Al mismo tiempo se profundizó en el surgimiento de nuevos enfoques y soluciones para el manejo de la identidad digital usando la tecnología de blockchain. Gracias a esto, se llegó a la formulación de un nuevo modelo de IdM sobre blockchain denominado IdM auto soberano con garante, que al ser sometido a una evaluación comparativa contra los 3 modelos de IdM utilizados en la actualidad por los principales bancos del país, comprobó su menor nivel de vulnerabilidad frente a las técnicas de ataque para el robo de credenciales utilizadas por los ciberdelincuentes.The modern society increasingly depends on technology and the internet for your development and normal operation. For 2019 more than 4,131 million of users were connected to the internet in the world and the same way in Colombia more than 19 million people contracted a subscription to this medium. Also, for 2019 the internet became the most used transactional channel in the country, displacing traditional channels such as bank branches and ATMs. However, along with this growth, cyber risks also increase and one becomes the concern of state entities, private companies and research sectors: the theft of credentials and their subsequent use for identity theft. We are then faced with a global challenge - that is particularly critical for the financial sector: Developing new models for identity management (IdM) by reducing the risk of identity theft for end users. The emergence of new technologies such as blockchain, open new possibilities that allow to rethink traditional IdM models, taking advantage of features such as scalability, transparency, cryptographic security and immutability of this block system. This work investigated and consolidated the main techniques used for credential theft today, techniques that expose the weaknesses of traditional IdM systems. At the same time, the emergence of new approaches and solutions for managing digital identity using blockchain technology was deepened. Thanks to this, a new IdM model on blockchain called self-sovereign IdM with guarantor was formulated, which, when subjected to a comparative evaluation against the 3 IdM models currently used by the main banks in the country, confirmed its lower level of vulnerability in the face of attack techniques for the theft of credentials used by cybercriminals

Hacia una regulación de los criptoactivos en Colombia : el enfoque de los sistemas de prevención del riesgo de LA/FT

213 páginasOriginalmente los criptoactivos plantean ser la nueva forma de dinero global libre de censura, basando la confianza en la criptografía y no en organismos centrales; promete privacidad, libertad económica, transparencia y seguridad. El sistema financiero se apropia de la tecnología al percibir su potencial, viendo la posibilidad de mantener su poder en el nuevo ecosistema social digital de la 4ta revolución industrial. De los riesgos inherentes a la actividad financiera, se maximiza el del lavado de activos que impacta la estabilidad económica mundial y la mayor intervención del Estado. Contextualizada la tecnología Blockchain en la economía digital y el sistema monetario; se analiza su incidencia en la prevención del riesgo de LA/FT. El reto más importante será diseñar una regulación que genere legitimación a la intervención del Estado, debiéndose revisar el papel del derecho en la economía digital caracterizada por procesos colaborativos, abiertos y sin fronteras; que demandan regulaciones transparentes y consensuadas, no reacciones autoritarias que generan confusión y un ambiente propicio para la ilegalidad.Originally, cryptoassets claim to be the new form of censorship-free global money, basing trust in cryptography and not central organizations; It promises privacy, economic freedom, transparency and security. The financial system appropriates technology by perceiving its potential, seeing the possibility of maintaining its power in the new digital social ecosystem of the 4th industrial revolution. Of the risks inherent in financial activity, the money laundering that impacts global economic stability is maximized and the greater intervention of the State. Contextualized Blockchain technology in the digital economy and the monetary system; its incidence in the AML system is analyzed. The most important challenge will be to design a regulation that generates legitimacy for State intervention, reviewing the role of law in the digital economy characterized by collaborative, open and borderless processes; that demand transparent and consensual regulations, not authoritarian reactions that generate confusion and an environment conducive to illegality.Magíster en DerechoMaestrí

Análisis de las estructuras de contingencia de sistemas y telecomunicaciones (hardware, software y recurso humano) y el desarrollo de un plan de continuidad del negocio para garantizar la seguridad de los usuarios del sistema bancario en la ciudad de Guayaquil

En la actualidad, la Superintendencia de Bancos y Seguros exige que las instituciones bancarias gestionen el riesgo operacional de manera estable y eficiente, por lo que desarrolló la normativa mediante la resolución de la Junta Bancaria JB-2005-834 que consta de una serie de artículos que se deben cumplir para estar en capacidad de funcionar ante situaciones de desastre y puedan laborar sin interrupciones. Este riesgo operacional puede causar cuantiosas pérdidas en el sistema bancario si no es llevado con la suficiente responsabilidad que demanda. En la introducción se presenta el desarrollo de la investigación, indicando el análisis y sistematización del problema a profundizar; planteando los objetivos principales y específicos del tema, y desarrollando la hipótesis la cual será analizada y comprobada en los capítulos posteriores. En el primer capítulo se estudiará la infraestructura de Tecnologías de Información(TI), describiendo los diferentes tipos de tecnología referente a telecomunicaciones, plataformas de Hardware y Software, Base de Datos y Seguridad de Información; también conocer los marcos de trabajo como la Biblioteca de Infraestructura de Tecnologías de Información (ITIL) y los Objetivos de Control para Información y Tecnologías Relacionadas (COBIT),y describir las normas referente al estándar de la Organización Internacional de Normalización ISO 27000, en particular ISO 27002:2013; necesario para emplear los procesos de gestión de Tecnologías de Información (TI) dentro de una entidad bancaria. El segundo capítulo se enfocará en conocer la situación bancaria actual, conociendo el rol que cumple la Superintendencia de Bancos, así como conocer las instituciones bancarias que se encuentran reguladas en la actualidad; además de conocer los parámetros más importantes incluidos en la normativa de la Junta Bancaria JB-2005-834, con sus respectivos cambios posterior a la fecha, con la finalidad de crear confianza al usuario, ya que es al final quien decide si un banco tiene buena aceptación. El tercer capítulo se basa en la aplicación de la encuesta como metodología de investigación realizado a instituciones bancarias de la localidad; con esto se logra medir el grado de madurez en base a los dominios de los Objetivos de Control para Información y Tecnologías Relacionadas COBIT y del estándar de la Organización Internacional de Normalización ISO 27002:2013; en la cual la recolección de datos ofrece una visión técnica amplia acerca de las fortalezas y debilidades en los diferentes procesos realizados por las entidades bancarias y relacionarlos con las pérdidas operacionales que se muestran en el balance de pérdidas y ganancias de los bancos. Finalmente, en el cuarto capítulo la entrevista con un profesional en el tema de gestión y gobierno de Tecnologías de Información (TI) permite plantear propuestas de mejora en la investigación. Con la información obtenida, las conclusiones y recomendaciones se enfocan en un plan de gestión de mejora continua, que sirva como fuente de análisis y de soporte para las instituciones bancarias, y apoyo para el cumplimiento de las normativas y sus futuros cambios.At present, the Superintendence of Banks requires banking institutions to manage operational risk in a stable and efficient manner, so the superintendence developed the resolution JB-2005-834 consisting of a series of articles that the banks must be able to function in disaster situations without service interruption. This operational risk can cause losses in the banking system if not taken enough responsibility. The introduction presents the development of the investigation, indicating the analysis and systematization of the problem; the main theme and specific objectives are explained, and the hypothesis is developed, which will be analyzed and tested in subsequent chapters. In the first chapter, the study of Information Technology (IT) infrastructure, describes the different technologies such as telecommunications, hardware and software platforms, Database and Information Security; also known frameworks like Infrastructure Library Information Technology (ITIL) and Control Objectives for Information and related Technology (COBIT), and the standard relating to the International Organization for Standardization ISO 27000, in particular ISO 27002: 2013, using the processes necessary for Information Technology management within a bank. In the second chapter, it will focus on the current banking situation; the roles played by the Superintendence of Banks as regulator and meet the banking institutions that are currently regulated. Describe the most important parameters included the regulations of the Banking Board JB-2005-834, with their subsequent updates, in order to create confidence to the user, who decides whether a bank has good acceptance. In the chapter three, the poll implementation like as research methodology applied to a banking institutions in the town, to measure the maturity level based on the domains of the Control Objectives for Information and Related Technology COBIT and standard of the International Organization for Standardization ISO 27002:2013; which data collection provides a broad technical overview about the strengths and weaknesses in the different bank processes and make a relationship between maturity level of processes and operational losses shown in the balance shown on the Superintendence of Banks website. Finally, in the fourth chapter the interview with a professional who known about Information Technology (IT) management and governance, can make proposals for improving the investigation. With the information obtained, conclusions and recommendations focus on a management plan for continuous improvement, to serve as a source of analysis and support for banking institutions, and support for regulatory compliance and future changes