Resumen

Se expone el resultado del diagnóstico de seguridad informática realizado a una organización privada en el departamento de Boyacá (Colombia), y de la creación y aplicación de un plan de gestión de vulnerabilidades diseñado a la medida de las necesidades de dicha organización. Se inició la investigación con el levantamiento del inventario tecnológico de la empresa, para identificar los problemas que pueden causar alguna vulnerabilidad que afecte la seguridad de la información. Tras una etapa de 6 meses de monitoreo del plan de gestión dentro de la empresa, se evidenció la efectividad de éste, pues se logró una reducción del 70% en las vulnerabilidades, con la aplicación de algunos remedios previamente diseñados. Por otro lado, en el artículo se muestran algunos cuadros comparativos de herramientas informáticas que fueron seleccionadas y utilizadas en la aplicación de las etapas del plan de gestión, ya que pueden ayudar a investigaciones futuras a la selección de herramientas para el monitoreo y gestión de vulnerabilidades.

I. INTRODUCCIÓN

En la actualidad, las empresas tanto del sector público como del privado priorizan la seguridad de la información, que es catalogada como uno de los bienes más preciados para la continuidad del negocio y el punto de diferencia con la competencia. La seguridad de la información dentro de una empresa tiene varios aspectos: seguridad de acceso, seguridad de dispositivos, manejo de contraseñas y control de vulnerabilidades, entro otros, y cada uno de estos requiere un estudio, un presupuesto y una aplicación, ya sea preventiva o correctiva, sobre los temas de seguridad que se puedan encontrar; además, es imposible encontrar sistemas completamente seguros, ya que cada día se descubren nuevos riesgos en distintos niveles. La investigación se centró en la creación y aplicación de un Plan para la gestión de vulnerabilidades, el cual, según [1], tiene como objetivo reducir los riesgos originados por la explotación de vulnerabilidades técnicas publicadas. Debido a lo anterior, se creó un método efectivo, sistemático y cíclico para gestionar las vulnerabilidades, además de poder tomar medidas y verificar avances; dentro de esta gestión deben involucrarse los sistemas operativos de los equipos y el software que se esté usando en ellos. El artículo inicia con la presentación de un estado del arte de la seguridad de la información en varios entornos empresariales; después se explica la aplicación de la estrategia de creación y ejecución del plan de gestión de vulnerabilidades en la empresa, y, por último, se entregan los resultados y las conclusiones de la investigación.

II. ESTADO DEL ARTE

La seguridad de la información digital para una organización depende de diferentes frentes: el físico, referente al alojamiento de la información; el social, relacionado con el grado de discrecionalidad del personal que la manipula, y el lógico, que se refiere a la configuración de sus niveles de accesibilidad y disposición.

• Materias:Seguridad informática Información - Sistemas Administración de riesgos
• Subjects:Computer security Information - Systems Risk management
• Palabras claves:Análisis de riesgos; Seguridad de la Información; ISO 27000; Vulnerabilidades.
• Keywords:Information Security; ISO 27001; Risk analysis; Vulnerabilities