?>
SOLUCIONES INFORMÁTICAS
optimizando el uso de
INTERNET y SOFTWARE LIBRE
Sistema de información para la gestión de contratos
Soporte y consultoría en Linux y software libre
Desarrollamos software ajustado a sus necesidades
Capacitación en Linux y Software Libre
Saliendo del lenguaje formal y valiéndose de un cuento de hadas este artículo explica pedagógicamente los sistemas numéricos más utilizados en la informática y sus aplicaciones prácticas en la representación y manipulación de datos. Comienza con una introducción al sistema decimal (base 10), el cual es el sistema numérico más familiar debido a la anatomía humana, dado que los humanos contamos con diez dedos. A continuación, se examina el sistema octal (base 8), que surge de la necesidad de simplificar la representación binaria en sistemas con recursos limitados. Posteriormente, se analiza el sistema hexadecimal (base 16), el cual facilita la representación compacta de datos binarios en programación y diseño gráfico. Se resaltan las bases 32 y 64 para la representación de datos en informática. Finalmente, se aborda el sistema sexagesimal el cual utiliza el sistema decimal pero reiniciando la numeración al llegar a 60, utilizado históricamente en la medición del tiempo y los ángulos, y se discute su perdurabilidad en aplicaciones modernas. El artículo destaca la importancia de estos sistemas numéricos en la informática, subrayando cómo cada uno de ellos contribuye a la eficiencia en la codificación, almacenamiento y procesamiento de información en diferentes contextos.
Este artículo proporciona una visión integral sobre diversos marcos y normas internacionales para la gestión de la seguridad de la información y la gestión de riesgos. Se exploran en detalle las metodologías y estándares reconocidos, incluyendo COBIT 5, ISO 9000, ISO/IEC 38500, CRAMM, NIST, ISO/IEC 27000 e ISO 22301. Cada uno de estos marcos ofrece un enfoque único y especializado para abordar los retos actuales en la seguridad de la información, desde la gobernanza y la gestión de TI hasta la continuidad del negocio y la protección de activos críticos.
El artículo destaca cómo estos marcos y normas se complementan y enriquecen entre sí, proporcionando a las organizaciones herramientas efectivas para identificar, evaluar y mitigar riesgos, alinear sus procesos con los objetivos estratégicos y garantizar la resiliencia organizacional. Se subraya la importancia de la adopción de estas metodologías para mejorar la gestión de riesgos, generar confianza entre clientes y proveedores, y permitir la comparación y el benchmarking con otras organizaciones. A pesar de los desafíos asociados con su implementación, los beneficios de seguir estos estándares superan ampliamente los inconvenientes, ofreciendo un camino hacia una seguridad más robusta y una mejor gestión del riesgo.
¿Qué significa firmar electrónicamente un documento?, ¿cómo se hace?, ¿por qué es una garantía? En éste artículo brindamos solución a éstos cuestionamientos.
Este artículo presenta un conjunto integral de prácticas para el desarrollo de software seguro, destacando los enfoques de privacidad por diseño y seguridad por diseño. En la sección de privacidad por diseño, se detalla un proceso proactivo que incluye el análisis del impacto en la intimidad, la evaluación de riesgos y la incorporación de controles de privacidad desde el inicio del desarrollo. Se describen los principios fundamentales como la privacidad predeterminada, la seguridad extremo a extremo y el respeto por la privacidad del usuario.
En la sección de seguridad por diseño, se aborda la implementación de medidas de seguridad en cada fase del desarrollo de software y hardware, enfatizando la automatización de controles y la prevención de fallos de seguridad. Se exploran los principios de seguridad según OWASP, incluyendo la minimización de la superficie de ataque, el privilegio mínimo y la defensa en profundidad.
El artículo también describe la norma ISO/IEC 27002:2013 prefiriéndola a la del 2022, destacando su marco completo para la seguridad de la información, con un enfoque en la adquisición, desarrollo y mantenimiento de sistemas de información. Además, se presenta el ciclo de vida del desarrollo de software seguro (S-SDLC), que integra medidas de seguridad en todas las fases del SDLC tradicional.
Finalmente, se discute la evaluación de vulnerabilidades mediante el Common Vulnerability Scoring System (CVSS), proporcionando una metodología objetiva y cuantificable para medir la seguridad del software. Este enfoque integral busca proporcionar una guía práctica para desarrollar software seguro, protegiendo la información y garantizando la integridad de los sistemas desde el inicio del desarrollo. Y se enuncian los aspectos a tomar en cuenta al planear las pruebas a sistemas de información.
Este artículo se propone recopilar, enumerar y describir los aspectos más importantes de la normatividad colombiana relacionada con la información y la propiedad intelectual. Se abordarán las leyes, decretos, tratados internacionales y demás instrumentos jurídicos que conforman el complejo ecosistema legal en esta materia.
Privacidad e intimidad
Constitución Política de Colombia, Artículo 15
Ley 1266 de 2008: Habeas Data Financiera y Seguridad en Datos Personales
Ley 1581 de 2012 - Protección de Datos Personales
Ley 2300 del 10 de julio de 2023 “Por Medio De La Cual Se Establecen Medidas Que Protejan El Derecho A La Intimidad De Los Consumidores"
Circular Externa No. 01 del 26 de junio de 2024
Propiedad intelectual
Ley 23 de 1982 - Derechos de Autor
Decisión 351 – Acuerdo de Cartagena, diciembre 1993
La Ley 603 de 2000 y sus modificaciones a la Ley 222 de 1995: Reporte de gestión
Delitos electrónicos
La Ley 599 de 2000: Código Penal Colombiano
Decreto 1360 de 1989: Inscripción de Soportes Lógicos y Protección de Propiedad Intelectual del Software
Reforma del Código Penal Colombiano
Ley 44 de 1993 sobre Derechos de Autor
Convenio de Budapest contra la Ciberdelincuencia
Trabajo remoto
Ley 1221 de 2008 - Teletrabajo: Fomento de una Modalidad Laboral Flexible
Resolución 2886 de 2012
Ley 2088 de 2021 - Trabajo en Casa: Flexibilidad Laboral en Circunstancias Excepcionales
Historias Clínicas
Ley 23 de 1981
Resolución 1995 de 1999
Sentencia T-837 de 2008
Decreto 2106 de 2019
Gestión de la información
Ley 527 de 1999 - Validez Jurídica y Probatoria de la Información Electrónica
Ley 594 de 2000: Ley General de Archivos
Ley 1341 de 2009 - Ley de Tecnologías de la Información y las Comunicaciones (TICs)
Ley 1712 de 2014: Transparencia en el Acceso a la Información Pública
Plan Nacional de Desarrollo del Gobierno Santos: Ley 1753 de 2015
Decreto 415 de 2016
Ley 1955 del 25 de mayo de 2019: Plan Nacional de Desarrollo 2018-2022 del gobierno de Iván Duque
Ciberseguridad y ciberdefensa
CONPES 3701 de 2011: Política Nacional de Seguridad Digital
CONPES 3854 de 2016: Lineamientos de Política para Ciberseguridad y Ciberdefensa
Política Nacional de Confianza y Seguridad Digital CONPES 3995 – Julio 2020
La Ley 1273 de 2009 de delitos electrónicos
Inteligencia
La Ley 1453 de 2011: Vigilancia e interceptación de comunicaciones
Ley Estatutaria 1621 del 17 de abril de 2013: Inteligencia y Contrainteligencia
One of the most recent security breaches in the world of Linux and free software was the one that occurred in the XZ library. Detractors of free software have classified the event as the most dangerous incident in recent times. However, when analyzing the history of this security breach, its causes, the detection of the problem and the speed of correction, it is demonstrated how the security of the free software model is overwhelming.
Una de las brechas de seguridad más recientes en el mundo de Linux y el software libre fue la ocurrida en la librería XZ. Los detractores del software libre han catalogado el suceso como el incidente más peligroso de los últimos tiempos. Sin embargo, al analizar la historia sucedida con ésta brecha de seguridad, sus causas, la detección del problema y la velocidad de corrección se demuestra cómo la seguridad del modelo del software libre es contundente.
Memorias de la conferencia realizada en el FLISoL Bogotá 2024, Universidad ECCI
Mapa mental que indica cuales herramientas corresponden con el tipo de actividad:
Basado en los artículos:
La gestión eficiente de la seguridad de la información es un desafío crítico en un entorno cada vez más digital y amenazante. Este artículo aborda la aplicación del método de selección de características mRMR (minimum Redundancy Maximum Relevance) en tres contextos clave: inteligencia de amenazas, análisis de vulnerabilidades y valoración de riesgos. A través de ejemplos prácticos, ilustramos cómo mRMR puede ser implementado para optimizar la selección de amenazas, vulnerabilidades y riesgos, priorizando aquellos elementos que maximizan la relevancia y minimizan la redundancia.
En el ámbito de la inteligencia de amenazas, mRMR se utiliza para destacar amenazas críticas, considerando la información mutua entre ellas. Un enfoque similar se adopta en el análisis de vulnerabilidades, donde mRMR contribuye a la identificación de vulnerabilidades significativas, permitiendo una asignación más eficiente de recursos de seguridad.
En el caso de la valoración de riesgos, mRMR se aplica para seleccionar un subconjunto óptimo de riesgos, considerando la relevancia y la redundancia. Este enfoque facilita la identificación de riesgos clave, permitiendo una toma de decisiones informada en la gestión de la seguridad de la información.
Además, se explora la implementación de mRMR en un inventario de activos de información, donde se clasifican según sus requerimientos de integridad, confidencialidad y disponibilidad. Este enfoque proporciona una manera sistemática de identificar y priorizar activos críticos, contribuyendo a una gestión más efectiva de la seguridad de la información.
En conjunto, la integración de mRMR en estos contextos ofrece un marco analítico sólido para la toma de decisiones en seguridad de la información. Este enfoque permite a las organizaciones identificar y abordar de manera proactiva las amenazas, vulnerabilidades y riesgos más relevantes, optimizando la asignación de recursos y fortaleciendo la postura de seguridad de la información. Este artículo proporciona una guía práctica y ejemplos concretos para implementar mRMR en escenarios de seguridad, con el objetivo de mejorar la eficacia y la eficiencia en la gestión de la seguridad de la información.
Este artículo aborda la amenaza del malware informático, explorando diversas formas de ataques, desde virus y gusanos hasta troyanos, ransomware, adware y RATs. Se detalla la propagación de estos elementos maliciosos a través de distintos vectores, como correo electrónico, mensajería instantánea, sitios comprometidos, dispositivos USB y la explotación de vulnerabilidades. Además, se examinan los daños frecuentes a los que están expuestas las víctimas, incluyendo la alteración de información, pérdida de datos, fuga de claves privadas y la degradación del rendimiento de los equipos.
El artículo también destaca los síntomas que pueden alertar a las víctimas sobre posibles infecciones, como bloqueos inesperados, lentitud del sistema, actividad inusual del disco duro, ventanas y mensajes extraños, programas no responsivos, actividad de red aleatoria, entre otros. Se proporciona un análisis detallado de cómo estas señales pueden indicar la presencia de malware.
Además, se discuten estrategias efectivas para protegerse del malware, incluyendo la concientización y capacitación constante del personal, el uso de contraseñas seguras, el mantenimiento de software actualizado, y la generación periódica de copias de seguridad. El artículo concluye destacando comportamientos a evitar para prevenir infecciones, desde el uso de dispositivos externos no seguros hasta prácticas riesgosas en la gestión de contraseñas y el manejo de información en la nube.
En la elaboración de esta metodología se sigue un enfoque sistemático y ordenado de gestión de riesgos aplicada a la protección de la seguridad de la información que abarca desde la identificación de activos hasta la selección de controles.
La primera etapa, el "Inventario de Activos", establece las bases, permitiendo a la organización comprender qué elementos necesita proteger y cuál es su valor intrínseco.
La segunda fase, "Inteligencia de Amenazas y Contexto", amplía la visión hacia el entorno externo, reconociendo las amenazas que podrían afectar a la organización, y sobre las cuales no se tiene control.
El "Análisis de Vulnerabilidades", la tercera etapa, se enfoca internamente, evaluando cómo cada activo está expuesto a las amenazas identificadas.
La etapa subsiguiente, "Identificación de Riesgos", se convierte en un punto de convergencia crucial, integrando la información de inteligencia de amenazas con los hallazgos del análisis de vulnerabilidades para determinar los riesgos específicos que enfrenta la organización.
La "Valoración de Riesgos", cuarta fase, asigna valores objetivos a estos riesgos basados en la probabilidad de ocurrencia y el impacto potencial.
La "Priorización de Riesgos", quinta etapa, se basa en esta valoración para clasificar los riesgos en función de su gravedad y urgencia.
Finalmente, en la última fase, "Plan de implementación de Controles", se toma una decisión informada y pragmática, donde se asignan recursos limitados a los controles de seguridad más efectivos, priorizando aquellos que abordan los riesgos más críticos.
Este enfoque escalonado asegura una gestión de riesgos eficiente y adaptada a las realidades presupuestarias de la organización, maximizando la efectividad de las medidas de seguridad implementadas.
El ransomware es una amenaza cibernética que ha experimentado un crecimiento exponencial en la ciberdelincuencia en los últimos años. Se trata de un tipo de malware que cifra los archivos o bloquea el acceso a sistemas informáticos y luego exige un rescate a cambio de la clave de descifrado o la restauración del acceso. Este crecimiento se debe en parte a su capacidad para generar ganancias sustanciales para los atacantes y a su naturaleza sigilosa, que a menudo dificulta su detección.
Este artículo explora el mundo del ransomware, destacando sus implicaciones de seguridad tanto para individuos como para organizaciones. Además, se profundiza en las tácticas avanzadas utilizadas por los ciberdelincuentes, incluyendo el doble, triple y cuádruple ransomware, que añaden capas adicionales de extorsión y amenazas. También se explora el concepto de ransomware encadenado, donde los ataques afectan a proveedores de servicios y a sus clientes, causando un impacto más amplio.
Se presentan ejemplos notables de incidentes de ransomware, como WannaCry y NotPetya, con el objetivo de destacar las devastadoras consecuencias y las lecciones aprendidas. En última instancia, este artículo subraya la importancia crítica de la ciberseguridad, la preparación y la colaboración para protegerse contra esta creciente amenaza y se hace un llamado a la acción para fortalecer las defensas cibernéticas y mitigar los riesgos asociados al ransomware.
El presente artículo aborda la importancia de una gestión efectiva de riesgos y la seguridad de la información en las organizaciones modernas. Se explora cómo un enfoque integrado permite a las empresas proteger sus activos, reducir vulnerabilidades y mitigar riesgos con el objetivo de alcanzar una protección adecuada.
Se destaca la relevancia de reconocer que las amenazas son externas e incontrolables, mientras que las vulnerabilidades internas pueden ser gestionadas. Se enfatiza que la implementación de controles es esencial para reducir riesgos, pero que esta acción requiere una inversión adecuada de recursos. Se hace referencia al principio de Pareto para encontrar el equilibrio en el uso de controles y alcanzar un nivel residual de riesgo aceptable para la organización.
Se explora la noción de que ahorrar no solo implica gastar menos, sino invertir adecuadamente los recursos disponibles, reinvertir parte de las ganancias y gastar en ahorrar tiempo y mejorar la calidad de vida. Se argumenta que la gestión inteligente de los recursos permite una optimización de resultados y beneficios a largo plazo.
Se aborda el error común de pensar que se puede hacer todo solo y que nadie lo hace mejor que uno mismo. Se subraya la importancia de conformar equipos con los mejores talentos, aprovechar la sinergia y complementariedad de habilidades para lograr resultados más efectivos. Se destaca la relevancia del aprendizaje y la mejora continua al aprender de otras personas y experiencias.
Se resalta el concepto de la gestión de riesgos como un proceso proactivo y continuo para proteger los activos de información y lograr los objetivos de la organización. Se menciona la identificación y clasificación de activos, el diseño de controles y estrategias, y el establecimiento de métricas para medir la efectividad de la seguridad de la información.
Finalmente se concluye que la gestión integrada de riesgos y seguridad de la información es fundamental para el éxito de cualquier organización en el entorno actual. Se resalta que este enfoque permite enfrentar los desafíos y riesgos de manera proactiva, optimizar recursos y alcanzar una protección adecuada, promoviendo el crecimiento sostenible y la competitividad en un mundo en constante cambio.
Este artículo tiene como objetivo presentar una clasificación de los incidentes informáticos más comunes que pueden afectar la seguridad de la información en las organizaciones. Se presentan los incidentes clasificados en 12 categorías: Acceso no autorizado, Ataque de exploits, Malware, Fugas de información, Denegación de servicio, Inyección de código, Errores humanos, Dirigidos a dispositivos móviles, Intrínsecos al software, Dirigidos a niños, Fraude y suplantación y Otros. Se describen brevemente cada uno de los incidentes y se enumeran algunos ejemplos de los ataques detectados. Es importante que las organizaciones estén preparadas para enfrentar estos incidentes y tener medidas de prevención y respuesta ante ellos. La clasificación presentada en este artículo puede ser útil para las organizaciones en su proceso de identificación y manejo de incidentes de seguridad de la información.