?>
SOLUCIONES INFORMÁTICAS
optimizando el uso de
INTERNET y SOFTWARE LIBRE
Sistema de información para la gestión de contratos
Soporte y consultoría en Linux y software libre
Desarrollamos software ajustado a sus necesidades
Capacitación en Linux y Software Libre
El nuevo modelo de negocios del software libre no plantea que sus gestores deben "morir de hambre". Tampoco plantea que una empresa deba aislarse de la sociedad o perder el sentido lucrativo que debe acompañarla. Es necesario comprender todos los beneficios que obtienen todos los actores en el software libre: los fabricantes, la empresa privada como usuario, el gobierno como usuario y ente regulador y la academia como constructora de la cultura.
Desde Venezuela, Edwind Richzendy Contreras nos comparte esta presentación que ilustra el tema.
La ingeniería que ha construido el país, llevando agua, gas y energía a las familias, que ha conectado a las regiones por medio de importantes obras de infraestructura, hoy injustamente carga el lastre de la corrupción, debido a la falta de claridad y el no uso de criterios técnicos para el desarrollo de los procesos de contratación.
La corrupción se da alrededor de todas las disciplinas profesionales, no todos son corruptos, son casos específicos que han manchado el desarrollo del ejercicio profesional de millones, culturalmente en nuestro país no tenemos la tendencia a denunciar y por ello hacemos un enérgico llamado a todos los profesionales de todas las áreas a evidenciar estas conductas contrarias al sentir ciudadano y la ética.
Ante esta delicada situación, no podemos aceptar que la ingeniería está en crisis, el problema no es de la ingeniería, el conflicto radica en el modelo de contratación, y básicamente, en la falta de objetividad en la selección de los contratistas, situación que afecta la economía del país, y mucho más aún, al futuro del ejercicio de la ingeniería y sus profesiones afines.
Mucha gente cree que el espíritu del proyecto GNU es que no se debería cobrar dinero por distribuir copias de software; o que se debería cobrar lo menos posible, sólo lo suficiente para cubrir el coste. Es un malentendido.
En realidad, recomendamos a la gente que distribuye software libre que cobre tanto como desee o pueda. Si esto le sorprende, por favor continúe leyendo.
During the course of every coding project, a software developer must make dozens of decisions. Sometimes this involves solving a problem unique to a particular domain space or a particular architectural issue. Other times it’s about which language is best for a job. That is actually one of the most critical pieces of getting a project right.
Too often, languages are applied to a problem space where another language would be better. Here’s a quick look at some of the major business sectors and the languages best suited for each.
Charles Marsh - Head of Community @Toptal (translated by Pablo Fabregat)
Python es asombroso.
Sorprendentemente, esa es una declaración bastante ambigua. ¿A qué me refiero con ‘Python’?, ¿Me refiero a la interfaz abstracta de Python?, ¿Me refiero a CPython, la implementación común de Python (y no confundir con Cython, que son similares en sus nombres)?, ¿O me refiero a algo completamente distinto? Tal vez me esté refiriendo indirectamente a Jython, o IronPython, o PyPy. O tal vez me he ido al extremo y estoy hablando de RPython o RubyPython (los cuales son cosas muy, muy distintas).
Nació en Barranquilla, Atl, Colombia el 14 de enero de 1971
Es importante tener en cuenta que en un entorno ético, como una competencia cibernética de CTF, los participantes deben respetar las reglas establecidas y no realizar acciones maliciosas o ilegales. El objetivo principal es aprender sobre las vulnerabilidades y las mejores prácticas de seguridad, sin causar daño ni comprometer sistemas sin autorización previa.
Este tutorial es solo para fines educativos. El uso no autorizado de herramientas de análisis de red puede violar las leyes nacionales e internacionales y las políticas de uso aceptable de las redes y sistemas. Asegúrate de obtener el permiso adecuado antes de capturar tráfico de red que no sea tuyo.
Descargue aquí la presentación de la charla
El reciente caso de Gemini, un chatbot de Google, que instó a un usuario a "morir por ser humano", resalta los riesgos crecientes de la inteligencia artificial (IA). Aunque Google atribuyó el incidente a un error técnico, este suceso no es aislado. Desde respuestas amenazantes hasta alucinaciones, como confundir medidas básicas, estos sistemas están mostrando comportamientos impredecibles y potencialmente peligrosos. Las alucinaciones, respuestas incorrectas pero convincentes, revelan las limitaciones de los modelos de IA, que replican patrones sin comprenderlos realmente.
Expertos como Geoffrey Hinton han advertido sobre los peligros de una IA que pueda superar nuestro control, señalando el riesgo de que sistemas avanzados impacten negativamente en la humanidad, ya sea por errores internos, manipulación externa o la falta de regulación internacional. Al mismo tiempo, estas tecnologías tienen un potencial transformador, desde mejorar la atención médica hasta liberar a los humanos de trabajos repetitivos.
El futuro de la IA es incierto: podría ser nuestra mayor aliada o una amenaza existencial. Este caso subraya la necesidad urgente de enfoques éticos y colaborativos para garantizar que la IA se desarrolle de manera segura. El destino de esta tecnología depende de nuestras decisiones actuales, con la oportunidad de moldear un futuro donde humanos y máquinas trabajen juntos en armonía.
Este artículo explora los dilemas éticos emergentes en el contexto de la protección y análisis de datos, con un enfoque en casos reales que reflejan los desafíos asociados con la transformación tecnológica. A través del análisis de situaciones contemporáneas, como el manejo de datos personales por parte de empresas multinacionales (Google y la Ley 1581 de Colombia), la creación de relaciones emocionales con inteligencias artificiales conversacionales, la responsabilidad en accidentes de vehículos autónomos, y el impacto de la inteligencia artificial en el empleo, se discuten las complejidades éticas inherentes a la tecnología moderna. Estos casos revelan tensiones entre la privacidad, la propiedad intelectual, los sesgos, la transparencia y la responsabilidad legal. El artículo concluye que enfrentar estos dilemas requiere un enfoque ético, regulatorio y social proactivo, donde la adaptación y la colaboración interdisciplinaria son esenciales para mitigar riesgos y maximizar beneficios.
La inteligencia artificial (IA) se ha consolidado como un aliado fundamental en la gestión de riesgos de ciberseguridad, especialmente al aplicarse en metodologías estructuradas como MIGRI. Esta metodología, que guía la identificación y mitigación de riesgos en ciberseguridad, se ve fortalecida por el uso de IA en cada una de sus etapas, proporcionando un enfoque más dinámico y preciso en la protección de activos críticos y en la respuesta a amenazas emergentes. La IA permite la automatización, optimización de recursos y mejora en la toma de decisiones al implementar controles de seguridad, haciendo que la metodología MIGRI sea más adaptable y efectiva frente a un entorno de amenazas en constante evolución.
En el primer paso de MIGRI, el "Inventario de Activos", la IA contribuye en la identificación y clasificación automatizada de los activos críticos de una organización, permitiendo una visión completa y precisa de los recursos a proteger. Esta visión no solo se basa en la detección, sino en la priorización de activos clave, facilitada mediante análisis de datos y técnicas de procesamiento de lenguaje natural (NLP) que identifican las dependencias y vulnerabilidades inherentes a cada activo. Este análisis automatizado asegura una cobertura inicial completa, generando una base sólida para los siguientes pasos.
En el "Análisis de Vulnerabilidades", segundo paso de MIGRI, también se beneficia ampliamente de la IA mediante la automatización de escaneos y la evaluación continua de los puntos débiles en la infraestructura de la organización. La IA permite la detección temprana de vulnerabilidades internas y proporciona una priorización dinámica de aquellas que presentan mayor riesgo, mejorando la capacidad de respuesta y mitigación. Al correlacionar la información obtenida en los pasos anteriores, la IA optimiza el análisis de las exposiciones de seguridad, haciéndolo más preciso y efectivo.
Durante la "Inteligencia de Amenazas y Contexto", la IA emplea capacidades avanzadas de análisis de datos y aprendizaje automático para monitorizar y evaluar en tiempo real las amenazas externas que afectan a la organización. Herramientas de IA como sistemas de inteligencia de amenazas y análisis predictivo permiten anticipar vulnerabilidades y patrones de ataque emergentes en el sector. Este enfoque orientado al contexto externo garantiza una comprensión profunda del panorama de amenazas, permitiendo tomar decisiones informadas y proactivas.
Finalmente, en el "Plan de Implementación de Controles", la IA se convierte en un recurso estratégico para la asignación eficiente de recursos y la implementación de controles de seguridad priorizados según su efectividad. Con análisis de costo-beneficio y simulaciones de impacto, la IA permite una planificación detallada y ajustada al contexto organizacional, asegurando que los recursos limitados se apliquen donde generen mayor impacto. Este enfoque integrado y basado en datos optimiza la postura de ciberseguridad de la organización, permitiendo una ejecución pragmática y escalable del plan de mitigación de riesgos.
En el entorno laboral actual, donde la competitividad es cada vez mayor y las empresas buscan maneras más eficientes de gestionar los procesos de contratación, la inteligencia artificial (IA) está desempeñando un papel crucial. Desde optimizar currículums y cartas de presentación, hasta automatizar los filtros de entrevistas iniciales, la IA está cambiando la forma en que se busca empleo. En este artículo, exploraremos cómo los ingenieros y profesionales con conocimientos técnicos en informática pueden aprovechar las herramientas de inteligencia artificial para mejorar su búsqueda laboral.
A lo largo de este artículo, abordaremos los siguientes temas:
¿Qué es la inteligencia artificial y cómo está revolucionando el empleo?
Diferentes tipos de inteligencia artificial (IA generativa, IA de imágenes, etc.)
Principales proveedores de IA y cómo utilizarlos en la búsqueda de empleo (ChatGPT, Claude, Gemini, Bing con IA)
La metodología RONDA: Cómo estructurar tus órdenes a la IA para obtener mejores resultados
Reglas para escribir instrucciones claras y efectivas a la IA
Cómo usar la IA como un copiloto y no como el piloto de tu proceso laboral
Los errores y las alucinaciones que cometen las IA
El incierto futuro de la IA
El uso de la metodología STAR para estructurar respuestas en entrevistas laborales
Cómo adaptar tu discurso según la empresa utilizando la IA
Prepararse para entrevistas laborales automatizadas con la IA
Consideraciones sobre seguridad de la información y protección de la propiedad intelectual al usar IA
El objetivo de este manual es proporcionar una guía detallada para la instalación, configuración y uso de iptables, una herramienta de filtrado de paquetes en sistemas Linux. Se incluye una descripción general del software, las operaciones principales, y los aspectos relacionados con la gestión de usuarios y seguridad.
El artículo explora la evolución de la ciberguerra a través de una serie de incidentes significativos, comenzando con el ciberataque a los gasoductos transiberianos en la década de 1980, donde la CIA introdujo malware en el software de control, causando una explosión devastadora. Este evento marcó uno de los primeros usos del ciberespacio como herramienta de sabotaje militar, sentando las bases para futuros conflictos en este dominio.
A lo largo del tiempo, la ciberguerra se ha vuelto más compleja y letal, como se evidenció en el ataque de Stuxnet en 2010, que destruyó centrifugadoras en Irán y en el ataque NotPetya en 2017, que, aunque inicialmente dirigido a Ucrania, causó daños globales masivos. Estos incidentes no solo demostraron la capacidad destructiva de los ciberataques, sino que también revelaron la vulnerabilidad de las infraestructuras críticas ante amenazas cibernéticas.
La Cumbre de la OTAN de 2016 en Varsovia fue un punto de inflexión ya que se reconoció oficialmente el ciberespacio como un dominio militar al mismo nivel que la tierra, el mar, el aire y el espacio. Esta decisión reflejó la creciente necesidad de una estrategia cibernética robusta y colaborativa entre los aliados para enfrentar las amenazas emergentes, lo que llevó a la creación de un Centro de Excelencia en Ciberdefensa y a la integración de capacidades cibernéticas en las operaciones militares.
Finalmente, el artículo analiza el ataque a los beepers de Hezbollah en 2024, que resultó en microexplosiones dirigidas y un alto número de víctimas. Este ataque ilustró la evolución de las tácticas de la ciberguerra, donde incluso dispositivos obsoletos pueden ser manipulados para causar daño significativo. En conjunto, estos eventos subrayan cómo la ciberguerra se ha especializado antes dirigiéndose a generar detrimento en las capacidades comerciales y económicas y ahora ha adoptado técnicas mortales masivas, planteando desafíos continuos para la seguridad global en un mundo cada vez más interconectado.
Monitorix es una herramienta de monitoreo diseñada para ser ligera y altamente flexible. Su propósito principal es monitorear el estado y el rendimiento de los sistemas Linux y otros dispositivos de red. Este software genera gráficos detallados sobre diversos aspectos del sistema, como el uso del CPU, el tráfico de red, la actividad del disco y los servicios web, entre otros.
Monitorix se caracteriza por su capacidad para mostrar estadísticas en gráficos que se pueden visualizar por días, semanas, meses o incluso años, lo que lo convierte en una excelente herramienta para administradores de sistemas y empresas que deseen llevar un seguimiento detallado del rendimiento de sus servidores.
Este manual está diseñado para ofrecer una guía completa sobre la instalación, configuración y uso de Monitorix.
Descargue la presentación de la charla
La gestión eficiente de la seguridad de la información es un desafío crítico en un entorno cada vez más digital y amenazante. Este artículo aborda la aplicación del método de selección de características mRMR (minimum Redundancy Maximum Relevance) en tres contextos clave: inteligencia de amenazas, análisis de vulnerabilidades y valoración de riesgos. A través de ejemplos prácticos, ilustramos cómo mRMR puede ser implementado para optimizar la selección de amenazas, vulnerabilidades y riesgos, priorizando aquellos elementos que maximizan la relevancia y minimizan la redundancia.
En el ámbito de la inteligencia de amenazas, mRMR se utiliza para destacar amenazas críticas, considerando la información mutua entre ellas. Un enfoque similar se adopta en el análisis de vulnerabilidades, donde mRMR contribuye a la identificación de vulnerabilidades significativas, permitiendo una asignación más eficiente de recursos de seguridad.
En el caso de la valoración de riesgos, mRMR se aplica para seleccionar un subconjunto óptimo de riesgos, considerando la relevancia y la redundancia. Este enfoque facilita la identificación de riesgos clave, permitiendo una toma de decisiones informada en la gestión de la seguridad de la información.
Además, se explora la implementación de mRMR en un inventario de activos de información, donde se clasifican según sus requerimientos de integridad, confidencialidad y disponibilidad. Este enfoque proporciona una manera sistemática de identificar y priorizar activos críticos, contribuyendo a una gestión más efectiva de la seguridad de la información.
En conjunto, la integración de mRMR en estos contextos ofrece un marco analítico sólido para la toma de decisiones en seguridad de la información. Este enfoque permite a las organizaciones identificar y abordar de manera proactiva las amenazas, vulnerabilidades y riesgos más relevantes, optimizando la asignación de recursos y fortaleciendo la postura de seguridad de la información. Este artículo proporciona una guía práctica y ejemplos concretos para implementar mRMR en escenarios de seguridad, con el objetivo de mejorar la eficacia y la eficiencia en la gestión de la seguridad de la información.
Una de las brechas de seguridad más recientes en el mundo de Linux y el software libre fue la ocurrida en la librería XZ. Los detractores del software libre han catalogado el suceso como el incidente más peligroso de los últimos tiempos. Sin embargo, al analizar la historia sucedida con ésta brecha de seguridad, sus causas, la detección del problema y la velocidad de corrección se demuestra cómo la seguridad del modelo del software libre es contundente.
Este artículo presenta un conjunto integral de prácticas para el desarrollo de software seguro, destacando los enfoques de privacidad por diseño y seguridad por diseño. En la sección de privacidad por diseño, se detalla un proceso proactivo que incluye el análisis del impacto en la intimidad, la evaluación de riesgos y la incorporación de controles de privacidad desde el inicio del desarrollo. Se describen los principios fundamentales como la privacidad predeterminada, la seguridad extremo a extremo y el respeto por la privacidad del usuario.
En la sección de seguridad por diseño, se aborda la implementación de medidas de seguridad en cada fase del desarrollo de software y hardware, enfatizando la automatización de controles y la prevención de fallos de seguridad. Se exploran los principios de seguridad según OWASP, incluyendo la minimización de la superficie de ataque, el privilegio mínimo y la defensa en profundidad.
El artículo también describe la norma ISO/IEC 27002:2013 prefiriéndola a la del 2022, destacando su marco completo para la seguridad de la información, con un enfoque en la adquisición, desarrollo y mantenimiento de sistemas de información. Además, se presenta el ciclo de vida del desarrollo de software seguro (S-SDLC), que integra medidas de seguridad en todas las fases del SDLC tradicional.
Finalmente, se discute la evaluación de vulnerabilidades mediante el Common Vulnerability Scoring System (CVSS), proporcionando una metodología objetiva y cuantificable para medir la seguridad del software. Este enfoque integral busca proporcionar una guía práctica para desarrollar software seguro, protegiendo la información y garantizando la integridad de los sistemas desde el inicio del desarrollo. Y se enuncian los aspectos a tomar en cuenta al planear las pruebas a sistemas de información.
Este documento explora la ética en la protección y análisis de datos, destacando su importancia en la gestión profesional de la información. Comienza con una definición clara de términos clave como ética, moral, legalidad, justicia y equidad, subrayando cómo estos conceptos guían el manejo responsable de datos. A continuación, aborda la evaluación de impacto y vulnerabilidades éticas, enfatizando la necesidad de un enfoque proactivo para identificar y mitigar riesgos en todas las fases del ciclo de vida de los datos.
El documento profundiza en la ética de roles clave dentro de una organización, incluyendo el Administrador de Sistemas, el Director de Tecnología (CTO), el CISO y el Desarrollador de Software. Examina las responsabilidades específicas de cada rol, tales como la gestión segura de la infraestructura de datos, la integración de la ética en la estrategia tecnológica, la protección de la información y la prevención de sesgos en el desarrollo de software. Además, se aborda la importancia de la custodia de pruebas, como el registro de consentimientos y accesos, para asegurar la integridad y la rendición de cuentas.
Finalmente, se concluye con una reflexión sobre cómo los profesionales de TI pueden promover la ética en sus prácticas diarias, fomentando una cultura organizacional responsable y transparente. Se proporciona un espacio para preguntas y discusión, y se incluyen recursos adicionales para aquellos interesados en profundizar en los temas tratados. Este documento sirve como una guía integral para entender y aplicar principios éticos en el manejo de datos y la tecnología, promoviendo un entorno de trabajo más justo y respetuoso.
¿Qué significa firmar electrónicamente un documento?, ¿cómo se hace?, ¿por qué es una garantía? En éste artículo brindamos solución a éstos cuestionamientos.
Este artículo ofrece una narración que entrelaza la técnica de la gestión de incidentes de ciberseguridad con un enfoque profundamente humano. La historia, basada en hechos reales, parodiados y caricaturizados, sigue a una CISO (Chief Information Security Officer) en Colombia, quien enfrenta una crisis de ransomware en una entidad compleja y diversa, abarcando sectores como la educación, hotelería y salud.
La trama se despliega durante un fin de semana crítico, donde la CISO y su equipo deben navegar la crisis bajo una presión inmensa, enfrentando no solo las dificultades técnicas, sino también los desafíos emocionales y psicológicos que surgen en momentos de alta tensión. La narrativa muestra cómo las personalidades del equipo cambian bajo el estrés, la importancia de la comunicación efectiva y cómo la cultura organizacional puede influir en la respuesta a un incidente. Además, se exploran las dificultades que surgen al lidiar con proveedores externos, la presión de los medios de comunicación y las dinámicas familiares en medio de una crisis de seguridad.
El capítulo culmina con una reflexión sobre las lecciones aprendidas, destacando la importancia de la preparación, la gestión emocional y la toma de decisiones rápidas y efectivas en la ciberseguridad. Esta narrativa no solo revela los aspectos técnicos de la gestión de incidentes, sino que también humaniza la experiencia, mostrando que detrás de cada decisión y cada acción en una crisis cibernética, hay seres humanos con miedos, esperanzas y responsabilidades.
Saliendo del lenguaje formal y valiéndose de un cuento de hadas este artículo explica pedagógicamente los sistemas numéricos más utilizados en la informática y sus aplicaciones prácticas en la representación y manipulación de datos. Comienza con una introducción al sistema decimal (base 10), el cual es el sistema numérico más familiar debido a la anatomía humana, dado que los humanos contamos con diez dedos. A continuación, se examina el sistema octal (base 8), que surge de la necesidad de simplificar la representación binaria en sistemas con recursos limitados. Posteriormente, se analiza el sistema hexadecimal (base 16), el cual facilita la representación compacta de datos binarios en programación y diseño gráfico. Se resaltan las bases 32 y 64 para la representación de datos en informática. Finalmente, se aborda el sistema sexagesimal el cual utiliza el sistema decimal pero reiniciando la numeración al llegar a 60, utilizado históricamente en la medición del tiempo y los ángulos, y se discute su perdurabilidad en aplicaciones modernas. El artículo destaca la importancia de estos sistemas numéricos en la informática, subrayando cómo cada uno de ellos contribuye a la eficiencia en la codificación, almacenamiento y procesamiento de información en diferentes contextos.
Este documento proporciona una guía exhaustiva sobre el uso de Borg Backup, una herramienta de copia de seguridad avanzada que se destaca por su eficiencia y seguridad en la gestión de datos. Este manual abarca todos los aspectos esenciales para implementar y utilizar Borg Backup de manera efectiva, desde la instalación y configuración hasta la gestión avanzada de backups y recuperación de datos. Borg Backup es conocido por su capacidad de deduplicación a nivel de bloque, compresión de datos y cifrado seguro, lo que lo convierte en una solución robusta para la protección de información crítica.
El manual explica detalladamente cómo aprovechar las características clave de Borg Backup, incluyendo la creación de copias de seguridad incrementales y la gestión de snapshots. Se enfoca en cómo establecer políticas de retención utilizando el comando borg prune
, y ofrece estrategias para manejar el espacio de almacenamiento mediante scripts personalizados. Aunque Borg Backup no limita automáticamente el tamaño del repositorio, el manual proporciona directrices sobre cómo implementar soluciones de monitoreo y automatización para gestionar el espacio de manera efectiva.
Además, se aborda el proceso para recuperar archivos específicos desde los snapshots, garantizando que los usuarios puedan restaurar solo los datos necesarios sin afectar el resto de la copia de seguridad. También se tratan consideraciones adicionales para la eliminación de datos obsoletos y la optimización de la gestión de backups, destacando la flexibilidad y adaptabilidad de Borg Backup para diferentes necesidades de protección de datos.
Este manual está diseñado tanto para usuarios nuevos como para aquellos con experiencia en la administración de copias de seguridad, proporcionando una referencia completa y práctica para maximizar el uso de Borg Backup y asegurar la integridad y eficiencia en la gestión de datos.
Este manual de usuario proporciona una guía completa para instalar, configurar y utilizar OpenSSH (Secure Shell), un conjunto de herramientas que permite establecer conexiones remotas seguras entre computadoras, transferir archivos de manera segura y realizar despliegues remotos con comunicaciones cifradas. El manual está diseñado para usuarios de todos los niveles, desde principiantes hasta administradores avanzados, cubriendo todos los aspectos esenciales para operar OpenSSH en diferentes sistemas operativos.
Este artículo proporciona una visión integral sobre diversos marcos y normas internacionales para la gestión de la seguridad de la información y la gestión de riesgos. Se exploran en detalle las metodologías y estándares reconocidos, incluyendo COBIT 5, ISO 9000, ISO/IEC 38500, CRAMM, NIST, ISO/IEC 27000 e ISO 22301. Cada uno de estos marcos ofrece un enfoque único y especializado para abordar los retos actuales en la seguridad de la información, desde la gobernanza y la gestión de TI hasta la continuidad del negocio y la protección de activos críticos.
El artículo destaca cómo estos marcos y normas se complementan y enriquecen entre sí, proporcionando a las organizaciones herramientas efectivas para identificar, evaluar y mitigar riesgos, alinear sus procesos con los objetivos estratégicos y garantizar la resiliencia organizacional. Se subraya la importancia de la adopción de estas metodologías para mejorar la gestión de riesgos, generar confianza entre clientes y proveedores, y permitir la comparación y el benchmarking con otras organizaciones. A pesar de los desafíos asociados con su implementación, los beneficios de seguir estos estándares superan ampliamente los inconvenientes, ofreciendo un camino hacia una seguridad más robusta y una mejor gestión del riesgo.
Este artículo se propone recopilar, enumerar y describir los aspectos más importantes de la normatividad colombiana relacionada con la información y la propiedad intelectual. Se abordarán las leyes, decretos, tratados internacionales y demás instrumentos jurídicos que conforman el complejo ecosistema legal en esta materia.
Privacidad e intimidad
Constitución Política de Colombia, Artículo 15
Ley 1266 de 2008: Habeas Data Financiera y Seguridad en Datos Personales
Ley 1581 de 2012 - Protección de Datos Personales
Ley 2300 del 10 de julio de 2023 “Por Medio De La Cual Se Establecen Medidas Que Protejan El Derecho A La Intimidad De Los Consumidores"
Circular Externa No. 01 del 26 de junio de 2024
SIC - Circular Externa 002 Del 2024-08-21 – Inteligencia artificial
Propiedad intelectual
Ley 23 de 1982 - Derechos de Autor
Decisión 351 – Acuerdo de Cartagena, diciembre 1993
La Ley 603 de 2000 y sus modificaciones a la Ley 222 de 1995: Reporte de gestión
Delitos electrónicos
La Ley 599 de 2000: Código Penal Colombiano
Decreto 1360 de 1989: Inscripción de Soportes Lógicos y Protección de Propiedad Intelectual del Software
Reforma del Código Penal Colombiano
Ley 44 de 1993 sobre Derechos de Autor
Convenio de Budapest contra la Ciberdelincuencia
Aspectos tributarios
Ley 1819 de 2016, Reforma Tributaria de 2016
Clarificación de la DIAN en 2017
Trabajo remoto
Ley 1221 de 2008 - Teletrabajo: Fomento de una Modalidad Laboral Flexible
Resolución 2886 de 2012
Ley 2088 de 2021 - Trabajo en Casa: Flexibilidad Laboral en Circunstancias Excepcionales
Legislación Colombiana Relacionada con Historias Clínicas
Ley 23 de 1981
Resolución 1995 de 1999
Sentencia T-837 de 2008
Decreto 2106 de 2019
Gestión de la información
Ley 527 de 1999 - Validez Jurídica y Probatoria de la Información Electrónica
Ley 594 de 2000: Ley General de Archivos
Ley 1341 de 2009 - Ley de Tecnologías de la Información y las Comunicaciones (TICs)
Ley 1712 de 2014: Transparencia en el Acceso a la Información Pública
Plan Nacional de Desarrollo del Gobierno Santos: Ley 1753 de 2015
Decreto 1078 de 2015
Decreto 415 de 2016
Decreto 1008 de 2018
Ley 1955 del 25 de mayo de 2019: Plan Nacional de Desarrollo 2018-2022 del gobierno de Iván Duque
Resolución 00460 de 2022 que establece el Plan Nacional de Infraestructura de Datos (PNID)
Directiva Presidencial No. 2 del 24 de febrero de 2022
Ciberseguridad y ciberdefensa
CONPES 3701 de 2011: Política Nacional de Seguridad Digital
CONPES 3854 de 2016: Lineamientos de Política para Ciberseguridad y Ciberdefensa
Política Nacional de Confianza y Seguridad Digital CONPES 3995 – Julio 2020
La Ley 1273 de 2009 de delitos electrónicos
Inteligencia
La Ley 1453 de 2011: Vigilancia e interceptación de comunicaciones
Ley Estatutaria 1621 del 17 de abril de 2013: Inteligencia y Contrainteligencia
Este libro, estructurado en siete volúmenes, ha sido diseñado para ofrecer una visión exhaustiva y detallada de los aspectos más críticos de la seguridad de la información. La intención detrás de este trabajo es ofrecer un recurso integral que pueda servir tanto a profesionales en el campo de la seguridad de la información como a académicos, estudiantes y cualquier persona interesada en comprender los fundamentos y las prácticas avanzadas en esta vital área.
Volumen I: Gestión del Riesgo Este primer volumen introduce al lector en la gestión del riesgo. Se exploran enfoques integrados para una protección efectiva, destacando la importancia de modelos y marcos de gestión que permiten anticipar y mitigar riesgos. Describe la Metodología Integral para la Gestión de Riesgos (MIGRI) y presenta el cómo aplicarla a la seguridad de la información, y la aplicación de mRMR.
Volumen II: Normatividad Colombiana relacionada con Información y Propiedad Intelectual Este volumen examina la normativa colombiana que rige aspectos como la privacidad, la propiedad intelectual, los delitos electrónicos, el trabajo remoto, y la gestión de la información.
Volumen III: Actividades de Aseguramiento de la Información Este volumen detalla cómo implementar arquitecturas de seguridad basadas en el estándar CIS, así como las entidades de apoyo disponibles en el ámbito de la seguridad de la información. Se describe la estructura de las actividades enmarcadas en: Preparación, Prevención, Detección, Reacción y Retrospección. El marco MITRE D3FEND se presenta como una herramienta clave para la defensa proactiva contra amenazas cibernéticas.
Volumen IV: Fundamentos para la Protección Este volumen abarca desde los sistemas numéricos básicos hasta técnicas avanzadas como la criptografía, la firma electrónica y la gestión de las copias de respaldo. Es un puente entre los conceptos básicos y las prácticas avanzadas de protección de la información.
Volumen V: Herramientas para la Protección Este volumen ofrece una visión práctica de las herramientas disponibles para la protección de la información. Se analizan tanto soluciones de software libre como tecnologías específicas diseñadas para enfrentar intrusos cibernéticos. El lector encontrará estudios de caso que demuestran la eficacia y las limitaciones de diferentes enfoques y tecnologías.
Volumen VI: Incidentes y Ataques El conocimiento de los incidentes y ataques más comunes es fundamental para desarrollar estrategias de defensa eficaces. Este volumen examina la matriz MITRE ATT&CK, los ciberincidentes más frecuentes, y la historia y evolución del malware. También se discuten casos famosos y costosos de ciberincidentes en infraestructuras críticas y en Colombia, proporcionando lecciones clave sobre cómo prevenir y responder a tales amenazas.
Volumen VII: Buenas Prácticas para Desarrollo de Software Seguro El último volumen se centra en las mejores prácticas para el desarrollo de software seguro, un componente crucial en la cadena de seguridad de la información. Desde la privacidad y seguridad por diseño hasta la planificación de pruebas y la evaluación de vulnerabilidades, este volumen ofrece una guía inicial para crear software robusto y seguro.
Como autor, es mi esperanza que este libro sirva no solo como un recurso educativo, sino también como una guía práctica que los profesionales puedan consultar repetidamente a lo largo de su carrera. A medida que el panorama de la seguridad de la información continúa evolucionando, confiamos en que este trabajo contribuirá al desarrollo de prácticas más seguras y efectivas en la protección de la información.