Diseño de modelo de ciberseguridad para instituciones financieras: identificación, clasificación y protección de activos críticos ifa (internet facing applications)
| dc.contributor.advisor | Leguizamón Páez , Miguel Ángel | |
| dc.contributor.author | Loiza Moreno, Luz Adriana | |
| dc.contributor.orcid | Leguizamón Páez Miguel Ángel [0000-0003-0457-0126] | |
| dc.date.accessioned | 2025-06-04T15:35:07Z | |
| dc.date.available | 2025-06-04T15:35:07Z | |
| dc.date.created | 2025-05-14 | |
| dc.description | Esta investigación se desarrolla a partir del diseño de un modelo de buenas prácticas de ciberseguridad enfocado principalmente en la protección de los activos críticos de Información (IFAS) para instituciones financieras. A través de la definición de 4 fases, las cuales en su desarrollo buscan brindar herramientas que permitan fortalecer la postura de ciberseguridad de las entidades financieras frente a las amenazas que se encuentran en evolución constante. La investigación inicia con un análisis de marcos y estándares como ISO 27001, NIST SP 800-53 y COBIT 2019 que permiten obtener herramientas para identificar y clasificar los activos críticos de IFAS según la tríada CIA (Confidencialidad, Integridad, Disponibilidad). Posteriormente, evalúa las vulnerabilidades y las brechas de seguridad utilizando las metodologías de evaluación de riesgos NIST SP 800-30, complementadas con ejercicios de Red Team para evaluar la resiliencia de los activos críticos. La contribución principal se enfoca en diseñar un modelo de protección apoyado en la definición de controles técnicos y administrativos, los cuales están alineados con estándares internacionales como ISO 27001 y las funciones CSF de NIST (Identificar, Proteger, Detectar, Responder, Recuperar). Mediante la propuesta de guías de respuesta a incidentes basadas en NIST IR 8353 para escenarios como ataques de ransomware y violaciones de datos. La última fase está enfocada en la documentación de los lineamientos que en los ejercicios propuestas apoyan el mejoramiento continuo de la madurez de la ciberseguridad en las entidades financieras, lo anterior incluye parámetros de clasificación de activos, protocolos de gestión de vulnerabilidades y procedimientos generales de respuesta a incidentes. El modelo permite realizar una medición utilizando mediante el uso del modelo de madurez de ciberseguridad CMMI y los niveles definidos por NIST CSF, lo cual proporciona a las entidades los pasos a seguir en el objetivo del mejoramiento continuo de sus capacidades de ciberseguridad y su resiliencia general ante amenazas. | |
| dc.description.abstract | This research revolves around developing a design for a cybersecurity best practices model primarily focused on protecting critical Information assets (IFAS) in financial institutions. Through methodological exploration, 4 phases are defined, which in their development seek to provide tools that strengthen the cybersecurity posture of financial entities against continuously evolving threats. The research begins with an analysis of frameworks and standards such as ISO 27001, NIST SP 800-53, and COBIT 2019 that provide tools to identify and classify IFAS critical assets according to the CIA triad (Confidentiality, Integrity, Availability). Subsequently, it evaluates vulnerabilities and security gaps using NIST SP 800-30 risk assessment methodologies, complemented by red team exercises to assess the resilience of critical assets. The main contribution focuses on designing a protection model supported by the definition of technical and administrative controls which are aligned with international standards such as ISO 27001 Annex A and NIST CSF functions (Identify, Protect, Detect, Respond, Recover). This is done through proposed incident response guidelines based on NIST IR 8353 for scenarios such as ransomware attacks and data breaches. The final phase focuses on documenting the guidelines that, in the proposed exercises, support the continuous improvement of cybersecurity maturity in financial entities. This includes asset classification parameters, vulnerability management protocols, and general incident response procedures. The model allows measurement using the CMMI cybersecurity maturity model and the levels defined by NIST CSF, which provides entities with steps to follow in the objective of continuous improvement of their cybersecurity capabilities and their general resilience against threats. | |
| dc.format.mimetype | ||
| dc.identifier.uri | http://hdl.handle.net/11349/95910 | |
| dc.language.iso | spa | |
| dc.publisher | UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS | |
| dc.relation.references | Amazon.com. (11 de noviembre de 2023). ¿Qué es una aplicación web? . Obtenido de aws.amazon.com: https://aws.amazon.com/es/what-is/web-application/ | |
| dc.relation.references | Auditool. (2025). Nuevo modelo de evaluacion de controles . Obtenido de https://www.auditool.org/blog/auditoria-interna/modelo-de-evaluacion-de-controles | |
| dc.relation.references | Bander, J. (2018). Cybersecurity for the home and office: The lawyer’s guide to taking charge of your own information security. En J. Bander, Cybersecurity for the home and office: The lawyer’s guide to taking charge of your own information security. American Bar Association. Obtenido de American Bar Association. | |
| dc.relation.references | Banrep. (septiembre de 2021). Funciones y servicios del Banco de la República. . Obtenido de https://www.banrep.gov.co/es/plan-estrategico_2017-2021/funciones-y-servicios | |
| dc.relation.references | BSI. (2019). Norma ISO 22301 Gestion de continuidad del negocio . Obtenido de https://www.bsigroup.com/es-ES/ISO-22301-continuidad-de-negocio/ | |
| dc.relation.references | Cisa.gov. (20 de Noviembre 2023 de 2023). Cisa.gov. Obtenido de Home Page: https://www.cisa.gov/ | |
| dc.relation.references | Cisa.gov. (junio de 2023). Cybersecurity best practices. Obtenido de Cybersecurity best practices: https://www.cisa.gov/topics/cybersecurity-best-practices | |
| dc.relation.references | COBIT, I. (5 de octubre de 2019). Cobit. Obtenido de Isaca.org: https://www.isaca.org/resources/cobit | |
| dc.relation.references | CRC. (2022). CRCPreguntas frecuentes sobre el Regulador Único. Gov.co. Obtenido de https://www.crcom.gov.co/sites/default/files/2021-12/funciones_CRC.pdf | |
| dc.relation.references | CSRC. (2008). SP 800-115, Technical Guide to Information Security Testing and Assessment | . Obtenido de https://csrc.nist.gov/pubs/sp/800/115/final | |
| dc.relation.references | CSRC. (s.f.). SP 800-61 Rev. 2. Obtenido de Computer Security Incident Handling Guide. Departamento Administrativo de la FunciónPública. (2023). funcionpublica.gov.co/. Obtenido de funcionpublica.gov.co/: https://www.funcionpublica.gov.co/eva/gestornormativo/norma_pdf.php?i=53646%20 | |
| dc.relation.references | DRI International. (s.f.). Home | DRI International. Obtenido de https://drii.org/ | |
| dc.relation.references | Energy, D. o. (s.f.). Cybersecurity Capability Maturity Model (C2M2) . Obtenido de https://www.energy.gov/ceser/cybersecurity-capability-maturity-model-c2m2?nrg_redirect=321446 | |
| dc.relation.references | funcionpublica. (2023). Decreto 2257 de 2017 - Gestor Normativo. Obtenido de https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=84839 | |
| dc.relation.references | IBM. (5 de octubre de 2023). ¿Qué es la ciberseguridad? (s/f). Obtenido de IBM: https://www.ibm.com/mx-es/topics/cybersecurity | |
| dc.relation.references | IBM. (12 de julio de 2023). Ejemplos de planes de contingencia empresarial: prepararse para lo inesperado | IBM. Obtenido de https://www.ibm.com/mx-es/think/topics/contingency-plan-examples | |
| dc.relation.references | Industrial mintset. (2025). Analisis de riesgos de seguridad de procesos Guia paso a paso - . Obtenido de https://industrialmindset.com/analisis-de-riesgos-en-seguridad-de-procesos-guia-paso-a-paso/ | |
| dc.relation.references | ISACA. (2025). CMMI Cybermaturity Platform. Obtenido de https://www.isaca.org/enterprise/cmmi-cybermaturity-platform | |
| dc.relation.references | ISO/IEC. (Octubre de 2022). ISO/IEC 27001:2022. Obtenido de https://www.iso.org/standard/27001 | |
| dc.relation.references | ISO/IEC 27002:2022. (2022). ISO/IEC 27002:2022 - Information security controls. Obtenido de https://www.iso.org/standard/75652.html | |
| dc.relation.references | ISO/IEC 27035. (2023). ISO/IEC 27035-1:2023 - Information technology — Information security incident management — Part 1: Principles and process. Obtenido de https://www.iso.org/standard/78973.html | |
| dc.relation.references | ITware. (30 de Enero de 2023). Ciberataques a la Nube, un problema en crecimiento. Obtenido de ITware Latam: https://www.itwarelatam.com/2023/01/30/ciberataques-a-la-nube-un-problema-en-crecimiento/ | |
| dc.relation.references | Microsoft Defender for Endpoint, M. L. (2025). Identificación de dispositivos accesibles desde Internet en Microsoft Defender para punto de conexión - . Obtenido de https://learn.microsoft.com/es-es/defender-endpoint/internet-facing-devices | |
| dc.relation.references | MinTic. (15 de marzo de 2016). Guía para la Gestión y Clasificación de Activos de Información. Gov.co. . Obtenido de MinTic: https://mintic.gov.co/gestionti/615/articles-5482_G5_Gestion_Clasificacion.pdf | |
| dc.relation.references | MINTIC. (2023). Manual de Funciones del MinTIC - Manual de Funciones del MinTIC. Obtenido de https://mintic.gov.co/portal/715/w3-article-135690.html | |
| dc.relation.references | MINTIC. (2023). Portal inicio. Obtenido de https://www.mintic.gov.co/portal/inicio/ | |
| dc.relation.references | MITRE ATT&CK. (2025). Guía completa de tácticas de ATT&CK: el marco MITRE. Obtenido de https://www.startupdefense.io/es-us/blog/guia-completa-de-tacticas-de-att-ck-el-marco-mitre | |
| dc.relation.references | National Institute of Standards and Technology. (2004). Standards for Security Categorization of Federal Information and Information Systems. Obtenido de https://csrc.nist.gov/pubs/fips/199/final | |
| dc.relation.references | NIST. (2013). Cybersecurity Framework | NIST. Obtenido de Cybersecurity Framework | NIST: https://www.nist.gov/cyberframework | |
| dc.relation.references | NIST. (2021). Firearm Examination: A NIST Scientific Foundation Review |. Obtenido de https://www.nist.gov/spo/forensic-science-program/firearm-examination-nist-scientific-foundation-review | |
| dc.relation.references | NIST SP 800-53. (2020). National Institute Of Standar And Tecnology. Obtenido de https://csrc.nist.gov/pubs/sp/800/53/r5/upd1/final | |
| dc.relation.references | Norma ISO 22301 BSI. (2019). Norma ISO 22301 Gestión de Continuidad de Negocio . Obtenido de https://www.bsigroup.com/es-ES/ISO-22301-continuidad-de-negocio/ | |
| dc.relation.references | Rudra, A. (25 de septiembre de 2023). Ciberseguridad en el sector bancario: Principales amenazas y prevención. Obtenido de PowerDMARC: https://powerdmarc.com/es/cyber-security-in-banking/ | |
| dc.relation.references | Seguridad., R. I. (1 de Octubre de 2023). Ciberseguridad, un desafío para las entidades financieras en América Latina -. Obtenido de Revista Innovación Seguridad. (s/f): https://revistainnovacion.com/nota/11654/ciberseguridad_un_desafio_para_las_entidades_financieras_en_america_latina/ | |
| dc.relation.references | Senado de la Republica de Colombia. (2023). Leyes desde 1992 - Vigencia expresa y control de constitucionalidad [ESTATUTO_ORGANICO_SISTEMA_FINANCIERO]. Obtenido de http://www.secretariasenado.gov.co/senado/basedoc/estatuto_organico_sistema_financiero.html | |
| dc.relation.references | SP 800-34, S. (s.f.). SP 800-34 Rev. 1, Contingency Planning Guide for Federal Information Systems | CSRC. Obtenido de https://csrc.nist.gov/pubs/sp/800/34/r1/upd1/final | |
| dc.relation.references | Super financiera de colombia. (2014). Super financiera de colombia Circular basica juridica. Obtenido de https://vlex.com.co/vid/circular-basica-juridica-circular-672001405 | |
| dc.relation.references | Super intendencia Financiera de Colombia. (marzo de 2023). Superintendencia Financiera de Colombia. Consumoteca Colombia. Obtenido de Colombia. https://www.consumoteca.com.co/superintendencia-financiera-de-colombia/ | |
| dc.relation.references | Superintendencia Financiera de Colombia. (2014). Circular Externa 029 de 2014. Obtenido de https://vlex.com.co/vid/circular-basica-juridica-circular-672001405 | |
| dc.relation.references | Superintendencia Financiera de Colombia. (2023). Fundacionmicrofinanzasbbva.org. Obtenido de https://www.fundacionmicrofinanzasbbva.org/revistaprogreso/wp-content/uploads/2018/05/Col-Cap%C3%ADtulo-V-Ciberseguridad.pdf | |
| dc.relation.references | Superintendencia Financiera de Colombia. (oviembre de 2023). superfinanciera.gov.co. Obtenido de superfinanciera.gov.co: https://www.superfinanciera.gov.co/jsp/ | |
| dc.relation.references | Supertintendencia Financiera de Colombia. (2018). Superfinanciera.gov.co. Obtenido de https://www.superfinanciera.gov.co/publicaciones/10096745/normativanormativa-generalcirculares-externas-cartas-circulares-y-resoluciones-desde-el-ano-circulares-externascirculares-externas-10096745/ | |
| dc.relation.references | The Business Continuity Institute (BCI. (2025). The Business Continuity Institute (BCI) | A global institute for business continuity and resilience | BCI. Obtenido de https://www.thebci.org | |
| dc.relation.references | UnnOtec. (2025). Analisis de vulnerabilidades: Tecnicas para proteger tu empresa. Obtenido de Trasnformacion digital para empresasd : https://unnotec.com/blog/analisis-de-vulnerabilidades-tecnicas-para-proteger-tu-empresa/ | |
| dc.relation.references | Work, S. A. (2015). Continuidad de Negocio: Análisis de Impacto sobre el Negocio: tiempos (II) - . Obtenido de https://www.securityartwork.es/2012/06/22/continuidad-de-negocio-analisis-de-impacto-sobre-el-negocio-tiempos-ii/ | |
| dc.rights.acceso | Abierto (Texto Completo) | |
| dc.rights.accessrights | OpenAccess | |
| dc.subject | Activos | |
| dc.subject | security | |
| dc.subject | Información, | |
| dc.subject | Ciberseguridad | |
| dc.subject | Vulnerabilidad | |
| dc.subject.keyword | Assets | |
| dc.subject.keyword | Information | |
| dc.subject.keyword | Cybersecurity | |
| dc.subject.keyword | Vulnerability | |
| dc.subject.keyword | banking | |
| dc.subject.lemb | Maestría en Gestón y Seguridad de la Información -- Tesis y disertaciones académicas | |
| dc.title | Diseño de modelo de ciberseguridad para instituciones financieras: identificación, clasificación y protección de activos críticos ifa (internet facing applications) | |
| dc.title.titleenglish | Cybersecurity model design for financial institutions: identification, classification, and protection of critical assets (ifa) (internet facing applications) | |
| dc.type | masterThesis | |
| dc.type.coar | http://purl.org/coar/resource_type/c_7a1f | |
| dc.type.degree | Monografía | |
| dc.type.driver | info:eu-repo/semantics/bachelorThesis |
Archivos
Bloque de licencias
1 - 1 de 1
No hay miniatura disponible
- Nombre:
- license.txt
- Tamaño:
- 7 KB
- Formato:
- Item-specific license agreed upon to submission
- Descripción: