724

Ventajas del hacking ético para las organizaciones

Placeres Salinas, Sandra Imelda;1 Torres Mansur, Sandra Maribel2

& Barrera Espinosa, Azalea3

1
Universidad Autónoma de Nuevo León, Facultad de Contaduría Pública y Administración, Monterrey, Nuevo León,
México, [email protected], Av. Universidad S/N Col. Ciudad Universitaria, (+52) 81 8329 4000
2
Universidad Autónoma de Nuevo León, Facultad de Contaduría Pública y Administración, Monterrey, Nuevo León,
México, [email protected], Av. Universidad S/N Col. Ciudad Universitaria, (+52) 81 8329 4000
3
Universidad Autónoma de Nuevo León, Facultad de Contaduría Pública y Administración, Monterrey, Nuevo León,
México, [email protected] , Av. Universidad S/N Col. Ciudad Universitaria, (+52) 81 8329 4000

Información del artículo arbitrado e indexado en Latindex:

Revisión por pares
Fecha de aceptación: Agosto de 2018
Fecha de publicación en línea: Diciembre de 2018

Resumen Abstract

Las organizaciones manejan información sumamente importante y Organizations today handle information that is critical for their bu-
crítica para su negocio, apoyándose de las tecnologías de informa- siness by using information technologies and systems to automate
ción y sistemas para automatizar procesos y lograr ventaja compe- their processes and be able to get a competitive advantage; this way
titiva; y así mantenerse en el mercado para subsistir; sin embargo, they would be able to survive in a difficult marketplace. However,
existen riesgos informáticos, por lo que pudieran tener comprome- there are IT related threats that may put their security at risk; those
tida su seguridad; dichos riesgos están a la orden del día y requieren threats are consistent and need to be sighted, more specifically tho-
identificar los que están asociados a su negocio para poder estar de- se that are related to their business in order to be properly protected
bidamente protegidos y evitar pérdidas tanto de información como and to avoid both informational and economical loss that would
económicas, ya que puede interrumpir su funcionamiento. interrupt the business functionality.
Se requiere la consultoría de un profesional de seguridad llamado
“Hacker ético”, el cuál detectará las vulnerabilidades y riesgos a Professional IT consulting service (also known as “ethic hacker”) is
los cuáles la empresa está expuesta y recomendar la solución más needed. That service will be able to detect potential vulnerabilities
conveniente. El objetivo de esta investigación es que las empresas and threats that the company is exposed to and, therefore, suggest
conozcan en que consiste y cuáles son las ventajas del hacking ético possible and most convenient solutions. The objective in this paper
para identificar sus vulnerabilidades y riesgos, para enfrentarlos sin is that businesses are aware of advantages of using ethical hacking
que estos les afecten de una manera importante. to identify risk and vulnerabilities in order to face them before they
. affect them.

Palabras claves: Análisis de riesgos, hacking ético, seguridad Key words: risk analysis, ethical hacking, informatic security,
informática, delitos informáticos, buenas prácticas. cybercrime, good practices.
 725

1. INTRODUCCIÓN que implica que a las empresas se les dificultará y en el peor de los
casos se incrementará el costo por los servicios de un hacker ético,
En la actualidad, las empresas se apoyan completamente en las Tec- ya que quizás tenga que solicitar los servicios a profesionales de
nologías de información y comunicación (TIC) para soportar los otros países debido al déficit de profesionales en ese rubro.
procesos de negocio lograr una ventaja competitiva y por ende el Sin embargo, las empresas deberán de llevar a cabo un aná-
éxito empresarial. La información sensible y crítica del negocio está lisis costo- beneficio como propone Vera, G. y Vera, J. (2017), y
expuesta o comprometida si no se tiene el cuidado de protegerla de ver todas las ventajas que se obtienen con los sistemas y el uso
intrusos o hackers que pudieran robar o manipular la información de las tecnologías que utilizan contra el costo asociado de los ries-
de la misma; por lo tanto, esta deberá de estar debidamente protegi- gos y vulnerabilidades que tendrían que pagar si estos se llegaran
da y fuera del alcance de los mismos. Según Redman (2008), citado a presentar, afectando las operaciones normales del negocio. Una
por Sánchez y Zúñiga (2011), si no contamos con información de vez realizado ese análisis, se darían cuenta de la importancia de
calidad y confiable, esto nos podrá ocasionar problemas y costos tener la seguridad informática para evitar problemas graves, y que
para la organización. estos pueden afectar al negocio reconociendo entonces que vale la
Es recomendable que las empresas estén conscientes de que la pena invertir una buena parte de su presupuesto en seguridad para
información que manejan es muy importante y representa un activo su negocio.
intangible que también se deberá de proteger de posibles ataques y Las empresas saben que deben de extremar precauciones al
/o peligros. De ahí la importancia de que conozcan sus vulnerabi- respecto y adelantarse a los hechos, ya que bien vale la pena cui-
lidades e implementen soluciones de seguridad, así como adopten dar su información de los posibles ataques informáticos. Existen
buenas prácticas, que de acuerdo con Cárdenas, Becerra y Martínez diferentes tipos de ataques que pueden afectar a las empresas hoy
(2013), “son un marco de referencias para asegurar que todas las día y pudieran darse los siguientes: existen ataques activos y ata-
organizaciones cubran todas sus bases de seguridad” esto ayudará ques pasivos, en el primer tipo de ataque se producen cambios en
a que los apoyen a minimizar los posibles riesgos detectados. Por la información y en los recursos de los sistemas; en el segundo tipo
lo que el objetivo de esta investigación es conocer, las ventajas del registran el uso de los recursos o también pueden acceder a la infor-
hacking ético y los riesgos informáticos a los que se enfrentan las mación guardada o que es transmitida en los sistemas; otro riesgo
organizaciones hoy en día, la importancia de conocer sus puntos no menos importante es el robo de información, donde se intercepta
vulnerables para posteriormente protegerse de una manera adecua- la información que es enviada entre las diferentes computadoras
da, tratando de reducir dichos riesgos. o dispositivos de la red de comunicaciones del negocio (Gómez,
2014).
2. MARCO TEÓRICO El Instituto Nacional de Seguridad (INCIBE), ha publicado
recientemente los 10 principales incidentes de ciberseguridad del
Hoy día las empresas están conscientes de la gran importancia que año 2016 en todo el mundo ABC (2017):
tienen las TIC para el buen funcionamiento de la misma y de la ma-
nera en que esta genera valor a sus actividades empresariales. Es sin 1. Robo de 81 millones al Banco Central de Bangladés
duda un componente vital para que las empresas puedan permane- 2. Robo de 64 millones en bitcoins a Bitfinex
cer en la dura competencia a la que se tienen que enfrentar día a día; 3. Publicación de los datos de 154 millones de votantes de
según Saavedra y Tapia (2013), es difícil en la actualidad visualizar E.E.U.U.
una empresa exitosa sin el apoyo de las TIC. Son muchos los bene- 4. Publicación de información personal de 93 millones de
ficios que las TIC aportan a los negocios, pero también trae consigo mexicanos
riesgos que pudieran impactar gravemente en la continuidad de las 5. Robo de millones de cuentas de yahoo
operaciones de los mismos. 6. Robo de 500 millones de cuentas a yahoo (en 2014)
Por ello se ven obligados a preocuparse por tener una seguridad 7. Robo de 400 millones de cuentas a Friend Finder Ne-
informática lo suficientemente adecuada e invertir la cantidad óp- twork
tima en Seguridad Informática, asegura Vera,G. y Vera, J. (2017), 8. Ataque de denegación de servicio (DDoS) a Play Station
tomando como base modelos financieros o el análisis económico y Twwiter entre otros
de costo-beneficio y evitando los riesgos que están latentes en la 9. Fallo en la implementación de la pila TCP en sistemas
actualidad. Linux
Según el pronóstico de Gartner (2017), se estima que las em- 10. Fallo en los procesadores Qualcomm
presas aumenten su gasto en productos y servicios de seguridad en
aproximadamente 93,000 millones de dólares en 2018. Esto debido Se puede constatar que estos incidentes que se presentaron en
al incremento de los ataques informáticos que están al alza; Aun- el año 2016 afectaron de una forma importante a muchos negocios;
que existe una gran preocupación al respecto, ya que de acuerdo al así como pérdidas económicas, y daños en su reputación ya que
estudio realizado por McAfee llamado "Hackear la escasez de ha- sus clientes se dieron cuenta que no son de mucha confianza y la
bilidades" trata de la escasez internacional de habilidades de ciber- información de éstos no estaba debidamente protegida. Además, las
seguridad, donde respondieron a una encuesta países como: Reino actividades empresariales se vieron paralizadas y afectó la continui-
Unido, Francia, Israel, Estados Unidos, Alemania, Japón, Australia dad de las mismas, dañando tanto a la empresa como a sus clientes,
y México y estos dos últimos países argumentaron que hay una gran proveedores y hasta ciudadanos.
cantidad de escasez de profesionales en seguridad cibernética, lo
 726

Hacking ético podemos mencionar que evita que los hackers maliciosos obtengan
acceso a información restringida al contar con medidas preventivas
El hacker ético es: “un individuo capacitado para defender a las em- adecuadas para evitar brechas de seguridad (Sánchez Carvajal, Ma-
presas de los ataques virtuales o crackers” Lara, F. (2009), también nuel Henry; 2013).
se le llama hacker de sombrero blanco quién tiene como su único Otros beneficios del hackeo ético es el contar con mayor
y primordial objetivo “ buscar vulnerabilidades en los sistemas de conocimiento de los riegos y poder reducirlos, ahorro de tiempo
información o si no crear uno nuevo que permita actuar dentro de y gastos al obtener los datos de los riesgos que se presentan para
la legalidad y ética” Greenhill, K. (2010); no se le considera pro- afrontarlos con tiempo o estar mejor preparados, mejora de la ca-
piamente un delincuente en cuestión, se trata de que piense y actúe lidad de la empresas en el marco de seguridad, detección temprana
como delincuente con la única finalidad de que pueda defender a de futuros fallos o detectar las brechas de seguridad (Malagón,
una organización y le ahorre muchos dolores de cabeza. “El obje- 2010).
tivo del Hacker ético es ayudar a la organización a tomar medidas Según Voutssas (2010), las amenazas informáticas son even-
preventivas contra ataques maliciosos al atacar él mismo el siste- tos que pudieran ocasionar algún daño a los insumos informáticos
ma”. Semana (2017). de la organización, como: Malware o malicious software, pérdida,
El hacking ético según Secure IT, que es una empresa Española “es destrucción, alteración o sustracción de información por parte de
una práctica preventiva para evitar la actuación de los hackers y la personal de la organización, agregándole la consulta y divulga-
sustracción de información confidencial o la destrucción de archivos ción de información de personas externas o grupos ajenos a la
importantes”. corporación con malas intenciones o con acceso no autorizado,
Existe una organización internacional llamada EC Countil , por último la pérdida o destrucción de información debido a fallas
que tiene como función principal dar cursos y otorgar certificacio- de equipo o catástrofes naturales, ataques de negación de servicio
nes en las áreas de seguridad de la información y comercio electró- o de intrusión a los sistemas de la organización por parte de ciber–
nico. Las personas que se hacen acreedoras a este tipo de certifica- criminales, los "phishers", especializados en robo de identidades
ción cuentan con habilidades que le permitirán detectar debilidades personales y otros ataques del tipo de "ingeniería social"; Los
en los sistemas, utilizando algunas de las herramientas comúnmente "spammers" y otros mercadotecnistas irresponsables y egoístas
conocidas por los hackers ( Jauregui Lima , 2013). Básicamente se quienes saturan y desperdician el ancho de banda de las organiza-
trata de burlar la seguridad de manera controlada de una empresa ciones y el advenimiento de tecnologías avanzadas tales como el
con la finalidad de implementar soluciones a dichas vulnerabilida- cómputo quantum.
des, implementando buenas prácticas, políticas y controles que ayu-
den a minimizar los riesgos existentes. Delitos informáticos

Seguridad informática Los delitos informáticos son comportamientos ilícitos, según refiere
Sánchez (2006), debido a su incorporación en todos los ámbitos de
La seguridad informática se considera como “una disciplina del la sociedad, se generan ciertas acciones no adecuadas y en conse-
conocimiento, donde se busca cerrar la brecha de los eventos ines- cuencia por este tipo de situaciones no éticas los países las tienen ti-
perados que puedan comprometer los activos de una organización pificados en sus legislaciones y con sus sanciones correspondientes.
y así contar con estrategias que le permitan avanzar ante cualquier Podemos resumir que son aquellas conductas en las que las Tecno-
eventualidad.” (Cano, 2004). logías de Información son el objetivo o medio de ejecución, aunque
El objetivo primordial de la seguridad informática es el mi- afecten a bienes jurídicos diversos (Villavivencio, 2014).
nimizar los riesgos en todos los recursos informáticos, garantizan- Algunos delitos informáticos que comúnmente se están dando
do la continuidad de las operaciones de la organización, mientras hoy día en México según la Condusef, se reportó un incremento del
esta administra dichos riesgos a un costo aceptable (Voutssas, 45 % en "robo de identidad en diversas modalidades como lo es
2010). Para Ayala (2011), la seguridad informática en una organi- fraude bancario, robo de identidad, estafa cibernética y clonación
zación es un proceso continuo, no un producto que debe comprar- de tarjetas bancarias."
se o instalarse, se deben incluir actividades como la valoración
de riesgos, prevención, detección y respuesta ante incidentes de Buenas prácticas
seguridad.
Los elementos esenciales de la seguridad según comenta Por lo descrito anteriomente, es necesario que toda organización
Malagón, (2010), son: la confidencialidad, que tiene que ver con que posea activos informáticos, debe contar con políticas de se-
ocultar la información o recursos; la autenticidad, es la identifica- guridad documentadas y procedimientos internos acerca de las es-
ción y garantía del origen de la información; otro elemento es la trategias y disposiciones que guíen los principales rubros y áreas
integridad que se refiere a los cambios no autorizados en los datos; relacionados con la seguridad de dichos bienes y que permitan su
y la disponibilidad que tiene que ver con la posibilidad de hacer actualización y revisión por parte de un comité de seguridad interno
uso de la información y recursos deseados en el momento en que (Voutssas, 2010).
se requiera. Algunos de los principales objetivos de control y acciones
Es muy importante que los negocios consideren a la seguri- que menciona Voutssas (2010), es crear políticas y procedimientos
dad informática como la mejor alternativa y la prevención como internos generales de seguridad informática, de acceso a instalacio-
su mejor estrategia de seguridad. Entre los beneficios que otorga nes sensibles, de inventarios de bienes informáticos, de respaldo
 727

de datos, de resguardo de información, para asignación de usuarios Figura 1. Matriz de riesgos. (MR)
y lineamientos normativos de acceso, para la creación y manteni-
miento de software.
Todos estos objetivos de control y acciones que menciona-
mos se logran implementando buenas prácticas y así contar con
seguridad informática, algunas alternativas son: COBIT, ITIL, ISO
27001:2013. En relación al COBIT (Control Objectives for Infor-
mation and related Technology), es un marco de referencia acep-
tado internacionalmente de buenas prácticas para el control de la
información TI y los riesgos que conllevan. Fuente: Elaboración propia.
El ITIL es una metodología basada en la calidad del servicio
y el desarrollo eficaz y eficiente de los procesos, que cubren las ac- Figura 2. Modelo del proceso de seguridad mínimo
tividades más importantes de las organizaciones en sus sistemas de aceptable propuesto para las organizaciones.
información (Ramírez & Donoso, 2006). Esta metodología propor-
ciona una guía de buenas prácticas de TI que son muy importantes
para las empresas como son tareas, actividades, responsabilidades
y procedimientos y una lista de verificación que cualquier tipo de
empresa fácilmente puede implementar sin importa el tipo o giro
del negocio.
Además de los anteriores, existe una norma de sistemas de
gestión de seguridad de la información, denominada ISO 2700, la
cual es reconocida a nivel internacional, esta maneja un marco de
trabajo que identifica las mejores prácticas, permitiendo a las or-
ganizaciones identificar, analizar e implementar controles para la
gestión de riesgos de seguridad de la información.
Otra opción es la auditoría de sistemas o auditoría informáti-
ca, la cual ayuda a las empresas a comprobar si realmente funcio- Fuente: Elaboración propia.
nan los controles establecidos y las buenas prácticas anteriormente
mencionadas que se han implementado para lograr la seguridad in- 4. RESULTADOS
formática.Para Garzón, Ratkovich y Vergara ("s.f") la auditoría es
la revisión y evaluación de los controles, sistemas y procedimientos Con base en la información recabada en esta investigación, el aná-
de informática; está destinada a evaluar el cumplimiento de norma- lisis de los datos y ante el incremento de los riesgos y delitos infor-
tivas, la gestión de los recursos, el funcionamiento y seguridad de máticos que se han estado presentando en las organizaciones a nivel
los sistemas de información en las organizaciones (Gómez, Estrada, mundial, se recomienda que para lograr una seguridad informática
Bauta & García, 2012). efectiva, se contrate los servicios de un hacker ético para que realice
un escaneo y un estudio de vulnerabilidad informática y se detec-
3. METODOLOGÍA ten los riesgos latentes que pueda tener la organización. Teniendo
esta información podemos utilizar la matriz de riesgos (MR) aquí
El enfoque metodológico aplicado para esta investigación fue con- propuesta, para analizarlos y documentarlos e ir identificando las
ceptual documental; El diseño de la técnica de recolección de datos diferentes acciones y soluciones que tendremos que implementar
es analítico, ya que fue recabada de fuentes de información públicas para lograr la seguridad informática en la organización.
y privadas, y de datos estadísticos de los últimos años y en artículos La MR servirá para identificar de manera formal y documen-
elaborados por expertos en el tema de hacking ético y seguridad tada, los posibles riesgos a los cuáles la organización está expuesta
informática. de acuerdo al estudio preliminar del hacker ético, y para cada uno
La pregunta planteada para este estudio fue la siguiente: de ellos conocer su porcentaje de ocurrencia, el costo asociado al
¿Qué tan conveniente es el hacker ético en las organizaciones riesgo, que nos permitirá tener un aproximado de cuanto nos cos-
como una forma de lograr la seguridad informática? taría y conocer las acciones que deberemos de realizar o llevar a
A continuación se presenta el primer modelo para la identi- cabo en diferentes etapas del mismo, ya sea en una primera etapa
ficación de los riesgos y sus acciones (figura 1), que servirá para como prevención, en una segunda etapa acerca de cómo poder en-
determinar de manera formal y documentada los posibles riesgos a frentarlos en el momento justo en que el riesgo se presente y en
los cuáles la organización está expuesta de acuerdo al estudio preli- una tercera etapa las acciones que se tendrán que realizar y son
minar que haya realizado el hacker ético. necesarias para poder remediar los inconvenientes y daños que nos
En el segundo modelo propuesto (figura 2), se muestra como haya ocasionado.
lograr un nivel de seguridad mínimo aceptable en las oganizaciones Por último diseñar políticas y procedimientos para cada uno
teniendo en cuenta tareas importantes y buenas prácticas recomen- de los riesgos identificados, con la finalidad de reducir el porcentaje
dadas. de ocurrencia de cada uno de éstos. Tal vez no podremos eliminar-
 728

los todos, pero si disminuir el porcentaje de que ocurran y contro- invertir que tener que lamentar un desastre o que las organizaciones
larlos de forma interna: educando y enseñándoles a los empleados pierdan su valiosa información.
del negocio como podemos prevenir los riesgos.
Esta Matriz nos ayudará a lograr identificar los riesgos y pre-
venir algún ataque, y si se llegara a presentar, saber cómo enfren-
tarlos y salir menos dañados, todo esto gracias al estudio preliminar
que el Profesional de TI en este caso el hacker ético hizo y de esta
forma podremos tener seguridad informática en las organizaciones.
El modelo del proceso de seguridad mínimo aceptable (aquí
propuesto) para las organizaciones, nos servirá como guía para no
perder el camino a seguir en cuanto a las actividades que se tendrán
que llevar a cabo para lograr y mantener la seguridad informática.
Es indispensable en todo momento apoyarse con profesiona-
les de TI para que nos recomienden la mejor solución y estrategia.
Además, deberá de adoptarse buenas prácticas reconocidas a nivel
mundial como: COBIT, ITIL e ISO 27001:2013

5. CONCLUSIONES

Todas las organizaciones ya sean públicas o privadas, sin importar

el giro del negocio o actividad a la que se dediquen, primeramente
deberán de estar convencidos de que tienen que invertir en Segu-
ridad Informática, y que no es un dinero mal invertido ya que su
información es crítica y muy valiosa para poder funcionar de una
manera óptima y tomar buenas decisiones, y si se presenta un riesgo
o un ataque informático podrán verse afectados sus datos e inclusi-
ve perderlos por no haber tenido la seguridad necesaria para poder
evitarlos. Deberán de reconocer los beneficios y el valor que le ge-
neran las TIC, para poder apreciar que deben de cuidar celosamente
a su empresa.
Las empresas deberán de contratar los servicios profesionales
de un Hacker ético. Este profesional ayudará a identificar riesgos y
vulnerabilidades a las que están expuestas las organizaciones ante el
aumento de delitos informáticos hoy día. Deberán de implementar
las estrategias de seguridad y buenas prácticas, marcos de referen-
cia que se les recomienden para evitar salir afectados por cualquier
riesgo o inseguridad detectada.
Además, las organizaciones deberán de actualizar de forma
constante los objetivos de control, las políticas y procedimientos,
así como los riesgos identificados en la matriz de riesgos fig.1 cada
vez que se realice un estudio de vulnerabilidad y riesgos detectados
por un hacker ético, implementando el software o tecnologías ade-
cuadas para lograr la seguridad informática.
Se recomienda que si en la empresa existe un departamento
o área de TI, se capacite y prepare debidamente mediante alguna
certificación a alguno de los integrantes de esa área, para que pueda
ser en el futuro profesional de TI y sea el hacker ético (sombrero
blanco) de la organización.
Un aspecto muy importante y que ayudará a reducir en parte
los ataques o riesgos es capacitar a los usuarios o empleados de
las empresas con buenas prácticas de seguridad y de esta forma no
participen en el aumento de estos.
Podemos afirmar que “La prevención es la mejor estrategia y
arma de seguridad en las organizaciones.” Se recomienda no escati-
mar nunca en la seguridad, ya que es una buena inversión, que nos
ayudará a mantener y proteger a las organizaciones a salvo de los
riesgos y ataques que comúnmente se enfrentan hoy día ,más vale
 729

REFERENCIAS ISO 27001 Para la mejora del rendimiento en seguridad de la infor-

mación. http://www.lrqa.es/Images/28141-datasheet-
Ayala, G., Gómez Julian (2011) Guía de buenas prácticas de segu isoiec-27001-de-sistemas-de-gestin-de-se.pdf
ridad de la información para micros pequeñas y medianas. Jauregui, L. ¿Qué Comprende Ethical Hacking?. RITS. 2013,
Universidad Tecnológica de Pereira. ISSN 0122- n.8 [citado 2018-03-20], pp. 9-10 . Disponible en:
1701. http://repositorio.utp.edu.co/dspace/bitstream/ <http://www.revistasbolivianas.org.bo/scielo.php?scrip
handle/11059/2514/0058A973_anexo.pdf?sequence=2 t=sci_arttext&pid=S1997-40442013000100005&ln
Cano, J. J. (2004). Inseguridad Informática: un concepto dual en se- g=es&nrm=iso>. ISSN 1997-4044.
guridad informática. (Spanish). Revista de Ingeniería, Lara, F. (2009). Escuela para hackers. (Spanish). Contenido, (550),
(19), 40-44. 40-45.
Cardenas, S.,Becerra, A.& Martínez, A. (2013). Gestión de la Mcafee (s.f) Hacking the Skills Shortage. Recolectado de https://
seguridad de la información: un marco de trabajo. Re- www.mcafee.com/us/resources/reports/rp-hacking-
colectado de http://congreso.investiga.fca.unam.mx/ skills-shortage.pdf
docs/xviii/docs/2.04.pdf, 2013 ANFECA Malagón, C. (2010). Nerbrija Universidad de Madrid. Obtenido de
Castrillo, J.(2018).Cuando la identidad física y la identidad móvil Nerbrija Universidad de Madrid: http://www.nebrija.
coexisten, hay más beneficios en seguridad. Revista mas es/~cmalagon/seguridad_informatica/transparencias/
seguridad. Recolectado http://www.revistamasseguridad. Modulo_0.pdf
com.mx/2018/01/24/cuando-la-identidad-fisica-la-iden- Montaño O. V. La gestión en la seguridad de la información según
tidad-movil-coexisten-mas-beneficios-seguridad/ Cobit, Itil e Iso 27000
Castro Rojas, J. E., Farigua Gutiérrez, J. A. y Suárez Cortés, L. E. Ramírez, B.P. Y Donoso, J. F. (2006) http://repositorio.uchile.cl/
(2016). Guía de auditoría para evaluar el aseguramiento handle/2250/108405
de la disponibilidad e integridad de la información en el
Revista Pensamiento Americano ISSN: 2027-2448 Vol 2 No. 6.
sistema de contratación de la Secretaria Distrital de In
Enero – Junio 2011 (Págs 21-23)
tegración Social, basada en la norma ISO 27001:2013.
Sanchez, G.E y Zuñiga S. L (2011).Revista Nacional de administra-
Trabajo de Grado. Universidad Católica de Colombia.
ción. Volumen 2 (2) 145-154.
Facultad de Ingeniería. Programa de Ingeniería de Sis
Sanchez, C. y Henry, M. Ethical Hacking: La Importancia de una in-
temas. Especialización en Auditoría de Sistemas de In
trusión controlada. RITS [online]. 2013, n.8 [ci-
formación. Bogotá, Colombia
tado 2018-03-21], pp. 11-13 . Disponible en: <http://
Cifuentes, C. (2017). Los diez mayores ataques informáticos de
www.revistasbolivianas.org.bo/scielo.php?script=sci_
2016. ED Economía digital. Sección Tecnologías y
arttext&pid=S1997-40442013000100006&lng=es&n
Tendencias. Recolectado de 5 abril 2018. https://www.
rm=iso>. ISSN 1997-4044.
economiadigital.es/tecnologia-y-tendencias/los-diez-
Sánchez Curbelo, B. V. (2006). Las nuevas tecnologías y los delitos
mayores-ataques-informaticos-de-2016_188964_102.html
informáticos. (Spanish). Tono: Revista Técnica De La
Computer World México (2017) México.Recolectado de http://
computerworldmexico.com.mx/la-inversion-en-seguri- Empresa De Telecomunicaciones De Cuba, S.A, (3), 14-
dad-aumentara-7-en-2017-estima-gartner/ 19.
Felipe Villavicencio, T. F. (2014) Delitos Informáticos.IUS ET VE Saavedra García, M.,& Tapia Sánchez, B. (2013). El uso de las tec-
RITAS No. 49, 285-304. http://revistas.pucp.edu.pe/index. nologías de información y comunicación TIC en las mi-
php/iusetveritas/article/view/13630 cro, pequeñas y medianas empresas (MIPyME) indus-
Garzón, Ratkovich, Vergara ("sin fecha"). Metodología de análisis triales mexicanas. Enl@ce: Revista Venezolana de Infor-
de vulnerabilidades para empresas de media y pequeña mación, Tecnología y Conocimiento, 10(1), 85-104.
escala. Recolectado de: http://hermes.javeriana.edu.co/ Secure &IT (2015). Los beneficios del hacking ético para las empre
biblos/tesis/ingenieria/tesis181.pdf sas. Recolectado https://www.secureit.es/los-beneficios-
Gil Vera,V., & Gil Vera, J (2017). Seguridad informática organiza- del-hacking-etico-para-las-empresas/#
cional: un modelo de simulación basado en dinámica de Semana (2017). Como ser un hacker profesional Recolectado http://
sistemas. Scientia Et Technica, 22(2), 193-197. www.semana.com/educacion/articulo/hacker-como-
Gómez A. V (2014) Tipos de ataques y de intrusos en las redes ser-un-hacker-profesional/525664
informáticas. Recolectado de http://www.edisa.com/ Valladolid (2017). Diez principales incidentes en ciberse-
wp-content/uploads/2014/08/Ponencia_-_Tipos_de_ guridad de 2016. Recolectado http://www.abc.es/
ataques_y_de_intrusos_en_las_redes_informaticas.pdf. espana/castilla-leon/abci-diez-principales-incidentes-
Gómez Baryolo, O., Estrada Sentí, V., Bauta Camejo, R. R., & ciberseguridad-2016-201702131420_noticia.html
García Rodríguez, I. (2012). Modelo de gestión de log Voutssas M., Juan. (2010). Preservación documental digital y segu-
para la auditoría de información de apoyo a la toma de ridad informática. Investigación bibliotecológica,
decisiones en las organizaciones. (Spanish). Acimed, 24(50), 127-155. Recuperado de http://www.scielo.org.
24(2), 187-200. mx/scielo.php?script=sci_arttext&pid=S0187-
Greenhill, K. (2010). Transformando la biblioteca pública: de 358X2010000100008
conservadores de ediciones impresas a creadores de con-
tenido digital.