Sistematización del fortalecimiento de la seguridad informática mediante controles de ciberseguridad y gestión de identidades en Colsubsidio

dc.contributor.advisorCubillos Sanchez, Rafael Orlando
dc.contributor.authorGamboa Prietro, Julián Esteban
dc.contributor.corporatenameUniversidad Santo Tomás
dc.contributor.cvlachttps://scienti.minciencias.gov.co/cvlac/visualizador/generarCurriculoCv.do?cod_rh=0001040294
dc.contributor.cvlachttps://scienti.minciencias.gov.co/cvlac/visualizador/generarCurriculoCv.do?cod_rh=0002481622
dc.contributor.googlescholarhttps://scholar.google.com/citations?user=a527iHIAAAAJ&hl=es&oi=ao
dc.contributor.orcidhttps://orcid.org/0000-0002-3364-9127
dc.date.accessioned2026-04-29T16:20:10Z
dc.date.available2026-04-29T16:20:10Z
dc.date.issued2026-04-29
dc.descriptionLa presente monografía sistematiza el fortalecimiento de la seguridad informática en Colsubsidio a partir de los controles de ciberseguridad y la gestión de identidades implementados en la Gerencia de Tecnología, área de Seguridad Informática, durante el periodo de práctica comprendido entre el 15 de julio de 2025 y el 14 de enero de 2026. El estudio se enmarca en un enfoque descriptivo tipo estudio de caso y se apoya en la revisión de evidencias generadas por herramientas especializadas como Azure Entra ID, Qualys, CrowdStrike y SAP, así como en matrices de acceso, inventarios de conectividad y reportes para revisoría fiscal. En el componente de ciberseguridad se analizan los controles de monitoreo de identidades en la nube mediante autenticación multifactor y acceso condicional, la gestión de vulnerabilidades en veinticuatro portales web y la respuesta ante alertas de seguridad en endpoints, junto con la verificación periódica de direcciones IP en listas negras para preservar la disponibilidad y reputación de los servicios tecnológicos. En el componente de gestión de identidades se estudian los procesos de revisión de usuarios no genéricos, la depuración de más de mil roles obsoletos en SAP y el control mensual de ciento trece transacciones críticas, orientados a reforzar el principio de mínimo privilegio y la segregación de funciones en los sistemas ERP y aplicativos asociados. Los resultados evidencian una mejora en la trazabilidad de accesos privilegiados, una mayor visibilidad sobre vulnerabilidades y una consolidación de las evidencias requeridas por auditoría interna y revisoría fiscal, demostrando que la articulación entre IAM, gestión de vulnerabilidades y seguridad de red constituye un pilar fundamental para la protección de los activos tecnológicos de la organización. Asimismo, la sistematización de esta experiencia aporta un marco de referencia práctico para la implementación y seguimiento de controles de seguridad de la información en entornos corporativos complejos.
dc.description.abstractThis monograph examines the strengthening of IT security at Colsubsidio based on the cybersecurity controls and identity management implemented by the IT Security Department within the Technology Division during the internship period from July 15, 2025, to January 14, 2026. The study takes a descriptive, case-study approach and is based on the review of evidence generated by specialized tools such as Azure Entra ID, Qualys, CrowdStrike, and SAP, as well as access matrices, connectivity inventories, and reports for the fiscal audit. The cybersecurity component analyzes identity monitoring controls in the cloud through multi-factor authentication and conditional access, vulnerability management across twenty-four web portals, and the response to security alerts on endpoints, along with periodic verification of IP addresses against blacklists to preserve the availability and reputation of technology services. The identity management component examines the processes for reviewing non-generic users, the removal of over 1,000 obsolete roles in SAP, and the monthly monitoring of 113 critical transactions, all aimed at reinforcing the principle of least privilege and the segregation of duties in ERP systems and associated applications. The results demonstrate improved traceability of privileged access, greater visibility into vulnerabilities, and a consolidation of the evidence required by internal audit and statutory audit, showing that the integration of IAM, vulnerability management, and network security constitutes a fundamental pillar for protecting the organization’s technological assets. Furthermore, the systematization of this experience provides a practical framework for the implementation and monitoring of information security controls in complex corporate environments.
dc.description.degreelevelPregradospa
dc.description.degreenameIngeniero de Telecomunicacionesspa
dc.format.mimetypeapplication/pdf
dc.identifier.citationGamboa Prieto, J. E. (2026). Sistematización del fortalecimiento de la seguridad informática mediante controles de ciberseguridad y gestión de identidades en Colsubsidio. [Trabajo de Grado, Universidad Santo Tomás]. Repositorio Institucional
dc.identifier.instnameinstname:Universidad Santo Tomásspa
dc.identifier.reponamereponame:Repositorio Institucional Universidad Santo Tomásspa
dc.identifier.repourlrepourl:https://repository.usta.edu.cospa
dc.identifier.urihttp://hdl.handle.net/11634/72232
dc.language.isospa
dc.publisherUniversidad Santo Tomásspa
dc.publisher.branchCRAI-USTA Bogotá
dc.publisher.facultyFacultad de Ingeniería de Telecomunicacionesspa
dc.publisher.programPregrado Ingeniería de Telecomunicacionesspa
dc.relation.referencesInternational Organization for Standardization, ISO/IEC 27001:2022 – Information security, cybersecurity and privacy protection – Information security management systems – Requirements, Ginebra, Suiza, 2022. [En línea]. Disponible en: https://www.iso.org/standard/27001.html. [Accedido: 18-mar-2026].
dc.relation.referencesGRC Solutions, “ISO/IEC 27001:2022 – The Information Security Management …,” 2025. [En línea]. Disponible en: https://grcsolutions.io/iso27001/. [Accedido: 18-mar-2026].
dc.relation.referencesOracle, “Identity and Access Management (IAM),” 2023. [En línea]. Disponible en: https://www.oracle.com/latam/security/identity-management/. [Accedido: 18-mar-2026].
dc.relation.referencesOracle, “Identity and Access Management (IAM) Defined,” 2021. [En línea]. Disponible en: https://www.oracle.com/security/identity-management/whatis-iam/. [Accedido: 18-mar-2026].
dc.relation.referencesCheck Point, “¿Qué es la gestión de identidades y accesos (IAM)?,” 2022. [En línea]. Disponible en: (sitio de Check Point – sección Cyber Hub IAM). [Accedido: 18-mar-2026].
dc.relation.referencesTenable, “¿Qué es la gestión de identidades y acceso (IAM)?,” 2025. [En línea]. Disponible en: (sitio de Tenable – cybersecurity guide / IAM). [Accedido: 18-mar-2026].
dc.relation.referencesFortinet, “Administración de identidad y acceso (IAM),” s. f. [En línea]. Disponible en: https://www.fortinet.com/lat/resources/cyberglossary/identityand-access-management. [Accedido: 18-mar-2026].
dc.relation.referencesABC Xperts, “¿Qué es la tríada en Seguridad de la Información?,” 2024. [En línea]. Disponible en: (blog de ABC Xperts). [Accedido: 18-mar-2026].
dc.relation.referencesDataSunrise, “Confidencialidad, Integridad, Disponibilidad: Ejemplos Clave,” 2025. [En línea]. Disponible en: (sitio de DataSunrise – knowledge center). [Accedido: 18-mar-2026].
dc.relation.referencesSilikn, “Tríada CIA: un marco de principios para definir políticas de seguridad,” 2024. [En línea]. Disponible en: (blog de Silikn). [Accedido: 18- mar-2026].
dc.relation.referencesComputer Weekly, “¿Qué es autenticación multifactor o MFA?,” 2021. [En línea]. Disponible en: (glosario en español de Computer Weekly). [Accedido: 18-mar-2026].
dc.relation.referencesFortinet, “¿Qué es la autenticación multifactor (MFA)?,” s. f. [En línea]. Disponible en: https://www.fortinet.com/lat/resources/cyberglossary/multifactor-authentication. [Accedido: 18-mar-2026].
dc.relation.referencesMitek Systems, “¿Qué es la autenticación multifactor?,” 2026. [En línea]. Disponible en: (blog de Mitek). [Accedido: 18-mar-2026].
dc.relation.referencesINCIBE-CERT, “CVSS v4.0: avanzando en la evaluación de vulnerabilidades,” 2023. [En línea]. Disponible en: https://www.incibe.es/incibe-cert/blog/cvss-v40-avanzando-en-laevaluacion-de-vulnerabilidades. [Accedido: 18-mar-2026].
dc.relation.referencesTuxCare, “La transición a CVSS v4.0: lo que necesita saber,” 2025. [En línea]. Disponible en: https://tuxcare.com/es/blog/cvss-v4-0. [Accedido: 18-mar2026].
dc.relation.referencesHispasec – Una al día, “CVSS 4.0: Nueva versión de evaluación de vulnerabilidades,” 2023. [En línea]. Disponible en: https://unaaldia.hispasec.com/2023/11/cvss-4-0-nueva-version-deevaluacion-de-vulnerabilidades.html. [Accedido: 18-mar-2026].
dc.relation.referencesTrellix, “¿Qué es la detección y respuesta para endpoints (EDR)?,” 2024. [En línea]. Disponible en: (sitio de Trellix – security awareness / endpoint). [Accedido: 18-mar-2026].
dc.relation.referencesTrend Micro, “¿Qué es Endpoint Detection and Response (EDR)?,” 2025. [En línea]. Disponible en: https://www.trendmicro.com/es_mx/whatis/xdr/edr.html. [Accedido: 18-mar-2026].
dc.relation.referencesKaspersky, “¿Qué es la EDR? Definición de Endpoint Detection and Response,” 2022. [En línea]. Disponible en: (resource center de Kaspersky). [Accedido: 18-mar-2026].
dc.relation.referencesProofpoint, “¿Qué es EDR (Endpoint Detection and Response)?,” 2024. [En línea]. Disponible en: (Threat Reference de Proofpoint). [Accedido: 18-mar2026].
dc.relation.referencesEvaluandoERP, “Seguridad del ERP y restricciones dentro del sistema,” 2024. [En línea]. Disponible en: https://www.evaluandoerp.com/sistema-degestion/sistema-erp/seguridad-y-restricciones-del-sistema/. [Accedido: 18- mar-2026].
dc.relation.referencesComparaSoftware, “7 estándares de seguridad de un ERP: ¿tu proveedor los cumple?,” 2023. [En línea]. Disponible en: https://blog.comparasoftware.com/estandares-seguridad-erp/. [Accedido: 18- mar-2026].
dc.relation.referencesSkyPlanner, “La seguridad de ERP,” 2025. [En línea]. Disponible en: https://skyplanner.ai/es/recursos/la-seguridad-de-erp/. [Accedido: 18-mar2026].
dc.relation.referencesCalipso, “Seguridad en el ERP,” 2025. [En línea]. Disponible en: https://www.calipso.com/articulos/seguridad-en-el-erp/. [Accedido: 18-mar2026].
dc.relation.referencesGuruSIS, “Sistemas ERP con seguridad y protección de datos,” 2024. [En línea]. Disponible en: https://gurusis.com/seguridad-y-proteccion-de-datosen-sistemas-erp/. [Accedido: 18-mar-2026].
dc.relation.referencesZ-Net, “Tutorial: cómo filtrar sitios por categorías y listas negras en Fortigate,” s. f. [En línea]. Disponible en: https://www.z-net.com.ar/blog-post/9-tutorialcomo-filtrar-sitios-por-categorias-y-listas-negras-en-fortigate/. [Accedido: 18- mar-2026].
dc.relation.referencesFortinet, “Servicio de filtrado web FortiGuard,” s. f. [En línea]. Disponible en: https://www.fortinet.com/lat/support/support-services/fortiguard-securitysubscriptions/web-filtering. [Accedido: 18-mar-2026].
dc.relation.referencesFortinet, “FortiGuard filter – FortiGate/FortiOS 7.6.5 Administration Guide,” 2025. [En línea]. Disponible en: https://docs.fortinet.com/document/fortigate/7.6.5/administrationguide/675558/fortiguard-filter. [Accedido: 18-mar-2026].
dc.relation.referencesFortiGuard, “Web Filter Categories,” s. f. [En línea]. Disponible en: https://www.fortiguard.com/webfilter/categories. [Accedido: 18-mar-2026].
dc.relation.referencesPowerDMARC, “Comprobador de listas negras: controle la reputación de su dominio,” 2025. [En línea]. Disponible en: https://powerdmarc.com/es/blacklist-monitoring-ip-check/. [Accedido: 18- mar-2026].
dc.relation.referencesEmail Vendor Selection, “Las 7 mejores herramientas para comprobar la reputación IP,” 2026. [En línea]. Disponible en: (blog de EmailVendorSelection). [Accedido: 18-mar-2026].
dc.relation.referencesZeroBounce, “Verificador gratuito de listas negras de IP y dominios,” s. f. [En línea]. Disponible en: https://www.zerobounce.net/es/blacklist-checker. [Accedido: 18-mar-2026].
dc.relation.referencesMailjet, “Lista negra: qué es y cómo saber si tu IP está en una blacklist,” 2026. [En línea]. Disponible en: https://www.mailjet.com/es/blog/entregabilidad/blacklist/. [Accedido: 18-mar2026].
dc.relation.referencesBenchmark Email, “Pasos a seguir cuando tu dirección IP está en la lista negra,” 2024. [En línea]. Disponible en: https://www.benchmarkemail.com/es/blog/pasos-a-seguir-cuando-sudireccion-de-ip-esta-en-la-lista-negra/. [Accedido: 18-mar-2026].
dc.relation.referencesCOLSUBSIDIO, Organigrama Colsubsidio. Bogotá, D. C., Colsubsidio, s. f. [En línea]. Disponible en: https://www.colsubsidio.com/hubfs/documentos/colsubsidio/organigramacolsubsidio.pdf. [Accedido: 20-ene-2026].
dc.relation.referencesMicrosoft Corporation, Azure Entra ID Documentation. Redmond, WA, Microsoft, 2024. [En línea]. Disponible en: https://learn.microsoft.com. [Accedido: 20-ene-2026].
dc.relation.referencesSAP SE, SAP NetWeaver – User Administration and Authorization Concepts. Walldorf, Alemania, SAP SE, 2023. [En línea]. Disponible en: https://help.sap.com. [Accedido: 20-ene-2026].
dc.relation.referencesSAP SE, SAP Security Guide. Walldorf, Alemania, SAP SE, 2023. [En línea]. Disponible en: https://help.sap.com. [Accedido: 20-ene-2026].
dc.relation.referencesQualys Inc., Qualys Vulnerability Management User Guide. Foster City, CA, Qualys Inc., 2024. [En línea]. Disponible en: https://www.qualys.com/documentation/. [Accedido: 20-ene-2026].
dc.relation.referencesCrowdStrike Inc., CrowdStrike Falcon Platform Documentation. Sunnyvale, CA, CrowdStrike, 2024. [En línea]. Disponible en: https://www.crowdstrike.com/resources/. [Accedido: 20-ene-2026].
dc.relation.referencesCOLSUBSIDIO, Perfil organizacional de Colsubsidio. Bogotá, D. C., Colsubsidio, 2025. [En línea]. Disponible en: https://www.colsubsidio.com/quienes-somos/perfil-organizacional. [Accedido: 18-ene-2026]
dc.relation.referencesCOLSUBSIDIO, “¿Quiénes somos?,” Bogotá, D. C., Colsubsidio, 2026. [En línea]. Disponible en: https://www.colsubsidio.com/quienes-somos. [Accedido: 18-ene-2026].
dc.relation.referencesABC Xperts, “¿Qué es la triada en Seguridad de la Información?,” 2024. [En línea]. Disponible en: https://abcxperts.com/que-es-la-triada-en-seguridadde-la-informacion/. [Accedido: 13-mar-2026].
dc.relation.referencesDataSunrise, “Confidencialidad, Integridad, Disponibilidad: Ejemplos Clave,” 2025. [En línea]. Disponible en: https://www.datasunrise.com/es/centro-deconocimiento/ejemplos-de-confidencialidad-integridad-disponibilidad/. [Accedido: 13-mar-2026].
dc.relation.referencesOntek, “Tríada CID (Confidencialidad, Integridad y Disponibilidad),” 2019. [En línea]. Disponible en: https://www.ontek.net/que-es-triada-cid/. [Accedido: 13-mar-2026].
dc.relation.referencesSilikn, “Tríada CIA: Un marco de principios para definir políticas de seguridad,” 2024. [En línea]. Disponible en: https://www.silikn.com/2024/07/triada-cia-un-marco-de-principios-para.html. [Accedido: 13-mar-2026].
dc.relation.referencesOracle, “Qué es Identity and Access Management (IAM),” 2024. [En línea]. Disponible en: https://www.oracle.com/latam/security/identitymanagement/what-is-iam/. [Accedido: 14-mar-2026].
dc.relation.referencesFortinet, “¿Qué es la autenticación multifactor (MFA)?,” s. f. [En línea]. Disponible en: https://www.fortinet.com/lat/resources/cyberglossary/multifactor-authentication. [Accedido: 14-mar-2026]
dc.relation.referencesTrend Micro, “¿Qué es el Common Vulnerability Scoring System (CVSS)?,” 2026. [En línea]. Disponible en: https://www.trendmicro.com/es_es/whatis/attack-surface/cvss-common-vulnerability-scoring-system.html. [Accedido: 15-mar-2026].
dc.relation.referencesFortinet, “Sistema de puntuación de vulnerabilidades comunes (CVSS),” s. f. [En línea]. Disponible en: https://www.fortinet.com/lat/resources/cyberglossary/common-vulnerabilityscoring-system. [Accedido: 15-mar-2026].
dc.relation.referencesDeusto Formación, “Gestionar la seguridad en SAP: accesos y autorizaciones,” 2018. [En línea]. Disponible en: https://www.deustoformacion.com/blog/gestion-empresas/gestionarseguridad-sap-accesos-autorizaciones. [Accedido: 15-mar-2026].
dc.relation.referencesAplirh, “Modelo de autorizaciones en SAP: de la gestión de roles…,” 2025. [En línea]. Disponible en: https://aplirh.es/asignacion-de-roles-a-usuarioscomo-optimizar-tiempo-y-trazabilidad-en-sap/. [Accedido: 15-mar-2026].
dc.relation.referencesNovis, “Roles en SAP: cómo funcionan y cómo definirlos,” 2021. [En línea]. Disponible en: https://www.novis.com.mx/blog/sap/roles-y-perfiles-de-sapcomo-funcionan-y-como-definirlos-12666/. [Accedido: 15-mar-2026].
dc.relation.referencesSAP, “Gestión de la seguridad mediante autorizaciones basadas en la función (SAP SuccessFactors Platform),” 2024. [En línea]. Disponible en: (módulo Managing Security Using SAP SuccessFactors Platform en https://learning.sap.com). [Accedido: 15-mar-2026].
dc.relation.referencesZ-Net, “Tutorial: cómo filtrar sitios por categorías y listas negras en Fortigate,” s. f. [En línea]. Disponible en: https://www.z-net.com.ar/blog-post/9-tutorialcomo-filtrar-sitios-por-categorias-y-listas-negras-en-fortigate/. [Accedido: 15- mar-2026].
dc.relation.referencesFortinet, “Servicio de filtrado web FortiGuard,” s. f. [En línea]. Disponible en: https://www.fortinet.com/lat/support/support-services/fortiguard-securitysubscriptions/web-filtering. [Accedido: 15-mar-2026].
dc.rightsAttribution-NonCommercial-NoDerivs 2.5 Colombiaen
dc.rights.accessrightsinfo:eu-repo/semantics/openAccess
dc.rights.coarhttp://purl.org/coar/access_right/c_abf2
dc.rights.localAbierto (Texto Completo)spa
dc.rights.urihttp://creativecommons.org/licenses/by-nc-nd/2.5/co/
dc.subject.keywordInformation security
dc.subject.keywordCybersecurity
dc.subject.keywordIdentity and Access Management (IAM)
dc.subject.keywordMulti-factor authentication (MFA)
dc.subject.keywordVulnerability Management
dc.subject.keywordERP
dc.subject.keywordSAP
dc.subject.keywordEndpoints
dc.subject.lembIngeniero en Telecomunicaciones
dc.subject.lembSeguridad en la nube
dc.subject.lembGestión de vulnerabilidades
dc.subject.lembControl interno
dc.subject.proposalSeguridad de la información
dc.subject.proposalCiberseguridad
dc.subject.proposalGestión de identidades y accesos
dc.subject.proposalAutenticación multifactor (MFA)
dc.subject.proposalGestión de vulnerabilidades
dc.subject.proposalERP
dc.subject.proposalSAP
dc.subject.proposalEndpoints
dc.titleSistematización del fortalecimiento de la seguridad informática mediante controles de ciberseguridad y gestión de identidades en Colsubsidio
dc.typebachelor thesis
dc.type.coarhttp://purl.org/coar/resource_type/c_7a1f
dc.type.coarversionhttp://purl.org/coar/version/c_ab4af688f83e57aa
dc.type.driveinfo:eu-repo/semantics/bachelorThesis
dc.type.localTrabajo de gradospa
dc.type.versioninfo:eu-repo/semantics/acceptedVersion

Archivos

Bloque original

Mostrando 1 - 1 de 1
Cargando...
Miniatura
Nombre:
2026juliangamboa.pdf
Tamaño:
1.07 MB
Formato:
Adobe Portable Document Format

Bloque de licencias

Mostrando 1 - 3 de 3
Cargando...
Miniatura
Nombre:
license.txt
Tamaño:
807 B
Formato:
Item-specific license agreed upon to submission
Descripción:
Cargando...
Miniatura
Nombre:
2026cartadefacultad.pdf
Tamaño:
570.98 KB
Formato:
Adobe Portable Document Format
Descripción:
Carta de facultad
Cargando...
Miniatura
Nombre:
2026cartadederechosdeautor.pdf
Tamaño:
794.42 KB
Formato:
Adobe Portable Document Format
Descripción:
Carta derechos de autor