Sistematización del fortalecimiento de la seguridad informática mediante controles de ciberseguridad y gestión de identidades en Colsubsidio
| dc.contributor.advisor | Cubillos Sanchez, Rafael Orlando | |
| dc.contributor.author | Gamboa Prietro, Julián Esteban | |
| dc.contributor.corporatename | Universidad Santo Tomás | |
| dc.contributor.cvlac | https://scienti.minciencias.gov.co/cvlac/visualizador/generarCurriculoCv.do?cod_rh=0001040294 | |
| dc.contributor.cvlac | https://scienti.minciencias.gov.co/cvlac/visualizador/generarCurriculoCv.do?cod_rh=0002481622 | |
| dc.contributor.googlescholar | https://scholar.google.com/citations?user=a527iHIAAAAJ&hl=es&oi=ao | |
| dc.contributor.orcid | https://orcid.org/0000-0002-3364-9127 | |
| dc.date.accessioned | 2026-04-29T16:20:10Z | |
| dc.date.available | 2026-04-29T16:20:10Z | |
| dc.date.issued | 2026-04-29 | |
| dc.description | La presente monografía sistematiza el fortalecimiento de la seguridad informática en Colsubsidio a partir de los controles de ciberseguridad y la gestión de identidades implementados en la Gerencia de Tecnología, área de Seguridad Informática, durante el periodo de práctica comprendido entre el 15 de julio de 2025 y el 14 de enero de 2026. El estudio se enmarca en un enfoque descriptivo tipo estudio de caso y se apoya en la revisión de evidencias generadas por herramientas especializadas como Azure Entra ID, Qualys, CrowdStrike y SAP, así como en matrices de acceso, inventarios de conectividad y reportes para revisoría fiscal. En el componente de ciberseguridad se analizan los controles de monitoreo de identidades en la nube mediante autenticación multifactor y acceso condicional, la gestión de vulnerabilidades en veinticuatro portales web y la respuesta ante alertas de seguridad en endpoints, junto con la verificación periódica de direcciones IP en listas negras para preservar la disponibilidad y reputación de los servicios tecnológicos. En el componente de gestión de identidades se estudian los procesos de revisión de usuarios no genéricos, la depuración de más de mil roles obsoletos en SAP y el control mensual de ciento trece transacciones críticas, orientados a reforzar el principio de mínimo privilegio y la segregación de funciones en los sistemas ERP y aplicativos asociados. Los resultados evidencian una mejora en la trazabilidad de accesos privilegiados, una mayor visibilidad sobre vulnerabilidades y una consolidación de las evidencias requeridas por auditoría interna y revisoría fiscal, demostrando que la articulación entre IAM, gestión de vulnerabilidades y seguridad de red constituye un pilar fundamental para la protección de los activos tecnológicos de la organización. Asimismo, la sistematización de esta experiencia aporta un marco de referencia práctico para la implementación y seguimiento de controles de seguridad de la información en entornos corporativos complejos. | |
| dc.description.abstract | This monograph examines the strengthening of IT security at Colsubsidio based on the cybersecurity controls and identity management implemented by the IT Security Department within the Technology Division during the internship period from July 15, 2025, to January 14, 2026. The study takes a descriptive, case-study approach and is based on the review of evidence generated by specialized tools such as Azure Entra ID, Qualys, CrowdStrike, and SAP, as well as access matrices, connectivity inventories, and reports for the fiscal audit. The cybersecurity component analyzes identity monitoring controls in the cloud through multi-factor authentication and conditional access, vulnerability management across twenty-four web portals, and the response to security alerts on endpoints, along with periodic verification of IP addresses against blacklists to preserve the availability and reputation of technology services. The identity management component examines the processes for reviewing non-generic users, the removal of over 1,000 obsolete roles in SAP, and the monthly monitoring of 113 critical transactions, all aimed at reinforcing the principle of least privilege and the segregation of duties in ERP systems and associated applications. The results demonstrate improved traceability of privileged access, greater visibility into vulnerabilities, and a consolidation of the evidence required by internal audit and statutory audit, showing that the integration of IAM, vulnerability management, and network security constitutes a fundamental pillar for protecting the organization’s technological assets. Furthermore, the systematization of this experience provides a practical framework for the implementation and monitoring of information security controls in complex corporate environments. | |
| dc.description.degreelevel | Pregrado | spa |
| dc.description.degreename | Ingeniero de Telecomunicaciones | spa |
| dc.format.mimetype | application/pdf | |
| dc.identifier.citation | Gamboa Prieto, J. E. (2026). Sistematización del fortalecimiento de la seguridad informática mediante controles de ciberseguridad y gestión de identidades en Colsubsidio. [Trabajo de Grado, Universidad Santo Tomás]. Repositorio Institucional | |
| dc.identifier.instname | instname:Universidad Santo Tomás | spa |
| dc.identifier.reponame | reponame:Repositorio Institucional Universidad Santo Tomás | spa |
| dc.identifier.repourl | repourl:https://repository.usta.edu.co | spa |
| dc.identifier.uri | http://hdl.handle.net/11634/72232 | |
| dc.language.iso | spa | |
| dc.publisher | Universidad Santo Tomás | spa |
| dc.publisher.branch | CRAI-USTA Bogotá | |
| dc.publisher.faculty | Facultad de Ingeniería de Telecomunicaciones | spa |
| dc.publisher.program | Pregrado Ingeniería de Telecomunicaciones | spa |
| dc.relation.references | International Organization for Standardization, ISO/IEC 27001:2022 – Information security, cybersecurity and privacy protection – Information security management systems – Requirements, Ginebra, Suiza, 2022. [En línea]. Disponible en: https://www.iso.org/standard/27001.html. [Accedido: 18-mar-2026]. | |
| dc.relation.references | GRC Solutions, “ISO/IEC 27001:2022 – The Information Security Management …,” 2025. [En línea]. Disponible en: https://grcsolutions.io/iso27001/. [Accedido: 18-mar-2026]. | |
| dc.relation.references | Oracle, “Identity and Access Management (IAM),” 2023. [En línea]. Disponible en: https://www.oracle.com/latam/security/identity-management/. [Accedido: 18-mar-2026]. | |
| dc.relation.references | Oracle, “Identity and Access Management (IAM) Defined,” 2021. [En línea]. Disponible en: https://www.oracle.com/security/identity-management/whatis-iam/. [Accedido: 18-mar-2026]. | |
| dc.relation.references | Check Point, “¿Qué es la gestión de identidades y accesos (IAM)?,” 2022. [En línea]. Disponible en: (sitio de Check Point – sección Cyber Hub IAM). [Accedido: 18-mar-2026]. | |
| dc.relation.references | Tenable, “¿Qué es la gestión de identidades y acceso (IAM)?,” 2025. [En línea]. Disponible en: (sitio de Tenable – cybersecurity guide / IAM). [Accedido: 18-mar-2026]. | |
| dc.relation.references | Fortinet, “Administración de identidad y acceso (IAM),” s. f. [En línea]. Disponible en: https://www.fortinet.com/lat/resources/cyberglossary/identityand-access-management. [Accedido: 18-mar-2026]. | |
| dc.relation.references | ABC Xperts, “¿Qué es la tríada en Seguridad de la Información?,” 2024. [En línea]. Disponible en: (blog de ABC Xperts). [Accedido: 18-mar-2026]. | |
| dc.relation.references | DataSunrise, “Confidencialidad, Integridad, Disponibilidad: Ejemplos Clave,” 2025. [En línea]. Disponible en: (sitio de DataSunrise – knowledge center). [Accedido: 18-mar-2026]. | |
| dc.relation.references | Silikn, “Tríada CIA: un marco de principios para definir políticas de seguridad,” 2024. [En línea]. Disponible en: (blog de Silikn). [Accedido: 18- mar-2026]. | |
| dc.relation.references | Computer Weekly, “¿Qué es autenticación multifactor o MFA?,” 2021. [En línea]. Disponible en: (glosario en español de Computer Weekly). [Accedido: 18-mar-2026]. | |
| dc.relation.references | Fortinet, “¿Qué es la autenticación multifactor (MFA)?,” s. f. [En línea]. Disponible en: https://www.fortinet.com/lat/resources/cyberglossary/multifactor-authentication. [Accedido: 18-mar-2026]. | |
| dc.relation.references | Mitek Systems, “¿Qué es la autenticación multifactor?,” 2026. [En línea]. Disponible en: (blog de Mitek). [Accedido: 18-mar-2026]. | |
| dc.relation.references | INCIBE-CERT, “CVSS v4.0: avanzando en la evaluación de vulnerabilidades,” 2023. [En línea]. Disponible en: https://www.incibe.es/incibe-cert/blog/cvss-v40-avanzando-en-laevaluacion-de-vulnerabilidades. [Accedido: 18-mar-2026]. | |
| dc.relation.references | TuxCare, “La transición a CVSS v4.0: lo que necesita saber,” 2025. [En línea]. Disponible en: https://tuxcare.com/es/blog/cvss-v4-0. [Accedido: 18-mar2026]. | |
| dc.relation.references | Hispasec – Una al día, “CVSS 4.0: Nueva versión de evaluación de vulnerabilidades,” 2023. [En línea]. Disponible en: https://unaaldia.hispasec.com/2023/11/cvss-4-0-nueva-version-deevaluacion-de-vulnerabilidades.html. [Accedido: 18-mar-2026]. | |
| dc.relation.references | Trellix, “¿Qué es la detección y respuesta para endpoints (EDR)?,” 2024. [En línea]. Disponible en: (sitio de Trellix – security awareness / endpoint). [Accedido: 18-mar-2026]. | |
| dc.relation.references | Trend Micro, “¿Qué es Endpoint Detection and Response (EDR)?,” 2025. [En línea]. Disponible en: https://www.trendmicro.com/es_mx/whatis/xdr/edr.html. [Accedido: 18-mar-2026]. | |
| dc.relation.references | Kaspersky, “¿Qué es la EDR? Definición de Endpoint Detection and Response,” 2022. [En línea]. Disponible en: (resource center de Kaspersky). [Accedido: 18-mar-2026]. | |
| dc.relation.references | Proofpoint, “¿Qué es EDR (Endpoint Detection and Response)?,” 2024. [En línea]. Disponible en: (Threat Reference de Proofpoint). [Accedido: 18-mar2026]. | |
| dc.relation.references | EvaluandoERP, “Seguridad del ERP y restricciones dentro del sistema,” 2024. [En línea]. Disponible en: https://www.evaluandoerp.com/sistema-degestion/sistema-erp/seguridad-y-restricciones-del-sistema/. [Accedido: 18- mar-2026]. | |
| dc.relation.references | ComparaSoftware, “7 estándares de seguridad de un ERP: ¿tu proveedor los cumple?,” 2023. [En línea]. Disponible en: https://blog.comparasoftware.com/estandares-seguridad-erp/. [Accedido: 18- mar-2026]. | |
| dc.relation.references | SkyPlanner, “La seguridad de ERP,” 2025. [En línea]. Disponible en: https://skyplanner.ai/es/recursos/la-seguridad-de-erp/. [Accedido: 18-mar2026]. | |
| dc.relation.references | Calipso, “Seguridad en el ERP,” 2025. [En línea]. Disponible en: https://www.calipso.com/articulos/seguridad-en-el-erp/. [Accedido: 18-mar2026]. | |
| dc.relation.references | GuruSIS, “Sistemas ERP con seguridad y protección de datos,” 2024. [En línea]. Disponible en: https://gurusis.com/seguridad-y-proteccion-de-datosen-sistemas-erp/. [Accedido: 18-mar-2026]. | |
| dc.relation.references | Z-Net, “Tutorial: cómo filtrar sitios por categorías y listas negras en Fortigate,” s. f. [En línea]. Disponible en: https://www.z-net.com.ar/blog-post/9-tutorialcomo-filtrar-sitios-por-categorias-y-listas-negras-en-fortigate/. [Accedido: 18- mar-2026]. | |
| dc.relation.references | Fortinet, “Servicio de filtrado web FortiGuard,” s. f. [En línea]. Disponible en: https://www.fortinet.com/lat/support/support-services/fortiguard-securitysubscriptions/web-filtering. [Accedido: 18-mar-2026]. | |
| dc.relation.references | Fortinet, “FortiGuard filter – FortiGate/FortiOS 7.6.5 Administration Guide,” 2025. [En línea]. Disponible en: https://docs.fortinet.com/document/fortigate/7.6.5/administrationguide/675558/fortiguard-filter. [Accedido: 18-mar-2026]. | |
| dc.relation.references | FortiGuard, “Web Filter Categories,” s. f. [En línea]. Disponible en: https://www.fortiguard.com/webfilter/categories. [Accedido: 18-mar-2026]. | |
| dc.relation.references | PowerDMARC, “Comprobador de listas negras: controle la reputación de su dominio,” 2025. [En línea]. Disponible en: https://powerdmarc.com/es/blacklist-monitoring-ip-check/. [Accedido: 18- mar-2026]. | |
| dc.relation.references | Email Vendor Selection, “Las 7 mejores herramientas para comprobar la reputación IP,” 2026. [En línea]. Disponible en: (blog de EmailVendorSelection). [Accedido: 18-mar-2026]. | |
| dc.relation.references | ZeroBounce, “Verificador gratuito de listas negras de IP y dominios,” s. f. [En línea]. Disponible en: https://www.zerobounce.net/es/blacklist-checker. [Accedido: 18-mar-2026]. | |
| dc.relation.references | Mailjet, “Lista negra: qué es y cómo saber si tu IP está en una blacklist,” 2026. [En línea]. Disponible en: https://www.mailjet.com/es/blog/entregabilidad/blacklist/. [Accedido: 18-mar2026]. | |
| dc.relation.references | Benchmark Email, “Pasos a seguir cuando tu dirección IP está en la lista negra,” 2024. [En línea]. Disponible en: https://www.benchmarkemail.com/es/blog/pasos-a-seguir-cuando-sudireccion-de-ip-esta-en-la-lista-negra/. [Accedido: 18-mar-2026]. | |
| dc.relation.references | COLSUBSIDIO, Organigrama Colsubsidio. Bogotá, D. C., Colsubsidio, s. f. [En línea]. Disponible en: https://www.colsubsidio.com/hubfs/documentos/colsubsidio/organigramacolsubsidio.pdf. [Accedido: 20-ene-2026]. | |
| dc.relation.references | Microsoft Corporation, Azure Entra ID Documentation. Redmond, WA, Microsoft, 2024. [En línea]. Disponible en: https://learn.microsoft.com. [Accedido: 20-ene-2026]. | |
| dc.relation.references | SAP SE, SAP NetWeaver – User Administration and Authorization Concepts. Walldorf, Alemania, SAP SE, 2023. [En línea]. Disponible en: https://help.sap.com. [Accedido: 20-ene-2026]. | |
| dc.relation.references | SAP SE, SAP Security Guide. Walldorf, Alemania, SAP SE, 2023. [En línea]. Disponible en: https://help.sap.com. [Accedido: 20-ene-2026]. | |
| dc.relation.references | Qualys Inc., Qualys Vulnerability Management User Guide. Foster City, CA, Qualys Inc., 2024. [En línea]. Disponible en: https://www.qualys.com/documentation/. [Accedido: 20-ene-2026]. | |
| dc.relation.references | CrowdStrike Inc., CrowdStrike Falcon Platform Documentation. Sunnyvale, CA, CrowdStrike, 2024. [En línea]. Disponible en: https://www.crowdstrike.com/resources/. [Accedido: 20-ene-2026]. | |
| dc.relation.references | COLSUBSIDIO, Perfil organizacional de Colsubsidio. Bogotá, D. C., Colsubsidio, 2025. [En línea]. Disponible en: https://www.colsubsidio.com/quienes-somos/perfil-organizacional. [Accedido: 18-ene-2026] | |
| dc.relation.references | COLSUBSIDIO, “¿Quiénes somos?,” Bogotá, D. C., Colsubsidio, 2026. [En línea]. Disponible en: https://www.colsubsidio.com/quienes-somos. [Accedido: 18-ene-2026]. | |
| dc.relation.references | ABC Xperts, “¿Qué es la triada en Seguridad de la Información?,” 2024. [En línea]. Disponible en: https://abcxperts.com/que-es-la-triada-en-seguridadde-la-informacion/. [Accedido: 13-mar-2026]. | |
| dc.relation.references | DataSunrise, “Confidencialidad, Integridad, Disponibilidad: Ejemplos Clave,” 2025. [En línea]. Disponible en: https://www.datasunrise.com/es/centro-deconocimiento/ejemplos-de-confidencialidad-integridad-disponibilidad/. [Accedido: 13-mar-2026]. | |
| dc.relation.references | Ontek, “Tríada CID (Confidencialidad, Integridad y Disponibilidad),” 2019. [En línea]. Disponible en: https://www.ontek.net/que-es-triada-cid/. [Accedido: 13-mar-2026]. | |
| dc.relation.references | Silikn, “Tríada CIA: Un marco de principios para definir políticas de seguridad,” 2024. [En línea]. Disponible en: https://www.silikn.com/2024/07/triada-cia-un-marco-de-principios-para.html. [Accedido: 13-mar-2026]. | |
| dc.relation.references | Oracle, “Qué es Identity and Access Management (IAM),” 2024. [En línea]. Disponible en: https://www.oracle.com/latam/security/identitymanagement/what-is-iam/. [Accedido: 14-mar-2026]. | |
| dc.relation.references | Fortinet, “¿Qué es la autenticación multifactor (MFA)?,” s. f. [En línea]. Disponible en: https://www.fortinet.com/lat/resources/cyberglossary/multifactor-authentication. [Accedido: 14-mar-2026] | |
| dc.relation.references | Trend Micro, “¿Qué es el Common Vulnerability Scoring System (CVSS)?,” 2026. [En línea]. Disponible en: https://www.trendmicro.com/es_es/whatis/attack-surface/cvss-common-vulnerability-scoring-system.html. [Accedido: 15-mar-2026]. | |
| dc.relation.references | Fortinet, “Sistema de puntuación de vulnerabilidades comunes (CVSS),” s. f. [En línea]. Disponible en: https://www.fortinet.com/lat/resources/cyberglossary/common-vulnerabilityscoring-system. [Accedido: 15-mar-2026]. | |
| dc.relation.references | Deusto Formación, “Gestionar la seguridad en SAP: accesos y autorizaciones,” 2018. [En línea]. Disponible en: https://www.deustoformacion.com/blog/gestion-empresas/gestionarseguridad-sap-accesos-autorizaciones. [Accedido: 15-mar-2026]. | |
| dc.relation.references | Aplirh, “Modelo de autorizaciones en SAP: de la gestión de roles…,” 2025. [En línea]. Disponible en: https://aplirh.es/asignacion-de-roles-a-usuarioscomo-optimizar-tiempo-y-trazabilidad-en-sap/. [Accedido: 15-mar-2026]. | |
| dc.relation.references | Novis, “Roles en SAP: cómo funcionan y cómo definirlos,” 2021. [En línea]. Disponible en: https://www.novis.com.mx/blog/sap/roles-y-perfiles-de-sapcomo-funcionan-y-como-definirlos-12666/. [Accedido: 15-mar-2026]. | |
| dc.relation.references | SAP, “Gestión de la seguridad mediante autorizaciones basadas en la función (SAP SuccessFactors Platform),” 2024. [En línea]. Disponible en: (módulo Managing Security Using SAP SuccessFactors Platform en https://learning.sap.com). [Accedido: 15-mar-2026]. | |
| dc.relation.references | Z-Net, “Tutorial: cómo filtrar sitios por categorías y listas negras en Fortigate,” s. f. [En línea]. Disponible en: https://www.z-net.com.ar/blog-post/9-tutorialcomo-filtrar-sitios-por-categorias-y-listas-negras-en-fortigate/. [Accedido: 15- mar-2026]. | |
| dc.relation.references | Fortinet, “Servicio de filtrado web FortiGuard,” s. f. [En línea]. Disponible en: https://www.fortinet.com/lat/support/support-services/fortiguard-securitysubscriptions/web-filtering. [Accedido: 15-mar-2026]. | |
| dc.rights | Attribution-NonCommercial-NoDerivs 2.5 Colombia | en |
| dc.rights.accessrights | info:eu-repo/semantics/openAccess | |
| dc.rights.coar | http://purl.org/coar/access_right/c_abf2 | |
| dc.rights.local | Abierto (Texto Completo) | spa |
| dc.rights.uri | http://creativecommons.org/licenses/by-nc-nd/2.5/co/ | |
| dc.subject.keyword | Information security | |
| dc.subject.keyword | Cybersecurity | |
| dc.subject.keyword | Identity and Access Management (IAM) | |
| dc.subject.keyword | Multi-factor authentication (MFA) | |
| dc.subject.keyword | Vulnerability Management | |
| dc.subject.keyword | ERP | |
| dc.subject.keyword | SAP | |
| dc.subject.keyword | Endpoints | |
| dc.subject.lemb | Ingeniero en Telecomunicaciones | |
| dc.subject.lemb | Seguridad en la nube | |
| dc.subject.lemb | Gestión de vulnerabilidades | |
| dc.subject.lemb | Control interno | |
| dc.subject.proposal | Seguridad de la información | |
| dc.subject.proposal | Ciberseguridad | |
| dc.subject.proposal | Gestión de identidades y accesos | |
| dc.subject.proposal | Autenticación multifactor (MFA) | |
| dc.subject.proposal | Gestión de vulnerabilidades | |
| dc.subject.proposal | ERP | |
| dc.subject.proposal | SAP | |
| dc.subject.proposal | Endpoints | |
| dc.title | Sistematización del fortalecimiento de la seguridad informática mediante controles de ciberseguridad y gestión de identidades en Colsubsidio | |
| dc.type | bachelor thesis | |
| dc.type.coar | http://purl.org/coar/resource_type/c_7a1f | |
| dc.type.coarversion | http://purl.org/coar/version/c_ab4af688f83e57aa | |
| dc.type.drive | info:eu-repo/semantics/bachelorThesis | |
| dc.type.local | Trabajo de grado | spa |
| dc.type.version | info:eu-repo/semantics/acceptedVersion |
Archivos
Bloque original
1 - 1 de 1
Cargando...
- Nombre:
- 2026juliangamboa.pdf
- Tamaño:
- 1.07 MB
- Formato:
- Adobe Portable Document Format
Bloque de licencias
1 - 3 de 3
Cargando...
- Nombre:
- license.txt
- Tamaño:
- 807 B
- Formato:
- Item-specific license agreed upon to submission
- Descripción:
Cargando...
- Nombre:
- 2026cartadefacultad.pdf
- Tamaño:
- 570.98 KB
- Formato:
- Adobe Portable Document Format
- Descripción:
- Carta de facultad
Cargando...
- Nombre:
- 2026cartadederechosdeautor.pdf
- Tamaño:
- 794.42 KB
- Formato:
- Adobe Portable Document Format
- Descripción:
- Carta derechos de autor

