Publicación: Metodología para el análisis y gestión de riesgos en seguridad de las Pymes considerando software OpenSource
| dc.contributor.advisor | Vargas Montoya, Héctor Fernando | |
| dc.contributor.author | Silva Castillo, Marco Tulio | |
| dc.contributor.corporatename | Institución Universitaria ITM | |
| dc.contributor.email | marcosilva250269@correo.itm.edu.co | |
| dc.contributor.researchgroup | Ingenierías::Automática, Electrónica y Ciencias Computacionales | |
| dc.coverage.temporal | Colombia | |
| dc.date.accessioned | 2026-06-03T20:22:43Z | |
| dc.date.issued | 2026-06 | |
| dc.description.abstract | Las pymes del sector servicios en Colombia enfrentan dificultades para gestionar riesgos de seguridad informática debido a recursos limitados, baja madurez digital, ausencia de personal especializado y aplicación poco sistemática de referentes internacionales. Esta investigación propuso una metodología de análisis y gestión de riesgos orientada a fortalecer la protección de activos en este contexto. El diseño fue propositivo-aplicado, con enfoque mixto, y se desarrolló en cuatro fases: caracterización de referentes, selección de herramienta, instrumentación tecnológica y validación mediante prueba de escritorio. Se empleó AHP para priorizar cinco referentes internacionales, seleccionando OCTAVE-S v1.0 como base metodológica, y para evaluar herramientas de soporte, seleccionando MONARC. La metodología se instrumentó en un entorno controlado y se validó con el caso simulado “PyME Servicios Colombia”, construido a partir de patrones identificados en un instrumento diagnóstico de apoyo aplicado previamente a 72 organizaciones. Los resultados permitieron identificar activos críticos, valorar riesgos, definir tratamientos, asignar responsables y generar evidencias documentales. Se concluye que la integración de referentes híbridos y software OpenSource ofrece una alternativa viable, trazable y aplicable para pymes con baja madurez digital. | spa |
| dc.description.abstract | Service-sector SMEs in Colombia face difficulties managing information security risks due to limited resources, low digital maturity, lack of specialized personnel, and unsystematic application of international references. This research proposed a risk analysis and management methodology aimed at strengthening asset protection in this context. The study followed an applied-propositional design with a mixed approach and was developed in four phases: characterization of references, tool selection, technological instrumentation, and validation through a desk-based test. AHP was used to prioritize five international references, selecting OCTAVE-S v1.0 as the methodological basis, and to evaluate support tools, selecting MONARC. The methodology was instrumented in a controlled environment and validated through the simulated case “PyME Servicios Colombia,” built from patterns identified in a supporting diagnostic instrument previously applied to 72 organizations. The results made it possible to identify critical assets, assess risks, define treatments, assign responsibilities, and generate documentary evidence. It is concluded that the integration of hybrid references and OpenSource software offers a viable, traceable, and applicable alternative for SMEs with low digital maturity. | eng |
| dc.description.degreelevel | Maestría | |
| dc.description.degreename | Magíster en Seguridad Informática | |
| dc.description.researcharea | Ingenierías::Automática, Electrónica y Ciencias Computacionales::Ciencias Computacionales | |
| dc.description.tableofcontents | Resumen .................................................................................................................................... XII Lista de figuras ........................................................................................................................ XVIII Lista de tablas............................................................................................................................ XXI Lista de abreviaturas ............................................................................................................... XXIII Introducción ................................................................................................................................. 1 1. Marco Teórico y Estado del Arte ......................................................................................... 11 1.1 Marco teórico .......................................................................................................... 11 1.1.1 Fundamentos generales de la gestión del riesgo ........................................... 11 1.1.2 Delimitación conceptual: seguridad de la información, informática y ciberseguridad ............................................................................................................. 13 1.1.3 Gestión del riesgo de seguridad de la información ........................................ 15 1.1.4 Contexto operativo de las pymes frente a la gestión de riesgos de seguridad informática .................................................................................................................. 17 1.1.5 Referentes internacionales comparados de gestión del riesgo ...................... 18 1.1.6 Enfoque sociotécnico y uso de software OpenSource ................................... 22 1.1.7 Métodos de decisión multicriterio para selección de referentes y herramientas 35 1.2 Estado del arte ......................................................................................................... 40 1.2.1 Estudios sobre gestión del riesgo de seguridad informática en pymes .......... 42 1.2.2 Adaptación de referentes internacionales a pymes ....................................... 45 1.2.3 Uso de herramientas OpenSource para gestión del riesgo ............................ 47 1.2.4 Estudios que integran metodologías y herramientas..................................... 50 1.2.5 Aplicaciones de AHP en selección de referentes internacionales y herramientas 52 1.2.6 Síntesis crítica y vacío identificado ................................................................ 53 2. Metodología ....................................................................................................................... 55 2.1 Enfoque de la investigación...................................................................................... 55 2.1.1 Componente cualitativo ............................................................................... 56 2.1.2 Componente cuantitativo ............................................................................. 58 2.2 Método y diseño de la investigación ........................................................................ 59 2.3 Unidad de Análisis.................................................................................................... 60 2.4 Fases Metodológicas ................................................................................................ 60 2.4.1 Fase I: Caracterización de normas internacionales para la gestión de riesgos en seguridad informática en pymes .................................................................................. 61 2.4.2 Fase II: Análisis de herramientas y soluciones de software para la gestión de riesgos 65 2.4.3 Fase III: Uso del software OpenSource seleccionado para la gestión de riesgos en seguridad informática en pymes ............................................................................. 69 2.4.4 Fase IV: Validación de la metodología propuesta a través de su aplicación con un caso de estudio o prueba de escritorio en una pyme ............................................... 73 3. Resultados .......................................................................................................................... 79 3.1 Resultados de la Fase I - OE1: Caracterización de referentes internacionales ............ 79 3.1.1 Producto (a): Caracterización comparativa homogénea de los referentes internacionales para la gestión de riesgos .................................................................... 79 3.1.2 Producto (b): Criterios de adaptabilidad para pymes ..................................... 82 3.1.3 Producto (c): Modelo jerárquico AHP y priorización de referentes internacionales para la gestión de riesgos .................................................................... 84 3.1.4 Producto (d): Síntesis integradora de principios, directrices y requisitos aplicables al contexto pyme, utilizada para el diseño de la metodología propuesta. ..... 94 3.2 Resultados de la Fase II – OE2: Análisis y selección de herramientas y soluciones de software para la gestión de riesgos ...................................................................................... 98 3.2.1 Producto (a): Caracterización técnica y funcional de herramientas de software 98 3.2.2 Producto (b): Criterios evaluativos para el análisis multicriterio (AHP) de herramientas de gestión de riesgos en pymes ............................................................ 100 3.2.3 Producto (c): Modelo jerárquico AHP y priorización de herramientas para gestión de riesgos (alternativas Open Source y benchmarks) ...................................... 103 3.3 Resultados de la Fase III – OE3: Uso del software OpenSource seleccionado para la gestión de riesgos en seguridad informática en pymes....................................................... 112 3.3.1 Resultados de la Etapa 0: Despliegue técnico y condiciones mínimas de entorno 112 3.3.2 Resultados de la Etapa 1: Creación del análisis base y parametrización inicial del contexto 114 3.3.3 Resultados de la Etapa 2: Configuración de criterios de evaluación del riesgo 118 3.3.4 Resultados de la Etapa 3: Modelado jerárquico de activos, dependencias y catálogos de análisis ................................................................................................... 120 3.3.5 Resultados de la Etapa 4: Verificación del flujo completo, tratamiento, seguimiento y salidas documentales .......................................................................... 127 3.4 Resultados de las Fase IV – OE4: Validación de la metodología propuesta .............. 135 3.4.1 Caso de estudio simulado “Pyme Servicios Colombia” (prueba de escritorio) 136 3.4.2 Ejecución del análisis de riesgos (OE4) ........................................................ 139 3.4.3 Generación de productos documentales ..................................................... 152 4. Conclusiones y recomendaciones ...................................................................................... 153 4.1 Conclusiones .......................................................................................................... 153 4.1.1 Conclusiones de la fase I ............................................................................. 154 4.1.2 Conclusiones de la fase II ............................................................................ 156 4.1.3 Conclusiones de la fase III ........................................................................... 158 4.1.4 Conclusiones de la fase IV ........................................................................... 160 4.2 Recomendaciones, lecciones aprendidas y trabajo futuro ....................................... 162 4.2.1 Recomendaciones, lecciones aprendidas y trabajo futuro de la fase I .......... 163 4.2.2 Recomendaciones, lecciones aprendidas y trabajo futuro de la fase II ......... 165 4.2.3 Recomendaciones, lecciones aprendidas y trabajo futuro de la fase III ........ 168 4.2.4 Recomendaciones, lecciones aprendidas y trabajo futuro de la fase IV ....... 170 A. Anexo: Matriz de Consistencia.......................................................................................... 175 B. Anexo: Matriz de Operacionalización ............................................................................... 176 C. Anexo: Modelo AHP para la Selección del referente internacional de trabajo ................. 177 D. Anexo: Matriz de preselección de herramientas para la gestión de riesgos ..................... 178 E. Anexo: Ficha técnica de análisis funcional de las herramientas ........................................ 179 F. Anexo: Modelo AHP para la Selección de herramienta de gestión de riesgos .................. 191 G. Anexo: Soporte técnico-metodológico de instrumentación.............................................. 192 H. Anexo: Evidencias técnicas y artefactos reproducibles de instrumentación ..................... 198 I. Anexo: Soporte entregables validación caso de uso ......................................................... 240 5. Bibliografía ....................................................................................................................... 241 | spa |
| dc.format.extent | 263 páginas | |
| dc.format.mimetype | application/pdf | spa |
| dc.identifier.instname | instname:Institución Universitaria ITM | spa |
| dc.identifier.reponame | reponame:Repositorio Institucional Institución Universitaria ITM | spa |
| dc.identifier.repourl | repourl:https://repositorio.itm.edu.co | spa |
| dc.identifier.uri | https://hdl.handle.net/20.500.12622/8168 | |
| dc.language.iso | spa | spa |
| dc.publisher | Institución Universitaria ITM | |
| dc.publisher.branch | Campus Fraternidad | |
| dc.publisher.faculty | Facultad de Ingenierías | |
| dc.publisher.grantor | Institución Universitaria ITM | spa |
| dc.publisher.place | Medellín | |
| dc.publisher.program | Maestría en Seguridad Informática | |
| dc.relation.references | R. Adriko and J. R. C. Nurse, “Cybersecurity, cyber insurance and small-to-medium-sized enterprises: a systematic Review,” Inf. Comput. Secur., vol. 32, no. 5, pp. 691–710, Nov. 2024, doi: 10.1108/ICS-01-2024-0025. | |
| dc.relation.references | Equipo Editorial Py+, “¿Por qué es importante la ciberseguridad en las pymes?,” Pymas. Accessed: May 17, 2025. [Online]. Available: https://www.pymas.com.co/ideas-para-crecer/ayuda-legal/ciberseguridad-pymes-colombia | |
| dc.relation.references | QBE Singapore, “Less than half of SMEs fully aware of cyber risks, while the number without protection grows, finds QBE Singapore annual SME survey | QBE Singapore,” QBE Singapore. Accessed: May 16, 2025. [Online]. Available: https://www.qbe.com/sg/newsroom/press-releases/less-than-half-of-smes-fully-aware-of-cyber-risks | |
| dc.relation.references | European Union Agency for Cybersecurity., Cybersecurity for SMEs: challenges and recommendations. LU: Publications Office, 2021. doi: 10.2824/770352. | |
| dc.relation.references | A. K. Tetteh, “Cybersecurity needs for SMEs,” Issues in Information Systems, vol. 25, no. 1, pp. 235–246, 2024, doi: 10.48009/1_iis_2024_120. | |
| dc.relation.references | INCIBE, “Pasado, presente y futuro de la seguridad de la información,” Dec. 05, 2023. Accessed: Dec. 02, 2024. [Online]. Available: https://www.incibe.es/empresas/blog/pasado-presente-y-futuro-de-la-seguridad-de-la-informacion | |
| dc.relation.references | L. C. Piñón, A. L. Sapién, and M. del C. Gutiérrez, “Capacitación en ciberseguridad en una empresa mexicana,” Inf. Tecnológica, vol. 34, no. 6, pp. 43–52, Dec. 2023, doi: 10.4067/S0718-07642023000600043. | |
| dc.relation.references | M. Antunes, M. Maximiano, R. Gomes, and D. Pinto, “Information Security and Cybersecurity Management: A Case Study with SMEs in Portugal,” J. Cybersecurity Priv., vol. 1, no. 2, pp. 219–238, Jun. 2021, doi: 10.3390/jcp1020012. | |
| dc.relation.references | National Institute of Standards and Technology, “The NIST Cybersecurity Framework (CSF) 2.0,” National Institute of Standards and Technology, Gaithersburg, MD, USA, Cybersecurity White Paper NIST CSWP 29, Feb. 2024. doi: 10.6028/NIST.CSWP.29. | |
| dc.relation.references | A. Papathanasiou, G. Liontos, A. Katsouras, V. Liagkou, and E. Glavas, “Cybersecurity Guide for SMEs: Protecting Small and Medium-Sized Enterprises in the Digital Era,” J. Inf. Secur., vol. 16, no. 01, pp. 1–43, 2025, doi: 10.4236/jis.2025.161001. | |
| dc.relation.references | “Cybersecurity Standards Scorecard (2023 Edition),” SANS Institute. Accessed: Feb. 25, 2026. [Online]. Available: https://www.sans.org/webcasts/cybersecurity-standards-scorecard-2023-edition | |
| dc.relation.references | J. Manzoor, A. Waleed, A. F. Jamali, and A. Masood, “Cybersecurity on a budget: Evaluating security and performance of open-source SIEM solutions for SMEs,” PLoS ONE, vol. 19, no. 3 March, Mar. 2024, doi: 10.1371/journal.pone.0301183. | |
| dc.relation.references | Comunicación CCIT, Evaluación, retos y amenazas a la ciberseguridad, (Jun. 30, 2021). Accessed: Feb. 25, 2026. [Online Video]. Available: https://www.youtube.com/watch?v=w-facvItbuE | |
| dc.relation.references | V. Díaz, “Fortaleciendo la Ciberseguridad en Colombia: Educación y Protección Empresarial - CCIT - Cámara Colombiana de Informática y Telecomunicaciones,” CCIT, Jun. 28, 2024. Accessed: Aug. 13, 2025. [Online]. Available: https://www.ccit.org.co/articulos-tictac/fortaleciendo-la-ciberseguridad-en-colombia-educacion-y-proteccion-empresarial/?utm_source=chatgpt.com | |
| dc.relation.references | Cámara Colombiana de Informática y Telecomunicaciones, “Balance de Ciberseguridad 2024: Desafíos y prevención para un entorno digital seguro,” CCIT. Accessed: May 03, 2026. [Online]. Available: https://www.ccit.org.co/noticias/balance-de-ciberseguridad-2024-desafios-y-prevencion-para-un-entorno-digital-seguro/ | |
| dc.relation.references | Cámara Colombiana de Informática y Telecomunicaciones and Policía Nacional de Colombia, “Balance Anual CECIP 2024,” Policía Nacional de Colombia, Balance anual, 2025. Accessed: May 03, 2026. [Online]. Available: https://caivirtual.policia.gov.co/sites/default/files/observatorio/BALANCE%20ANUAL%20CECIP%202024.pdf | |
| dc.relation.references | TicTac, Cámara Colombiana de Informática y Telecomunicaciones, and Policía Nacional de Colombia, “Tendencias del Cibercrimen en Colombia 2019-2020.” Accessed: May 17, 2025. [Online]. Available: https://www.ccit.org.co/wp-content/uploads/informe-tendencias-cibercrimen-2019-2020.pdf | |
| dc.relation.references | Lucky Bamidele Benjamin, Ayodeji Enoch Adegbola, Prisca Amajuoyi, Mayokun Daniel Adegbola, and Kudirat Bukola Adeusi, “Digital transformation in SMEs: Identifying cybersecurity risks and developing effective mitigation strategies,” Glob. J. Eng. Technol. Adv., vol. 19, no. 2, pp. 134–153, May 2024, doi: 10.30574/gjeta.2024.19.2.0084. | |
| dc.relation.references | V. R. Ávila Velásquez, A. S. Velásquez Rodriguez, and E. G. Núñez Barahona, “Factores económicos que inciden en las PYMES de Comayagua, Honduras por apertura del Aeropuerto Internacional Palmerola,” Econ. Adm. EA, vol. 15, no. 2, pp. 5–27, Dec. 2023, doi: 10.5377/eya.v15i2.17203. | |
| dc.relation.references | Instituto Tecnológico Metropolitano (ITM), “Microempresas en Colombia tienen riesgo a la quiebra antes de cumplir cinco años de vida,” ITM. Accessed: Feb. 25, 2026. [Online]. Available: https://www.itm.edu.co/noticias-principales/microempresas-en-colombia-tienen-riesgo-a-la-quiebra-antes-de-cumplir-cinco-anos-de-vida/ | |
| dc.relation.references | J. C. Barrios, “Colombia registró 36.000 millones de intentos de ciberataques en 2024: pymes son las más vulnerables,” Forbes Colombia. Accessed: Feb. 25, 2026. [Online]. Available: https://forbes.co/2025/07/15/negocios/pymes-son-las-mas-vulnerables-en-ciberseguridad/ | |
| dc.relation.references | FortiGuard Labs, “Informe global del panorama de amenazas de Fortinet 2025,” Fortinet, Threat report / Informe de amenazas, 2025. Accessed: Feb. 25, 2026. [Online]. Available: https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/es_la/threat-landscape-report-2025.pdf | |
| dc.relation.references | Grupo Nex and Instituto Tecnológico Metropolitano, “Instrumento de recolección de datos del cliente: Diseño, construcción y análisis de resultados de la encuesta para la recolección de los datos del cliente.” Instituto Tecnológico Metropolitano, Medellín, Colombia, 2024. | |
| dc.relation.references | S. N. Matheu-García, J. L. Hernández-Ramos, A. F. Skarmeta, and G. Baldini, “Risk-based automated assessment and testing for the cybersecurity certification and labelling of IoT devices,” Comput. Stand. Interfaces, vol. 62, pp. 64–83, Feb. 2019, doi: 10.1016/j.csi.2018.08.003. | |
| dc.rights.accessrights | info:eu-repo/semantics/openAccess | spa |
| dc.rights.coar | http://purl.org/coar/access_right/c_abf2 | |
| dc.rights.creativecommons | Attribution-NonCommercial-NoDerivatives 4.0 International | spa |
| dc.rights.license | Atribución-NoComercial 4.0 Internacional (CC BY-NC 4.0) | |
| dc.rights.local | Acceso abierto | spa |
| dc.rights.uri | http://creativecommons.org/licenses/by-nc-nd/4.0/ | spa |
| dc.subject.ods | ODS 4: Educación de calidad. Garantizar una educación inclusiva y equitativa de calidad y promover oportunidades de aprendizaje permanente para todos | |
| dc.subject.proposal | Gestión de riesgos | spa |
| dc.subject.proposal | Seguridad Informática | spa |
| dc.subject.proposal | Pymes | spa |
| dc.subject.proposal | Software de código abierto | spa |
| dc.subject.proposal | MONARC | spa |
| dc.subject.proposal | Metodología | spa |
| dc.subject.proposal | Estándares internacionales | spa |
| dc.subject.proposal | Risk Management | eng |
| dc.subject.proposal | Computer Security | eng |
| dc.subject.proposal | SMEs | eng |
| dc.subject.proposal | Open Source Software | eng |
| dc.subject.proposal | MONARC | eng |
| dc.subject.proposal | Methodology | eng |
| dc.subject.proposal | International Standards | eng |
| dc.title | Metodología para el análisis y gestión de riesgos en seguridad de las Pymes considerando software OpenSource | spa |
| dc.type | Trabajo de grado - Maestría | |
| dc.type.coar | http://purl.org/coar/resource_type/c_bdcc | spa |
| dc.type.coarversion | http://purl.org/coar/version/c_970fb48d4fbd8a85 | |
| dc.type.content | Text | |
| dc.type.driver | info:eu-repo/semantics/masterThesis | spa |
| dc.type.redcol | http://purl.org/redcol/resource_type/TM | |
| dc.type.version | info:eu-repo/semantics/publishedVersion | |
| dspace.entity.type | Publication |
Archivos
Bloque de licencias
1 - 1 de 1
Cargando...
- Nombre:
- license.txt
- Tamaño:
- 1.37 KB
- Formato:
- Item-specific license agreed upon to submission
- Descripción: