Metodología para el control de acceso a la red basado en zero trust en el sector financiero colombiano

Vista sencilla de ítem
dc.contributor.authorMontoya Duffis, Luis Andrés
dc.contributor.corporatenameInstitución Universitaria ITM
dc.contributor.emailLuismontoya125278@correo.itm.edu.cospa
dc.contributor.researchgroupIngenierías::Automática, Electrónica y Ciencias Computacionales
dc.date.accessioned2025-11-25T19:15:04Z
dc.date.available2024
dc.date.issued2025
dc.description.abstractEl presente trabajo desarrolla una metodología de seguridad informática fundamentada en el modelo de Zero Trust Network Access (ZTNA), para optimizar el control de acceso en el sector financiero colombiano. ZT se presenta como un paradigma innovador que elimina la confianza implícita y valida de manera estricta cada acceso a recursos de red. Objetivo: Proponer una metodología de seguridad informática basado en ZT para el control de acceso a nivel de red, y en ese sentido, minimizar los riesgos y la materialización de incidentes cibernéticos para el sector financiero colombiano. Metodología: La investigación se estructuró en cuatro fases: (1) diagnóstico del estado actual y categorización de riesgos operacionales; (2) evaluación y priorización de riesgos asociados a redes mediante matrices de impacto y probabilidad; (3) análisis comparativo de modelos ZT disponibles en la industria; y (4) validación de la metodología propuesta a través de pruebas controladas y simulaciones de ciberataques. Resultados: Tras implementar la metodología ZT, se observó una mejora en la gestión de riesgos: los inadmisibles disminuyeron al 20.83%, mientras los inaceptables aumentaron al 50%, reflejando una menor criticidad general. Además, los riesgos tolerables se incrementaron al 29.17%, destacando una mayor capacidad de control y mitigación. Conclusión: La metodología propuesta demuestra ser una estrategia efectiva para reforzar la ciberseguridad en el sector financiero colombiano, garantizando la confidencialidad, integridad y disponibilidad de la información crítica, y promoviendo una mayor resiliencia organizacional ante un panorama de amenazas en constante evoluciónspa
dc.description.abstractenglishThis study develops a cybersecurity methodology based on the Zero Trust Network Access (ZTNA) model to optimize access control in the Colombian financial sector. ZT is introduced as an innovative paradigm that eliminates implicit trust and strictly validates each access to network resources. Objective: To propose a ZT-based cybersecurity methodology for network-level access control, aiming to minimize risks and the occurrence of cyber incidents in the Colombian financial sector. Methodology: The research was structured into four phases: (1) assessment of the current state and categorization of operational risks; (2) evaluation and prioritization of network-related risks using impact and probability matrix; (3) comparative analysis of ZT models available in the industry; and (4) validation of the proposed methodology through controlled tests and cyberattack simulations. Results: After implementing the ZT methodology, risk management showed significant improvements: inadmissible risks decreased to 20.83%, while unacceptable risks rose to 50%, reflecting a shift toward lower criticality risks. Additionally, tolerable risks increased to 29.17%, highlighting an enhanced capacity for control and mitigation. Conclusion: The proposed methodology proves to be an effective strategy for strengthening cybersecurity in the Colombian financial sector, ensuring the confidentiality, integrity, and availability of critical information while fostering greater organizational resilience in an ever-evolving threat landscape.spa
dc.description.researchareaIngenierías::Automática, Electrónica y Ciencias Computacionales::Ciencias Computacionales
dc.description.tableofcontentsRESUMEN .................................................................................................................................................. IV ABSTRACT .................................................................................................................................................. V LISTA DE FIGURAS...................................................................................................................................... IX LISTA DE TABLAS ....................................................................................................................................... XI LISTA ABREVIATURAS ............................................................................................................................... XII INTRODUCCIÓN .......................................................................................................................................... 1 1. MARCO TEÓRICO Y ESTADO DEL ARTE .............................................................................................. 9 1.1 MARCO TEÓRICO ................................................................................................................................. 9 1.1.1 Ciberseguridad: Contexto e Importancia ................................................................................... 9 1.1.2 Importancia de la ciberseguridad en la era digital actual ....................................................... 11 ● Pérdida Financiera y Robo ...................................................................................................................... 11 ● Información Sensible Comprometida .................................................................................................... 12 ● Tiempo de Inactividad del Sistema y Pérdida de Productividad ........................................................... 12 ● Consecuencias Legales y Regulatorias y ZT ............................................................................................ 13 ● Daño a la Reputación y Confianza .......................................................................................................... 13 1.1.3 Riesgo y gestión de riesgos de ciberseguridad ......................................................................... 15 ● Gestión de Riesgos en el Sector Financiero ........................................................................................... 15 ● Importancia de la Gestión de Riesgos en el Sector Financiero .............................................................. 16 ● Criterios para la evaluación de riesgos .................................................................................................. 17 1.1.4 Zero Trust y Arquitectura de Zero Trust ................................................................................... 20 ● Concepto de ZT y contexto histórico ...................................................................................................... 20 ● Elementos de Zero Trust ......................................................................................................................... 23 ● Principios de Zero Trust .......................................................................................................................... 24 ● Arquitectura de Zero Trust ..................................................................................................................... 26 ● Pilares Fundamentales de ZTA ............................................................................................................... 28 ● Identidad ................................................................................................................................................. 30 ● Pilar de Dispositivos ............................................................................................................................... 34 ● Pilar de Red ............................................................................................................................................. 38 1.1.5 Acceso a la Red de Confianza Cero (ZTNA) .............................................................................. 39 1.1.6 Marco de seguridad cibernética del NIST ................................................................................. 43 1.1.7 Proceso Analítico Jerárquico .................................................................................................... 44 1.2 ESTADO DEL ARTE .............................................................................................................................. 45 1.2.1 Implementación de ZT: enfoques y soluciones de implementación ......................................... 46 2. METODOLOGÍA Y RESULTADOS ....................................................................................................... 53 2.1 METODOLOGÍA Y RESULTADOS FASE 1 .................................................................................................. 55 2.1.1 Metodología FASE 1: Contexto operacional del sector financiero colombiano ....................... 55 2.1.2 Resultados FASE 1: Contexto operacional del sector financiero colombiano ........................... 56 2.2 METODOLOGÍA Y RESULTADOS FASE 2 .................................................................................................. 59 2.2.1 METODOLOGÍA FASE 2: RIESGOS ASOCIADOS A LAS REDES ........................................................................ 59 2.2.2 Resultados FASE 2: Riesgos asociados a las redes ................................................................... 62 2.3 METODOLOGÍA Y RESULTADOS FASE 3 .................................................................................................. 66 2.3.1 Metodología FASE 3: Caracterización de modelos de ZT ......................................................... 66 2.3.2 Resultados FASE 3: Caracterización de modelos de ZT ............................................................ 69 ● Resultados de la Evaluación de Soluciones SSE ..................................................................................... 69 ● Identificación de empresas líderes de Gartner y Forrester ................................................................... 73 ● Comparación de empresas líderes y selección mediante el modelo AHP ............................................. 75 ● Propuesta metodológica para el control de acceso a la red basado en Zero Trust en el sector financiero colombiano ...................................................................................................................................... 77 Paso 1: Levantamiento del Estado Actual de los Activos ............................................................................ 79 Paso 2: Revisión del Cumplimiento Normativo ........................................................................................... 80 Paso 3: Integración de Gestión de Identidad y Acceso (IAM) ..................................................................... 81 Paso 4: Microsegmentación de Red y Control de Acceso ........................................................................... 82 Paso 5: Instalación del agente ZTNA en el endpoint ................................................................................... 82 Paso 6: Registro de aplicaciones que serán parte de la protección ............................................................ 83 Paso 7: Gestión de Endpoints y Postura del Dispositivo ............................................................................. 84 Paso 8: Definición de Reglas ........................................................................................................................ 86 Paso 9: Detección y Respuesta a Amenazas ................................................................................................ 92 Paso 10: Registro y Auditoría....................................................................................................................... 93 2.4 METODOLOGÍA Y RESULTADOS FASE 4 .................................................................................................. 95 2.4.1 Metodología FASE 4 ................................................................................................................. 95 ● Escenario 1: Acceso No Autorizado ........................................................................................................ 95 ● Escenario 2: Suplantación de Identidad ................................................................................................. 96 ● Escenario 3: Ataque de Comando y Control (Malware)......................................................................... 96 2.4.2 Resultados FASE 4 .................................................................................................................... 97 ● Escenario 1. Acceso no autorizado ......................................................................................................... 97 a) Sin agente y sin configuraciones en las máquinas y herramientas .................................................. 97 b) Con agente y con configuraciones en las máquinas y ZTNA ............................................................. 99 ● Escenario 2. Suplantación de Identidad - Máquina de un usuario contratista intenta personificar una máquina corporativa al contar con credenciales de un empleado interno ................................................... 101 a. Intento de acceso a aplicación sin agente por parte de contratista. ............................................. 101 b. Intento de acceso a la aplicación con agente por parte del empleado. ......................................... 104 ● Escenario 3 - Ataque de comando y control en la estación ................................................................. 106 a) Máquina con agente y no cumple definiciones. ............................................................................. 107 b) Máquina con agente y si cumple las definiciones .......................................................................... 109 ● Evaluación del riesgo posterior a la implementación de la metodología ZT propuesta ..................... 111 ● Comparación entre la evaluación de riesgos antes y después de la implementación de la metodología de ZT en el sector financiero de Colombia ..................................................................................................... 111 3. CONCLUSIONES, RECOMENDACIONES Y TRABAJOS FUTUROS ....................................................... 113 3.1 CONCLUSIONES ...............................................................................................................................113 3.2 RECOMENDACIONES Y TRABAJOS FUTUROS ...........................................................................................115 ANEXOS .................................................................................................................................................. 117 A. ANEXO: DISEÑO DE ENCUESTA PARA LA CATEGORIZACIÓN E IDENTIFICACIÓN DE RIESGOS EN EL SECTOR FINANCIERO COLOMBIANO ....................................................................................................... 117 B. ANEXO: RESPUESTAS DE LA ENCUESTA SOBRE LA CATEGORIZACIÓN E IDENTIFICACIÓN DE RIESGOS EN EL SECTOR FINANCIERO COLOMBIANO ............................................................................................. 121 C. ANEXO: IDENTIFICACIÓN Y EVALUACIÓN DE RIESGOS ASOCIADOS A LAS REDES – FASE 2 ............. 130 D. ANEXO: MODELO AHP PARA LA SELECCIÓN DE LA EMPRESA LÍDER EN MODELO ZERO TRUST ...... 139 E. ANEXO: CONFIGURACIONES COMUNES EN LOS 3 ESCENARIOS ..................................................... 140 F. ANEXO: CONFIGURACIONES ESCENARIO 1 – ACCESO NO AUTORIZADO ........................................ 142 G. ANEXO: CONFIGURACIONES ESCENARIO 2 – SUPLANTACIÓN DE IDENTIDAD ................................ 143 H. ANEXO: CONFIGURACIONES ESCENARIO 3 – MALWARE ................................................................ 144 I. ANEXO: DISMINUCIÓN DE RIESGOS Y MATERIALIZACIÓN DE INCIDENTES CIBERNÉTICOS PARA EL SECTOR FINANCIERO COLOMBIANO POSTERIOR A LA IMPLEMENTACIÓN DE LA METODOLOGÍA ZT PROPUESTA. ........................................................................................................................................... 148 J. ANEXO: MANIFESTACIÓN DE PARTICIPACIÓN EN LA DISTRIBUCIÓN DE ENCUESTA ....................... 178 BIBLIOGRAFÍA ......................................................................................................................................... 182
dc.format.extent205 páginas
dc.format.mimetypeapplication/pdfspa
dc.identifier.instnameinstname:Institución Universitaria ITMspa
dc.identifier.reponamereponame:Repositorio Institucional Institución Universitaria ITMspa
dc.identifier.repourlrepourl:https://repositorio.itm.edu.cospa
dc.identifier.urihttps://hdl.handle.net/20.500.12622/8005
dc.language.isospaspa
dc.publisherInstitución Universitaria ITM
dc.publisher.grantorInstitución Universitaria ITMspa
dc.publisher.placeMedellín
dc.rights.accessrightsinfo:eu-repo/semantics/openAccess
dc.rights.coarhttp://purl.org/coar/access_right/c_abf2
dc.rights.creativecommonsAttribution-NonCommercial-NoDerivatives 4.0 Internationalspa
dc.rights.licenseAtribución-NoComercial 4.0 Internacional (CC BY-NC 4.0)
dc.rights.localAcceso abiertospa
dc.rights.urihttps://creativecommons.org/licenses/by-nc/4.0/
dc.subjectCiberseguridad financiera, Zero Trust, Control de acceso, ZTNA, riesgos cibernéticos, Amenazas cibernéticasspa
dc.subject.armarcCiberinteligencia (Seguridad en computadores)
dc.subject.armarcIndustria de programas para computadores
dc.subject.ddc000 - Ciencias de la computación, información y obras generales::005 - Programación, programas, datos de computación
dc.subject.keywordsFinancial Cybersecurity, Zero Trust, Access Control, Banking Institutions, Security Methodologies, Cyber Threatsspa
dc.subject.lembTelecomunicaciones
dc.subject.lembProtección de Datos
dc.subject.lembInstituciones Financieras
dc.subject.lembSeguridad informática
dc.subject.lembSistemas informáticos::Medidas de seguridad
dc.subject.lembTecnología::Evaluación de riesgos
dc.subject.ocde2. Ingeniería y Tecnología
dc.subject.odsODS 8: Trabajo decente y crecimiento económico. Promover el crecimiento económico sostenido, inclusivo y sostenible, el empleo pleno y productivo y el trabajo decente para todos
dc.subject.odsODS 9: Industria, innovación e infraestructura. Construir infraestructuras resilientes, promover la industrialización inclusiva y sostenible y fomentar la innovación
dc.subject.proposalCiberseguridad financiera
dc.subject.proposalZero Trust
dc.subject.proposalControl de acceso
dc.subject.proposalZTNA
dc.subject.proposalRiesgos cibernéticos
dc.subject.proposalAmenazas cibernéticas
dc.titleMetodología para el control de acceso a la red basado en zero trust en el sector financiero colombianospa
dc.title.translatedMethodology for Zero Trust-Based Network Access Control in the Colombian Financial Sectorspa
dc.typeTrabajo de grado - Maestría
dc.type.coarhttp://purl.org/coar/resource_type/c_bdccspa
dc.type.coarversionhttp://purl.org/coar/version/c_970fb48d4fbd8a85
dc.type.contentText
dc.type.driverinfo:eu-repo/semantics/masterThesisspa
dc.type.redcolhttp://purl.org/redcol/resource_type/TM
dc.type.versioninfo:eu-repo/semantics/publishedVersion
dcterms.audiencePúblico en general

Archivos

Bloque original

Mostrando 1 - 2 de 2
Miniatura
Nombre:
Tesis de maestría
Tamaño:
6.06 MB
Formato:
Adobe Portable Document Format
Descargar
Miniatura
Nombre:
Carta de autorización
Tamaño:
430.24 KB
Formato:
Adobe Portable Document Format
Descargar

Bloque de licencias

Mostrando 1 - 1 de 1
Miniatura
Nombre:
license.txt
Tamaño:
1.37 KB
Formato:
Item-specific license agreed upon to submission
Descripción:
Descargar

Colecciones

Maestría en Seguridad Informática