Trabajo Colaborativo 1 Grupo 233002 2

UNIDAD 1: TAREA 1 - IDENTIFICACIÓN DE MODELOS DE SEGURIDAD
INFORMÁTICA
PRESENTADO A:
CHRISTIAN REYNALDO ANGULO
PRESENTADO POR:
LAURA CATALINA ESPAÑA LOPEZ
JACK DENNIS QUINTERO
CARLOS ANTONIO GARZON
SANDRA PATRICIA HERNANDEZ
SANDRA PAOLA MOLINA
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA.

ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
MODELOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA
BOGOTÁ, MARZO DE 2020
CONTENIDO
1. INTRODUCCIÓN.........................................................................................................4
2. OBJETIVOS...................................................................................................................5
2.1 GENERAL........................................................................................................5
2.2 ESPECÍFICOS.................................................................................................5
3 PLANTEAMIENTO DEL PROBLEMA............................................................................6
3.1 FORMULACION DEL PROBLEMA..................................................................6
4. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA...............................................6
4.1 SITUACIÓN ACTUAL DE LA UNIVERSIDAD NACIONAL ABIERTA Y A
DISTANCIA............................................................................................................6
5 DIAGNOSTICO INTERNO Y EXTERNO (MARGERIT).................................................8
6 OBJETIVOS ESTRATÉGICOS DE LA COMPAÑÍA.....................................................27
7 DEFINICIÓN DEL MODELO DE SEGURIDAD INFORMÁTICA..................................28
8 CONCLUSIONES.........................................................................................................38
9. BIBLIOGRAFÍA............................................................................................................39
RESUMEN
El crecimiento desmesurado de los avances tecnológicos ha hecho que la

información se convierta en el activo más valioso de una organización por ello la
seguridad informática es el tema de mayor importancia a nivel empresarial.
El siguiente trabajo consiste en realizar un análisis del estado actual de la
seguridad informática de la Universidad Nacional Abierta y a Distancia Unad, para
determinar las posibles vulnerabilidades informáticas en sus sistemas de
información y así proponer de manera certera un modelo de seguridad informática
para proteger con mayor eficacia los datos e información sensible para esta.
PALABRAS CLAVE: SEGURIDAD INFORMÁTICA, VULNERABILIDADES,

MODELO, SISTEMAS DE INFORMACIÓN.
1. INTRODUCCIÓN
La seguridad informática se ocupa de proteger un sistema informático ante el uso

no autorizado del mismo, abarcando una serie de medidas de seguridad tales
como: programas de antivirus, así como el buen uso de una computadora, internet
y los recursos de red.
Para cualquier empresa que desee salvaguardar sus datos e información
confidencial y sensible debe implementar un Sistema de Gestión de la Seguridad
de la Información que son un conjunto de políticas de administración de la
información que permite tener en vigencia las cuatro áreas principales de la
seguridad informática, confidencialidad, integridad, disponibilidad y autenticación
de la información ya que las amenazas que enfrenta una empresa día a día
involucran aspectos como pérdida o robo de información hasta amenazas que
ponen en riesgo el buen nombre de la empresa así como interrupciones en las
operaciones de la misma.
La Universidad Nacional Abierta y a Distancia UNAD es una entidad en
crecimiento que por su continuo aumento en el número de estudiantes debe tener
presente el uso de un Sistema de Gestión de Seguridad de la Información (SGSI)
y las buenas prácticas para la protección de la información; por lo anterior es
imprescindible analizar los riesgos de la seguridad de la información en donde
debe ser aplicado a los activos de información. Con este análisis se realizará el
diagnóstico para saber las debilidades y fortalezas internas y externas de la
seguridad informática en la universidad que serán las base para proponer e
implementar controles adecuados en las políticas que maneja la universidad en
seguridad informática que hacen parte del Sistema de Gestión de Seguridad de la
Información.
2. OBJETIVOS
2.1 GENERAL
Establecer el diagnóstico actual de la seguridad informática a nivel interno y

externo de la Universidad Nacional Abierta y a Distancia UNAD. Con la intención
de salvaguardar los recursos informáticos tales como la información, el hardware y
software.
2.2 ESPECÍFICOS
 Realizar análisis de la seguridad informática de la Universidad Nacional Abierta

y a Distancia UNAD.
 Identificar las vulnerabilidades y amenazas de los activos de información.
 Definir la metodología y herramientas informáticas de seguridad informática
para implementar en la universidad.
 Presentar un informe y proponer recomendaciones a partir de los de resultados
obtenidos en el diagnóstico realizado.
3 PLANTEAMIENTO DEL PROBLEMA
3.1 FORMULACION DEL PROBLEMA
¿Por qué es importante conocer actualmente el estado de la seguridad informática

de la Universidad Nacional Abierta y a Distancia y que modelo de seguridad se
debe implementar para mantener la confidencialidad, integridad y disponibilidad de
la información?
4. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
4.1 SITUACIÓN ACTUAL DE LA UNIVERSIDAD NACIONAL ABIERTA Y A

DISTANCIA.
Se dará a conocer los procedimientos que la Universidad Nacional Abierta y a

Distancia maneja, además de su historia y servicios que presta.
Historia
“La Universidad Nacional Abierta y a Distancia, (UNAD) es un Proyecto Educativo

que nació con el nombre de Unidad Universitaria del Sur de Bogotá, UNISUR
durante el gobierno de Belisario Betancur.
Surgió, mediante la Ley 52 de 1981, como un establecimiento público del orden
nacional adscrito al Ministerio de Educación Nacional y transformada por el
Congreso de la República mediante la Ley 396 del 5 de agosto de 1997 en la
Universidad Nacional Abierta y a Distancia UNAD.
Se creó con el objeto de diseñar e implementar programas académicos con la
estrategia pedagógica de la educación a distancia, que fuesen pertinentes con las
necesidades locales, regionales, nacionales e internacionales y acordes con los
retos y las demandas de una sociedad democrática, participativa y dinámica afines
con modelos científicos, sociales y culturales que contextualizan al siglo XXI.
Desde su puesta en marcha – abril de 1982 -, la Universidad se ha caracterizado
por su compromiso con las comunidades y poblaciones que no han tenido acceso
a una capacitación técnica, socio humanístico y comunitario. También, por su
contribución a la recuperación de los tejidos sociales, la generación de espacios
laborales y la formación para la participación ciudadana.”[CITATION Res \l 2058 ]
Misión
“La Universidad Nacional Abierta y a Distancia (UNAD) tiene como misión

contribuir a la educación para todos a través de la modalidad abierta, a distancia y
en ambientes virtuales de aprendizaje, mediante la acción pedagógica, la
proyección social, el desarrollo regional y la proyección comunitaria, la inclusión, la
investigación, la internacionalización y las innovaciones metodológicas y
didácticas, con la utilización de las tecnologías de la información y las
comunicaciones para fomentar y acompañar el aprendizaje autónomo, generador
de cultura y espíritu emprendedor que, en el marco de la sociedad global y del
conocimiento, propicie el desarrollo económico, social y humano sostenible de las
comunidades locales, regionales y globales con calidad, eficiencia y equidad
social.” [ CITATION Uni \l 2058 ]
Visión
“Se proyecta como una organización líder en Educación Abierta y a Distancia,

reconocida a nivel nacional e internacional por la calidad innovadora y pertinencia
de sus ofertas y servicios educativos y por su compromiso y aporte de su
comunidad académica al desarrollo humano sostenible, de las comunidades
locales y globales.”[ CITATION Uni \l 2058 ]
Ubicación Geográfica
La sede principal de la Unad se llama Sede Nacional José Celestino Mutis y se

encuentra ubicada en la calle Calle 14 Sur # 14 - 23, Bogotá.
La universidad cuenta con 64 sedes a nivel nacional divididas en zonas:
 Amazonia y Orinoquia
 Centro Boyacá
 Caribe
 Centro Bogotá – Cundinamarca
 Centro Oriente
 Centro Sur, Occidente, Sur.
Estructura Organizacional
La UNAD tiene cuatro sistemas estratégicos.

 Sistema de alta política universitaria
 Sistema Misional
 Sistema funcional
 Sistema operacional
Figure 1. Organigrama Unad. Fuente https://informacion.unad.edu.co/transparencia-y-acceso-a-la-
informacion/acerca-de-la-unad/estructura-organizacional
5 DIAGNOSTICO INTERNO Y EXTERNO (MARGERIT)
1. Activos
En un sistema de información existen activos esenciales y activos relevantes.
Activos esenciales:
Los activos esenciales se dividen en información que se maneja y los servicios

que presta.
1. Información que se maneja

 “Sensitiva: La publicación o acceso no autorizado a esta información
debería causar el máximo nivel de alerta en la organización.
 Confidencial: los datos aquí clasificados son menos restrictivos que los
sensitivos pero su publicación podría ocasionar un daño importante en la
organización.
 Privada: es la información que debe ser protegida contra una publicación
deliberada a nivel de departamento, por ejemplo: recursos humanos.
 Propietaria: información que generalmente no está disponible a terceros
fuera de la organización.
 Pública: los datos que están disponibles a terceros y al público en general
fuera y dentro de la organización”. (Rios, 2016)
2. Servicios que presta

La universidad Nacional Abierta y a Distancia es un ente universitario que tiene
como objetivo la educación abierta y a distancia.
Servicios:
 Pregrados: Técnicos y profesionales
 Posgrados: Especializaciones y maestrías
 Alfabetización: Primaria y bachillerato
 Formación en lengua extranjera
Activos relevantes:
 [D] Datos:
 Buckups
 Políticas de seguridad de contraseñas
A. [S] Servicios:
 Correo Institucional
 Página Web: https://www.unad.edu.co/
 Administrador de identidades
 Campus virtual
B. [SW] Aplicaciones informáticas:
 Bases de datos.
 Ofimática
 Antivirus
 Sistemas operativos
 Control de acceso
C. [HW] Equipos informáticos:
 Firewall
 Servidores
 Ordenadores Portátiles
 Ordenadores de sobremesa
 Impresoras
 Router
 Escáner
 Switch
 UPS
D. [COM] Redes de comunicaciones:
 LAN
 Red inalámbrica
 VPN
 Cableado de red
 Gabinete centro de red
E. [AUX] Equipamiento auxiliar:
 Fuente de energía
 Sistema de alimentación interrumpida
 Rcak
F. [Media] Soportes de información:
 Discos duros externos
 USB
 DVD
G. [P] Personal
 Parte administrativa
 Parte operacional
 Estudiantes
H. [L] Instalaciones
 Sedes administrativas
 CEAD
 CCAV
 UDR

Valoración de activos
Valor Criterio
10 Extremo Daño
extremadamente
grave
9 Muy alto Daño muy grave
6-8 Alto Daño grabe
3-5 Medio Daño importante
1-2 Bajo Daño menor
0 Despreciable Irrelevante a efectos
prácticos
Fuente: Datos obtenido del Magerit V3 libro 2 Catalogo de elementos
Dimensiones:
[D] disponibilidad
[I] integridad de los datos
[C] confidencialidad de los datos
[A] autenticidad de los usuarios y de la información
[T] trazabilidad del servicio y de los datos
[D] Datos
Activo Dimensión de seguridad
[D] [I] [C] [A] [T]
Buckups 3
Políticas de seguridad de 2 2
contraseñas
[S] Servicios
[D] [I [C] [A [T]
] ]
Página web 3
Administrador 5 2 2 5
de
identidades
Campus 5 3 3 3 5
virtual
[SW] Software
[D [I [C [A] [T]
] ] ]
Base de 6 6 6 6
datos
Ofimática 1
Antivirus 8
Sistemas 4 6
operativos
Control de 5 5
acceso
[HW] hardware
[D] [I [C] [A [T]
] ]
Firewall 8
Servidores 4 6 6
Ordenadores 2
portátiles
Ordenadores 2
de
sobremesa
Impresoras 2
Router 4 6
Escáner 2
Switch 6 8
UPS 3
[COM] Comunicaciones
[D] [I [C] [A [T]
] ]
LAN 2
VPN 4
Red 2
inalámbrica
Cableado de 2
red
Gabinete 2
centro de red
[AUX] Equipamiento auxiliar

[D] [I] [C] [A] [T]
Rack 4
Fuente de energía 4
Sistema de alimentación 4
interrumpida
[Media] Soportes de información

[D] [I] [C] [A] [T]
Disco duro externo 5 4 4 4 5
USB 5 3 3 3 5
DVD 3 3 3 3 5
[P] Personal
[D] [I] [C] [A] [T]
Administrativa 5 5
Operacional 5 5
Estudiantes 5
[L] Instalaciones
[D] [I] [C] [A] [T]
Sedes 5 5
administrativas
CEAD 5 5
CCAV 5 5
UDR 5 5
[R] Redes
[D] [I] [C] [A] [T]
VLAN 8 8
VPN 8 8
Cableado de Red 7 7
Gabinete de centro 8 8
de red
Jerarquía de dependencias
Dependencia entre activos(Ejemplos)

2. Amenazas
Al momento de identificar que las amenazas pueden perjudicar los activos, es

necesario valorar su influencia en el valor del activo en dos sentidos.
 Degradación: en cuanto al valor del activo cuanto podría ser perjudicado.

Acá podemos medir el daño causado por alguna de las amenazas.
 Probabilidad: que tan probables es que la amenaza ocurra.
Con las siguientes tablas según la necesidad podemos medir la probabilidad y

frecuencia con que podrían ocurrir las amenazas
 Probabilidad anual
MA muy alta casi seguro fácil

A alta muy alto medio
M media posible difícil
B baja poco probable muy difícil
MB muy baja muy raro extremadamente difícil
 Frecuencia anual
MA 100 muy frecuente a diario

A 10 frecuente mensualmente
M 1 normal una vez al año
B 1/10 poco frecuente cada varios años
MB 1/100 muy poco frecuente siglos
Calificación de las amenazas
1. Daños naturales
[L] Instalaciones
AMENAZA Probabilidad Frecuencia Dimensiones
Por agua MB B [D]
Por fuego MB B
[AUX Equipamiento auxiliar

Por agua MB B [D]
Por fuego MB B
[MEDIA] Soporte de
información
Por agua MB B [D]
Por fuego B B
[HW] Equipos informáticos

Por agua B B [D]
Por fuego B B
2. De origen industrial
[L] Instalaciones
Por agua MB B [D]
Por fuego MB B
Emanaciones MB B
electromagnéticas
[HW] Equipos Informáticos

Por agua MB B [D]
Por fuego MB B
Contaminación mecánica MB B
Contaminación MB B
electromagnética
Deterioro de origen físico o M B
lógico
Emanaciones MB B
electromagnéticas
Condiciones inadecuadas de B B
temperatura o humedad
Corte del suministro eléctrico B B
[MEDIA] Soportes de
información
Por agua MB B [D]
Por fuego MB B
Contaminación MB B
electromagnética
lógico
Degradación de los soportes MB B
de almacenamiento de la
información

Por agua MB B [D]
Por fuego MB B
Contaminación MB B
electromagnética
lógico
Emanaciones MB B
electromagnéticas
Interrupción de otros servicios MB B
y suministros esenciales
[SW] Aplicaciones
informáticas
Deterioro de origen físico o MB B [D]
lógico
[COM] Redes de
comunicaciones
Fallo de servicios de MB B [D]
comunicaciones
3. Error y fallos no intencionados
[D] Datos
Error de los usuarios M M [D]
Error del administrador B B [C]
Cambio accidental de la M B [I]
información
Destrucción de información MB B
Fugas de información MB B
[S] Servicios
Error de los usuarios MB B [D]
Error del administrador MB B [C]
Error de [re-]encaminamiento MB B [I]
Error de secuencia MB B
Cambio accidental de la M B
información
Caída del sistema por MB B
agotamiento de recursos
[SW] Aplicaciones
informáticas
Error de [re-]encaminamiento MB B [I]
información
Difusión de software dañino MB B
Vulnerabilidades de los M B
programas (software)
Error de mantenimiento / M B
actualización de programas
(software)
[MEDIA] Soportes de
formación
[I]
información
Error de mantenimiento / M B
actualización de equipos
(hardware)
Pérdida de equipos MB B

Error del administrador MB B [D]
[C]
Error de mantenimiento / M B [I]
actualización de equipos
(hardware)
[COM] Redes de
comunicaciones
Error del administrador MB B [D]
[C]
Cambio accidental de la M B [I]
información
Error de [re-]encaminamiento M B
Caída del sistema por MB B
agotamiento de recursos

Error de mantenimiento / MB B [D]
actualización de equipos [C]
(hardware) [I]
[L] Instalaciones
Cambio accidental de la MB B [D]
información [C]
Destrucción de información MB B [I]
[P] Personal
Deficiencias en la MB B [D]
organización
4. Ataques intencionados
[D] Datos
Suplantación de la identidad M M [D]
del usuario [C]
Abuso de privilegios de B B [I]
acceso
Acceso no autorizado M B
Modificación deliberada de la MB B
información
Divulgación de información MB B
[S] Servicios
del usuario [C]
acceso
Uso no previsto M B
[Re-]encaminamiento de MB B
mensajes
Cambio de secuencia MB B
Acceso no autorizado MB B
Repudio M B
información
Destrucción de información M B
Denegación de servicio M B
[SW] Aplicaciones
informáticas
del usuario [C]
acceso
Uso no previsto M B
Manipulación de programas M B
información

Abuso de privilegios de B B [D]
acceso [C]
Uso no previsto M B [I]
Manipulación de los equipos M B
Denegación de servicio MB B
Manipulación de programas M B
Ataque destructivo MB B
[COM] Redes de
comunicación
del usuario [C]
acceso
Uso no previsto M B
[Re-]encaminamiento de MB B
mensajes
Análisis de tráfico MB B
Interceptación de información MB B
(escucha)
Denegación de servicio M B
información

Robo B B [D]
Uso no previsto M B [C]
Ataque destructivo M B [I]
[L] Instalaciones
Modificación deliberada de la B B [D]
información [C]
Uso no previsto M B [I]
3. Análisis de riesgos
Activo Amenaza Vulnerabilidad Riesgo Recomendaciones

[SW] Deterioro de El Centro al no Fallos en los Establecer las
[HW] origen físico o contar con un equipos y/o medidas físicas
lógico. sistema de fallos en los correspondientes
seguridad programas y en en la protección de
biométrico o de la información equipos de
monitoreo que almacenada en cómputo.
permita tener estos.
control sobre la
zona de
sistemas.
[HW] Condiciones Los servidores Deficiencias en Mejorar las

inadecuadas DHCP, HTTP la regulación de condiciones de
de y PBX se la climatización climatización del
temperatura encuentran en de los locales, área de sistemas
o humedad un espacio sobrepasando para evitar sobre
donde no se los extremos de calentamiento
cumplen trabajo en los
condiciones de equipos donde
climatización se genera
óptimas demasiada calor
[D] Error de los Debido al alto Equivocaciones Contratar un mayor

usuarios flujo en la de las personas número de
oficina de cuando usan los practicantes
Registro y servicios, dedicados
Control generando Error exclusivamente al
Académico, la en los datos apoyo de la oficina
alimentación almacenados de Registro y
de la Control Académico
información en
el sistema, en
ocasiones la
diligencia
personal de
prácticas de
otras
dependencias.
[SW] Difusión de Aunque los Propagación Establecer

software equipos de inocente de controles
dañino cómputo virus, espías periódicos y de
cuentan con (spyware), control para los
sistemas de gusanos, antivirus de la
antivirus troyanos, organización
actualizado, no bombas lógicas,
se hace un etc.
seguimiento a
sus
actualizaciones
o estado.
[D] Escapes de La La información Contratar un mayor

información alimentación llega número de
de la accidentalmente practicantes
información en al conocimiento dedicados
el sistema, en de personas exclusivamente al
ocasiones la que no deberían apoyo de la oficina
diligencia tener de Registro y
personal de conocimiento de Control Académico
prácticas de ella, sin que la
otras información en
dependencias. sí misma se vea
alterada.
[SW] Vulnerabilida Una mala Errores en el Se deben

des de los arquitectura y código en donde establecer
programas codificación de inicia la procesos
(software) los programas operación controlados de
puede generar defectuosa sin desarrollo y
vulnerabilidade ser intencionada pruebas de
s que sea por el usuario vulnerabilidad
explotadas por pero que genera antes de sacar en
atacantes consecuencias producción los
en la integridad software
de datos o en la desarrollados
capacidad de
operar.
[D] Suplantación La Cuando un Contratar un mayor

[KEYS] de la alimentación atacante número de
identidad del de la consigue practicantes
usuario información en hacerse pasar dedicados
el sistema, en por un usuario exclusivamente al
ocasiones la autorizado, apoyo de la oficina
diligencia disfruta de los de Registro y
personal de privilegios de Control Académico
prácticas de este para sus
otras fines propios.
dependencias.
[L] Acceso no El Centro al no El atacante Establecer medidas

[SW] autorizado contar con un accede a físicas adecuadas
[HW] sistema de recursos del para la protección
seguridad sistema sin de los equipos de
biométrico o de estar cómputo.
monitoreo que debidamente
permita tener autorizado, en
control sobre la donde
zona de aprovecha las
sistemas. fallas del
sistema en la
identificación y
autorización.
[SW] Manipulación Si alguien con Realizar Establecer medidas

de conocimiento cambios físicas adecuadas
programas especializado intencionados para la protección
accede a los en el de los equipos de
códigos fuente funcionamiento cómputo.
de los de programas,
programas en donde
podría buscan un
encontrar beneficio
vulnerabilidade indirecto cuando
s y formas de se da que una
alterar su persona
funcionamiento autorizada lo
utiliza.
Valoración Cuantitativa
Para realizar el correcto análisis de riesgos se procede a interpretar los resultados

obtenidos en la valoración de las amenazas en las dimensiones de los activos,
para establecer con certeza lo que puede ocurrir, el impacto al que está sometido
el sistema.
Nomenclatura Categoría Valoración

MA Critico 21 a 25
A Importante 16 a 20
M Apreciable 10 a 15
B Bajo 5a9
MB Despreciable 1a4
Autenticid Trazabilid Confidenciali Integrid Disponibilid Val

Nombre Riesgo ad ad dad ad ad or
Datos/Información
[D]
CRITICO 25 25 25 25 25 25
Servicios
[S]
APRECI
ABLE 15 20 25 4 9 15
Hardware Software
[SW]
APRECI
ABLE 20 25 4 9 15 15
[HW]
APRECI
ABLE 25 4 9 15 20 15
Comunica[COM]
APRECI
ABLE 4 9 15 20 25 15
ciones
auxiliarEquipo
[AUX]
APRECI
ABLE 9 15 20 25 4 15
Personal Soportes
[Media]
APRECI
ABLE 15 20 25 4 9 15
información
de
APRECIA
[P]
BLE 20 25 4 9 15 15
[R]Redes Instalaciones
[L]
APRECIA
BLE 25 4 9 15 20 15
APRECIA
BLE 4 9 15 20 25 15
6 OBJETIVOS ESTRATÉGICOS DE LA COMPAÑÍA
Los objetivos estratégicos Se refieren a un marco de planificación de la estrategia

institucional, donde se contempla el camino que se debe seguir durante un
período de cuatro años, abordando los desafíos impuestos mediante un entorno
global. los Objetivos Estratégicos son:
 Contribuir a una formación integral donde se integran líderes sociales en las
diversas áreas disciplinarias y conocimiento, garantizando la acción ética,
solidaria y responsable en donde como ciudadanos promueven un desarrollo
eco-sostenible de la sociedad global.
 Desarrollo y fomento en la investigación educativa, perseverante y de frontera,
para la contribución de la gestión en distintas áreas del conocimiento y el
mejoramiento curricular y pedagógica, a fin de mantener operantes las
comunidades científicas, tanto internos como externos.
 Dirigir el fortalecimiento en las relaciones solidarias, activas y proactivas en
comunidades, por medio de acciones en capacitación, investigación e
interacción donde se llegue a promover la inclusión y la equidad social que
aporten en la preservación del medio ambiente, la solución de los problemas
locales, la parte regional, nacional, global, desarrollo integral, armonioso,
sostenible y autosostenible en las comunidades.
 Recopilar las Políticas de Retención y Permanencia donde garanticen en todos
los funcionarios Unadistas la comprensión, la convicción y acción eficaz en el
buen servicio para todos los estudiantes graduados y las comunidades
atendidas.
 Certificar la educación abierta y a distancia, con el fin de generar
contribuciones y posicionamiento de la misión institucional, mediante el
fortalecimiento con la cooperación internacional donde se favorece la
globalización y el intercambio de los currículos de los programas, apropiarse de
nuevas tecnologías y la integración cultural Unadista.
 Fortalecer la Unad para cambios continuos, como efecto de dinámicas
sociales, tecnológicas, económicas, enfocándose desarrollar capacidades que
creen valores, buscando las oportunidades de diferentes entornos, con
continua mejora e inteligencia competitiva, con el fin de atraer personas
mediante los proyectos innovadores, con alianzas donde se tenga acceso a
planes financieros de corto, mediano y largo plazo para proyectos y actores
innovadores, patrocinadores y la propia Universidad, para promover creación
de la cultura en innovación, emprendimiento, en la obtención de registros y
patentes que posicionan la imagen de la institución en la parte regional,
nacional y global, así mismo la compilación de patentes regionales, nacionales
y globales.
7 DEFINICIÓN DEL MODELO DE SEGURIDAD INFORMÁTICA
7.1 MODELO ZERO TRUST
Zero Trust es una iniciativa estratégica que ayuda a prevenir violaciones de datos
exitosas al eliminar el concepto de confianza de la arquitectura de red de una
organización. Arraigado en el principio de "nunca confíe, siempre verifique", Zero
Trust está diseñado para proteger los entornos digitales modernos al aprovechar
la segmentación de la red, evitar el movimiento lateral, proporcionar prevención de
amenazas de capa 7 y simplificar el control granular de acceso de usuarios.
John Kindervag creó Zero Trust, durante su mandato como vicepresidente y
analista principal de Forrester Research, basándose en la constatación de que los
modelos de seguridad tradicionales operan con el supuesto anticuado de que todo
dentro de la red de una organización debe ser confiable. Bajo este modelo de
confianza roto, se supone que la identidad de un usuario no se ve comprometida y
que todos los usuarios actúan de manera responsable y se puede confiar en ellos.
El modelo Zero Trust reconoce que la confianza es una vulnerabilidad. Una vez en
la red, los usuarios, incluidos los actores de amenazas y los intrusos maliciosos,
son libres de moverse lateralmente y acceder o extraer cualquier información a la
que no estén limitados. Recuerde, el punto de infiltración de un ataque a menudo
no es la ubicación del objetivo.
Una arquitectura de confianza cero
En Zero Trust, identifica una "superficie protegida". La superficie de protección

está compuesta por los datos, activos, aplicaciones y servicios más críticos y
valiosos de la red, DAAS, para abreviar. Las superficies protegidas son exclusivas
de cada organización. Debido a que contiene solo lo que es más crítico para las
operaciones de una organización, la superficie de protección es un orden de
magnitud menor que la superficie de ataque, y siempre se puede conocer.
Con su superficie de protección identificada, puede identificar cómo se mueve el
tráfico en toda la organización en relación con la superficie de protección.
Comprender quiénes son los usuarios, qué aplicaciones están usando y cómo se
conectan es la única forma de determinar y aplicar una política que garantice el
acceso seguro a sus datos. Una vez que comprenda las interdependencias entre
el DAAS, la infraestructura, los servicios y los usuarios, debe colocar los controles
lo más cerca posible de la superficie de protección, creando un microperímetro a
su alrededor. Este microperímetro se mueve con la superficie de protección,
donde quiera que vaya. Puede crear un microperímetro implementando una puerta
de enlace de segmentación, más comúnmente conocido como firewall de próxima
generación, para garantizar que solo el tráfico conocido y permitido o las
aplicaciones legítimas tengan acceso a la superficie de protección.
La puerta de enlace de segmentación proporciona visibilidad granular en el tráfico
y aplica capas adicionales de inspección y control de acceso con la política
granular de capa 7 basada en el método Kipling, que define la política de
confianza cero en función de quién, qué, cuándo, dónde, por qué y cómo. La
política Zero Trust determina quién puede transitar el microperímetro en cualquier
momento, evitando el acceso a su superficie protegida por usuarios no autorizados
y evitando la filtración de datos confidenciales. Zero Trust solo es posible en la
Capa 7.
Una vez que haya creado su política de Zero Trust en torno a su superficie de
protección, continúa supervisando y manteniendo en tiempo real, buscando cosas
como lo que debe incluirse en la superficie de protección, las interdependencias
que aún no se tienen en cuenta y las formas de mejorar la política.
Cero confianzas: tan dinámico como su empresa
Zero Trust no depende de una ubicación. Los usuarios, los dispositivos y las
cargas de trabajo de las aplicaciones están ahora en todas partes, por lo que no
puede aplicar Zero Trust en una ubicación: debe proliferar en todo su entorno. Los
usuarios correctos deben tener acceso a las aplicaciones y datos correctos.
Los usuarios también acceden a aplicaciones críticas y cargas de trabajo desde
cualquier lugar: hogar, cafeterías, oficinas y sucursales pequeñas. Zero Trust
requiere visibilidad, cumplimiento y control consistentes que se pueden entregar
directamente en el dispositivo o a través de la nube. Un perímetro definido por
software proporciona acceso seguro al usuario y evita la pérdida de datos,
independientemente de dónde se encuentren los usuarios, qué dispositivos se
usen o dónde se alojen sus cargas de trabajo y datos (es decir, centros de datos,
nubes públicas o aplicaciones SaaS).
Las cargas de trabajo son muy dinámicas y se mueven a través de múltiples
centros de datos y nubes públicas, privadas e híbridas. Con Zero Trust, debe tener
una visibilidad profunda de la actividad y las interdependencias entre usuarios,
dispositivos, redes, aplicaciones y datos. Las puertas de enlace de segmentación
monitorean el tráfico, detienen las amenazas y aplican el acceso granular a través
del tráfico norte-sur y este-oeste dentro de su centro de datos local y entornos de
múltiples nubes.
Implementar Zero Trust
Lograr la confianza cero a menudo se percibe como costoso y complejo. Sin

embargo, Zero Trust se basa en su arquitectura existente y no requiere que
extraiga y reemplace la tecnología existente. No hay productos Zero Trust. Hay
productos que funcionan bien en entornos Zero Trust y aquellos que no. Zero
Trust también es bastante simple de desplegar, implementar y mantener utilizando
una metodología simple de cinco pasos. Este proceso guiado ayuda a identificar
dónde está y hacia dónde ir después:
 Identificar la superficie de protección.
 Mapear los flujos de transacciones
 Construye una arquitectura Zero Trust
 Crear política de confianza cero
 Monitorear y mantener
El entorno creativo a Zero Trust, que consiste en una superficie de protección que
contiene un solo elemento DAAS protegido por un microperímetro aplicado en la
capa 7 con la política del método Kipling por una puerta de enlace de
segmentación, es un proceso simple e iterativo en el que puede repetir un
elemento de superficie / DAAS protegido en un momento.
Para la construcción de la arquitectura Zero Trust para el acceso seguro a las
aplicaciones en un entorno virtual, se valida el proceso prescriptivo, probando las
aplicaciones una a una y reduciendo su perfil de riesgo de migración. Para ellos se
validan varias fases a implementar.
 Identificar la superficie de protección.
Definición Descripción del Control

Plataformas en línea En la seguridad de la información se deben definir un conjunto de
políticas. Para el acceso pleno a la red incrementa su exposición a
las amenazas. El acceso de los usuarios debe limitarse
exclusivamente a las aplicaciones que cada estudiante requiera no
a la totalidad de la red.
Portal WEB Se deben realizar copias de seguridad informática, periódicas de los
elementos del portal web, se debe garantizar el acceso al portal
web y que haya disponibilidad de portal, se deben guardar registros
de las actividades en el servidor y realizar auditorías para evitar
ataques posibles en la web. Los servidores web deben ser
configurados con límites de accesos concurrentes para evitar
ataques de denegación de servicio. El portal web debe disponer de
un sello de confianza que acredita la seguridad del sitio. La
actualización de los contenidos y complementos donde se aloja la
web.
Correo Electrónico El uso de los clientes POP3S para recibir y descarga todos los
mensajes alojados en el servidor de tipo remoto, para ello se
controla con un tiempo no inferior a 10 minutos de descarga para
evitar que peticiones innecesarias en el servidor que aumenta el
tiempo de respuesta, de igual manera no se deben dejar copias de
los mensajes ya que se puede llenar el buzo inhabilitando la cuenta
de correo. Otro punto a tener en cuenta es cuando envíe correos a
una lista de distribución no se deben enviar ficheros adjuntos, esta
práctica genera carga adicional al servidor y disminuyendo su
espacio en disco.
Al enviar correos a múltiples usuarios, se recomienda enviarlos
como copia oculta, esto para evitar que demás usuarios conozcan
las direcciones de los destinatarios. Es también importante no
enviar correos tipo cadena con solicitudes de apoyo y demás dado
que se filtran demasiados correos y puede colapsar los sistemas.
Dada la variedad de virus en internet es indispensable tener
instalado en su ordenador local un antivirus que detecte cualquier
virus que se pueda tener afectar el equipo. Para los sistemas
operativos Windows, se debe instalar antivirus propio de Microsoft,
y así para cada SO dado que estos virus provocan un tráfico de
correo innecesario que solo se debe combatir con el antivirus local.
Se debe eliminar de la papelera los “elementos eliminados” con
frecuencia para los mensajes con los ficheros adjuntos que hemos
enviado para reducir el tamaño del buzón.
Mensajería Interna El establecer políticas corporativas permiten desarrollar estándares
para el manejo de la mensajería interna, definiendo el rol y donde
se debería especificar los servicios disponibles, que tipo de
información puede ser intercambiada, el status del monitoreo y
registro, etc. Se deben configurar los firewalls donde se bloquean
los puertos de clientes comunes, que permitan asegurar la conexión
solo a clientes autorizados por puertos definidos.
Formularios Los formularios pueden ser punto de entrada sensibles al sistema,
si no se aplica la seguridad necesaria el formulario puede
sobrecargar el servidor, para acceder y cambiar información
almacenada en la bd, para ellos se deben tener en cuenta algunos
pasos para la protección, entre los que están, aplicar el método
POSt para que la información del formulario viaje oculto hacia el
script de destino. El Token admite que el script procese la
información del formulario y pueda reconocer que la información es
verídica enviada desde el formulario, para ello ya la mayoría de las
frameworks como CakePHP ya es integrado ya tienen integrado el
token para la validación automática de los formularios.
La protección CSRF este tipo de vulnerabilidad intenta enviar datos
de un formulario a un script ubicado en un sitio web diferente al del
formulario para ellos se deben realizar el uso de algunas variables
que permite conocer la procedencia de la información, sin embargo
esta variable puede ser modificable, la manera más confiable de
verificar si el formulario fue enviado a través del dominio
correspondiente por medio de la utilizando Cookies.
Tener presente que los campos del formulario tengan formato y
extensiones apropiadas en donde los campos tengan un límite de
caracteres y formato permitido, con javascript se permiten
validaciones del formulario antes del envió, utilizando el query
Validate es un plugin de la librería Jquery que permite realizar
validaciones de campos numéricos e emails en un formato sencillo.
Encuestas en línea Básicamente manejan la misma seguridad de los formularios dado
que son listas de preguntas que son enviadas para calificación y
mejora de algunos de los servicios ofrecidos por la web, en el caso
de la UNAD, las encuestas en línea, solicitan la calificación del
proceso educativo, donde se validan cada uno de los puntos de los
servicios ofrecidos en los cursos y donde se califica el
profesionalismo de los tutores con que se trabajan.
 Mapear los flujos de transacciones

El tutor determina cual es la tarea o actividad a realizar para la
clase. Un control de seguridad se determina por medio de la
Salidas del proceso definición de usuarios (Tutores y Estudiantes) que tienen acceso a
solo los cursos que inscribieron. De esta forma se controla que la
información no llegue a otro tipo de usuarios.
Son los Tutores y Estudiantes autenticados por medio del inicio de
Clientes del proceso
sesión en la plataforma de la universidad.
Entradas del proceso Los estudiantes suben sus respectivas soluciones a la actividad
propuesta por el profesor. De igual forma, solo aquellos estudiantes
autenticados y registrados en el curso, podrán realizar la subida de
documentos.
Componentes del Se debe controlar por el portal web de la universidad. Documentos
proceso y archivos que cada estudiante sube al portal.
Debe ser únicos agentes del proceso autorizados para las
Proveedores del
transacciones en las entradas de las plataformas de la universidad
proceso
previamente configuradas a estudiantes y tutores.
Los estudiantes no podrán acceder simultáneamente en varios
equipos a la aplicación WEB dado que no es lógico que trabajemos
Límites del proceso
sobre dos equipos con ubicación de red diferente dado que se
evidenciaría como plagio en cada uno de los procesos que realice.
Documentación del Tener control sobre los proceso de realización de tareas/actividades
proceso propuestas para una clase
 Construye una arquitectura Zero Trust

Configuración del Para la fase de comprobación se debe asegurar con los requisitos
proxy de acceso con el proxy que se implementó aseguren las validación
de seguridad a la aplicación.
Inscripción en Se debe contar con un grupo de pruebas que se encargue de la
laboratorio de validación de los accesos adoptando el rol de cada uno y
pruebas verificando que no puedan realizar acciones de las cuales se
encuentran bloqueados, de igual manera validar que los accesos
permitidos sean los exclusivos de su rol, estas pruebas permitirán
confirmar que la autenticación multifactorial está bien configurada.
Fase de Posterior a las pruebas realizadas se deben implementar
actualización de funcionalidades de seguridad avanzadas que permita actualizar la
seguridad seguridad generando confiabilidad y estas pueden ser revisadas
mediante
Firewall de aplicaciones web (WAF) contra inyección SQL, scripts
de sitio (XSS) y ataques de inyección, protección avanzada contra
amenazas, control de navegador y sistema operativo, restricciones
para dispositivos administrados y no administrados, bloqueo
geográfico y limitaciones basadas en IP, todo esto para que
adicional a proteger la seguridad no se vea afectado el correcto
funcionamiento de las aplicaciones..
Fase de El rendimiento de la aplicación es base fundamental del proceso
actualización de académico que debe brindar al estudiante la agilidad en sus
rendimiento consultas, esto se controla mediante algunas funcionalidades que
se deben tener en cuenta para evitar la saturación de servidores,
entre las más importantes están: almacenamiento en caché, red de
distribución de contenido (CDN), optimización de rutas, corrección
de Error de reenvío (FEC), replicación de paquetes; para todos los
casos es importante que los procesos de rendimiento sean
evaluados con exactitud generando beneficios para los estudiantes.
Política de control de Este control de define como la inscripción de usuarios adscritos a la
acceso universidad y que se encuentren certificados como estudiantes de
la UNAD.
Fase de inscripción Un nombre canónico o registro CNAME es un tipo de registro DNS
de usuarios internos que asigna un alias a un nombre de dominio auténtico o canónico.
Los registros CNAME se utilizan para asignar un subdominio, como
www o mail, al dominio que aloja el contenido de dicho subdominio.
El Cname a la vista común es usado en esta fase. Al hacerlo el
usuario accederá a las aplicaciones mediante el proxy de acceso.
Fase de migración a Como ya se conoce la VLAn o red de área virtual siendo una red
VLAN que permite el acceso mediante servidores, la vlan permite que
dentro de un centro de datos o servidores dedicados se separen a
los clientes, estas redes ayudan a mitigar ataques, previene rastreo
de datos de usuarios que no pertenecen a la misma vlan. En esta
última fase se protege la aplicación por medio del proxy de acceso
elimina todo acceso directo a través de IP para proteger a la
aplicación de todas las amenazas, y solo permite el paso a través
del proxy de acceso.
 Crear política de confianza cero

Definir confianza Para definir la confianza cero, se deben definir objetivos para
Zero alcanzar esas metas para proteger sus activos principales, en esta
política se requiere de estricta identidad y verificación de dispositivo
sin importar la ubicación del usuario con el perímetro de la red
permitiendo el acceso a cada segmento de la red. El principio de la
seguridad cero, sugiere que no se debe confiar en nadie dentro o
fuera de la red de manera constante.
Comprender la El enfoque de confianza cero, de nunca confiar y verificar siempre,
experiencia del aporta a la seguridad de interacción de los usuarios con los
usuario sistemas y datos. Se deben tener conocimiento de los usuarios que
deben ingresar a la red, desde que equipos se conectan a las
aplicaciones que están accediendo, cómo se conectan y cuáles son
los controles que se tiene establecidos para asegurar ese acceso.
El modelo de confianza cero se tiene en cuenta para los casos de
uso de mayor riesgo, por ello se debe implementar el modelo
correctamente
Arquitectura Correcta La arquitectura cero protege las aplicaciones para garantizar que
solo los usuarios y dispositivos autorizados sean autenticados de
forma segura tengan acceso a ellos
Para ello existen tres enfoques a implementar el modelo cero, entre
los que están micro segmentación, perímetros definidos por
software (SDP), y proxies de confianza cero.
La microsegmentación implica categorizar todos los activos de la
red, usuarios, aplicaciones, almacenes de datos, etc., en grupos
lógicos. Estos grupos deben estar segmentados a través de VLANs
y, que tienen un firewall que actúa como vigía de tráfico entre ellos.
Esto no quiere decir que la confianza cero controle la segmentación
de la red.
Con un SDP (Perímetro definido de Software) pueden establecer
túneles IP a pedido entre las aplicaciones y los usuarios a través de
un firewall, una vez que el usuario se haya autenticado y haya
pasado una verificación de la política de autorización para la
aplicación dada. Con esto los usuarios no podrán tener acceso a
activos a los que no están autorizados a ingresar. Con ellos las
partes vulnerables de la red se apagan generando un límite que
establece el túnel.
El siguiente enfoque es usar proxies de confianza cero que
establece el perímetro solicitado por el usuario autenticado y la
aplicación, donde el análisis de la carga útil y el comportamiento en
línea donde se combinan las mejores características de las dos
tecnologías para la carga útil en un sistema manejable que se
puede implementar de manera incremental.
Implementar Es de gran importancia que los usuarios mejores la creación de

medidas firmes contraseñas aplicando autenticación con multifactor (MFA) que
para verificar permite la verificación en dos pasos adicionales para determinar la
usuarios y veracidad del usuario, como actualmente se maneja en la
dispositivos plataforma con el usuario, clave y un código de verificación enviado
al correo electrónico o correos electrónicos registrados.
Este nivel de acceso permite al usuario garantizar su único acceso
personal e intransferible y que debe ser dinámico y adaptable para
el usuario.
Estas herramientas permitirán lograr que la confianza cero valide
los dispositivos que intenten acceder a sus activos, obligando a los
usuarios registrar sus dispositivos para que sean reconocidos.
Siendo de confianza un aplicativo usado constantemente. Esta
validación también implica establecer un conjunto de requisito de
seguridad que debe ser cumplidos para el correcto acceso a la red
Prepararse para los El modelo permite el acceso autenticado y autorizado a las
retos aplicaciones, independientemente de dónde se encuentre en la red,
es un reto lograrlo, pero se pueden definir y desarrollar políticas de
acceso para implementar y administrar un sistema unificado de
autorización y control de acceso. Se deben tener en cuenta los
privilegios temporales que se requieran y garantizar su uso
temporal según las solicitudes.
Para las aplicaciones no web la herramienta proxy de confianza
cero. Implementa túneles de aplicaciones ligeros y del lado del
cliente para proporcionar acceso autenticado.
 Controles generales
Nombre Observaciones
Políticas para la Las directivas establecen y publican a las estudiantes, políticas de

seguridad de la seguridad que previamente fueron definidas para el control en las
información aplicaciones y de conformidad con los estatutos de la universidad.
Establecidos en conjunto con la comunidad educativa, tutores,
directores y representantes de cada programa.
Revisión de las Se deben validar periódicamente las políticas aplicadas para la

políticas para seguridad de la información, teniendo intervalos planificados en
seguridad de la caso de que ocurran cambios significativos y que contribuyan a la
información adecuación y mejoras continuas.
Asignación de Cada responsable de su proceso está obligado a cumplir las

responsabilidades responsabilidades estipuladas inicialmente en cuanto a la
para la seguridad de seguridad, siendo cada uno cuidadoso con sus datos de acceso y
la información. credenciales, realizando cambios periódicamente de las
contraseñas y demás.
Segregación de Los controles, políticas y deberes que son destinadas a garantizar

tareas. que la universidad cumpla con las regulaciones establecidas y que
garantizan el cumplimiento por parte de las áreas que garantizan
controles evitando como ejemplo combinaciones de roles que
podrían facilitar el fraude en las aplicaciones.
Política para Implementar políticas y medidas en el uso de aplicativos

dispositivos móviles instalados en dispositivos móviles para la seguridad y soporte en
los riesgos que se puedan presentar, teniendo bases de
conocimiento en los riesgos que se puedan ir presentando.
Concienciación, Como se indica en el título del control, es de suma importancia

educación y concientizar a los estudiantes de la universidad sobre el correcto
capacitación en manejo y ético profesional que se debe mantener en las
seguridad de la actualizaciones regulares sobre las políticas y procedimientos
información. pertinentes para su rol.
Responsabilidad por Cada área de la universidad deberá tener pleno conocimiento de

los activos sus activos organizacionales y deberá definir las responsabilidades
que se requieran de protección adecuadas para los mismos.
Uso aceptable de El correcto manejo de los activos debe ser edificado, documentado
los activos e implementado con reglas y normas para el uso aceptable de
información y del correcto manejo de la información de esos
activos.
Clasificación de la El contenido de cada información debe ser clasificado con un

información proceso apropiado de protección de acuerdo a lo estipulado en los
decretos, existe información que puede ser publicada y consultada
en la internet y del que todo el público puede saber, al igual que
existe información confidencial que debe ser tratada de manera
segura para no ser publicada, recibiendo un nivel apropiado de
protección, de acuerdo con su importancia para la organización.
Perímetro de La seguridad física en las áreas correspondientes a servidores y

seguridad física. demás deben estar protegidas para prevenir el procesamiento de
información crítica o sensible de la organización, contra accesos
físicos no autorizados.
Mantenimiento de Se deben realizar mantenimientos preventivos y correctivos que

los equipos. aseguren y garanticen la disponibilidad e integridad de los mismos
para el seguro acceso continuo a las plataformas.
8 CONCLUSIONES
Realizar la adaptación de modelos de seguridad informática, nos da un panorama
más avanzado de los principios y políticas que se deben implementar en las
diferentes aplicaciones y activos de una empresa, donde se deben realizar análisis
sobre las características de la misma para garantizar que los requerimientos
organizacionales apliquen al modelo requerido para la valoración o diagnóstico de
seguridad interno y externo de la organización aplicándolos a los activos de la
empresa en todas sus áreas, brindando un enfoque global de procesos en cada
uno de los modelos para el diagnóstico e implementación de los mismos, dando a
conocer algunos que en donde los más relevantes son Modelos de defensa en
profundidad, Modelo de defensa en amplitud, Modelo MSPI y el Modelo Zero
Trust. Con ello se asegura la fiabilidad, estabilidad, disponibilidad y óptimo
rendimiento en las aplicaciones de las organizaciones, en nuestro caso conocer de
manera clara la infraestructura y modelos aplicados a la UNAD.
9. BIBLIOGRAFÍA
Universidad Nacional Abierta y a Distacia. (s.f.). Obtenido de Reseña histórica:
https://informacion.unad.edu.co/transparencia-y-acceso-a-la-informacion/acerca-
de-la-unad/resena-historica
Universidad Nacional Abierta y a Distancia. (s.f.). Obtenido de Acerca de la Unad:

https://informacion.unad.edu.co/
Universidad Nacional Abierta y a Distancia . (s.f.). Obtenido de Estructura

organizacional: https://informacion.unad.edu.co/transparencia-y-acceso-a-la-
informacion/acerca-de-la-unad/estructura-organizacional
Ríos, J. (2016). Cómo clasificar la información corporativa en términos de

seguridad. Obtenido de https://www.auditool.org/blog/control-interno/4250-como-
clasificar-la-informacion-corporativa-en-terminos-de-seguridad
SUÁREZ, L., & AMAYA, C. A. Sistema de Gestión de la Seguridad de la

Información. Bogotá: Universidad Nacional Abierta y a Distancia, 2013. p. 97.
MAGERIT – versión 3.0. Recuperado de https://www.ccn-cert.cni.es/documentos-

publicos/1791-magerit-libro-ii-catalogo/file.html
Baca, U. G. (2016). México: Grupo Editorial Patria. Introducción a la seguridad
informática. Páginas (314-341). Recuperado de https://ebookcentral-proquest-
com.bibliotecavirtual.unad.edu.co/lib/unadsp/detail.action?docID=4849850
Gómez, V. Á. (2014). Seguridad en equipos informáticos. España: RA-MA

Editorial. Páginas (29-34). Recuperado de https://ebookcentral-proquest-
com.bibliotecavirtual.unad.edu.co/lib/unadsp/detail.action?docID=3229330
Modelo para el gobierno de las TIC basado en las normas ISO. (2012). España:
AENOR - Asociación Española de Normalización y Certificación. Páginas (29 -39)
Recuperado de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?
ppg=1&docID=10637138&tm=1456691942576
Sistemas integrados de información para producción. Sistemas integrados de

información para producción. (2020). Google Books. Retrieved 23 March 2020,
from https://books.google.com.co/books?
id=egBNhDmPOVkC&pg=PA17&dq=como+se+maneja+la+seguridad+en+las+tran
sacciones+en++Salidas+del+proceso&hl=es&sa=X&ved=0ahUKEwi-
iKC_w67oAhWrl-AKHaa-DRMQ6AEIJzAA#v=onepage&q=co

Trabajo Colaborativo 1 Grupo 233002 2

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Trabajo Colaborativo 1 Grupo 233002 2

Cargado por

Copyright:

Formatos disponibles

UNIDAD 1: TAREA 1 - IDENTIFICACIÓN DE MODELOS DE SEGURIDAD

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA.

El crecimiento desmesurado de los avances tecnológicos ha hecho que la

PALABRAS CLAVE: SEGURIDAD INFORMÁTICA, VULNERABILIDADES,

La seguridad informática se ocupa de proteger un sistema informático ante el uso

Establecer el diagnóstico actual de la seguridad informática a nivel interno y

 Realizar análisis de la seguridad informática de la Universidad Nacional Abierta

3.1 FORMULACION DEL PROBLEMA

¿Por qué es importante conocer actualmente el estado de la seguridad informática

4. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

4.1 SITUACIÓN ACTUAL DE LA UNIVERSIDAD NACIONAL ABIERTA Y A

Se dará a conocer los procedimientos que la Universidad Nacional Abierta y a

“La Universidad Nacional Abierta y a Distancia, (UNAD) es un Proyecto Educativo

“La Universidad Nacional Abierta y a Distancia (UNAD) tiene como misión

“Se proyecta como una organización líder en Educación Abierta y a Distancia,

La sede principal de la Unad se llama Sede Nacional José Celestino Mutis y se

La UNAD tiene cuatro sistemas estratégicos.

5 DIAGNOSTICO INTERNO Y EXTERNO (MARGERIT)

En un sistema de información existen activos esenciales y activos relevantes.

Los activos esenciales se dividen en información que se maneja y los servicios

1. Información que se maneja

2. Servicios que presta

[AUX] Equipamiento auxiliar

[Media] Soportes de información

Dependencia entre activos(Ejemplos)

Al momento de identificar que las amenazas pueden perjudicar los activos, es

 Degradación: en cuanto al valor del activo cuanto podría ser perjudicado.

Con las siguientes tablas según la necesidad podemos medir la probabilidad y

MA muy alta casi seguro fácil

MA 100 muy frecuente a diario

Calificación de las amenazas

[AUX Equipamiento auxiliar

[HW] Equipos informáticos

[HW] Equipos Informáticos

[AUX] Equipamiento auxiliar

[HW] Equipos informáticos

[AUX] Equipamiento auxiliar

[HW] Equipos informáticos

[AUX] Equipamiento auxiliar

Activo Amenaza Vulnerabilidad Riesgo Recomendaciones

[HW] Condiciones Los servidores Deficiencias en Mejorar las

[D] Error de los Debido al alto Equivocaciones Contratar un mayor

[SW] Difusión de Aunque los Propagación Establecer

[D] Escapes de La La información Contratar un mayor

[SW] Vulnerabilida Una mala Errores en el Se deben

[D] Suplantación La Cuando un Contratar un mayor

[L] Acceso no El Centro al no El atacante Establecer medidas

[SW] Manipulación Si alguien con Realizar Establecer medidas

Para realizar el correcto análisis de riesgos se procede a interpretar los resultados

Nomenclatura Categoría Valoración

Autenticid Trazabilid Confidenciali Integrid Disponibilid Val

6 OBJETIVOS ESTRATÉGICOS DE LA COMPAÑÍA

Los objetivos estratégicos Se refieren a un marco de planificación de la estrategia

7 DEFINICIÓN DEL MODELO DE SEGURIDAD INFORMÁTICA

7.1 MODELO ZERO TRUST

Una arquitectura de confianza cero

En Zero Trust, identifica una "superficie protegida". La superficie de protección

Cero confianzas: tan dinámico como su empresa

Implementar Zero Trust

Lograr la confianza cero a menudo se percibe como costoso y complejo. Sin

 Identificar la superficie de protección.

Definición Descripción del Control

 Mapear los flujos de transacciones