Guia Integradora Conocimiento 2015-1

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS

ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
CURSO DE ESPECIALIZACIÓN
233002 MODELOS Y ESTÁNDARES DE SEGURIDAD

INFORMÁTICA
GUÍA INTEGRADORA DE ACTIVIDADES ACADÉMICAS

Mg. Gustavo Eduardo Constain Moreno
Director de curso
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

GUÍA GENERAL DE ACTIVIDADES
233002-MODELOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA
PRESENTACIÓN:
Este documento ofrece las especificaciones para la totalidad de actividades a realizar en el

aula virtual, por lo tanto se convierte en la única guía a seguir durante todo el periodo
académico. Para este fin, la presente guía se ha dividido en momentos de aprendizaje que
están relacionadas con las actividades presentes en los entornos del aula virtual. Siga
detalladamente la lectura de esta guía y contrástela con los recursos y espacios diseñados
en el aula para la correcta identificación de acciones y productos a elaborar. Recuerde que
siempre estará acompañado de un Tutor que lo guiará en todo su proceso de formación.
TEMÁTICAS REVISADAS:
Conceptos básicos de seguridad informática, modelos de seguridad informática,

estándares de seguridad informática, gobierno de tecnología, certificaciones, hacker ético.
ESTRATEGIAS DE APRENDIZAJE:
El curso 233002-Modelos y Estándares de Seguridad Informática, está estructurado bajo

dos estrategias de aprendizaje: el estudio de caso y el aprendizaje basado en proyectos.
En este sentido se propone una actividad inicial en donde usted encontrará un caso real de
análisis de vulnerabilidades en el manejo de la información dentro de una organización y la
consecuente solución implementada por un equipo de profesionales en seguridad
informática. En este caso el estudiante debe hacer su propio análisis y proponer alternativas
a la solución presentada.
Así mismo en las dos actividades principales del aula (momentos de actividad colaborativa
y actividad final) se plantea un modelo de aprendizaje basado en proyecto en donde el
Grupo Colaborativo debe diseñar un escenario y aplicar un estudio de seguridad
informática.
Con estas estrategias se pretende profundizar en los conceptos y principios básicos de la

disciplina, vinculando a los participantes del curso en el desarrollo de opciones de solución
de problemas y otras tareas significativas de acuerdo a las temáticas estudiadas.
SÍNTESIS DE LAS ACTIVIDADES:
Las actividades se encuentran organizadas en cuatro (4) momentos para ser desarrolladas
en los diferentes entornos del aula y asociadas a dos unidades académicas de base del
curso. Al final de cada momento, los participantes harán entrega de un producto que debe
cumplir con los requisitos expresados en esta guía didáctica general.
Para lograr los objetivos de aprendizaje deseados, es conveniente desarrollar las actividades
solicitadas teniendo como base la comprensión de los conceptos teóricos recomendados
y siguiendo al pie de la letra las instrucciones presentadas.
Los cuatro momentos de realización del curso son los siguientes:
Momento 1: Reconocimiento del curso.

Momento 2: Trabajo colaborativo. (Estrategia de aprendizaje por estudio de caso)
Momento 3: Actividad práctica. (Estrategia de aprendizaje por proyecto)
Momento 4: Evaluación Final por Proyecto. (Estrategia de aprendizaje por proyecto)
Durante el desarrollo de cada uno de los momentos del curso, el participante tiene la
oportunidad de interactuar en los espacios de los foros para discutir con sus compañeros
los avances en cada paso de la estrategia y al tiempo ir definiendo el documento que servirá
como producto entregable en cada actividad. Deben tener en cuenta los espacios y recursos
disponibles para la elaboración de los productos entregables durante cada actividad (temas
en los foros y e-portafolio), los cuales son tenidos en cuenta al momento de la calificación.
Recuerde que si no se evidencia su participación en dichos espacios, no habrá manera de
asignar una calificación.
Al finalizar cada momento, el estudiante y su Grupo Colaborativo harán entrega completa

del producto solicitado utilizando para ello los espacios definidos en el entorno de
evaluación. Estos mismos recursos serán utilizados por el Tutor del aula para la revisión,
realimentación y calificación respectiva.
PASOS PARA LA REALIZACIÓN DE LAS ESTRATEGIAS DE APRENDIZAJE:
Las estrategias de aprendizaje están organizadas en 4 pasos para su normal realización y se

evidencian en los distintos entornos del aula virtual de la siguiente manera:
PASOS ACTIVIDAD
En este paso el estudiante deberá hacer un recorrido

por todos los espacios del aula virtual, especialmente
en los entornos de Información inicial y de
Conocimiento con el fin de identificar las temáticas
que serán abordadas en el curso. Así mismo es
Reconocimiento de: importante que se reconozca a los compañeros de
Grupo Colaborativo con quienes tendrá que abordar
Paso 1
1. Conceptos básicos. el desarrollo de dos actividades (Momento 1).
Semanas
2. Compañeros de Grupo.
1y2
3. Entorno de aprendizaje Mediante la participación en estos espacios de
del aula. interacción del aula, los estudiantes se familiarizarán
con el entorno de aprendizaje y con sus compañeros.
Es recomendable que durante este paso se

establezcan los roles y mecanismos de comunicación
e interacción para el desarrollo de los proyectos
propuestos.
Este paso se relaciona directamente con el Momento

2 del curso en donde se realizará el trabajo
colaborativo.
Para ello es importante documentarse acerca de los

temas de modelos y estándares de seguridad
informática, gobierno de tecnología y técnicas de
hacking ético. Estos temas son presentados en los
Paso 2 documentos, videos y enlaces del Entorno de
Semanas Estudio de caso Conocimiento del aula virtual.
3a8
A través de esta actividad colaborativa se propone un
estudio de caso sobre las vulnerabilidades de
seguridad en el manejo de la información que puedan
ser solucionados mediante la implementación de
modelos y estándares de seguridad informática.
En esta actividad, usted deberá aportar de manera

individual en el diseño del producto entregable por el
grupo colaborativo.

3 del curso en donde se realizará la actividad práctica.
Para ello es importante documentarse acerca de los

temas de gobierno de tecnología, certificaciones y
técnicas de hacking ético. Estos temas son
presentados en los documentos, videos y enlaces del
Desarrollo de actividad
Entorno de Conocimiento del aula virtual.
práctica del aula:
Paso 3
Semanas En la Actividad Práctica (Momento 3), usted y su
Proyecto de análisis de
9 a 12 grupo de trabajo colaborativo deben analizar un
vulnerabilidades y
caso hipotético que es planteado por el director de
propuesta de solución.
curso en donde se evidencian algunas
vulnerabilidades en el manejo de la información. Cada
integrante del Grupo debe analizar el contexto
del caso descrito y aportar a la construcción grupal en
donde se deberá diseñar la solución de
implementación de gobierno de tecnología y la
aplicación de modelos de seguridad informática que
dé solución al caso presentado.

4 del curso en donde se realizará la evaluación final.
Para ello es importante tener a la mano toda la
documentación del curso que son presentados en los
documentos, videos y enlaces del Entorno de
Conocimiento del aula virtual.
En esta actividad de Evaluación final por proyecto

(Momento 4), el Grupo Colaborativo deberá definir
una organización real para la construcción de un
documento en el cual se realice la evaluación de la
Paso 4
Desarrollo de Evaluación seguridad informática de dicha organización. Para
Semanas
final del curso este fin, es recomendable tener un buen
13 a 16
conocimiento de la organización seleccionada y poder
tener acceso a la información que sea requerida.
Cada integrante del Grupo puede proponer un

contexto de estudio indicando las posibilidades reales
de obtención de información para los análisis a que
haya lugar. Una vez se tengan los diversos contextos
propuestos se deberá escoger uno solo con el cual se
desarrollará el resto de la actividad. Es decir que se
deberá seleccionar un caso particular con el cual se
pueda hacer el análisis y la formulación de una
solución.
Con un único caso seleccionado, se deberá diseñar la

solución requerida en la guía de dicha actividad
específica.
Recomendaciones importantes:
1. Tenga en cuenta el orden de cada Momento para su desarrollo.

2. Identifique los pasos y actividades que se realizan en cada momento del curso.
3. Siga con detalle las indicaciones de cada momento para que no existan confusiones en
lo que se debe realizar ni en los productos que se deben obtener.
4. Mantenga una comunicación permanente con sus compañeros de grupo y con su Tutor
para la solución de inquietudes y clarificación de las actividades por realizar.
5. Definan muy bien los roles y compromisos de cada integrante del grupo para que no
exista duplicidad de esfuerzos ni de productos al final de cada momento o actividad.
6. Tenga en cuenta que con el modelo AVA en el aula virtual existen dos espacios
diferentes para la elaboración de las actividades (Entorno práctico y de aprendizaje
colaborativo) y otro diferente para la entrega de cada producto obtenido (Entorno de
evaluación y seguimiento).
7. Antes de hacer una consulta en los Foros lea las intervenciones anteriores, es posible
que en ellas ya se haya dado respuesta a su inquietud.
8. Con sus participaciones en el Foro recuerde mantener un hilo de conversación con sus
compañeros y/o el Tutor para no crear confusiones en lo que se quiere decir.
9. Para los fines de calificación, solo serán válidas las intervenciones que aporten al
desarrollo de las actividades.
GUÍA GENERAL DE ACTIVIDADES

ACTIVIDADES PARA CADA UNO DE LOS MOMENTOS
PASO 1. ACTIVIDAD DE RECONOCIMIENTO DEL CURSO
PASO 1 Reconocimiento de conceptos y del entorno de aprendizaje

Entorno de conocimiento
Entornos
Entorno de aprendizaje colaborativo
Salazar R. (2004). El Material Didáctico y el acompañamiento tutorial
en el contexto de la formación a distancia y el sistema de créditos
académicos. Universidad Nacional Abierta y a Distancia – UNAD.
Bogotá, D.C. Colombia.
Constaín G. Ramírez G. (2014) Modelos y estándares de seguridad

informática. Material didáctico Universidad Nacional Abierta
y a Distancia – UNAD.
Enlaces web:
Sistema de Gestión de la Seguridad de la Información. Extraído el

1 de junio de 2014 del portal web ISO27000:
http://www.iso27000.es/download/doc_sgsi_all.pdf
Referencias
bibliográficas
FERRER, R. (2013) Sistema de Gestión de la Seguridad de la
Información
–SGSI. Extraído de:
http://www.sisteseg.com/files/Microsoft_PowerPoint_-
_Estrategias_de_seguridad_v52.pdf
Guía de seguridad de la información. Extraído del portal

web VDigitalRM:
http://www.vdigitalrm.com/archivos/guia_seguridad_pymes.pdf
Conceptos básicos sobre Seguridad de la Información. Instituto

Nacional de Tecnologías de la Comunicación. Extraído del portal web:
http://www.youtube.com/watch?v=zV2sfyvfqik
ACTIVIDADES PARA EL PASO 1: Reconocimiento de conceptos y del entorno de

aprendizaje.
1. Haga una presentación en el Foro indicando su nombre completo, CEAD en el que se

encuentra matriculado y su información de contacto: Correo electrónico, Skype y
número de celular (opcional).
2. Realizar una revisión del Entorno de Conocimiento del curso y el material de estudio
propuesto en él. Una vez terminada la revisión, elabore un mapa conceptual en donde
se presenten sus conceptos personales de Modelo y de Estándar de seguridad
informática, estableciendo diferencias entre unos y otros.
3. Realizar un escrito a manera de resumen en donde se incluyan las temáticas a estudiar

en el curso. Puede basarse en el documento “Modelos y Estándares de Seguridad
Informática” que encuentra en el entorno de conocimiento del aula virtual. El resumen
debe ser de su autoría debe tener máximo una página.
4. Presentar un documento de máximo tres páginas en donde se encuentre:
a. Una hoja de presentación del trabajo de acuerdo con las normas IEEE, con los
nombres de los participantes del grupo.
b. En la segunda página debe colocar el mapa conceptual solicitado.
c. En la tercera página del documento se debe presentar el resumen del curso con el
objetivo general del mismo, las actividades que se deben realizar y la forma de
calificación.
Indicaciones para la presentación producto a entregar:
Página: Tamaño Carta

Márgenes: superior, inferior, izquierdo y derecho: 2cm
Interlineado: sencillo
Texto: Time New Roman 11 puntos
Formato de entrega: PDF
Contenido del documento:

Presentación de acuerdo a las normas IEEE
Desarrollo de la Actividad
La extensión máxima del documento debe ser de 3 páginas.
Nota: Pueden consultar las normas IEEE en los siguientes enlaces:

http://normasieee.com/2014/que-son-las-normas-ieee/
http://es.slideshare.net/amelinunez/normas-ieee-para-referencias
RÚBRICA DE CALIFICACIÓN PARA EL PASO 1 - ACTIVIDAD DE RECONOCIMIENTO
Máximo
Ítem Evaluado Valoración Baja Valoración media Valoración alta
Puntaje
El estudiante participo en
Participación El estudiante Nunca El estudiante participó
los espacios del foro pero
individual del participó en los espacios de manera pertinente
no intercambió 7
estudiante en de la actividad con la actividad
información de contacto.
la actividad (Puntos = 0) (Puntos = 7)
(Puntos =3)
El documento presenta
Aunque el documento
No se tuvo en cuenta las una excelente estructura
presenta una estructura
normas básicas para la Presenta la página de
Estructura del base, la misma carece de
construcción de informes presentación, el mapa 7
informe algunos elementos del
escritos conceptual y el resumen
cuerpo solicitado
(Puntos = 0) del curso.
(Puntos = 3)
(Puntos =7)
La redacción es
El documento presenta No hay errores de
excelente, los
Redacción y deficiencias en redacción ortografía pero si carece
procedimientos 4
ortografía y errores ortográficos de elementos solicitados.
son claros y
(Puntos = 0) (Puntos = 2)
adecuados.
Aunque se presentan (Puntos =todos
Se presentaron 4) los
El trabajo no da
algunos puntos, el puntos solicitados en la
respuesta adecuadas a lo
Fines del documento solo guía de actividades y el
solicitado en la guía de 7
trabajo presenta algunos de nivel de participación es
actividades.
los puntos solicitados. el ideal.
(Puntos = 0)
Total de puntos disponibles 25
PASO 2. ESTUDIO DE CASO
PASO 2 Estudio de caso

Entornos
Salazar R. (2004). El Material Didáctico y el acompañamiento tutorial en el
contexto de la formación a distancia y el sistema de créditos académicos.
Universidad Nacional Abierta y a Distancia – UNAD. Bogotá, D.C. Colombia.

informática. Material didáctico Universidad Nacional Abierta y a
Distancia – UNAD.
Videoteca del entorno de conocimiento del aula virtual.

Enlaces web:
Formatos IEEE para presentar artículos y documentos escritos. Extraído de

los portales web:
http://www.slideshare.net/dmcuenca4/formato-ieee-12580817
http://clubensayos.com/Temas-Variados/Formato-IEEE-Para-
Documentos-Escritos/775500.html
Referencias
bibliográfica Modelo de seguridad de la información (2012). Ministerio de
s comunicaciones, República de Colombia. Extraído del sitio web:
http://programa.gobiernoenlinea.gov.co/apc-aa-
files/5854534aee4eee4102f0bd5ca294791f/ModeloSeguridad_SANSI_SG
SI.pdf
Conceptos básicos sobre Seguridad de la Información. Instituto Nacional

de Tecnologías de la Comunicación. Extraído del sitio web:
http://www.youtube.com/watch?v=zV2sfyvfqik
Estándares de gestión de la Seguridad de la Información. Instituto

Nacional de Tecnologías de la Comunicación. Extraído del sitio web:
http://www.youtube.com/watch?v=vWAV0bdWvtI&feature=related
Principales estándares para la seguridad de la información IT. Escuela

Colombiana de Ingeniería Julio Garavito. Extraído del sitio web:
http://catalogo.escuelaing.edu.co/cgi-bin/koha/opac-
detail.pl?biblionumber=580
Norma, Estándar, Modelo. Extraído del sitio web de TECCELAYA:

http://equipoteccelaya.blogspot.es/1234029360/
Normas y Estándares. Extraído del sitio web de WIKITEL:

http://es.wikitel.info/wiki/Normas_y_Est%C3%A1ndares
Estándares y Normas de seguridad. Tomado del sitio web:

http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf
ACTIVIDADES PARA EL PASO 2: Estudio de caso.
El Grupo Colaborativo debe analizar detalladamente el caso de estudio suministrado como

anexo en esta actividad, identificar los niveles de riesgo encontrados en el manejo de la
información en dicha organización y mencionar los aspectos básicos de implementación de
un Sistema de Gestión de Seguridad de la Información –SGSI, que implementaría para este
caso.
El plan de trabajo que usted y su grupo colaborativo debe realizar debe contener los
siguientes aspectos:
1. Análisis de riesgos para las actividades críticas sugeridas por las Directivas de la
organización objeto de estudio [ver documento anexo en el Momento 2 – Foro de trabajo
colaborativo]. Se debe listar por categorías (comunicaciones, seguridad física, manejo de
personal, etc.) los riesgos encontrados y las áreas vulnerables mencionando para cada caso
el nivel de importancia y los instrumentos que podrían ser utilizados para medir dichos
niveles de riesgo (observación directa, encuesta, monitoreo, etc.).
2. En consenso de grupo, determinar la importancia que tendría para la organización objeto

de estudio el considerar la aplicación de estándares de seguridad que garanticen el
adecuado y seguro manejo de la información. Expliquen y justifiquen el porqué de su
respuesta.
3. ¿Cuál (o cuáles) estándares de seguridad de la información serían los más adecuados para
el caso estudiado? Justifiquen y sustenten teóricamente su respuesta.
4. ¿Cuál (o cuáles) modelos de seguridad de la información aplicarían como grupo para el

caso estudiado? Justifiquen y sustenten teóricamente su respuesta.
5. Presentar un documento en donde se encuentre la propuesta con todo lo solicitado:

5.1. Una hoja de presentación del trabajo de acuerdo con las normas IEEE, con los
nombres del participante o de los participantes del grupo, colocar el nombre de la
propuesta.
5.2. Escribir la introducción del documento, el objetivo general, los objetivos
específicos, el alcance, definir los marcos del documento, escribir la solución a los
puntos planteados anteriormente.
5.3. Escribir unas conclusiones de este trabajo.
5.4. Escribir todas las referencias utilizadas en el documento.



RÚBRICA DE CALIFICACIÓN PARA EL PASO 2 – ESTUDIO DE CASO
Máx.
Puntaje
Participación El estudiante participo del
El estudiante Nunca participó El estudiante participó de
individual del trabajo de equipo dentro del
del trabajo de equipo dentro manera pertinente con la
estudiante en grupo pero sus aportaciones no 15
del grupo asignado. actividad
el grupo de son suficientes.
Trabajo (Puntos =7)
Aunque el documento presenta El documento presenta una
El grupo de trabajo no tuvo en una estructura base, la misma excelente estructura
Estructura del cuenta las normas básicas para carece de algunos elementos del Presenta todos los
15
informe la construcción de informes cuerpo solicitado, como por ej. elementos solicitados en la
(Puntos = 0) La aplicación de normas IEEE guía de actividades.
(Puntos = 7) (Puntos =15)
El documento presenta No hay errores de ortografía y el La redacción es excelente,
Redacción y deficiencias en redacción y documento no presenta una los procedimientos son
15
ortografía errores ortográficos conclusión. claros y adecuados.
Puntos = 0) (Puntos = 7) (Puntos = 15)
El documento presenta un
Act. 1. Análisis El documento presenta el análisis adecuado análisis de
El documento no presenta el
de riesgos de riesgo pero no aplican riesgos al caso planteado y
análisis de riesgo del caso
para las correctamente el enfoque de brindan una solución 30
planteado.
actividades seguridad informática. coherente a los aspectos
(Puntos = 0)
críticas (Puntos = 15) solicitados.
(Puntos = 30)
Se justifica el caso planteado Se sustenta con suficiencia la
Act. 2. No se justifica la necesidad de
pero no se argumenta necesidad de aplicación de
Importancia de aplicación de estándares en el
adecuadamente desde lo estándares de seguridad en 30
estándares en caso planteado.
tecnológico. al caso planteado.
el caso (Puntos = 0)
Se propone modelos y
Act. 3 estándares para la
El Grupo no propone modelos Se propone modelos y estándares
Estándares y solución del caso
o estándares útiles para la para el caso planteado pero no se
Modelo de planteado y estos son 30
solución al caso planteado. sustentan teóricamente.
Seguridad argumentados
informática teóricamente.
(Puntos = 30)
El documento presenta El documento presenta un
El documento no presenta el únicamente el análisis del caso adecuado análisis al caso
análisis del caso planteado no la planteado pero no la solución a
Fines del planteado y solución
solución a los aspectos los aspectos solicitados; ó 20
trabajo coherente a los aspectos
solicitados. presenta la solución pero no el solicitados.
(Puntos = 0) análisis (Puntos = 20)
(Puntos = 10)
El grupo no utilizo
El grupo menciona el uso de El grupo utilizo herramientas
herramientas
Uso de algunas herramientas pero estas multimediales de apoyo para
multimediales de apoyo
Herramientas no se evidencian en el informe el documento de propuesta 20
para el documento de
de Apoyo presentado. de gobierno de TI.
propuesta de gobierno
de TI. (Puntos = 0)
PASO 3. ACTIVIDAD PRÁCTICA
PASO 3 Desarrollo de un proyecto de análisis de vulnerabilidades de seguridad

de la información y propuesta de solución
Entornos
Salazar R. (2004). El Material Didáctico y el acompañamiento tutorial en
el contexto de la formación a distancia y el sistema de créditos
académicos. Universidad Nacional Abierta y a Distancia – UNAD. Bogotá,
D.C. Colombia.

Distancia – UNAD.
Enlaces web:
Un acercamiento a las mejores prácticas de seguridad de la información

internacionalmente reconocidas en el estándar ISO 17799:2005. 2006.
Empresa Mayorista de Valor Agregado (MVA). Colombia. Tomado del
sitio web:
Referencias
bibliográficas http://seginfo.tripod.com/files/17799a.pdf
Seguridad de la información. Norma ISO 17799. ITCSA Software. Tomado

del sitio web:
http://www.ciiasdenic.net/files/doccursos/1196890583_ConferenciaIS
O17799
Tecnología de la información –Técnicas de seguridad- Código para la

práctica de la gestión de la seguridad de la información. Estándar
internacional ISO/IEC 17799. Tomado del sitio web:
https://mmujica.files.wordpress.com/2007/07/iso-17799-2005-
castellano.pdf
Estándares y normas de seguridad. Tomado del sitio web:

ISO 27000. Tomado del sitio web:

http://www.iso27000.es/download/doc_iso27000_all.pdf
Sistema de Gestión de Seguridad de TI. Tomado del sitio web:

http://www.asentti.com/documentos/gseguridad.pdf

Nacional de Tecnologías de la Comunicación. Tomado del sitio web:
Presentación de ITIL V2 y V3. Tomado del sitio web:

_ITIL_V3_PRESENTACION_.pdf
ITIL como apoyo a la seguridad de la información. Tomado del sitio web:

http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaS
eguridad/04-ITILSoporteSGSIBasadoISO27001.pdf
¿Qué es ITIL? Tomado del sitio web:

http://www.ieee.org.ar/downloads/2006-hrabinsky-itil.pdf
SISTESEG. COBIT 4.1. Tomado del sitio web:

http://www.sisteseg.com/files/Microsoft_PowerPoint_-_COBIT_4.1.pdf
Molina, Lucio A. COBIT como promotor de la seguridad de la información.

Tomado del sitio web:
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_Jornada
Seguridad/02-CobiTPromotorSeguridadInformacionHaciaGobiernoTI.pdf
Integrando COBIT, ITIL e ISO 27002 como parte de un marco de Gobierno

de Control de TI. Asociación Colombiana de Ingenieros de Sistemas ACIS.
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/XXVI_Salon_I
nformatica/RobertoArbelaezXXVISalon2006.pdf
ISECOM. Manual de la metodología abierta de testeo de seguridad.

http://isecom.securenetltd.com/OSSTMM.es.2.1.pdf
DREAMLAB Technologies. OSSTMM, seguridad que se puede medir.

https://www.dreamlab.net/files/documents/osstmm-esp-2.0.pdf
WEPFER, Simon. Security Tester by methodology: The OSSTMM. Tomado

del sitio web:
http://www.isecom.org/press/securityacts01.pdf
Criterios comunes para monitorear y evolucionar la seguridad

informática en Colombia. ACIS. Tomado del sitio web:
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/IX_JornadaS
eguridad/CriterioscomunesparaMonitorearyEvolucionarlaSeguridadInfo
rm_ticaenColombia-JACL-Password.pdf
The Common Criteria Recognition Arrangement. Tomado del sitio web:

http://www.commoncriteriaportal.org/ccra/
ACTIVIDADES PARA EL PASO 3: Desarrollo de la Actividad Práctica - Proyecto de análisis de

vulnerabilidades de seguridad de la información y propuesta de solución.
Contexto de análisis:
Usted es el Gerente de Tecnología de una entidad comercial que vende productos y

servicios a través de su propio portal web comercial (por el estilo de MercadoLibre.com,
DeRemate.com, MercadoShops.com, etc.), todos los servicios de tecnología que ofrece la
institución se enfocan en la prestación de los servicios comerciales de venta de productos y
servicios para clientes que se encuentran dispersos geográficamente, es por eso que quien
paute debe tener la posibilidad de recibir todo el apoyo para sus procesos de oferta,
comunicación con posibles clientes y demás servicios a través de la web.
La Comercializadora Virtual cuenta con su estructura organizacional, tiene diferentes

certificaciones de gestión de calidad como ISO 90001 e ISO 1000, además de otros
sistemas de calidad.
El Gerente de la Comercializadora ha decidido implementar el gobierno de tecnología en la

organización y por lo tanto le ha solicitado a usted que defina un plan de trabajo para
alcanzar el gobierno de tecnología.
El plan de trabajo que usted y su grupo de trabajo debe realizar debe contener los
siguientes aspectos:
1. Se debe definir un marco contextual de la Comercializadora Virtual, es decir misión,

visión, políticas, estrategias, objetivos, el número de clientes, tecnologías que utiliza,
comunicaciones, sistemas de gestión, plataformas comerciales, plataformas para los
servicios de apoyo a los servicios financieros.
2. Luego de haber decidido el contexto de la Comercializadora Virtual en la que presentará

la propuesta, usted y su grupo de trabajo deberá definir cómo implementar el Gobierno de
Tecnología, es decir deberá definir la estrategia de implementación, la alineación de la

organización con los objetivos de tecnología, la comunicación al interior de la
organización para la implementación del gobierno de tecnología, es decir aplicar
todos los conceptos vistos en el contenido didáctico.
3. Debe definir cuál es el marco de trabajo con el cual usted realizará la implementación del
gobierno de tecnología en la Comercializadora, recuerde que debe revisar los marcos y
justificar por qué escogió ese marco de implementación, tenga en cuenta los factores de
éxito para la implementación del Gobierno de TI.
4. Para la implementación del Gobierno de TI, usted y su grupo de trabajo deben tener
certificaciones que garanticen que la propuesta que usted está haciendo le ayudará al
proyecto a lograrse, para ello usted debe indicar que certificaciones debe tener el grupo
de trabajo y porque, recuerde debe investigar qué otras certificaciones existen.
5. El Gerente también le ha solicitado que contrate un profesional externo con altos

conocimientos tecnológicos para que evalué la seguridad informática de la
Comercializadora Virtual, por lo tanto en la propuesta usted deberá definir las
características y los conocimientos de este profesional, debe revisar toda la información de
Hacker Ético tanto en el contenido didáctico como en los libros indicados en los documentos
para profundizar, para realizar una buena descripción y caracterización del profesional que
se requiere para la evaluación del Hacker Ético, debe definir el contrato, los objetivos, los
resultados y lo que realizara el profesional.
6. Usted debe hacer uso de todas las herramientas multimediales, conceptuales y textuales
que requiera para realizar la propuesta, si lo desea puede realizar videos, presentaciones,
mapas conceptuales, mapas mentales, entre otros como apoyo para el documento de
propuesta.
7.1 Una hoja de presentación del trabajo de acuerdo con las normas IEEE, con los
nombres del participante o de los participantes del grupo, colocar el nombre de la
propuesta.
7.2 Escribir la introducción del documento, el objetivo general, los objetivos
específicos, el alcance, definir los marcos del documento, escribir la propuesta de
implementación del Gobierno de TI con todo lo solicitado.
7.3 Escribir toda la información para la contratación del Hacker Ético, recuerde los
requerimientos.
7.4 Escribir las conclusiones de la propuesta de implementación del Gobierno de TI.
7.5 Escribir todas las referencias utilizadas en el documento.



RÚBRICA DE CALIFICACIÓN PARA EL PASO 3 – ACTIVIDAD PRÁCTICA
Máximo
Puntaje
El estudiante participo del
Participación El estudiante Nunca participó del El estudiante participó de
trabajo de equipo dentro del
individual del trabajo de equipo dentro del manera pertinente con la
grupo pero sus aportaciones 15
estudiante en el grupo asignado. actividad
no son suficientes.
grupo de Trabajo (Puntos = 0) (Puntos = 15)
(Puntos =7)
Aunque el documento El documento presenta una
El grupo de trabajo no tuvo en presenta una estructura base, excelente estructura con
Estructura del cuenta las normas básicas para la misma carece de algunos todos los elementos
15
informe la construcción de informes elementos del cuerpo solicitados en la guía de
(Puntos = 0) solicitado. actividades.
El documento presenta No hay errores de ortografía y La redacción es excelente,
Redacción y deficiencias en redacción y el documento no presenta una los procedimientos son
15
(Puntos = 0) (Puntos = 7) (Puntos = 15)
El documento no presenta la El documento presenta la El documento presenta una
propuesta para la propuesta con algunos puntos excelente propuesta para la
implementación del gobierno de para la implementación del implementación del gobierno
Propuesta de
TI, los marcos, la propuesta de gobierno de TI, los marcos, la de TI, los marcos, la propuesta 30
Gobierno de TI
implementación con todos lo propuesta de implementación de implementación con todos
solicitado. con todos lo solicitado. lo solicitado.
El documento no presenta las El documento presenta algunas El documento presenta las

certificaciones que debe tener el certificaciones que debe tener el certificaciones que debe tener
Certificaciones grupo de trabajo para la grupo de trabajo para la el grupo de trabajo para la
30
para el Equipo implementación del gobierno de implementación del gobierno de implementación del gobierno
TI con todo lo solicitado. TI de manera incompleta. de TI con todo lo solicitado.
El documento no presenta las El documento presenta algunas El documento presenta las

características para la de las características para la características para la
contratación del Hacker Ético contratación del Hacker Ético contratación del Hacker Ético
Hacker Ético 30
como lo solicitaba el rector para cumple parcialmente con lo como lo solicita el rector para
cumplir con todo lo solicitado. solicitado. cumplir con todo lo solicitado.
El documento de propuesta
de implementación del
El documento presenta
gobierno de tecnología, las
únicamente el análisis del caso
El trabajo no cumple con todo certificaciones del equipo y
planteado pero no la solución a
lo solicitado en la guía de las características para la
Fines del trabajo los aspectos solicitados; o 20
actividades. contracción del Hacker Ético
presenta la solución pero no el
(Puntos = 0) Cumple completamente con
análisis.
lo solicitado en la guía de
(Puntos = 10)
actividades.
(Puntos = 20)
El grupo no utilizó herramientas El grupo menciona el uso de El grupo utilizo herramientas

Uso de multimediales de apoyo para el algunas herramientas pero estas multimediales de apoyo para
Herramientas de documento de propuesta de no se evidencian en el informe el documento de propuesta de 20
Apoyo gobierno de TI. presentado. gobierno de TI.
PASO 4. DESARROLLO DE LA EVALUACIÓN FINAL DEL CURSO
PASO 4 Desarrollo de la actividad final del curso

Entornos
Salazar R. (2004). El Material Didáctico y el acompañamiento tutorial en
el contexto de la formación a distancia y el sistema de créditos
académicos. Universidad Nacional Abierta y a Distancia – UNAD. Bogotá,
D.C. Colombia.

Distancia – UNAD.
Enlaces web:
Referencias Un acercamiento a las mejores prácticas de seguridad de la información

bibliográficas internacionalmente reconocidas en el estándar ISO 17799:2005. 2006.
Empresa Mayorista de Valor Agregado (MVA). Colombia. Tomado del
sitio web:
http://seginfo.tripod.com/files/17799a.pdf
Seguridad de la información. Norma ISO 17799. ITCSA Software. Tomado

del sitio web:
www.ciiasdenic.net/files/doccursos/1196890583_ConferenciaISO17799
.pdf
Tecnología de la información –Técnicas de seguridad- Código para la

práctica de la gestión de la seguridad de la información. Estándar
internacional ISO/IEC 17799. Tomado del sitio web:
https://mmujica.files.wordpress.com/2007/07/iso-17799-2005-
castellano.pdf
Estándares y normas de seguridad. Tomado del sitio web:

ISO 27000. Tomado del sitio web:

http://www.iso27000.es/download/doc_iso27000_all.pdf
Sistema de Gestión de Seguridad de TI. Tomado del sitio web:

http://www.asentti.com/documentos/gseguridad.pdf

Nacional de Tecnologías de la Comunicación. Tomado del sitio web:
Presentación de ITIL V2 y V3. Tomado del sitio web:

_ITIL_V3_PRESENTACION_.pdf
ITIL como apoyo a la seguridad de la información. Tomado del sitio web:

Seguridad/04-ITILSoporteSGSIBasadoISO27001.pdf
Qué es la actualización ITIL v3 2011. Tomado del sitio web:

http://www.globalk.com.co/globalk_co/others/imagenes/cert_itil.pdf
¿Qué es ITIL? Tomado del sitio web:

http://www.ieee.org.ar/downloads/2006-hrabinsky-itil.pdf
IT Service. Fundamentos de COBIT. Tomado del sitio web:

http://www.itservice.com.co/pdf/FUNDAMENTOS%20DE%20COBIT%20
41.pdf
SISTESEG. COBIT 4.1. Tomado del sitio web:

http://www.sisteseg.com/files/Microsoft_PowerPoint_-_COBIT_4.1.pdf
Molina, Lucio A. COBIT como promotor de la seguridad de la información.

Seguridad/02-CobiTPromotorSeguridadInformacionHaciaGobiernoTI.pdf
Integrando COBIT, ITIL e ISO 27002 como parte de un marco de Gobierno

de Control de TI. Asociación Colombiana de Ingenieros de Sistemas ACIS.
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/XXVI_Salon_I
nformatica/RobertoArbelaezXXVISalon2006.pdf
ISECOM. Manual de la metodología abierta de testeo de seguridad.

DREAMLAB Technologies. OSSTMM, seguridad que se puede medir.

WEPFER, Simon. Security Tester by methodology: The OSSTMM. Tomado

del sitio web:
http://www.isecom.org/press/securityacts01.pdf
The Common Criteria Recognition Arrangement. Tomado del sitio web:

http://www.commoncriteriaportal.org/ccra/
ACTIVIDADES PARA EL PASO 4: Desarrollo de la Actividad Final del curso.
Usted y su grupo de trabajo deben escoger una organización que conozcan muy bien,
debido a que en esta organización realizarán el trabajo final del curso, en el cual aplicarán
todos los conceptos estudiados.
En el trabajo, usted y su grupo deberá realizar la aplicación de seguridad informática,

modelos, estándares, gobierno de tecnología, entre otros.
Se debe construir un documento en el cual se realice la evaluación de la seguridad

informática de la organización que se ha escogido, es por esto que se debe tener un buen
conocimiento de la organización.
1. El documento plan de evaluación de seguridad de la organización debe contener toda la

identificación conceptual y contextual de la organización, es decir la misión, visión, políticas,
modelos, estándares, inventarios de sistemas de información y tecnología.
2. Una vez se haya realizado esta información se debe ejecutar el plan de evaluación de la
seguridad en donde se indique qué herramientas, técnicas, software y estrategias, usted y
su grupo utilizarían para realizar la evaluación de la seguridad; en este caso ustedes
trabajarán como Hacker Ético contratados por la organización para realizar este trabajo.
Recuerde los elementos, tareas y técnicas que utilizan este tipo de hacker para hacer las
evaluaciones, deben dejar evidencia de este trabajo realizado, como fotografías, videos,
entre otros. Recuerde además que lo importante es dejar documentado todo el proceso, e
indicar cuáles son los procesos, las posibles soluciones y las conclusiones de este plan de
evaluación.
3. Luego de haber realizado el plan y la ejecución de evaluación de seguridad, deberá

realizar el plan de mejoramiento para la organización, en este sentido se debe indicar qué
modelos y estándares debe adoptar la organización, también indicar qué estrategias de
seguridad se deben implementar, para minimizar los riesgos de la seguridad de la
organización.
4. Debe indicar y justificar qué certificaciones deben tener los miembros del equipo de
tecnología para tener una alta seguridad en los sistemas de tecnología de la organización.
5. Usted y su grupo debe realizar un plan de implementación del Gobierno de TI, en este
caso deben definir cómo realizará la implementación, que se debe modificar y mejorar en
la organización para implementar el gobierno de TI, recuerde los factores de éxito para la
implementación del Gobierno de tecnología, se debe realizar una evaluación de los
marcos de trabajo para la implementación de los gobierno de TI, y escoger uno pero debe
justificar por qué escoge un marco de trabajo específico de acuerdo a todo su trabajo.
6. El plan de implementación debe ser claro y específico para la organización que han
escogido, es decir debe ser un documento de tal calidad y presentación que se pueda
presentar en la organización escogida como insumo para la toma de decisiones vitales y
estratégicas que generen valor a la organización a la cual le está realizando el trabajo.
7. Usted debe hacer uso de todas las herramientas multimediales, conceptuales y

textuales que requiera para realizar la propuesta, si lo desea puede realizar videos,
presentaciones, mapas conceptuales, mapas mentales, entre otros, como apoyo para el
documento de propuesta.
Una hoja de presentación del trabajo de acuerdo con las normas IEEE, con los nombres del
participante o de los participantes del grupo, colocar el nombre de la propuesta.
8.1. Escribir el plan de evaluación de seguridad.

8.2. Escribir la ejecución del plan de seguridad.
8.3. Escribir el plan de mejoramiento organizacional.
8.4. Escribir el plan de implantación de Gobierno de TI.
8.5. Escribir todas las referencias utilizadas en el documento.



RÚBRICA DE CALIFICACIÓN PARA EL PASO 4 – ACTIVIDAD FINAL DEL CURSO
Máximo
Puntaje
El estudiante participo del
Participación El estudiante Nunca participó del El estudiante participó de
trabajo de equipo dentro del
individual del trabajo de equipo dentro del manera pertinente con la
grupo pero sus aportaciones 15
estudiante en el grupo asignado. actividad
no son suficientes.
grupo de Trabajo (Puntos = 0) (Puntos = 15)
(Puntos =10)
Aunque el documento El documento presenta una
El grupo de trabajo no tuvo en presenta una estructura base, excelente estructura con
Estructura del cuenta las normas básicas para la misma carece de algunos todos los elementos
10
informe la construcción de informes elementos del cuerpo solicitados en la guía de
(Puntos = 0) solicitado. actividades.
El documento presenta No hay errores de ortografía y La redacción es excelente,
Redacción y deficiencias en redacción y el documento no presenta una los procedimientos son
10
El documento no presenta la El documento presenta el plan de
Plan de Evaluación excelente plan de evaluación de
propuesta para plan de seguridad. seguridad con algunos puntos. 15
de Seguridad seguridad con todo lo solicitado.
(Puntos = 15)
El documento presenta el plan
El documento no presenta la excelente plan de
Plan de de mejoramiento con algunos
propuesta para plan de seguridad. mejoramiento de seguridad 15
Mejoramiento puntos.
(Puntos = 0) con todo lo solicitado. (Puntos
(Puntos = 10)
= 15)
El documento presenta la El documento presenta una

El documento no presenta la
propuesta con algunos puntos excelente propuesta para la
propuesta para la implementación
para la implementación del implementación del gobierno
Propuesta de del gobierno de TI, los marcos, la
gobierno de TI, los marcos, la de TI, los marcos, la propuesta 15
Gobierno de TI propuesta de implementación con
propuesta de implementación con de implementación con todos
todos lo solicitado.
todos lo solicitado. lo solicitado.
(Puntos = 0)
El documento presenta algunas

El documento no presenta las El documento presenta las
certificaciones que debe tener el
certificaciones que debe tener el certificaciones que debe tener
grupo de trabajo para la
Certificaciones para grupo de trabajo para la el grupo de trabajo para la
implementación del gobierno de 15
el Equipo implementación del gobierno de implementación del gobierno de
TI con todo lo solicitado, está
TI con todo lo solicitado. TI con todo lo solicitado.
incompleto.
(Puntos = 10)
El documento cumple con el

plan de evaluación de
seguridad, plan de
implantación, plan de
mejoramiento, propuesta de
Aunque se presentan algunos implementación del gobierno
El trabajo no cumple con todo lo
puntos del trabajo solicitado, se de tecnología, plan de
solicitado en la guía de
Fines del trabajo cumplió algunos puntos de los implantación de gobierno de 20
actividades.
indicados pero presenta falencias. tecnología, evaluación de las
(Puntos = 0)
(Puntos = 10) certificaciones del equipo.
Cumple completamente con lo
solicitado en la guía de
actividades.
(Puntos = 20)
El grupo no utilizó herramientas El grupo menciona el uso de El grupo utilizo herramientas

Uso de multimediales de apoyo para el algunas herramientas pero estas multimediales de apoyo para
Herramientas de documento de propuesta de no se evidencian en el informe el documento de propuesta de 10
Apoyo gobierno de TI. presentado. gobierno de TI.
¡ÉXITOS EN SU PROCESO DE FORMACIÓN!

Guia Integradora Conocimiento 2015-1

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guia Integradora Conocimiento 2015-1

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS

233002 MODELOS Y ESTÁNDARES DE SEGURIDAD

GUÍA INTEGRADORA DE ACTIVIDADES ACADÉMICAS

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

GUÍA GENERAL DE ACTIVIDADES

233002-MODELOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA

Este documento ofrece las especificaciones para la totalidad de actividades a realizar en el

Conceptos básicos de seguridad informática, modelos de seguridad informática,

El curso 233002-Modelos y Estándares de Seguridad Informática, está estructurado bajo

Con estas estrategias se pretende profundizar en los conceptos y principios básicos de la

SÍNTESIS DE LAS ACTIVIDADES:

Los cuatro momentos de realización del curso son los siguientes:

Momento 1: Reconocimiento del curso.

Al finalizar cada momento, el estudiante y su Grupo Colaborativo harán entrega completa

PASOS PARA LA REALIZACIÓN DE LAS ESTRATEGIAS DE APRENDIZAJE:

Las estrategias de aprendizaje están organizadas en 4 pasos para su normal realización y se

En este paso el estudiante deberá hacer un recorrido

Es recomendable que durante este paso se

Este paso se relaciona directamente con el Momento

Para ello es importante documentarse acerca de los

En esta actividad, usted deberá aportar de manera

Este paso se relaciona directamente con el Momento

Para ello es importante documentarse acerca de los

Este paso se relaciona directamente con el Momento

En esta actividad de Evaluación final por proyecto

Cada integrante del Grupo puede proponer un

Con un único caso seleccionado, se deberá diseñar la

1. Tenga en cuenta el orden de cada Momento para su desarrollo.

GUÍA GENERAL DE ACTIVIDADES

PASO 1. ACTIVIDAD DE RECONOCIMIENTO DEL CURSO

PASO 1 Reconocimiento de conceptos y del entorno de aprendizaje

Constaín G. Ramírez G. (2014) Modelos y estándares de seguridad

Sistema de Gestión de la Seguridad de la Información. Extraído el

Guía de seguridad de la información. Extraído del portal

Conceptos básicos sobre Seguridad de la Información. Instituto

ACTIVIDADES PARA EL PASO 1: Reconocimiento de conceptos y del entorno de

1. Haga una presentación en el Foro indicando su nombre completo, CEAD en el que se

3. Realizar un escrito a manera de resumen en donde se incluyan las temáticas a estudiar

4. Presentar un documento de máximo tres páginas en donde se encuentre:

Indicaciones para la presentación producto a entregar:

Página: Tamaño Carta

Contenido del documento:

Nota: Pueden consultar las normas IEEE en los siguientes enlaces:

RÚBRICA DE CALIFICACIÓN PARA EL PASO 1 - ACTIVIDAD DE RECONOCIMIENTO

PASO 2. ESTUDIO DE CASO

PASO 2 Estudio de caso

Constaín G. Ramírez G. (2014) Modelos y estándares de seguridad

Videoteca del entorno de conocimiento del aula virtual.

Formatos IEEE para presentar artículos y documentos escritos. Extraído de

Conceptos básicos sobre Seguridad de la Información. Instituto Nacional

Estándares de gestión de la Seguridad de la Información. Instituto

Principales estándares para la seguridad de la información IT. Escuela

Norma, Estándar, Modelo. Extraído del sitio web de TECCELAYA:

Normas y Estándares. Extraído del sitio web de WIKITEL:

Estándares y Normas de seguridad. Tomado del sitio web:

ACTIVIDADES PARA EL PASO 2: Estudio de caso.

El Grupo Colaborativo debe analizar detalladamente el caso de estudio suministrado como

2. En consenso de grupo, determinar la importancia que tendría para la organización objeto

4. ¿Cuál (o cuáles) modelos de seguridad de la información aplicarían como grupo para el

5. Presentar un documento en donde se encuentre la propuesta con todo lo solicitado:

Indicaciones para la presentación producto a entregar:

Página: Tamaño Carta

Contenido del documento: