Ávila Cárdenas Jorge Alexánder 2019

PROPUESTA DE ACTUALIZACIÓN DE LA RED CORPORATIVA DEL CENTRO
RADIOLÓGICO DIGITAL AMÉRICAS C.R.A., INCLUYENDO ESTUDIO DE

SEGURIDAD DE LA INFORMACIÓN CON EL FRAMEWORK NIST
JORGE ALEXÁNDER ÁVILA CÁRDENAS

SEGUNDO OVIDIO CASTRO UMAÑA
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

FACULTAD TECNOLÓGICA
INGENIERÍA EN TELEMÁTICA
BOGOTÁ D.C
2019
PROPUESTA DE ACTUALIZACIÓN DE LA RED CORPORATIVA DEL CENTRO
RADIOLÓGICO DIGITAL AMÉRICAS C.R.A., INCLUYENDO ESTUDIO DE
SEGURIDAD DE LA INFORMACIÓN CON EL FRAMEWORK NIST
JORGE ALEXÁNDER ÁVILA CÁRDENAS

SEGUNDO OVIDIO CASTRO UMAÑA
Proyecto de grado en la modalidad de monografía

para optar al título de:
INGENIERIO EN TELEMÁTICA
DIRECTOR
JAIRO HERNÁNDEZ GUTIERREZ
Ingeniero de Sistemas
Especialista en Servicios Telemáticos e Interconexión de Redes
MBA con Especialización en Dirección de Proyectos
Certificado Cisco CCDA
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

FACULTAD TECNOLÓGICA
INGENIERÍA EN TELEMÁTICA
BOGOTÁ D.C
2019
NOTA DE ACEPTACIÓN
Presidente del Jurado
Jurado
Jurado
Bogotá D.C., Septiembre de 2019

3
CONTENIDO
Pág.
INTRODUCCIÓN
1 ORGANIZACIÓN ......................................................................................... 16
1.1 TEMA .......................................................................................................... 16
1.2 TITULO PROYECTO .................................................................................. 16
1.3 PLANTEAMIENTO DEL PROBLEMA ......................................................... 16
1.4 FORMULACIÓN DEL PROBLEMA ............................................................. 17
1.5 ALCANCE Y DELIMITACION...................................................................... 18
1.6 OBJETIVOS ................................................................................................ 18
1.6.1 General ......................................................................................... 18
1.6.2 Específicos ................................................................................... 18
1.7 JUSTIFICACIÓN ......................................................................................... 18
1.8 RESEÑA HISTÓRICA DE LA ORGANIZACIÓN ......................................... 19
1.9 MISIÓN........................................................................................................ 20
1.10 VISIÓN ........................................................................................................ 20
1.11 OBJETIVOS ESTRATÉGICOS ................................................................... 20
1.12 DIRECCIÓN CORPORATIVA ..................................................................... 20
1.13 ORGANIGRAMA ......................................................................................... 21
1.14 MARCO TEÓRICO ...................................................................................... 22
1.15 SOLUCIÓN TECNOLÓGICA....................................................................... 22
1.15.1 Módulos y componentes ............................................................... 24
1.16 METODOLOGÍA .......................................................................................... 24
1.17 IMPACTO .................................................................................................... 24
1.18 CRONOGRAMA .......................................................................................... 25
2 ANÁLISIS DE REQUERIMIENTOS ............................................................. 26
2.1 ENTREVISTAS CON USUARIOS Y PERSONAL TÉCNICO ...................... 26
2.1.1 Entrevistas .................................................................................... 26
2.2 RECOMENDACIONES ESTRATÉGICAS ................................................... 28
2.3 METAS DE NEGOCIO ................................................................................ 28
2.4 ANÁLISIS DE METAS TÉCNICAS .............................................................. 29
4
2.5 ANÁLISIS SISTEMA EXISTENTE............................................................... 31
2.6 SITUACIÓN DE LA RED ACTUAL .............................................................. 31
2.6.1 Sede Kennedy .............................................................................. 33
2.6.2 Sede Bosa .................................................................................... 35
2.6.3 Sede Suba .................................................................................... 36
2.7 TECNOLOGÍAS ACTUALES CRA .............................................................. 37
2.7.1 Ethernet ........................................................................................ 37
2.7.2 Cableado Estructurado ................................................................. 37
2.8 TRÁFICO DE LA RED ................................................................................. 37
2.8.1 Análisis de rendimiento de la red LAN .......................................... 38
2.8.1.1 Pruebas de tiempos respuestas hacia dispositivos ...................... 38
2.8.1.2 Resultados análisis red corporativa CRA ..................................... 38
3 DISEÑO DE LA SOLUCIÓN........................................................................ 42
3.1 DISEÑO LÓGICO ........................................................................................ 43
3.2 DISEÑO DE TOPOLOGÍA LÓGICA ............................................................ 43
3.3 MODELO JERÁRQUICO Y REDUNDANTE ............................................... 44
3.4 DIRECCIONAMIENTO IP Y NOMBRES ..................................................... 46
3.4.1 Explicación detallada .................................................................... 48
3.4.2 Subredes CRA.............................................................................. 49
3.5 DISEÑO FÍSICO DE LA RED ...................................................................... 50
3.5.1 Cableado a utilizar ........................................................................ 50
3.5.2 Racks............................................................................................ 50
3.6 PROPUESTA CABLEADO ESTRUCTURADO ........................................... 52
3.6.1 Topología e infraestructura de la red ............................................ 53
3.6.1.1 Ventajas de la Topología Hibrida .................................................. 53
3.6.2 Cableado horizontal ...................................................................... 53
3.6.2.1 Cálculo de cable horizontal UTP Cat 6ª........................................ 54
3.6.2.2 Cable vertical ................................................................................ 55
3.7 DISEÑO DATA CENTER ............................................................................ 55
3.7.1 Seguridad en el data center.......................................................... 57
3.7.2 Sistema de enfriamiento de data center ....................................... 58
3.8 INFRAESTRUCTURA ELÉCTRICA ............................................................ 59
3.8.1 Circuitos monofásicos................................................................... 59
5
3.8.2 Tierras físicas ............................................................................... 59
3.9 SOLUCIÓN DE TELEFONÍA IP .................................................................. 59
3.9.1 Grandstream Ucm6208 ................................................................ 60
3.9.1.1 Datos técnicos Grandstream Ucm6208 ........................................ 60
3.10 PROVEEDOR DE VOZ ............................................................................... 61
3.10.1 Planes Conexión Troncal SIP ....................................................... 62
3.11 SELECCIÓN TECNOLOGÍAS Y DISPOSITIVOS ....................................... 63
3.11.1 Estimación costos dispositivos ..................................................... 64
3.11.2 Referencias de dispositivos WAN................................................. 66
3.12 SOLUCIÓN DE SEGURIDAD DE RED ....................................................... 67
3.12.1 Sistema CCTV .............................................................................. 68
3.13 ESTIMACIÓN COSTOS CABLEADO ESTRUCTURADO ........................... 68
3.14 GESTIÓN Y DESEMPEÑO DE LA RED ..................................................... 71
4 VIRTUALIZACIÓN DE SERVIDORES ........................................................ 72
4.1 FASE 1 ANÁLISIS REQUERIMIENTOS ..................................................... 73
4.1.1 Funciones, tareas y procesos de virtualización ............................ 75
4.1.2 Caracterización servidores existentes .......................................... 75
4.1.3 Inventario de servidores actuales ................................................. 76
4.1.4 Situación actual de los servidores ................................................ 77
4.1.5 Metas y restricciones virtualización .............................................. 78
4.2 FASE 2 DISEÑO LÓGICO .......................................................................... 80
4.2.1 Estructura VMware ESXi .............................................................. 80
4.3 FASE 3 DISEÑO FÍSICO ............................................................................ 82
4.3.1 Ventajas de VMware .................................................................... 83
4.3.2 VMware vSphere Essentials Plus Kit ............................................ 83
4.3.3 Dell Precision Rack 7920.............................................................. 84
4.3.4 Guía de Implementación VMware vSphere .................................. 84
5 SEGURIDAD DE LA INFORMACIÓN ......................................................... 86
5.1 INTEGRACIÓN DEL CSF NIST CON COBIT 5 .......................................... 86
5.2 PROPUESTA DE ESTUDIO DE SEGURIDAD COBIT 5 ............................ 87
5.2.1 Fases de implementación de Gobierno de TI ............................... 88
5.2.1.1 Fase 1. ¿Cuáles son los motivos? ................................................ 89
5.2.1.2 Fase 2: ¿Dónde estamos? ........................................................... 91
6
5.2.1.3 Fase 3: ¿Dónde Queremos Estar? ............................................... 93
5.2.1.4 Fase 4: ¿Qué es preciso hacer? .................................................. 94
5.2.1.5 Fase 5: ¿Cómo conseguiremos llegar? ........................................ 96
5.2.1.6 Fase 6: ¿Hemos conseguido llegar? .......................................... 100
5.2.1.7 Fase 7: ¿Cómo se mantiene la iniciativa? .................................. 100
CONCLUSIONES
RECOMENDACIONES
BIBLIOGRAFÍA
ANEXOS
Anexo A. Marco teórico y estado del arte ..............................................……..…...108

Anexo B. Cronograma de actividades (PDF) ……………….……………………... 141
Anexo C. Informe de auditoría ………………………………..………………………143
Anexo D. Inventario de activos y clasificación de la información .…………………165
Anexo E. Propuesta de política de seguridad de la información ……………….…176
Anexo F. Propuesta de matriz de análisis de riesgos (PDF)…….…………………180
Anexo G. Matriz de escenarios (PDF)………………………………………………...184
Anexo H. Planos Centro Radiológico Digital Américas ………....………………….186
Anexo I. Formato Entrevistas Usuarios …………………………..………………….188
7
LISTA DE TABLAS
Pág
Tabla 1 Establecimiento de Prioridades ................................................................. 29

Tabla 2 Metas técnicas .......................................................................................... 30
Tabla 3 Servidores actuales .................................................................................. 76
Tabla 4 Metas y restricciones virtualización ........................................................... 78
Tabla 5 Costos dispositivos virtualización .............................................................. 84
Tabla 6 Alineación en la implementación del NIST CSF y COBIT 5 ...................... 89
Tabla 7 Mapeo objetivos estratégicos con metas corporativas de COBIT 5 .......... 91
8
LISTA DE GRÁFICAS
Pág
Gráfica 1 Subredes ................................................................................................ 49

Gráfica 2 Distancias de transmisión OM3 y OM4 .................................................. 57
Gráfica 3 Plan Móvil Bolsa de dinero ..................................................................... 62
Gráfica 4 Plan Móvil Todo destino ......................................................................... 63
Gráfica 5 Dispositivos Lan y Telefonía IP Sede Kennedy ...................................... 64
Gráfica 6 Dispositivos LAN y Telefonía IP Sede Bosa ........................................... 65
Gráfica 7 Dispositivos LAN y Telefonía IP Sede Suba ........................................... 66
Gráfica 8 Dispositivos Internet y WAN ................................................................... 66
Gráfica 9 Estimación Costos Cableado ................................................................. 68
9
LISTA DE FIGURAS
Pág
Figura 1 Organigrama C.R.A ................................................................................. 21

Figura 2 Red lógica actual ..................................................................................... 32
Figura 3 Red física actual ...................................................................................... 33
Figura 4 Topología red actual sede Kennedy ........................................................ 34
Figura 5 Topología red actual sede Bosa .............................................................. 35
Figura 6 Topología red actual sede Suba .............................................................. 36
Figura 7 Análisis red Nagios Net A ........................................................................ 38
Figura 8 Análisis red Nagios Net B ........................................................................ 39
Figura 9 Análisis red Nagios Net C ........................................................................ 39
Figura 10 Estado servicio red ................................................................................ 40
Figura 11 Topología Lógica de las tres sedes ....................................................... 44
Figura 12 Modelo jerárquico, redundante y seguro general ................................... 45
Figura 13 Conexión WAN ...................................................................................... 46
Figura 14 Calculo Subnetting ................................................................................. 47
Figura 15 Diagrama propuesto MC/IC KENNEDY ................................................. 51
Figura 16 Diagrama propuesto HC sede Kennedy 2 piso ...................................... 51
Figura 17 Diagrama propuesto general IC/HC sedes ............................................ 52
Figura 18 Distribución de Cableado ....................................................................... 54
Figura 19 Solución de telefonía IP ......................................................................... 62
Figura 20 Propuesta Zona de Seguridad ............................................................... 67
Figura 21 Comparativo Situaciones ....................................................................... 68
Figura 22 Actividades Recolección de Información ............................................... 74
Figura 23 Etapas análisis requerimientos .............................................................. 74
Figura 24 Mapa conceptual procesos virtualización .............................................. 75
Figura 25 Situación Actual de los Servidores Lógica ............................................. 77
Figura 26 Situación Actual de los Servidores Física .............................................. 78
10
Figura 27 VMware ESXi A ..................................................................................... 80
Figura 28 VMware ESXi B ..................................................................................... 81
Figura 29 Capas Hipervisor Tipo 1 y 2 ................................................................... 81
Figura 30 Modelo Lógico Virtualización ................................................................. 82
Figura 31 Alineación en la implementación del NIST CSF y COBIT 5 ................... 87
Figura 32 Dominios, Procesos y prácticas de gestión de S.I. COBIT 5 ................. 98
11
RESUMEN
La infraestructura tecnológica en las organizaciones son de vital importancia, para

la transformación digital, la presente propuesta describe las fases de preparación,
planeación y diseño de la red del Centro Radiológico Digital Américas CRA, basada
en la metodología Top Down, la cual permite optimizar los servicios de los
servidores de imágenes diagnosticas; se propone la virtualización de servidores,
implementando la herramienta VMware, que proporciona continuidad de negocio,
simplifica la gestión, ahorro en costos de hardware, mejora los niveles de servicio y
fortalece la seguridad y protección de datos. Con el fin de proteger la información
en toda la organización, se propone un estudio de seguridad de la información; el
cual se fundamentó en las recomendaciones, planteamientos y buenas prácticas
que ofrece los marcos COBIT y CSF NIST; estos marcos ofrecen métodos
sistemáticos para el diagnóstico, análisis e implementación de seguridad de la
información, la adopción de estas buenas prácticas, mejoraría la comunicación
interna de la empresa, la consolidación de los procesos de las diferentes sedes en
Bogotá. La propuesta también presenta un soporte teórico y las recomendaciones
necesarias para que la empresa tome la decisión de poner en marcha las iniciativas
de implementación de la propuesta
Palabras clave: Redes, LAN, WAN, Virtualización, framework, seguridad de la

información.
12
ABSTRACT
The technological infrastructure in the organizations is of vital importance, for the

digital transformation, the present proposal describes the phases of preparation,
planning and design phases of Centro Radiológico Digital Américas CRA network,
based on the Top Down methodology, which optimizes the services of diagnostic
image servers; Server virtualization is proposed by implementing the VMware tool,
which provides business continuity, simplifies management, saves hardware costs,
improves service levels and strengthens data security and protection. In order to
protect information throughout the organization, an information security study is
proposed; which is based on the practical recommendations, offered by the COBIT
and CSF NIST Frameworks; These Frameworks offer systematic methods for the
diagnosis, analysis and implementation of information security, the adoption of these
good practices, would improve the internal communication of the company and
consolidate the processes of the different offices in Bogotá. The proposal also
presents theoretical support and the necessary recommendations for the company
to make the decision to launch these initiatives.
Keywords: Networks, LAN, WAN, Virtualization, Framework, Information Security.
13
INTRODUCCIÓN
En la actualidad, el diseño e implementación de redes LAN y WAN, facilita la

administración de las empresas, permitiendo a los usuarios utilizar avanzadas
tecnologías para la comunicación entre sí, accediendo a recursos como: datos,
servicios de procesamiento, aplicaciones, entre otros, esta adopción de tecnologías,
reduce drásticamente los costos de funcionamiento y tiempos de procesamiento, de
esta manera beneficiar al usuario final.
El presente trabajo propone la actualización de red y estudio de seguridad de la

información para el Centro Radiológico Digital Américas CRA, en los primeros
capítulos se documentan el contexto de la empresa, sus antecedentes, la situación
actual y las necesidades de la empresa, con estos elementos, se realizará la
propuesta de red, utilizando la metodología Top-Down Network Design de Cisco, la
cual se estructura de manera sistemática y contribuye la planificación y diseño de la
red corporativa del CRA, esta propuesta inicia con un análisis ejecutivo a la
organización, para el levantamiento de información, que permita conocer los
objetivos de negocio, metas técnicas, alcance y restricciones del proyecto, y de esta
manera, identificar el perfil de los usuarios, el conjunto de necesidades y
condiciones de implementación, obtenidos estos criterios, se podrá diseñar una
propuesta de red funcional de acuerdo a la cultura organizacional de la empresa.
Complementando la propuesta de actualización de red, el quinto capítulo

documenta la propuesta de virtualización de los servidores de almacenamiento de
imágenes diagnosticas, con el fin de facilitar los recursos y servicios dispuestos en
los servidores físicos, esta propuesta está basada aplicaciones de virtualización
como VMware y VMware ESXi, las cuales brindan una base segura, flexible y
potente para la agilidad del negocio, facilitando acelerar la transformación digital
hacia la nube híbrida. Para la propuesta de implementación de estas herramientas,
se realiza el levantamiento de información, para el análisis de requisitos, diseño
lógico y físico, de esta manera lograr obtener un conocimiento y unas guías que
sirvan de base para la implantación de la virtualización de los servidores.
Dada la importancia que tiene la seguridad de la información en la actualidad y lo

representativa que es para la estabilidad y crecimiento y de las organizaciones, la
ciberseguridad se convertido en una de las preocupaciones corporativas más
importantes a nivel mundial, los medios tecnológicos han relegado las antiguas
formas de manejar la información, por tal motivo se han generado nuevos riesgos,
esto convierte la información en uno de los activos más valiosos para cualquier
empresa, una manera de cuidar o resguardar dicho activo tan valioso, es
conservando la confidencialidad, integridad y disponibilidad de la información, bajo
este contexto, en el capítulo sexto se propone el estudio de seguridad de la
14
información, utilizando la integración del Framework del NIST CSF con COBIT 5, el
marco estadunidense provee los pasos sistemáticos para la implementación y
COBIT permite comprender el gobierno y la gestión de las tecnologías de
información (TI) de una organización, define un conjunto de herramientas de soporte
empleadas por los gerentes, para reducir la brecha entre los requerimientos de
control, los temas técnicos y los riesgos del negocio. La adopción de estos marcos
de trabajo, permite iniciar el estudio de seguridad para el Centro Radiológico Digital
Américas CRA, alineado a los objetivos estratégicos de la empresa.
Al finalizar este documento, se obtienen conclusiones y recomendaciones que

permiten al CRA, tomar la decisión de implementar las propuestas de actualización
de la red, virtualización y adoptar un sistema de seguridad de la información.
15
1 ORGANIZACIÓN
1.1 TEMA
El presente proyecto describe la propuesta de actualización de la red corporativa,

virtualización de los servidores de imágenes diagnósticas y el estudio de seguridad
de la información, para que el centro Radiológico Digital Américas CRA, cuente con
la base documental, para iniciar una etapa de implementación.
1.2 TITULO PROYECTO
Propuesta de actualización de la red corporativa del Centro Radiológico Digital

Américas C.R.A, incluyendo estudio de seguridad de la información con el
Framework NIST.
1.3 PLANTEAMIENTO DEL PROBLEMA
El Centro Radiológico Digital Américas CRA, presta los servicios de toma de

imágenes diagnósticas para el área de odontología como: radiografía intraoral y
maxilofacial, modelos de estudio y fotografía clínica digital, entre otros.
Cuenta con tres sedes en Bogotá ubicadas en:
Sede Kennedy - Av. 1 de mayo (transv.74F) # 40B – 63 2do piso

Sede Bosa - Tv 80 A # 65i - 31 Sur
Sede Suba – Carrera 104 # 140C-11 local 202–C.C. Al paso Plaza 2do piso
El Centro Radiológico Digital Américas CRA, se caracteriza por la constante

actualización tecnológica de los equipos para la toma de imágenes, tiene
implementada una red LAN funcional en cada una de sus sedes, sin embargo,
actualmente no cuenta con conexión entre las tres sedes, ni tiene una sede principal
que centralice la información y las operaciones, no es gestionable y presenta
múltiples fallas de diseño, así mismo, no cumple los lineamientos y
recomendaciones de los fabricantes para la operación y gestión de la infraestructura
de red.
Presenta obsolescencia en equipos de conectividad y fallas en el rendimiento de la

red, lo cual se refleja en el incumplimiento de las metas de negocio, tanto a nivel
estratégico y comercial.
16
Algunos equipos de toma de imágenes diagnósticas actualmente no tienen soporte
técnico por la salida del mercado de los proveedores de estos equipos. El
almacenamiento de la información de imágenes diagnósticas, es de vital
importancia, pero actualmente no tienen el aseguramiento necesario que exige la
normatividad vigente.
Las pruebas realizadas a la red actual reflejan la ineficiencia de esta, representando

sobrecostos financieros y operativos debido a la cantidad de mantenimientos
correctivos y preventivos, los cuales son de demanda permanente para el
funcionamiento básico de la misma.
Estos inconvenientes se presentan por la falta de planeación de la red, visión de

escalabilidad y proyección de crecimiento empresarial a nivel de infraestructura
física, este diagnóstico se concluye de entrevistas realizadas al personal operativo
y directivo de la empresa, lo anterior se ha presentado desde el momento en que la
empresa empezó a expandirse física y lógicamente en la ciudad de Bogotá.
La falta de un departamento especializado, personal técnico o profesionales del
área de tecnología, no han permitido prevenir los problemas presentados por el
mismo crecimiento de la empresa.
1.4 FORMULACIÓN DEL PROBLEMA
¿Cómo se puede lograr la interconexión entre las sedes de la organización?, ¿Qué

podría ayudar a proteger la información de la empresa?
La propuesta de actualización de la red corporativa del Centro Radiológico Digital

Américas CRA, incluyendo estudio de seguridad de la información con el Framework
NIST, deberá incluir alta funcionalidad.
Esta propuesta de actualización en el Centro Radiológico Digital Américas CRA, con

base en los estándares actuales, traerá los beneficios de independencia de
proveedores y protocolos, flexibilidad de instalación, capacidad de crecimiento y
facilidad de administración, características que son relevantes teniendo en cuenta
los posibles cambios que puede tener las sedes con el transcurrir del tiempo.
La finalidad de la propuesta de actualización de la red corporativa del Centro

Radiológico Digital Américas CRA es conseguir:
• La integración del medio de transmisión para los servicios informáticos y

telemáticos instalados, así como otros servicios futuros.
• Independencia del cableado respecto de la tecnología, naturaleza y
topologías a emplear.
• Gran capacidad de conectividad.
17
• Flexibilidad ante modificaciones.
• Facilidad en la gestión.
1.5 ALCANCE Y DELIMITACION

NIST, dará alcance a la sede de Kennedy ubicada en la Av.1 de mayo (Transv. 74F)
# 40B - 63 sur.
1.6 OBJETIVOS
1.6.1 General
Diseñar la red corporativa del Centro Radiológico Digital Américas CRA, incluyendo
el estudio de seguridad de la información bajo el Framework de la NIST.
1.6.2 Específicos
• Realizar el análisis de la infraestructura de red en cada una de las sedes de

la empresa.
• Realizar la propuesta del diseño de la infraestructura de red corporativa que
integre los servicios de voz, datos y video.
• Facilitar el control efectivo y descentralizado de la información del Centro
Radiológico y del proceso de toma de imágenes diagnósticas.
• Realizar la propuesta de virtualización de los servidores de almacenamiento
de imágenes.
• Realizar la propuesta del estudio de seguridad de la información
implementando el marco de seguridad del NIST (National Institute of
Standards and Technology) con COBIT 5.
1.7 JUSTIFICACIÓN
La comunicación al interior de la organización es fundamental ya que hace parte de

la estrategia global de la misma y apoya estructuralmente la misión empresarial.
Una de las herramientas más útiles hoy en día para implementar esta estrategia de
comunicación interna es una intranet bien estructurada, organizada y gestionada,
que de manera interactiva y efectiva permita su desempeño y trato de la información
relevante de la organización en sus actividades comerciales diarias, que sea
confiable y que se encuentre dentro del alcance económico presupuestado.
18
NIST, aumentará las posibilidades que el Centro Radiológico Digital Américas CRA
tiene para llegar a potenciales y nuevos clientes, garantizará la correcta gestión
administrativa y operativa, definiendo los procesos internos y sus responsables,
tendrá documentación (informes de gestión) que permitirán controles internos y el
análisis de resultados en tiempo real para la toma de decisiones. Permitirá
desarrollar planes de mejora continua, basados en los datos recolectados a través
de las distintas herramientas y aplicativos existentes, ahora conectados en la misma
red, el análisis permitirá la concientización y aumento de las competencias del
personal sobre las buenas prácticas y el uso de la información, aumentará el sentido
de pertenencia de cada uno de los colaboradores a la empresa.
Adicional a estos beneficios, la empresa incrementará la satisfacción de sus clientes

y aumentará su participación en el mercado, ampliando su rango de gestión, contará
con políticas de gestión, que, compartidas con la filosofía organizacional de otras
entidades, le proporcionará mayor confianza externa.
1.8 RESEÑA HISTÓRICA DE LA ORGANIZACIÓN
El Centro Radiológico Digital Américas CRA, ha prestado sus servicios de toma

de imágenes diagnósticas para el área de odontología desde su fundación, y,
dentro de sus planes corporativos ha participado en licitaciones para ser una
Institución prestadora de Salud (IPS), partiendo de este punto, uno de los
parámetros a evaluar y alineando a las políticas de gestión de algunas
entidades para la participación en estos concursos, es tener certificado el
sistema de gestión de la información. Actualmente no se realiza una gestión
inteligente de la información y del conocimiento como factor clave de éxito, ya
que no se posee una infraestructura de red LAN estandarizada para soportar la
intranet existente, por tal motivo se están perdiendo oportunidades de participar
como proveedores en algunas entidades del sector de la salud.
La implementación de infraestructuras de red de área local (LAN) estandarizada

como herramienta para la intranet de la organización, la cual tenga a su
disposición un sistema de gestión de la información, aumentaría las ventajas
competitivas, e integraría la política de gestión, la misión y visión del Centro
Radiológico Digital Américas CRA, también dotara de herramientas y directrices
importantes para la gestión de la empresa y su mejora continua.
Partiendo que la comunicación al interior de la organización es fundamental, ya

que, hace parte de la estrategia global de la misma y apoya estructuralmente la
misión empresarial. Una de las herramientas más útiles hoy en día para
implementar esta estrategia de comunicación interna es la intranet, que de
manera interactiva permite intercambiar contenidos y opiniones de una manera
19
rápida y sencilla entre los empleados del Centro Radiológico Digital Américas
CRA.1
1.9 MISIÓN
Somos el centro de radiología experto en la generación de imágenes radiográficas

y ayudas diagnosticas para el área de la salud oral y maxilofacial, brindamos
satisfacción a nuestros clientes con calidad humana orientada al servicio, apoyados
en innovación tecnología con profesionales competentes, generando rentabilidad
con desarrollo sostenible2.
1.10 VISIÓN
Consolidarnos como el centro de radiología oral y maxilofacial, con tecnología de

avanzada, ser reconocidos por la amabilidad, cordialidad y calidad en el servicio,
con una amplia cobertura y ser aliado estratégico de nuestros clientes, proveedores
y colaboradores.3
1.11 OBJETIVOS ESTRATÉGICOS
• Contar con el recurso humano competente

• Garantizar la calidad del servicio
• Generar rentabilidad
• Garantizar la infraestructura necesaria para prestar el servicio
• Asegurar el crecimiento y desarrollo de la empresa
• Desarrollar programas continuos de investigación e innovación
• Mejorar la estructura de organización de la empresa4
1.12 DIRECCIÓN CORPORATIVA
En el Centro Radiológico Digital Américas CRA, creemos firmemente en la ética,

calidad en los exámenes diagnósticos y excelente servicio, apoyados en tecnología
1 Centro Radiológico Américas CRA. Propuesta del Manual de Gestión de Calidad. Bogotá D.C.
2014 p.11
2 Ibid., p.12
3 Ibid., p.12
4 Ibid., p.13
20
de última generación. La integridad en todos los procesos propios de la labor define
nuestra cultura corporativa en cada nivel.5
1.13 ORGANIGRAMA
El siguiente es el organigrama del Centro Radiológico Digital Américas CRA, el cual

muestra las diferentes iteraciones de los procesos de la empresa, la jerarquía de
sus procesos y la persona que está a cargo.
Figura 1 Organigrama C.R.A
Fuente: Documento corporativo CRA
5 Ibid., p.13
21
1.14 MARCO TEÓRICO
El marco teórico y estado del arte se apoyan al estudio de caso y aportan el

conocimiento para el entendimiento de la propuesta, se encuentran detallados en el
Anexo A. Marco teórico y estado del arte.
1.15 SOLUCIÓN TECNOLÓGICA
Se elaborará la propuesta de actualización de la red corporativa del Centro

Radiológico Digital Américas CRA, incluyendo estudio de seguridad de la
información con el Framework NIST.
Para esta propuesta se utilizará la metodología Top Down, diseño descendente de

redes, en un proceso parcial, el cual asocia las necesidades del negocio a la
tecnología disponible, para generar un sistema que maximice el éxito de la
organización.6 Se utilizará el software de simulación Packet Tracer de Cisco, la cual
es una herramienta de aprendizaje y simulación de redes interactiva, esta
herramienta permite crear topologías de red, configurar dispositivos, insertar
paquetes y simular la red con múltiples representaciones visuales.7
Se analizará la red con la herramienta Nagios (Open Source), la cual ofrece una
visión detallada de todas las fuentes de tráfico de red y las posibles amenazas de
seguridad, lo que permite recopilar rápidamente información de alto nivel
relacionada con el estado de la red, así como datos altamente granulares para un
análisis completo y exhaustivo de la red.8
Se realizará la propuesta de virtualización de los servidores de almacenamiento de

imágenes diagnosticas, utilizando herramientas de virtualización como VMware y
VMware ESXi, esta es una plataforma de virtualización a nivel de centro de datos
producido por VMware, es el componente de su producto VMware Infraestructure
que se encuentra al nivel inferior de la capa de virtualización, el hipervisor, posee
herramientas y servicios de gestión autónomos e independientes.9
6 MENDOZA ORDÓÑEZ Mynor Geovanny, Análisis de los negocios y las limitaciones [en línea]. Universidad
de San Carlos de Guatemala, Facultad de Ingeniería, Escuela de Ingeniería Mecánica Eléctrica Escuela de
Vacaciones diciembre 2012. [Consultado: 5 de febrero de 2019]. Disponible en Internet:
https://www.buenastareas.com/ensayos/Top-Down-Network-Desing/6938648.html
7 VALDIVIA MIRANDA Carlos. Redes Telemáticas [en línea]. Ediciones Paraninfo, SA 1ª Edición, 2015. 122 p.
[Consultado: 6 de febrero de 20196]. Disponible en Internet: https://es.scribd.com/document/391872308/Libro-

Redes-Telema-ticas-Paraninfo
8 NAGIOS. Nagios Open Source [en línea]. [Consultado: 15 de febrero de 2019]. Disponible en Internet:
https://www.openitnet.com/index.php/software/nagios/nagios-network-analyzer
9 WIKIPEDIA. VMware ESXi [En Línea]. 2019. [Consultado el 2 de febrero de 2019]. Disponible en
https://es.wikipedia.org/wiki/VMware_ESXi
22
Se realizará un estudio de seguridad de la información bajo el marco de seguridad
del NIST con metodología de COBIT 5, el cual permitirá gestionar eficientemente el
acceso a la información, buscando asegurar la confidencialidad, integridad y
disponibilidad de los activos de información, mitigando los riesgos de seguridad de
la información del Centro Radiológico Digital Américas CRA.
Se usará la herramienta “NIST Cybersecurity Framework (CSF) Reference Tool”, es

una herramienta interactiva que permite la navegación a través del contenido del
documento del CSF y facilitar su exportación a diferentes formatos (CSV, XML,
etc.).10
Por otro lado, el programa Baldrige (que permite el diseño de un enfoque integrado
de la gestión del desempeño organizacional) integrado los criterios del CSF dentro
de su marco de excelencia “Baldrige Excellence Framework” y “Baldrige
Cybersecurity Excellence Builder”, trata de un cuestionario de autoevaluación que
le permite a la organización identificar su nivel de madurez en términos de
ciberseguridad a través de distintos niveles de madurez.
COBIT (Control Objectives for Information and related Technology) guía de mejores
prácticas presentado como marco de trabajo, dirigido al control y supervisión de los
objetivos de las tecnologías de la información (TI). Contiene recursos que sirven de
modelo de referencia para la gestión de TI, incluyendo un resumen ejecutivo, un
Framework, objetivos de control, mapas de auditoría, herramientas para su
implementación y principalmente, una guía de técnicas de gestión.11

Américas CRA, se apoyará en las siguientes normas:
• ANSI/TIA/EIA-568-B Commercial Building Telecommunications Cabling

Standard.
• EIA/TIA 568-B.2-1 "Performance Specification for 4-Pair 100 Ohm Category
6 Cabling.
• ANSI/EIA/TIA-569-A Commercial Building Standard for Telecommunications
Pathways and Spaces.
• ANSI/EIA/TIA-606A Administration Standard for the Telecommunications
Infrastructure of Commercial Buildings.
• ANSI/TIA/EIA-607A Commercial Building Grounding and Bonding.
10 NIST. Cybersecurity Framework [En Línea]. [Consultado: 5 de febrero de 2019]. Disponible en

https://www.nist.gov/cyberframework
11 WIKIPEDIA. COBIT [En Línea]. 2019. [Consultado el 2 de febrero de 2019]. Disponible en
https://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecnolog%C3%ADas_relaci
onadas
23
1.15.1 Módulos y componentes
• Documentación de las metas técnicas.

• Caracterización y documentación de la red actual.
• Diseño físico y lógico de la nueva red.
• Selección de tecnologías
• Mapas de la red.
1.16 METODOLOGÍA
Para la presente propuesta hemos tomado como marco metodológico de diseño

Top-Down, para el diseño de la red, este marco permite iniciar desde los niveles
superiores del diseño, transmitiendo los requerimientos y o especificaciones a los
niveles inferiores, permitiendo establecer funciones específicas entre los diferentes
componentes del diseño, esto permite realizar los ajustes en cada una de las
etapas, brindando flexibilidad en el ciclo de vida del diseño de la red.
Por otro lado, esta metodología permite trabajar en partes más pequeñas a medida
que se avanza en el proyecto, lo que permite enfocarse productivamente en el
cumplimiento de los objetivos, adicionalmente permite minimizar el impacto que
pueda tener los cambios que aparezcan cronológicamente en el diseño, de esta
manera se tiene una actualización del proyecto y su monitoreo continuo,
ajustándose a los requerimientos iniciales o los que se puedan presentar en el ciclo
de vida del proyecto.
1.17 IMPACTO
La implementación de una infraestructura de red de área local (LAN-WAN)

estandarizada para el soporte de la Intranet con aseguramiento de la Información,
aumentará las posibilidades para que el Centro Radiológico Digital Américas CRA
potencialice nuevos clientes, garantizará la correcta gestión administrativa y
operativa, definiendo los procesos internos y sus responsables, tendrá
documentación que permitirá controles internos y el análisis de resultados en tiempo
real para la toma de decisiones. Facilitará desarrollar planes de mejora continua,
basados en los datos recolectados a través de las distintas herramientas y
aplicativos existentes ahora conectados en la misma red, para el análisis permitirá
la concientización y aumento de las competencias del personal sobre las buenas
prácticas y el uso de la información, aumentará el sentido de pertenencia de cada
uno de los colaboradores a la empresa.
24
Adicional, la empresa incrementará sus beneficios, con el aumento de la
satisfacción de sus clientes, aumentará su participación en el mercado y ampliará
su rango de gestión. La organización estará dotada de políticas de calidad, que,
compartiendo la filosofía organizacional de otras entidades, le proporcionará mayor
confianza externa.
Sin embargo, hay factores negativos que se deben tener en cuenta, y es que, el
alcance de este proyecto es una propuesta, debido a que la empresa actualmente
no cuenta con el musculo económico para realizar un inversión de implementación,
por ende, la problemática que se ha presentado hasta el momento va a permanecer,
e inclusive puede aumentar, la empresa debe hacer unos esfuerzos en cuanto a la
planeación estratégica para provisionar los recurso que permitan realizar una
mejora tecnológica a corto plazo, ya que es inminente la obsolescencia de la
infraestructura tecnológica, y esto acarreará consecuencias adicionales en todos los
aspectos de la empresa, tales como: deficiencia, e ineficacia en los procesos,
aumento en los riesgos de perdida de información valiosa, riesgos tecnológicos,
económicos, comerciales, legales, de sostenibilidad, de imagen, de crecimiento,
entre otros.
1.18 CRONOGRAMA
Las actividades y los tiempos de realización del cronograma se describen en el

ANEXO B. Cronograma de actividades
25
2 ANÁLISIS DE REQUERIMIENTOS
La necesidad de mejorar la infraestructura de red y debido a la situación económica

actual, el Centro Radiológico Américas CRA, buscan optimizar los recursos con los
que cuenta, entre ellos la infraestructura tecnológica y centralización de la
información e integración del software asociado a sus aplicaciones.
2.1 ENTREVISTAS CON USUARIOS Y PERSONAL TÉCNICO
Uno de los aspectos más importantes para conocer el estado actual y las
necesidades de la empresa, es tener fuentes de información de primera mano que
faciliten el levantamiento de información, por tal motivo, se realizaron varios
encuentros con el personal de la empresa y se aplicaron diferentes instrumentos de
recolección de información. Se establecieron grupos foco en todos los niveles
organizacionales y se involucraron personas, procesos y equipos que, facilitaran la
recolección de información relevante; uno de esos instrumentos fueron los
cuestionarios, que permiten identificar controles en la organización y conocer el nivel
de eficiencia de los procesos, estos, se componen de un conjunto sistemático de
preguntas dirigidas a personas de la alta dirección y personal operativo
especializado en las diferentes áreas del Centro Radiológico Américas CRA; por
otro lado, con el fin de acceder a información que no se obtiene con los instrumentos
mencionados, se realizaron entrevistas y visitas de campo para observar los
procesos y personas directamente en la operación. La información recolectada, fue
analizada, para poner en línea los objetivos de TI con los objetivos de negocio de la
empresa, facilitando la implementación de las metodologías de los marcos de
trabajo Top Down, NIST CSF y COBIT propuestas para este proyecto.
2.1.1 Entrevistas
Se realizan dos (2) entrevistas, la primera seguridad lógica de la red corporativa del
Centro Radiológico Digital Américas CRA, y la segunda la para evaluar la seguridad
física de la red. Se realizan al encargado de la oficina de TI con el objetivo de
conocer acerca de la administración de esta. El formato de las entrevistas se
encuentra en el ANEXO I. Formato Entrevistas Usuarios
Para evaluar la seguridad física de la red de la organización se tienen en cuenta los

siguientes controles:
• Utilización de los equipos de red y de comunicaciones

• Control equipos redes y comunicaciones.
• Control de la protección y tendido de cables y líneas de comunicación.
• Controles para perdida de la información y desastres.
26
En la entrevista a la seguridad física de la red, se obtuvieron los siguientes
hallazgos:
• No hay mecanismo de control de acceso al área de sistemas y cualquier
funcionario de la empresa puede ingresar.
• El servidor de imágenes no se encuentra en conjunto con los demás
elementos de la red.
• No existen equipos para monitorización de la red en la empresa.
• El cableado UTP de la red no se encuentra etiquetado.
• El rack de comunicaciones no posee etiquetas para sus elementos y no se le
ha organizado debidamente.
• No existen planes de contingencia en cuanto a fallas en las
telecomunicaciones entre la sede, lo que puede afectar la continuidad del
negocio, ya que la mayoría de los procesos del Centro Radiológico Digital
Américas CRA, dependen del servicio de internet.
• Los equipos de red y cómputo no están protegidos en su totalidad sobre
posibles amenazas físicas y ambientales.
En la entrevista aplicada a seguridad lógica de la red, se obtuvieron los siguientes

hallazgos:
• No existen controles de errores para detectar fallas de transmisión en la red

ya que no hay monitorización.
• No existen controles para asegurar que las transmisiones van solamente a
usuarios autorizados.
• No existen ni se utilizan herramientas para mapeo de redes, monitorear
tráfico de red y herramientas para administrar la seguridad de los servicios
de red.
• Nunca se han ejecutado herramientas que permitan identificar
vulnerabilidades en la red ya que nunca se han realizado auditorias de
seguridad informática.
• No existen ni se utilizan herramientas de criptografía para el cifrado de datos.
• Existen controles de seguridad en la red como firewalls, estos son los que
vienen por defecto configurados en los routers, pero son vulnerables a
cualquier intrusión. Esto se demostró en la fase de ejecución de pruebas de
penetración, en donde se logró escanear toda la subred de datos de la
empresa.12
12 CORTES CAMACHO, Jesús German. auditoría a la seguridad de la red de datos de la empresa

panavias s.a. [En Linea] Especialista en Seguridad Informática. Universidad Nacional Abierta y
Distancia “UNAD” Facultad de ciencias Básicas e Ingeniería Especialización en Seguridad
Informática San Juan de Pasto, Colombia 2016 [Consultado el 6 de febrero de 2019]. Disponible en
https://stadium.unad.edu.co/preview/UNAD.php?url=/bitstream/10596/11941/1/1085267906.pdf#page=74&zoo
m=100,0,608
27
2.2 RECOMENDACIONES ESTRATÉGICAS
Actualmente las sedes cuentan con cableado 5E; para las adecuaciones
propuestas, se utilizará cableado categoría 6A, tanto para la distribución de puntos
de voz, como para la de datos. Es recomendable definir como proveedor de
servicios de red, la empresa u operador que tenga mayor cobertura en Bogotá, de
esta manera podemos minimizar amenazas de falla en la comunicación entre sedes.
Es de suma importancia estandarizar los subsistemas basados en etiquetado,

código y colores del cableado, para que se pueda identificar cada una de las redes,
por medio de la implementación de la norma ANSI/EIA/TIA-606A se podría lograr
este objetivo. Para el desarrollo del proyecto es vital cumplir con las normativas y
estándares vigentes, y de esta manera el mantenimiento y usabilidad de la red
estarán a la vanguardia de las nuevas tecnologías.
2.3 METAS DE NEGOCIO
Los anuncios generales de logros dentro de la organización, para la mejora de la

red corporativa (WAN y LAN) y los objetivos específicos, pasos o medidas que se
tomaran para alcanzar estas metas propuestas.
Las metas de negocio son de gran importancia para el Centro Radiológico Digital
Américas CRA, ya que clarifican el propósito de la organización y ayudan a
identificar las acciones necesarias, en nuestro caso la mejora de la red corporativa.
Conociendo el contexto de la empresa, su actividad económica, su visión, misión y

sus objetivos estratégicos, podemos establecer las metas de negocio que la
empresa tiene en el marco de su proyección en el desarrollo de la misma.
Identificando cuáles son las metas y desafíos que el centro radiológico digital
Américas CRA, definió como prioritarias por el alto porcentaje de su cumplimiento
para la mejora de la red corporativa se plantea en la tabla 1 Metas de Negocio.
Buscando el logro de los objetivos del Centro Radiológico digital Américas CRA y
de acuerdo con la estrategia planteada por las directivas de la organización, se
establecen los pesos o porcentajes para cada uno de las metas y objetivos, cuya
sumatoria debe ser igual a uno (1).
28
Tabla 1 Establecimiento de Prioridades
Meta – Objetivo Prioridad Cumplimiento
Mejorar la Infraestructura de la red

• Estableciendo una única red de Voz y Datos
• Garantizando proyección y crecimiento 35 % 95 %
• Interconexión de las Sedes Kennedy, Suba y
Bosa
• Mayor cobertura de Servicios
Asegurar la Disponibilidad de la red

• Cubriendo el acceso desde cualquier punto de la 25% 95 %
compañía
• Cobertura inalámbrica 100%
Mejorar la Seguridad de la red

• Garantizando que la información esté disponible
cuando se necesita, que sea confiable con 20% 100 %
acceso seguro y autorizado.
Meta – Objetivo Prioridad Cumplimiento
Operación
• Disminución de tiempos de respuesta en los 20% 90 %
procesos internos.
Total Programación por Metas y Objetivos 100 %
Fuente: Análisis de entrevista con la dirección del CRA
2.4 ANÁLISIS DE METAS TÉCNICAS
Con base en la información obtenida del Centro Radiológico Américas CRA, se

determinó la prioridad de las metas técnicas, estas incluyen servicios de uso en red,
disponibilidad escalabilidad, seguridad, adaptabilidad y accesibilidad. La solución a
los siguientes ítems se verá en el capítulo de diseño.
29
Tabla 2 Metas técnicas
Aspecto Meta Prioridad Cumplimiento
Disponibilidad • Redundancia en Puertos y

Conexiones entre todos los
dispositivos de la red para
garantizar que los servicios
funcionen de manera
permanente
• Mejorar la velocidad de
35 % 95 %
conexión de la red para lograr
sincronización de procesos de la
compañía
• Tiempos de Respuestas y
Recuperación a fallos al
implementar una solución de
alta Velocidad
Escalabilidad • Garantizar que se puedan incluir

nuevos usuarios (estaciones de
trabajo) a la red
25% 90 %
• Implementar red inalámbrica en
las 3 sedes para acceso de
colaboradores y usuarios final.
• Revisar y actualizar las actuales

Seguridad políticas de Seguridad e
implementando las que falten,
así como los controles
• Estructuración de niveles de
seguridad para los accesos de
control de los servicios de Datos, 25% 90 %
Voz, Multimedia
• Control y restricción de acceso
de usuarios
• Control y restricción de
información compartida
30
Aspecto Meta Prioridad Cumplimiento
Soporte y • Tolerancia a Fallos

Monitoreo • Soporte a la aplicación para la
toma de Tomografías 15% 95 %
• Soporte y Gestión de red
• Generación de Reportes
Total Programación por Metas Técnicas 100 %
Fuente: Análisis de entrevista con la dirección del CRA
2.5 ANÁLISIS SISTEMA EXISTENTE
El análisis se basa en la localización de los dispositivos más importante en la

infraestructura de red; se realizará un esquema de la red actual de las tres sedes
del Centro Radiológico Américas CRA, dejando evidenciar que, el diseño lógico de
la red se mantiene en las tres sedes, aunque la obra civil es diferente, el diseño
lógico.
En cuanto a la parte eléctrica, se encuentra una instalación regulada por cada uno
de los equipos primarios, se tiene la posibilidad de vincular los equipos que se
incorporan en el diseño en una instalación regulada general.
2.6 SITUACIÓN DE LA RED ACTUAL
La red actual del Centro Radiológico Américas CRA, cuenta con una topología física
en estrella con direccionamiento IPv4 estático, en términos generales la red actual
tiene un diseño plano como lo muestran las siguientes figuras.
31
Figura 2 Red lógica actual
Fuente: Elaboración propia
La red actual del Centro Radiológico Américas CRA, cuenta con una red física como
lo muestra la siguiente figura.
32
Figura 3 Red física actual
2.6.1 Sede Kennedy
Las instalaciones del Centro Radiológico Digital Américas CRA Sede Kennedy
cuentan con 2 pisos organizados de la siguiente manera, su infraestructura actual
de red de datos está basada en:
En el primer piso se ubica:
• Servicio al cliente con (15 Puntos),

• Call center (10 Puntos)
• Recepción (4 Puntos)
33
En el segundo piso se encuentra:
• Recursos Humanos con (15 Puntos)

• Comercial con (15 Puntos)
• Departamentos de Marketing y Publicidad (20 Puntos)
• Compras (5 Puntos)
• Contabilidad y cartera (8 Puntos)
• Sala de juntas (5 Puntos)
• TI (20 Puntos)
• 1 Switch TP-Link 24 ptos 10/100/1000 tl-sg1024d
• 1 Switch TP-Link Tl sf 1048 48 ptos 10/100,
• 1 Switch TP-Link de Sobremesa no administrado de 8 puertos a 10/100 Mbps
Los servidores del panorámico se encuentran en el primer piso, los servidores del
negocio son de tecnología Dell, ubicados en el segundo piso, los cuales contienen
las aplicaciones administrativas y operativas de la organización, en estos servidores
están los de archivos de la base de datos del equipo panorámico, con sistema
operativo Windows XP SP3, sin soporte.
Figura 4 Topología red actual sede Kennedy
34
2.6.2 Sede Bosa
Las instalaciones del Centro Radiológico Digital Américas CRA Sede Bosa cuenta
con 1 piso organizado de la siguiente manera, su infraestructura actual de la red de
datos sede bosa está basada en:
• Switch Tp-Link 24 ptos 10/100/1000 tl-sg1024d
• Switch Tp-Link Tl sf 1048 48 ptos 10/100, Switch Tp-Link de Sobremesa no
administrado de 8 puertos a 10/100 Mbps
Los servidores del Panorámico se encuentran en el primer piso, los servidores del
negocio son de tecnología Dell, los cuales contienen las aplicaciones
administrativas y operativas de la organización de la sede, en estos servidores están
los de archivos de la base de datos del equipo panorámico, con sistema operativo
Windows XP SP3, sin soporte.
En este piso se ubica el área servicio al cliente con (10 Puntos), Call center (5
Puntos) y la recepción (4 Puntos), comercial con (10 Puntos), Marketing y Publicidad
(5 Puntos), Compras (5 Puntos), contabilidad (4 Puntos), TI (20 Puntos).
Figura 5 Topología red actual sede Bosa
35
2.6.3 Sede Suba
Las instalaciones del Centro Radiológico Digital Américas CRA Sede Suba cuenta
con 1 piso organizado de la siguiente manera, su infraestructura actual de la red de
datos sede bosa está basada en:
• Switch TP-Link 24 ptos 10/100/1000 tl-sg1024d

• Switch Tp-Link Tl sf 1048 48 ptos 10/100, Switch Tp-Link de Sobremesa no
administrado de 8 puertos a 10/100 Mbps
Los servidores del Panorámico se encuentran en el primer piso, los servidores del
negocio son de tecnología Dell, los cuales contienen las aplicaciones
administrativas y operativas de la organización de la sede, en estos servidores están
los de archivos de la base de datos del equipo panorámico, con sistema operativo
Windows XP SP3, sin soporte.
En este piso se ubica el área servicio al cliente con (10 Puntos), Call center (5
Puntos) y la recepción (4 Puntos), comercial con (10 Puntos), Marketing y Publicidad
(5 Puntos), Compras (5 Puntos), contabilidad (4 Puntos), TI (20 Puntos).
Figura 6 Topología red actual sede Suba
36
2.7 TECNOLOGÍAS ACTUALES CRA
2.7.1 Ethernet
EL Centro Radiológico Digital Américas CRA sede administrativa, cuenta con los
equipos de switching de piso 1, maneja velocidades de 10, 100 o 1000 megabit/seg,
esta ganancia se pierde ya que maneja modos de trasmisión semi dúplex.
2.7.2 Cableado Estructurado
El diseño consta de un centro de cableado, compuesto por un gabinete para datos,

con los siguientes elementos:
• Organizadores de cables
• Patch Panels de 24 puntos
• 2 ventiladores, para extracción de calor
• 1 Multi-Toma tipo hospitalaria
• 1 barra a tierra
• El Cableado para datos, incluidos Patch Panel, es categoría 5A.
Todos los puntos se llevan a cajas a través de bandejas, por medio de una tubería
Conduit tipo EMT, a partir de estas cajas se distribuirán los puntos de voz y datos,
según se requiera, utilizando Patch Cords de 20m, cada caja tiene un Patch panel
de 24 puntos.
El centro de cableado no cuenta con la señalización adecuada, los Patch panel no

cuentan con la correcta identificación por número de piso, número del Patch panel
y el número del puerto, esto dificultaría la adecuada identificación.
La situación actual del cableado del piso 1 al 2 esta sobre bandejas metálicas, se
evidencia que el cableado se encuentra comprimido en la canal, con solo un 8% de
espació libre, esta misma distribución de los centros de cableado se repite en las
sedes de Bosa y Suba.
2.8 TRÁFICO DE LA RED
Se despliegan diferentes pruebas para identificar posibles modelos de autosimilitud

en el segmento de red; se evidencia que existe un estándar que se repite a sí mismo,
al cambiar su escala de medida y las estadísticas del proceso no varían.
37
2.8.1 Análisis de rendimiento de la red LAN
Con la ayuda de la aplicación Nagios (Open Source), software para el análisis e

identificación de problemas en redes de comunicaciones, se realiza el análisis en
diferentes horas, para así obtener mayor información sobre el tráfico de la red, estos
análisis son realizados en horas de la mañana y de la tarde, periodos donde se
identifica el mayor tráfico de información. Se realiza la captura de paquetes con una
duración de 5 minutos en 8 Dispositivos de la sede Kennedy.
2.8.1.1 Pruebas de tiempos respuestas hacia dispositivos
Se realiza un levantamiento de información de tiempo de latencia para los equipos

de comunicaciones y se crearon medidas de monitoreo para cada uno de estos
equipos, se analizan los resultados al momento en que el tiempo de la respuesta
sea mayor al límite establecido para la prueba.
Se realiza el análisis de información de puertos de servicios (TCP UDP) que están

trabajando en la red corporativa CRA, se crean parámetros de monitoreo para cada
uno de los puertos de servicio y se probaron notificaciones al caer uno de los
puertos.
2.8.1.2 Resultados análisis red corporativa CRA

Figura 7 Análisis red Nagios Net A
38
Fuente: Analisis red Corporativa CRA, Herramienta Nagios Network Analyzer
Figura 8 Análisis red Nagios Net B
Fuente: Analisis red Corporativa CRA ,Herramienta Nagios XI
Figura 9 Análisis red Nagios Net C
Fuente: : Analisis red Corporativa CRA ,Herramienta Nagios XI
39
Figura 10 Estado servicio red
Fuente: : Analisis red Corporativa CRA, Herramienta Nagios XI
Después de haber realizado las pruebas y su respectivo análisis, se identificaron los

problemas actuales en la red objeto de estudio. Los datos obtenidos en la
recolección de datos con la aplicación Nagios (Open Source), permitieron llegar a
las siguientes conclusiones:
El porcentaje de uso comprobado, permite conocer el uso que los usuarios le dan
al ancho de banda cuando acceden a sus diferentes sistemas y aplicativos, se
visualizar el comportamiento de la red durante el tiempo
que se realizaron las pruebas.
Con el análisis de tráfico de la red corporativa del Centro Radiológico Digital

Américas CRA, obtenido con la aplicación Nagios (Open Source), Figuras 7,8,9 y
10, se logra evidenciar que el rendimiento de la red corporativa se encuentra con
altos niveles de saturación debido a las siguientes causas:
• Velocidad insuficiente del canal.

• Ausencia de estrategias QoS.
Esto comprueba que la infraestructura tecnología de comunicación no cumple con

el estándar adecuado de velocidad, adicional se detectaron posibles puntos
vulnerables, de acuerdo a las siguientes causas:
40
• Falta de políticas de seguridad en la red interna, tales como, permisos y
restricciones para los usuarios.
• No existe un servidor de autenticación para el acceso, control y
administración de los usuarios.
• Acceso no controlado a los servicios de internet.
• Ausencia de mecanismos de control y administración en el almacenamiento
de archivos.
• El Router del proveedor de Internet no cuenta con seguridad, ya que el mismo
no es administrable.
Con base en el análisis de la situación actual de la red, se identifica que la red LAN
del Centro Radiológico Digital Américas CRA, requiere implementar un diseño
eficiente de red de datos, que garantice su rendimiento, disponibilidad y seguridad.
41
3 DISEÑO DE LA SOLUCIÓN
En este capítulo se especifica y plantea una topología de red que satisface los
requerimientos del Centro Radiológico Digital Américas CRA, para la mayoría de los
casos, el modelo en estrella o estrella extendido y el protocolo CSMA/CD utilizado
es el 802.3. La topología de red puede ser subdividida en 3 categorías del modelo
OSI, este esquema es la base del diseño jerárquico de redes de área local que se
propone.
Diseño de capa 1
Esta capa es la que realiza el control, como la información es transmitida entre

nodos por lo que el tipo y medio de topología que se utilice determina la cantidad de
información que navegará en la red y la velocidad con la que puede ser
transmitida.13
Diseño de la capa 2
Proveer un control sobre la información, detección de errores y corrección de los

mismos así mismo busca mejorar la gestión de la red mediante el filtrado de
paquetes, se puede encontrar los dispositivos de red como Routers y switches entre
otros.14
Diseño de la capa 3
Los dispositivos que podemos encontrar en esta capa son los routers que pueden
ser usados para crear segmentos únicos de red tanto físicos como lógicos y
permiten la comunicación en los segmentos de red a través de direccionamientos
IP.
El router se encarga de realizar el enrutamiento de la información basándose en las
direcciones IP de sus vecinos más próximos, el router es considerado un punto de
13 GAMEZ PRIETO, Daniel. Metodología para el análisis y diseño de redes fundamentados en Itil 4,
para empresas de servicio [En Línea]. Bogotá: Universidad Libre de Colombia, Facultad de
Ingeniería, Ingeniería de Sistemas e Informática. 2012., 24 p. Disponible en
https://www.academia.edu/30820270/METODOLOG%C3%8DA_PARA_EL_AN%C3%81LISIS_Y
_DISE%C3%91O_DE_REDES_FUNDAMENTADOS_EN_ITIL_4_PARA_EMPRESAS_DE_SERV
ICIO
14 Ibid., p.29
42
entrada o de salida de los dominios de difusión y retiene las difusiones para alcanzar
otros segmentos de red remotos.15
3.1 DISEÑO LÓGICO
Se deben establecer las interfaces existentes y que se hallan definido en cada uno
de los routers, así mismo identificar las VLANs que se encuentran implementadas
para determinar la segmentación de la red, de esta manera se identifica el tráfico de
la red, y los permisos de red que contiene cada una de estas interfaces.16
3.2 DISEÑO DE TOPOLOGÍA LÓGICA
El siguiente diagrama permite ver la forma como está distribuida la red del Centro
Radiológico CRA de una manera general, se ilustran las tres sedes que la
conforman, la sede de Kennedy (administrativa y comercial), esta cuenta con 117
puntos de datos, los cuales están distribuidos en 2 pisos, los servidores de
aplicaciones corporativas (Intranet), donde se encuentran las BD de negocio y un
centro de cableado de categoría 5E.
Las sedes de Bosa y Suba, presentan la misma distribución en equipos e

infraestructura, cuentan con un centro de cableado en el primer piso, en el cual se
encuentra un Router de conexión a internet y un Switch de conexión con los equipos
terminales.
No existe comunicación entre las sedes, solo se realiza transferencia de archivos a

través del correo electrónico y la información se procesa en cada sede para su
actualización.
16 GAMEZ.Op. cit., p.59

43
Figura 11 Topología Lógica de las tres sedes
3.3 MODELO JERÁRQUICO Y REDUNDANTE
Se propone diseñar una infraestructura de red de datos, que permitirá la fácil

administración y rápida e identificación de los problemas, esta propuesta debe
permitir:
• Optimizar los recursos disponibles.
• Segmentar lógicamente la red de datos, mediante VLANs basadas en las

áreas de trabajo y sedes del Centro Radiológico CRA, para mejorar el
rendimiento y seguridad.
• Monitorear el estado de la red de datos actual, haciendo uso de las

herramientas tecnológicas disponibles, con la finalidad de conocer el estado
de la red, ofrecer un soporte rápido, eficiente y oportuno si surgiera una falla
que afecte su disponibilidad y rendimiento.
• Adquirir equipos de tecnología Mikrotik, necesarios para los enlaces entre las
sedes, implementando canales PPTP (Point to Point Tunneling Protocol)
para la conexión entre ellas.
El modelo jerárquico y redundante contempla un modelo de tres niveles o capas, en

el cual, el tráfico se mantiene a nivel local y se canaliza a las partes de la red
adecuadas.
44
• Capa de núcleo (Core): esta capa provee la interconexión de los dispositivos
de la capa de distribución y conectan la red LAN a las redes externas, por
ejemplo, Internet y la red WAN para la sede Bosa y Suba. Es en esta capa
donde se encuentran los routers de borde. Para un buen rendimiento de la
red, los equipos de la capa de núcleo deben proveer altas tasas de
transferencia con latencias muy bajas, su función debe limitarse sólo al
reenvío de paquetes, minimizando el procesamiento.
• Capa de distribución: en esta capa se interconectan los dispositivos de la

capa de acceso y provee funcionalidades de ruteo entre las diferentes
subredes de la red LAN, dividiendo los dominios de broadcast, usualmente,
por medio de VLANs. En esta capa es posible encontrar routers y switches
de capa 3 y también se realizan controles de seguridad por medio de reglas
de filtrado.
• Capa de Acceso: en la capa de acceso se tiene los dispositivos finales

conectados a los switches, access points y bridges, además, es la encargada
de controlar qué dispositivos pueden conectarse a la red y cuáles no.
Figura 12 Modelo jerárquico, redundante y seguro general
45
La interconexión de las redes LAN (Redes de Área Local) de las sedes Kennedy,
Bosa y Suba, se realizará por medio de una red WAN (Wide Área Network), para la
comunicación entre los distintos puntos de la red WAN, se propone utilizar la
tecnología IP/MPLS de Movistar Telefónica para las trasferencias de información
entre las diferentes sedes.
Sobre los canales de datos se puede establecer calidad de servicio, donde cada
sede tendrá un segmento independiente.
Figura 13 Conexión WAN
3.4 DIRECCIONAMIENTO IP Y NOMBRES
Existen varias clases de direcciones IP que, dependiendo de la situación, se puede

usar de forma eficaz, dependiendo de la exigencia de hosts por red, para nuestro
caso se propone utilizar la Clase B, que comprende las direcciones 128.0.0.0 a
191.255.255.255, cantidad de redes 16.384, cantidad de host 65.534 se aplica para
redes medianas.
46
En una dirección de Clase B, los dos primeros octetos son la parte de la red, así
que el ejemplo de Clase B en la Figura 14 tiene una dirección de red principal de
128.0.0.0 - 191.255.255.255. Los octetos 3 y 4 (16 bits) son para subredes locales
y hosts. Las direcciones de clase B se utilizan para redes que tienen entre 256 y
65534 hosts.
Una dirección IP de clase B, tiene los dos primeros bits del primer octeto de 10, es
decir:
1 0 0 0 0 0 0 0 1 0 1 1 1 1 1 1
128 191
Direcciones IP de Clase B rango de 128.0.x.x a 191.255.x.x. La máscara de subred

predeterminada de la Clase B es 255.255.x.x.
Clase B tiene 16384(214) direcciones de red y 65534 (216 -2) direcciones de host.
Dirección IP de Clase B formato es: 10NNNNNN.NNNNNNNN.HHHHHHHH.HHHHHHHH
Para clase B, los dos primeros bit del primer octeto se reserva para ser los bits
iniciales que identifica a la clase.
Figura 14 Calculo Subnetting
Fuente: Herramienta Subneting calculadora redes
47
3.4.1 Explicación detallada
Es posible tener los 126 equipos por subred, porque hay suficientes bits a
0 en la máscara. Hay 11 bits a cero (y 211 - 2 es mayor igual a 126), como
se puede observar en la mascará:
11111111.11111111.11111000.00000000
Para tener los equipos que se especificaron es necesario utilizar al menos 7 bits,
porque 27-2=126 y este resultado es mayor o igual a 126 (que son el número de
hosts especificados). Esos bits son los que se deben modificar para cambiar el
número de hosts dentro de la misma subred, es decir, para asignarle una nueva
dirección IP dentro de la misma subred a un equipo nuevo.
Se expone la máscara origen indicando en azul los bits que serán utilizados para
especificar (en la dirección ip) el número de host dentro de la misma subred.
11111111.11111111.11111000.00000000
Ahora, partiendo del calculo que se ha hecho en el paso de antes, calcular los bits
reservados para el número de host, calculamos la máscara ampliada cambiando los
ceros que no serán utilizados para hosts en unos, es decir, los bits que se han
marcado como verdes debemos convertirlos en unos. Tal y como se indica a
continuación:
Mascara origen: 11111111.11111111.11111000.00000000(255.255.248.0)
Mascara ampliada:11111111.11111111.11111111.10000000(255.255.255.128)
A partir de ahora, todas las subredes que tengamos usarán esta máscara ampliada
(todas la misma). Los unos en color verde de la máscara ampliada son los que
tendremos que cambiar en la dirección IP para cambiar el número de subred.
Como puedes observar, tenemos 4 bits reservados para la creación de subredes y

esto nos permite tener 24 subredes, o lo que es lo mismo, 16 subredes.
Ahora, la máscara ampliada nos indica que bits podemos cambiar en la dirección
de red. La dirección de red para la dirección ip que has indicado es: 128.192.0.0,
con lo que, según la máscara ampliada, los bits que modificaríamos serían:
Máscara ampliada:11111111.11111111.11111111.10000000 255.255.255.128

Dirección de red: 10000000.11000000.00000000.00000000 128.192.0.0
48
A continuación, se muestran todas las subredes que se podrían crear con la
configuración dada. Ten en cuenta que la dirección de subred indica el primer
equipo de la subred y que la dirección de broadcast el ultimo equipo de dicha subred.
Además, ten en cuenta que todas las subredes tienen la misma máscara ampliada
(255.255.255.128)
3.4.2 Subredes CRA
En esta gráfica se observa el direccionamiento que tendrá el centro radiológico

Américas CRA.
Gráfica 1 Subredes
Fuente: Herramienta Subneting Lucerna calculadora redes disponible en linea

http://148.245.159.60/calc/calcsubnet.html
Se observa que la única diferencia entre la dirección de red y la dirección de

broadcast es que en la sección del número de host (los bits en azul), en la dirección
de red son todos cero y en la dirección de broadcast son todo unos. Entre el rango
comprendido entre la dirección de red y la de broadcast estarán todos los equipos
de la subred.
49
3.5 DISEÑO FÍSICO DE LA RED
En el diagrama físico de la red de datos del Centro Radiológico Américas CRA, se

ve reflejada la distribución física de los dispositivos que componen la red, por cada
una de las sedes.
3.5.1 Cableado a utilizar
La conexión principal (MC) y la conexión intermedia (IC), la cual se realiza con

cables Interfaces de cobre al rack de piso 2 HC (cableado vertical), estos cables
están en 10GBase-T (par trenzado Cat 6 A, 100m) a velocidad de 10 GB. En cada
uno de los racks de piso, la conexión cruzada horizontal (HC), se hace con cables
UTP en base T a velocidades de 10GB.
La conexión entre los Smith de piso y dispositivos finales, como la conexión entre
los switch de acceso a servidores de la organización, se realiza con Patch Core UTP
AMP categoría 6A. La conexión principal (MC/IC), ubicada en el primer piso, provee
salida a la WAN del operador ISP seleccionado, a través del cableado 10GBase-T
par trenzado Cat 6A, 100m a velocidad de 10 GB.
3.5.2 Racks
Los sistemas de armarios rack permitirán al Centro Radiológico Digital Américas

CRA en, en un espacio reducido, contar con todo conectado, como son: Servidores,
UPS, electrónica, teléfono y cualquier otra herramienta que necesite.
Rack tipo MC/IC en la sede Kennedy, el cual se ubica en el centro de cómputo del
piso 1, este se conecta al rack tipo HC del piso 2 de la sede. En la sede Bosa y
Suba, rack tipo conexión intermedia (IC / HC).
La sala de telecomunicaciones primaria conexión cruzada principal (MC). La MC es

el centro de la red. Es allí donde se origina todo el cableado y donde se encuentra
la mayor parte del equipamiento. La conexión cruzada intermedia (IC) se conecta a
la MC y puede albergar el equipamiento de un edificio en el campus.
La conexión cruzada horizontal (HC) brinda la conexión cruzada entre los cables
backbone y horizontales en un solo piso del edificio.17
17PERALTA REYES, Alexandra, MARTIN SANDOVAL, Luis, VIVAS Juan, BELTRÁN MORENO Derly, MORA
VARELA, Medardo. AGUIRRE Marco, PEÑA, Jader. Cableado Estructurado [En Línea]. Bogotá: Servicio
Nacional de Aprendizaje Sena. Centro de Electricidad, Electrónica y telecomunicaciones complejo sur 2014.,
Disponible en http://spartbeat.blogspot.com/2015/01/actividad-conceptos-sobre-cableado.html
50
Figura 15 Diagrama propuesto MC/IC KENNEDY
Figura 16 Diagrama propuesto HC sede Kennedy 2 piso
51
Figura 17 Diagrama propuesto general IC/HC sedes
3.6 PROPUESTA CABLEADO ESTRUCTURADO
Mediante la instalación de cableado estructurado se busca crear una infraestructura

que sea altamente confiable con capacidad de ofrecer servicios de
telecomunicaciones, de acuerdo con los nuevos requerimientos para el manejo de
la información.
De acuerdo al análisis y entrevistas realizadas al Centro Radiológico Digital

Américas CRA, se evidencia que la red necesita ser reemplazada por un sistema
de cableado que cumpla con las exigencias y estándares requeridos para la
transmisión de datos, se propone utilizar UTP Cat 6A.
El Centro Radiológico Digital Américas CRA tienen instalado cable UTP Cat 5E y se
ve la necesidad de cambiar el cableado UTP a categoría 6A, el cual es adecuado
para dispositivos y aplicaciones de la sede principal y sucursales, incluidos puntos
de acceso inalámbricos, datos, voz y vigilancia. Como cable horizontal de calidad
para aplicaciones Ethernet de 1G.
52
3.6.1 Topología e infraestructura de la red
El sistema de cableado propuesto presenta una topología híbrida o topología mixta,

en la cual, las redes pueden utilizar diversas topologías para conectarse, en esta
topología, se combinan dos o más topologías para formar un diseño de red
completo.
3.6.1.1 Ventajas de la Topología Hibrida
• Confiabilidad: Tienen mayor tolerancia a fallos que otras topologías. Una

topología híbrida puede diagnosticar y aislar los fallos de manera eficiente.
Un fallo de la red no afectará el rendimiento del resto de la red.
• Flexible: Las topologías híbridas son flexibles y están diseñadas para
adaptarse a una variedad de entornos de red y necesidades18.
3.6.2 Cableado horizontal
Se estima que la “vida productiva” de un sistema de cableado para edificios

comerciales debe ser de 15 a 25 años. En este período, las tecnologías de
telecomunicaciones seguramente cambien varias veces. Es por esto que el diseño
del cableado debe prever grandes anchos de banda, y ser adecuado tanto a las
tecnologías actuales como a las futuras.19
El estándar ANSI/TIA/EIA-568 y sus recientes actualizaciones especifican los
requerimientos de un sistema integral de cableado, independiente de las
aplicaciones y de los proveedores, para los edificios comerciales. 20
Se propone el diseño de una estructura de cableado en estrella, y define una nueva

nomenclatura a las diferentes etapas o sub sistemas del cableado. La distribución
horizontal conecta las áreas de trabajo con los distribuidores o repetidores
horizontales, ubicados en la sala de telecomunicaciones.
18 CORREA Luis. Las topologías [En Línea]. Ministerio de Educación Instituto Adventista Panameño.
2016. Disponible en http://chuckifutbolista.blogspot.com/
19 JOSKOWICZ José. Cableado estructurado [En Línea]. Instituto de Ingeniería Eléctrica, Facultad
de Ingeniería Universidad de la República Montevideo, Uruguay. 2013., p 25. Disponible en

https://iie.fing.edu.uy/ense/asign/ccu/material/docs/Cableado%20Estructurado.pdf
20 Ibid., p. 25.
53
Figura 18 Distribución de Cableado
Fuente: Güimi. Instalación de Cableado [imagen]. [Consultado: 2 de febrero de 2019].

Disponible en Internet: https://guimi.net/monograficos/G-Cableado_estructurado/G-
CEnode14.html
3.6.2.1 Cálculo de cable horizontal UTP Cat 6ª
Para calcular la longitud promedio de cable de los edificios y sucursales debemos

tener en cuenta:
• Determinar la ruta del cable y los conductos por donde pasa.
• Medir la distancia al punto más lejano (L)
• Medir la distancia al punto más cercano (C)
• Determinar la altura (A)
• Sumar y dividir en 2
• Multiplicar por los puntos a instalar (P)
• Añadir un 10% de holgura
(𝐿+𝐶+𝐴)
Longitud promedio cable ( )∗𝑃
2
54
3.6.2.2 Cable vertical
El Backbone de datos se implementará con cable UTP categoría 6A o con fibra

óptica Multimodo 12 Hilos OM3, se dispondrá de cables respectivamente desde
cada gabinete al gabinete seleccionado como centro de estrella.
3.7 DISEÑO DATA CENTER
El objetivo del Data Center es ejecutar las aplicaciones centrales y almacenar datos
operativos del centro Radiológico Américas CRA, además, ofrece medios de
recuperación ante desastres (DR). El Data Center es el espacio donde se
concentran los recursos necesarios para el procesamiento de la información de una
organización.
El estándar TIA 942A provee una serie de recomendaciones y guías o directrices,

para el diseño e instalación de infraestructuras de Data Centers (centros de
cómputo).
La fibra multimodo se usa típicamente para la transmisión a corta distancia. Pero

los alcances máximos varían en diferentes tipos de fibra multimodo. Además, debido
a las diferentes velocidades de datos, las distancias de transmisión son diferentes.
Sin embargo, la característica común es que OM1 siempre admite la distancia más
corta, pero OM4 admite la más larga. Por ejemplo, basado en la misma velocidad
de datos de 10 Gbps, el alcance máximo de OM1 es 33 m, OM2 es 82 m, OM3 es
300 m y OM4 es 550 m. Por lo tanto, si se requiere una transmisión de tamaño
mediano, OM3 y OM4 son las mejores opciones.21
La utilización en los DC de fibras multimodo, queda reservada a los tipos OM3 y

OM4 (50/125), y equipos con emisores LASER 850 nm, para los cableados de
cobre, se recomienda el empleo de Cat 6 (mínimo) y Cat 6A apantallados. En este
campo se coincide con ISO/IEC 24764, que reconoce únicamente enlaces Clase
EA (Cat 6A), la selección de los conectores ópticos, queda reducida a los tipos LC
Dúplex, para cables dúplex, y MPO para más de 12 fibras. Se propone usar
arquitecturas centralizadas y jerárquicas, por ser más flexibles que los enlaces
directos. Las áreas Funcionales de acuerdo con la TIA 942 en un centro de datos
debe incluir las siguientes áreas funcionales:
La fibra multimodo OM3 como la OM4 se pueden implementar en aplicaciones de

1GbE, 10GbE, 40GbE y 100GbE, aunque su distancia de transmisión cambia. En la
21FOCC. Comparación de OM1, OM2, OM3 y OM4 En Línea]. 2019. [Consultado el 2 de febrero de
2019]. Disponible en : http://www.fibresplitter.com/info/comparison-of-om1-om2-om3-om-
37789606.html
55
Gráfica 2, se describen las respectivas distancias de transmisión máxima de OM3 y
OM4 bajo distintas velocidades de transmisión. La distancia de fibra OM4 es mayor
que la distancia de fibra OM3 basada en 10 Gb/s. Como regla general, se reconocen
los 400m, pero todavía puede alcanzar hasta 500m, o incluso los 550m si se utiliza
la fibra OM4 de ultra- alta calidad.22
• Una o más entradas al cuarto

• Área de distribución principal (MDA, Main Distribution Area)
• Una o más áreas de distribución horizontal (HDA, Horizontal Distribution
Area)
• Área de equipo de distribución
• Zona de distribución
• Cableado horizontal y el Backbone
Para el Centro Radiológico Américas CRA, es necesario implementar un data center
Tier II - Centro de datos Redundante, el cual ofrece una disponibilidad del 99.741%
con las siguientes características:
• Menos susceptible a interrupciones por actividades planeadas o no

planeadas.
• Componentes redundantes (N+1).
• Tiene suelos elevados, generadores auxiliares o UPS.
• Conectados a una única línea de distribución eléctrica y de refrigeración.
• Tiempo de implementación de 3 a 6 meses.
• El mantenimiento de esta línea de distribución o de otras partes de la
infraestructura requiere una interrupción del servicio. 23
22 FS. ¿Cuál es la mejor opción entre la fibra multimodo OM3 y la OM4? En Línea]. 2019. [Consultado
el 2 de febrero de 2019]. Disponible en https://www.fs.com/mx/om3-vs-om4-multimode-fiber-which-
one-to-choose-aid-935.html
23 GUILARTE María. ¿Qué es un Tier? [En Línea]. 2013. [Consultado el 5 de febrero de 2019].
Disponible en https://www.muycomputerpro.com/2013/03/14/que-es-un-tier
56
Gráfica 2 Distancias de transmisión OM3 y OM4
Fuente: FS. ¿Cuál es la mejor opción entre la fibra multimodo OM3 y la OM4? [imagen].
Consultado: 2 de febrero de 2019]. Disponible en https://www.fs.com/mx/om3-vs-om4-
multimode-fiber-which-one-to-choose-aid-935.html
3.7.1 Seguridad en el data center
Debido al manejo de la información relacionada con imágenes diagnosticas del

Centro Radiológico Américas CRA, se requiere establecer medidas de seguridad
que protejan la infraestructura crítica de amenazas externas o intrusiones, que
puedan atentar contra la información de la empresa, implementándolas en los
siguientes aspectos:
Seguridad perimetral
Por la naturaleza de la empresa, no se requiere grandes medidas de seguridad

como vidrios y paredes blindadas, pero si es necesario adoptar seguridad en las
instalaciones que permitan restringir el acceso a personal no autorizado a las
diferentes áreas de la empresa
Seguridad Física
Se debe restringir el acceso a las instalaciones, mediante tarjetas de acceso y

control biométrico, contratando personal de vigilancia en el interior de las
instalaciones, implementando sistemas de identificación y métodos de verificación
que, dependiendo de los roles de cada empleado de la empresa, se permitirá
asignar acceso a las diferentes áreas, instalación de circuitos cerrados de televisión
CCTV permiten monitorear las partes internas del cuarto de servidores, sino, todas
las áreas en general.
57
Es importante para el data center controlar los riesgos de incendios, mediante
sistemas de detección, adicional a esto, se debe contar con una unidad de supresión
de incendios y sistemas de extinción automáticos y manuales.
3.7.2 Sistema de enfriamiento de data center
El enfriamiento de los equipos es uno de los procesos más esenciales dentro de los
DC, ya que los componentes TI liberan una cantidad elevada de energía, la que se
convierte en calor el cual puede tener un impacto negativo en el rendimiento de los
equipos TI, e incluso dañarlos.
Los equipos en el centro de datos disipan demasiado calor, y se hace necesario
crear una climatización estricta, tecnificada y especial, donde se logré la
temperatura y humedad necesaria, para poder garantizar la integridad de los
equipos y la información almacenada en ellos.
• Gestión optimizada del flujo de aire.

• Pasillos fríos y calientes.
• Refrigeración localizada.
• Máxima eficiencia con sistemas de agua fría.
Un sistema de enfriamiento en DC tiene de 3 elementos fundamentales, un enfriador

de agua, sistema de distribución y administración del aire (CRAC – Computer Room
Air Conditioning, CRAH - Computer Room Air Handler) y una estrategia de
enfriamiento por rack, por row, o por sala.24
ASHRAE es una organización encargada de liberar estándares respecto al

enfriamiento de data centers, además de proponer temperaturas y humedades
óptimas referenciales para el equipamiento TI.
La Sociedad Americana de Ingenieros de Calefacción, Refrigeración y Aire
Acondicionado Ingenieros ( ASHRAE / æ ʃ r eɪ / ASH -ray ) es una asociación
americana profesional que buscan avanzar en la calefacción, ventilación, aire
acondicionado y refrigeración (HVAC & R) el diseño y la construcción de sistemas.25
24 CARDENAS ZARATE, Simón Ernesto. Análisis de Arquitecturas Modernas de Data Center . [En
Línea] Ingeniero Civil en Informática, Universidad Técnica Federico Santa María Departamento de
Informática Valparaíso. [Consultado el 6 de febrero de 2019]. Disponible en:
https://repositorio.usm.cl/bitstream/handle/11673/23408/3560900257190UTFSM.pdf?sequence=1&i
sAllowed=y#page=34&zoom=100,0,250
25 WIKIPEDIA, Ashrae [En Línea] [Consultado el 6 de febrero de 2019]. Disponible en:

https://en.wikipedia.org/wiki/ASHRAE
58
3.8 INFRAESTRUCTURA ELÉCTRICA
El sistema eléctrico de distribución planeado para el centro de datos del Centro

Radiológico Américas CRA, será un alimentador trifásico que sale desde una fuente
exterior provista por ENEL CODENSA, hacia a la empresa, por vía subterránea,
llegando a un tablero eléctrico general.
3.8.1 Circuitos monofásicos
Estos serán instalados a partir del tablero principal hacia los racks, por medio de
una escalerilla, la cual contará con un piso térmico, sus circuitos se extenderán
desde su inicio hasta el pasillo central.
Todos los circuitos terminarán en sus enchufes respectivos, en los cuales se

conectarán a la toma múltiple de cada uno de sus módulos.
Los conductores utilizados para alimentar los racks, son de tipo libre halógeno de
3*4 mm2.
3.8.2 Tierras físicas
Es importante contar con una conexión a tierra referencia a la norma técnica NTC
colombiana 2050, código eléctrico colombiano, la cual debe tener una resistencia
de cero a 0.5 Ohmios. Todas las acometidas cuentan con su respectiva
canalización, de manera que el cable no sea afectado por un agente externo, ni
afecte a los enlaces de telecomunicaciones, el cableado eléctrico también irá
montado sobre una escalerilla metálica similar a la del cable UTP, todos los cables
serán agrupados y sujetos de manera que este fijo a la escalerilla, de tal manera
que se evite el movimiento.
El sistema deberá contar con un sistema Ininterrumpido de Potencia Ups de 10 Kva.
3.9 SOLUCIÓN DE TELEFONÍA IP
Se propone una solución telefónica IP a los requerimientos de comunicaciones de

voz expuestos por el Centro Radiológico Américas CRA.
Se propone la solución Grandstream Ucm6208, dedicada a la integración de
soluciones de comunicación, la solución se basa en las plataformas de este
fabricante.
59
3.9.1 Grandstream Ucm6208
Esta propuesta está diseñada para proporcionar una solución centralizada a las
necesidades de comunicación del Centro Radiológico Américas CRA, el IP PBX de
la serie UCM6200 combina funciones de voz, video, datos y movilidad para
empresas en una solución fácil de manejar. Esta serie de IP PBX permitirá al Centro
Radiológico Américas CRA, unificar múltiples tecnologías de comunicación, como
voz, videollamada, videoconferencia (dependiendo las características técnicas de
los teléfonos a instalar), herramientas de datos, opciones de movilidad y
administración de acceso a las funciones en una red común que puede ser
gestionada y/o accedida remotamente. La serie UCM6200 tiene características
seguras y confiables ofrece funciones para empresas sin derechos de licencia, o
algún costo por función o cargos recurrentes.26
3.9.1.1 Datos técnicos Grandstream Ucm6208
• Soporta hasta 800 usuarios, 50 cuentas troncales SIP, hasta 100 llamadas
simultáneas
• Aprovisionamiento sin configuración de terminales SIP Grandstream
• Máxima protección de seguridad posible usando cifrado SRTP, TLS y
HTTPS
• Dos puertos de red Gigabit con PoE integrado
• Soporta una IVR (Respuesta de Voz Interactiva) de hasta 5 niveles
• Servidor de grabación de llamadas integrado, acceso a grabaciones por
medio de la interfaz de usuario basada en la Web
• Soporta cola de llamadas para el manejo eficiente del volumen de llamadas
• Registro Detallado de llamadas (CDR) integrado para monitorear el uso de
teléfonos por línea, fecha, etc.
• Asistente automático de múltiples idiomas para manejar eficientemente las
llamadas entrantes
• Directorios telefónicos LDAP y XML integrados, plan de marcación flexible
• Soporta cualquier terminal de video SIP que emplee los códecs H.264,
H.263 o H.263+
• Soporta correo de voz y reenvío de fax a email27
26 GRANDSTREAM, Grandstream Ucm6208 Ip Pbx [En Línea]. 2019 [Consultado el 20 de Julio de

2019]. Disponible en https://es.grandstream.net/es/grandstream-ucm6208-ip-pbx.html
27 GRANDSTREAM, Op. cit.
60
Teléfonos GrandStream GPX1610
Los teléfonos IP GrandStream GPX1610 de mesa son los más utilizados en
entornos profesionales. Hay una completa gama de telefonía IP que cubre desde
terminales básicos con una línea y un puerto de red hasta los de gama alta con
Bluetooth, pantalla a color, alimentación por PoE y gestión de múltiples líneas.28
3.10 PROVEEDOR DE VOZ
El Centro Radiológico Américas CRA, para temas de telefonía IP, definió utilizar los
servicios ofrecidos por Colombia Telecomunicaciones S.A. ESP (Telefónica
Movistar). Se escogió como solución de telefonía, el servicio de Troncal SIP; dicho
servicio es una solución integral que consiste de una red de comunicaciones
corporativa donde se integran tanto la red de comunicaciones móviles, como la red
transporte fija para la conexión de las comunicaciones hacia el PBX del Centro
Radiológico Américas CRA, aportando eficiencia y mayor productividad a la
empresa.
Integración de llamadas a todo operador móvil desde las extensiones de la central

telefónica. Para el producto estándar se define una llamada por una sesión de tal
forma que se podrán realizar hasta 30 llamadas por cada 30 sesiones desde un
único número móvil celular asociado a la central del cliente.
28GRANDSTREAM, GRANDSTREAM GXP1610 HD IP pone. [En Línea]. 2019 [Consultado el 20 de

Julio de 2019]. Disponible en https://es.grandstream.net/es/grandstream-gxp1610-hd-ip-
phone.html?listtype=search&searchparam=GrandStream%20GPX1610
61
Figura 19 Solución de telefonía IP
Fuente: EXCALIBURCOMMS. MPLS-Network-Diagram (1) [imagen]. Consultado: 2 de febrero

de 2019]. Disponible en https://www.excaliburcomms.co.uk/connectivity-
solutions/mpls/mpls-network-diagram-1/
3.10.1 Planes Conexión Troncal SIP

Gráfica 3 Plan Móvil Bolsa de dinero
Fuente: Datos proporcionados por Movistar
62
Gráfica 4 Plan Móvil Todo destino
Fuente: Datos proporcionados por Movistar
Las centrales telefónicas del Centro Radiológico C.R.A se encuentran situadas en

cada una de sus sedes, interconectadas. Regulan el tráfico entre las extensiones
fijas. El acceso a la red de Movistar se realiza a través de un canal MPLS por el cual
se transporta protocolo SIP que conecta PABX principal de Centro Radiológico
Digital Américas CRA con la red telefónica.
3.11 SELECCIÓN TECNOLOGÍAS Y DISPOSITIVOS
Dentro de la planeación estratégica del Centro Radiológico Américas CRA, se tienen

principios estratégicos como: Garantizar la calidad del servicio, generar rentabilidad,
garantizar la infraestructura, asegurar el crecimiento y desarrollo, mejorar la
estructura de organización de la empresa, en los cuales se encuentra implícito la
necesidad de minimizar costos, se seleccionaron dispositivos que ofrecieran
características como: rentabilidad, calidad y economía; estos dispositivos debían
cumplir con las necesidades de las tecnologías LAN y WAN, que permiten cumplir
con los principios estratégicos y las metas técnicas definidas por la organización, de
igual forma permiten dar alcance a los servicios de uso en red, disponibilidad,
escalabilidad, seguridad, adaptabilidad y accesibilidad.
63
Estas tecnologías permiten interconectar las diferentes LAN del Centro Radiológico
Digital Américas CRA, esto a través de la red WAN, la cual permite conexión de
largo alcance, lo cual es apropiado para que las tres sedes de Bogotá estén
conectadas; adicional, permite escalamiento de la red, en caso que la empresa
requiera establecer una nueva sede, a continuación, se relacionan los detalles de
los dispositivos que la dirección del Centro Radiológico Digital Américas CRA, desea
implementar.
3.11.1 Estimación costos dispositivos
Gráfica 5 Dispositivos Lan y Telefonía IP Sede Kennedy
Fuente: Elaboración propia basada en investigación
64
Gráfica 6 Dispositivos LAN y Telefonía IP Sede Bosa
65
Gráfica 7 Dispositivos LAN y Telefonía IP Sede Suba
3.11.2 Referencias de dispositivos WAN
A continuación, se relaciona los dispositivos para la red WAN del Centro Radiológico
Américas CRA, tabulando la referencia, la cantidad, la descripción del dispositivo y
el valor en Colombia, estos dispositivos son ofrecidos por el proveedor de servicios
de internet.
Gráfica 8 Dispositivos Internet y WAN
Fuente: Elaboración propia basada en investigación centro de cableado CRA
66
3.12 SOLUCIÓN DE SEGURIDAD DE RED
Todo el tráfico dirigido hacia internet será enrutador hasta el Router principal de la
red de la sede principal Kennedy y posteriormente direccionarlo el firewall Fortinet
donde están las políticas de acceso a internet y los servidores misionales de toda la
empresa, finalmente pasa al Router de salida al operador de la WAN encargado de
dar conexión de cada punto hacia internet.
Las políticas de navegación se encuentran establecidas en el firewall Fortinet que

tiene las rutas necesarias a las sedes de Bosa y Suba, este equipo debe ser
administrado por una persona especializada en seguridad de la información, o por
el área de tecnología que se llegase a implementar.
Figura 20 Propuesta Zona de Seguridad
67
Figura 21 Comparativo Situaciones
3.12.1 Sistema CCTV
Se pretende con el sistema CCTV crear la necesidad de ofrecer seguridad,

mediante tecnologías de video vigilancia. La instalación de cámaras en puntos
estratégicos del Centro Radiológico Américas CRA, permitirá tener un monitoreo
constante y en tiempo real, siendo la principal necesidad la seguridad de sus bienes
y la advertencia oportuna en caso de ocurrir algún evento, este sistema está
costeado en la propuesta del cableado estructurado.
3.13 ESTIMACIÓN COSTOS CABLEADO ESTRUCTURADO
Se muestra los costos estimados con base en la compra de insumos, y accesorios

que intervengan al momento de llevar acabo la implementación del cableado
estructurado.
Gráfica 9 Estimación Costos Cableado
68
69
Continuación Gráfica 8
70
3.14 GESTIÓN Y DESEMPEÑO DE LA RED
Las aplicaciones de gestión del desempeño del servicio monitorean, analizaran y

reportaran sobre el desempeño del servicio extremo a extremo. Estos pueden incluir
informes en tiempo real, para asegurar que cada servicio prestado funcione
correctamente y guarde un repositorio histórico de su desempeño.
Top-Down define las siguientes áreas funcionales de gestión:
• Gestión de rendimiento
• Gestión de fallas
• Gestión de configuración
• Gestión de seguridad
• Gestión de contabilización
Con la propuesta de actualización de la red corporativa del Centro Radiológico

Digital Américas CRA, se busca implementar medios tecnológicos que
interconecten las diferentes sedes del CRA y permitan dar alcance las diferentes
áreas de gestión propuestas por la metodología de Cisco.
71
4 VIRTUALIZACIÓN DE SERVIDORES
Se realiza esta propuesta de virtualización de los servidores de almacenamiento de

imágenes del Centro Radiológico Américas CRA, con el fin de facilitar los recursos
y servicios dispuestos en los servidores físicos, tener menores costos de
mantenimiento y soporte, mejorar el acceso y las políticas de gestión.
La propuesta se limitará a trabajar con las herramientas de virtualización VMware y

VMware ESXi, con el fin de limitar y definir la solución de virtualización, debido a la
numerosa cantidad de soluciones que existen actualmente en el mercado, tales
como: Hyper-V Server, Citrix XenServer, Xen Hypervisor, Proxmox, entre otros, por
tal razón el enfoque principal se hallará relacionado principalmente a ESXi, el cual
ofrece una base segura, flexible y potente para la agilidad del negocio, permitiendo
acelerar la transformación digital hacia la nube híbrida. Con ESXi, se puede brindar
compatibilidad con cargas de trabajo y casos de uso nuevos y, al mismo tiempo, se
adapta a la complejidad y las necesidades crecientes de su infraestructura. ESXi es
una plataforma de virtualización a nivel de centro de datos producido por VMware.
Es el componente de su producto VMware Infraestructure que se encuentra al nivel
inferior de la capa de virtualización, el hipervisor, aunque posee herramientas y
servicios de gestión autónomos e independientes.
Está compuesto de un sistema operativo autónomo que proporciona el entorno de

gestión, administración y ejecución al software hipervisor, y los servicios y
servidores que permiten la interacción con el software de gestión y administración y
las máquinas virtuales.29
ESXi junto a vSphere son la base de un centro de datos definido por software
(Software-Defined Data Center, SDDC) seguro, lo que permite proteger los datos,
las aplicaciones, la infraestructura y el acceso. Las capacidades de seguridad
avanzadas completamente integradas en el hipervisor y con tecnología de
aprendizaje automático proporcionan mejor visibilidad, mayor protección y tiempo
de respuesta más rápido para las incidencias de seguridad.
Al finalizar esta propuesta se tendrá los conocimientos necesarios para la

virtualización de los servidores de imágenes, según los requisitos y requerimientos
del Centro Radiológico CRA, los cuales deberán poder agrupar todos los servicios
y aplicaciones que se hallan instaladas y distribuidas entre las sedes, además de
centralizar todos los servidores del Centro Radiológico Américas CRA.
La propuesta a realizar estará dividida en los siguientes Fases:
29WIKIPEDIA. VMware ESXi [En Línea]. 2019. [Consultado el 2 de febrero de 2019]. Disponible en
https://es.wikipedia.org/wiki/VMware_ESXi
72
Fase 1 Análisis de Requisitos
• Se analizará la situación actual de los servidores de imágenes, teniendo en

cuenta cada uno de los servicios que tienen y se tendrá en cuenta los
requisitos concretos de todos y cada uno de los distintos servidores. Se podrá
dar una valoración sobre qué problemas se detectan en su modelo actual.
Fase 2 Diseño Lógico
• Ya conocido el funcionamiento, la situación actual y los requisitos, se

presentará cual es el producto y diseño que mejor se adapte, exponiendo los
porqués y conclusiones de esta decisión. También, se valorarán los posibles
riesgos que se identifiquen con este cambio.
Fase 3 Diseño Físico
• Ya escogida la herramienta de virtualización que por sus características

presenta la mejor opción para la virtualización de los servidores de imágenes
del Centro Radiológico Américas C.R.A es preciso establecer las
características del sistema, en base a los requerimientos.
4.1 FASE 1 ANÁLISIS REQUERIMIENTOS
Con la distancia física, entre la sedes del Centro Radiológico Américas CRA, la
infraestructura, el tipo de usuarios y teniendo en cuenta las necesidades de
comunicación entre sus diferentes sedes, se considera que es necesario el cambio
de arquitectura de los servidores de imágenes, ya que con la arquitectura actual
con la que se trabaja y se procesa información en cada una de las sedes, es
necesario tener un servidor de aplicaciones por cada servicio que se presta
(Tomógrafo, Periapical).
Esta propuesta traerá consigo nuevos costes, pero se eliminarán otros más, entre
ellos el mantenimiento de equipos, soporte, infraestructura, etc.
Para el levantamiento de la información se identificaron diferentes necesidades del

Centro Radiológico Digital Américas CRA y de los usuarios, por medio de
entrevistas y el estudio del entorno de trabajo y se realizaron observación de la
operación a los distintos puestos de trabajo y las funciones que se realizan en ellos.
Se realizaron consultas bibliográficas a catálogos de productos, planos de

ubicación, manuales de organización y formularios entre otros, adicional se
realizaron las siguientes actividades para la recolección de información:
73
• Entrevistas
• Cuestionarios
• Análisis de Información Documental
• Revisión y Análisis de la Información Suministrada
Figura 22 Actividades Recolección de Información
Para este análisis se establecieron las siguientes etapas:
• Identificación procesos asociados con la actividad

• Posibles escenarios de riesgos
• Revisión del cumplimiento del escenario en cuestión
• Controles asociados
• Recomendaciones
Figura 23 Etapas análisis requerimientos
74
4.1.1 Funciones, tareas y procesos de virtualización
La virtualización presenta facilidad en la integración de las funciones, tareas y

procesos de los servidores de imágenes diagnosticas, ya estos se encuentran
establecidos en las maquinas físicas.
Figura 24 Mapa conceptual procesos virtualización
Se toma como base la información recolectada en el ANEXO C. Informe de auditoría

al proceso de atención al cliente bajo la metodología COBIT 4.1.
4.1.2 Caracterización servidores existentes
Para la implementación de la solución de virtualización de los servidores del Centro

Radiológico Américas CRA, se realizó un inventario de todos los servidores,
sistemas y diagramas de red que contiene el Centro Radiológico Américas CRA; se
determina el uso de cada servidor, para poder diseñar soluciones que admitan
mejorar la eficiencia de la infraestructura, con lo cual, se determinan los ahorros
posibles que soporta al implementar la solución.
Para esto es necesario considerar en el análisis, los siguientes puntos estratégicos:
• Inventario de recursos
• Estudio en la infraestructura (apartado 2.5 Análisis Sistema Existente)
75
La recopilación de la información se evidencia en el ANEXO C. Informe de auditoría
proceso de atención al cliente bajo la metodología COBIT 4.1.
4.1.3 Inventario de servidores actuales
En el Inventario de servidores físicos obtenido del Centro Radiológico Américas

C.R.A, se especifican características de los equipos servidores y de PC de escritorio
que cumplen con funciones de servidor, tales como procesador, disco duro,
Memoria RAM, lo que constituye información importante, para el desarrollo del plan
de virtualización de los servidores para el Centro de Cómputo del Centro
Radiológico Américas.
Tabla 3 Servidores actuales
CANT. APLICATIVO SERVIDOR PROCESADOR D.D RAM

Dell PowerEdge 2.6GHz Dual-
2 Panorámico 1 Tera 8 GB
T320 Server Core Pentium
HP ProLiant ML115 Dual-Core AMD
1 Periapical 1 Tera 8 GB
G5 Tower Server 2.2GHz 2x
Intel Core I3-2120
1 Imágenes Dell Optiplex 2 Teras 8 GB
3.3 Ghz
Intel Core I3-2120
1 Contabilidad Dell Optiplex 2 Teras 12 GB
3.3 Ghz
Fuente: Elaboración propia basada en investigación sede Kennedy
76
4.1.4 Situación actual de los servidores
El modelo y arquitectura de las aplicaciones que se utilizan en los servicios de los

usuarios de imágenes, se evidencia que son aplicaciones diseñadas hace muchos
años y fueron creadas específicamente para desempeñar una función específica, y
de las cuales no se tiene pensado cambiarlas ya que son parte integral de los
equipos de imágenes.
En la infraestructura existente hay aplicaciones que están en ambiente Windows

(XP) para escritorio y se encuentran en modo local en los equipos de los usuarios.
Los equipos utilizados cuentan con antivirus, el cual se actualiza desde internet,
cuentan con acceso hacia estos equipos, de forma que se puede utilizar asistencia
remota para la conexión a los equipos y dar soporte. Se tienen que, al intercambiar
contenido e información de las aplicaciones, los usuarios mantienen los archivos
para evitar que se pierdan, el área de TI dispone de carpetas compartidas en las
cuales se realizan copias de seguridad de forma manual y periódica, haciendo uso
de las herramientas del sistema operativo Windows (XP).
Figura 25 Situación Actual de los Servidores Lógica
77
Figura 26 Situación Actual de los Servidores Física
4.1.5 Metas y restricciones virtualización
Teniendo en cuenta el contexto de la empresa ya conocido, su actividad económica,

su visión, misión y sus objetivos estratégicos, podemos establecer las metas de
negocio que la empresa tiene en el marco de su proyección en el desarrollo de la
virtualización de los servidores de almacenamiento de imágenes diagnosticas del
Centro Radiológico Américas CRA.
Tabla 4 Metas y restricciones virtualización
Meta – Objetivo Prioridad
Eliminar obstáculos en el intercambio y flujo de la información de los 40 %

servidores de almacenamiento de imágenes diagnosticas:
• Centralizar todos los servidores físicos existentes,
aplicaciones de imágenes diagnosticas.
• Reducir los costes de mantenimiento y las horas del mismo,
consumo de energía, licenciamiento, caída inesperada de
servicios entre otros.
78
Meta – Objetivo Prioridad
Brindar una nueva infraestructura centralizada para las aplicaciones y 90%

que los usuarios puedan ejecutarlas desde cualquier PC del entorno
de trabajo, que las aplicaciones tengan disponibilidad sin problemas
de rendimiento, disponibilidad o datos sin actualizar.
• Cubrir el acceso desde cualquier punto del Centro Radiológico

Américas.
• Que exista ninguna aplicación corporativa instalada en los
computadores de los usuarios, dichas aplicaciones deberán
estar en los servidores.
Mejorar la Seguridad de la red: 80%

Disponer la seguridad y protección de los datos y de los servicios
ofrecidos, mediante copias de seguridad y de respaldo.
• Que se pueda recobrar la información eliminada, existente en
los servidores.
• Garantizando que la información esté disponible cuando se
necesita, que sea confiable con acceso seguro y autorizado
Operación: 70%
• Disminución de tiempos de respuesta en los procesos
internos
Continuacion Tabla 5
El Centro Radiológico Digital Américas CRA tiene claro las implicaciones y los
resultados que desea obtener para cualquier cambio que se realice, y que, no se
contara con la ayuda ni colaboración de los usuarios, ya que tiene que ser
transparente y no perturbar su labor diaria.
Se puede identificar que la virtualización de la infraestructura de los servicios de

imágenes, reducirá los servidores existentes para imágenes del centro radiológico
américas CRA, y dará una solución para las aplicaciones a sus necesidades desde
una única plataforma fácil de gestionar. La integración de los diferentes aspectos va
a proporcionar a los usuarios la ventaja de trabajar desde cualquier lugar y a su vez
se reducirán los costes de TI.
79
4.2 FASE 2 DISEÑO LÓGICO
Se pretende ofrecer una solución que pueda unificar y centralizar todos los
servidores de imágenes que tiene el Centro Radiológico Américas CRA, ya que de
esta decisión se apoyará el acceso a las aplicaciones. Se parten de unas exigencias
muy concretas, que son el conservar los datos e información dentro de la
organización, eliminar al máximo el número de servidores físicos de imágenes de
las diferentes sedes, ofrecer adaptabilidad, flexibilidad y escalabilidad, también se
ahorrara en costes y, por último, tener una infraestructura centralizada que sea fácil
de gestionar por el servicio de TI.
El Centro Radiológico Américas CRA, tiene una estructura organizada de las

imágenes diagnosticas, mediante servicios establecidos y realiza sus actividades
de forma independiente.
El Centro Radiológico Américas CRA, tiene una serie de ventajas, a nivel de

enfoque, las cuales permiten orientar la solución de virtualización.
• Mantener sus aplicaciones actuales.

• Eliminar las fugas de información.
• Eliminar la redundancia en servidores
• Eliminar el sobre dimensionamiento de los equipos de cómputo.
4.2.1 Estructura VMware ESXi

Figura 27 VMware ESXi A
Fuente: WWW.T3S.COM.MX. dgrm_vcenterserver_vsphereclient_q209 [imagen]. [Consultado:

2 de febrero de 2019]. Disponible en
http://www.t3s.com.mx/dgrm_vcenterserver_vsphereclient_q209/
80
Figura 28 VMware ESXi B
Fuente Mixta: RODRÍGUEZ FERNÁNDEZ, Daniel, Virtualización de servidores y aplicaciones

en la administración pública, un ayuntamiento [en línea] 12 de Junio del 2017 [Consultado 5
de febrero de 2019]. Disponible en:
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/65506/6/drodriguezfernTFG0617me
moria.pdf
Figura 29 Capas Hipervisor Tipo 1 y 2
81
Figura 30 Modelo Lógico Virtualización
4.3 FASE 3 DISEÑO FÍSICO
VMware es, sin duda, la plataforma líder de la virtualización. Esta plataforma es la

más avanzada del sector de la virtualización permitiendo virtualizar sistemas
operativos localmente, como poder gestionarlos a través de la red como si se tratase
de una nube.30
VMware agiliza el camino para que las organizaciones se conviertan en negocios

digitales capaces de brindar mejores experiencias a sus clientes y de impulsar a los
empleados a hacer su trabajo de la mejor manera posible.
VMware es la mejor opción para los negocios digitales, por que acelera la
transformación digital mediante un enfoque de negocios y de TI, definido por
software, es el proveedor de plataforma confiable preferido de más de 500.000
30 VELASCO, Rubén. VMware vs VirtualBox. ¿Qué herramienta de virtualización elegir? [En Línea].
2017 [Consultado el 2 de febrero de 2019]. Disponible en
https://www.softzone.es/2017/03/14/comparativa-vmware-virtualbox/
82
clientes en todo el mundo, es el pionero en virtualización y un innovador en
movilidad empresarial y de nube. Es un líder probado que le permite ejecutar,
administrar, conectar y proteger aplicaciones en diferentes nubes y dispositivos en
un entorno operativo común, lo que le otorga libertad y control.31
4.3.1 Ventajas de VMware
• Se aumenta significativamente la disponibilidad

• Mejor gestión de las políticas de backup (Copias).
• Se aprovechan los recursos hardware disponibles.
• Mejor eficiencia en el consumo energético.
• Ahorro de costes.
• Creación de ambientes de pruebas y ensayos.
• Mejor aislamiento y seguridad.
• Migración y clonación de sistemas en caliente.
• Centro de proceso de datos, ahorro de espacio
• Administración centralizada.
Las actividades en los servidores, ofrece beneficios específicos dentro de las

empresas, optimizando los espacios de almacenamiento y mejorando el
rendimiento de las aplicaciones en los mismos, también disminuye el consumo
energético y ofrece un menor costo de mantenimiento de los sistemas. El
aislamiento de las máquinas virtuales en el evento de tener errores, permite la
continuidad del negocio del Centro Radiológico Américas CRA.
4.3.2 VMware vSphere Essentials Plus Kit
VMware brinda las mejores alternativas y posibilidades a un bajo precio de

licenciamiento, permitiendo la centralización y distribución de las aplicaciones de
imágenes del Centro Radiológico Américas CRA, con los siguientes beneficios:
• Proporcionar continuidad de negocio y TI siempre disponible.

• Reducir la huella de TI y simplificar la gestión.
• Ahorra en costos de hardware de TI
• Mejorar los niveles de servicio y la calidad de la aplicación.
• Fortalecer la seguridad y protección de datos
31VMWARE. ¿Por qué elegir VMware? [En Línea]. 2017 [Consultado el 2 de febrero de 2019].
Disponible en https://www.vmware.com/latam/company/why-choose-vmware.html
83
El kit incluye 6 licencias de CPU de vSphere Essentials Plus (para 3 servidores con
hasta 2 procesadores cada uno) y 1 licencia para vCenter Server Essentials.32
El kit vSphere Essentials Plus
• vSphere Hypervisor (ESXi)

• Essentials de vCenter Server
• vSphere Data Protection
• Alta disponibilidad de vSphere (HA)
• vSphere vMotion
• Cross Switch vMotion
• vSphere vShield Endpoint
• Replicación de vSphere
4.3.3 Dell Precision Rack 7920
El Dell Precision 7920 Rack ofrece el más alto nivel de acceso remoto seguro con
rendimiento de workstation superior. A continuación, se referencia los dispositivos
de Virtualización de servidores de imágenes diagnósticas para el Centro
Radiológico Américas CRA.
Tabla 5 Costos dispositivos virtualización
CAN SUB
ÍTEM REFERENCIA DESCRIPCIÓN TOTAL
T TOTAL
VMware vSphere Herramientas de
1 2 8.475.000 16.950.000
Essentials Plus Kit Virtualización
Dell Precision 7920

2 2 Servidor 11.522.099 23.044.198
Rack
$ 39.994.198
4.3.4 Guía de Implementación VMware vSphere
La documentación necesaria para realizar el paso a paso de la implementación de

VMware vSphere, se encuentra en la página del proveedor y no se ve la necesidad
32 VMWARE. Op. Cit.,

84
de integrarla a esta propuesta, teniendo en cuenta que, los documentos son
bastante robustos, a continuación, se relaciona las referencia a estos documentos.
• Guía de instalación y configuración de vSphere, disponible en:

https://docs.vmware.com/en/VMware-vSphere/5.5/vsphere-esxi-vcenter-
server-552-installation-setup-guide.pdf
• Guía de actualización de vSphere, disponible en:

server-552-upgrade-guide.pdf
• Servidor vCenter y Guía de administración de host, disponible en:

server-552-host-management-guide.pdf
• Guía de administración de vSphere Virtual Machine, disponible en :

server-552-virtual-machine-admin-guide.pdf
• Guía de perfiles de host vSphere, disponible en:

server-551-host-profiles-guide.pdf
• Guía de red de vSphere, disponible en :

server-552-networking-guide.pdf
• Guía de almacenamiento de vSphere, disponible en:

server-552-storage-guide.pdf
• Guía de seguridad de vSphere, disponible en:

server-552-security-guide.pdf
• Guía de administración de VMware vSphere Single Host, disponible en:

https://docs.vmware.com/en/VMware-vSphere/5.5/vsphere-esxi-551-single-
host-management-guide.pdf
85
5 SEGURIDAD DE LA INFORMACIÓN
La tecnología es un músculo de progreso en las organizaciones y la seguridad de

la información es una de las fibras fundamentales de ese músculo. Actualmente los
riegos asociados a la falta de controles en los equipos y sistemas de comunicación
son muy altos y las amenazas están en diferentes niveles, partiendo de esa premisa,
es importante que todos los colaboradores en las organizaciones se apropien del
conocimiento de los servicios, infraestructura, aplicaciones, competencias,
principios y procesos que maneja cada empresa, lo anterior, con el fin de relacionar
estos aspectos con la seguridad en general y en especial con la seguridad de la
información. Para el Centro Radiológico Digital Américas CRA, es de gran
importancia establecer o adoptar un marco de trabajo que se relacione con las
actividades de TI como lo es COBIT 5, el cual, documenta guías detalladas que
permiten abarcar de manera transversal la seguridad de la información en todos los
niveles.
5.1 INTEGRACIÓN DEL CSF NIST CON COBIT 5
En el marco teórico se documentaron las generalidades y características del NIST

CSF y COBIT 5, en este capítulo se mostrará cómo se complementan las dos
metodologías para su implementación. El Framework de Ciberseguridad del NIST
está basado y/o hace referencia a las directrices y mejores prácticas de COBIT,
partiendo de esto, se revisará cómo sus iteraciones se homologan y brindan el
soporte para cumplir con el objetivo del estudio de seguridad para el Centro
Radiológico Digital Américas CRA.
El Framework de Ciberseguridad del NIST, provee los pasos sistemáticos que

determinan la implementación, esto combinado con los beneficios de COBIT 5, la
integración conjunta permite la implantación de un sistema de gestión de seguridad.
COBIT siendo una referencia documental de CSF del NIST, detalla cada una de
esas iteraciones presentando las siguientes características:
• Aborda el modelo con una estructura sistémica

• Proporciona un enfoque holístico
• Permite la implementación gradual e iterativa.
En la siguiente ilustración se muestra cómo se integran los nueve pasos del CSF
del NIST con los siete pasos de implementación y los cinco principios de COBIT 5.
86
Figura 31 Alineación en la implementación del NIST CSF y COBIT 5
5.2 PROPUESTA DE ESTUDIO DE SEGURIDAD COBIT 5
La seguridad de la información, según la norma ISO 27001:2005, “consiste en la

preservación de su confidencialidad, integridad y disponibilidad, además, puede
involucrar otras propiedades tales como: autenticidad, trazabilidad, no repudio y
fiabilidad, adicional puede incluir los sistemas implicados en el tratamiento de la
misma, dentro de una organización”.33
Teniendo en cuenta las características, la integración de las dos metodologías y, los

procesos habilitadores de COBIT 5 que abordan la seguridad de la información, se
33 Instituto Colombiano de Normas Técnicas ICONTEC. NORMA TÉCNICA NTC-ISO/IEC

COLOMBIANA 27001-2013. [En línea], 2013. Disponible en: https://tienda.icontec.org/wp-
content/uploads/pdfs/NTC-ISO-IEC27001.pdf
87
tiene una base para iniciar el estudio de seguridad para el Centro Radiológico Digital
Américas CRA, siguiendo el Framework de Ciberseguridad del NIST.
5.2.1 Fases de implementación de Gobierno de TI
A continuación, se describirán los resultados del análisis realizado a los procesos

establecidos por COBIT, para la seguridad de la información, los cuales dan alcance
al modelo de gobierno de TI propuesto para el Centro Radiológico Digital Américas
CRA, se identificarán los elementos para la gestión de la seguridad de la
información, homologando los pasos y principios del NIST con COBIT, describiendo
la implementación en cada una de las fases del ciclo de vida del framework.
Con el fin de determinar el estado actual de seguridad de la información de la
empresa, es necesario conocer si el personal cuenta con conocimientos en
seguridad de la información, basados en las buenas prácticas establecidas en
COBIT® 5.
El desarrollo del estudio de seguridad de la información requiere:
• Evaluar los procesos del Centro Radiológico Digital Américas CRA, los
cuales se atenderán de manera global
• Realizar una evaluación de alto nivel
En la siguiente tabla, se muestra la estructura propuesta para la descripción de los

pasos de implementación de COBIT 5, permitiendo validar la integración entre las
dos metodologías, tal como se describió en la figura 31, alineación en la
implementación del NIST CSF y COBIT 5.
Se evaluará el estado organizacional, utilizando cada uno de los pasos del NIST y
las fases del ciclo de vida propuesto por COBIT 5 (incluyendo sus principios) para
realizar el estudio de seguridad de la información para el Centro Radiológico Digital
Américas CRA.
Para el desarrollo y documentación de cada fase, se establecerán los siguientes

numerales que identifican los tres componentes interrelacionados del ciclo de vida
propuesto por COBIT.
A. Ciclo de vida de Mejora continua

B. Habilitación del cambio
C. Gestión del programa
88
Tabla 6 Alineación en la implementación del NIST CSF y COBIT 5
Pasos de implementación del Pasos de implementación de

Principios de COBIT 5
NIST CSF COBIT 5
Priorización y definición Satisfacer las Necesidades
1 1 ¿Cuáles son los motivos? 1
de alcance de las Partes Interesadas
2 Orientación Cubrir la Empresa Extremo
2 ¿Dónde estamos ahora? 2
3 Crear un perfil actual a Extremo
Ejecutar un análisis de
4 Aplicar un Marco de
riesgos 3 ¿Dónde queremos ir? 3
Referencia Único Integrado
5 Crear un perfil objetivo
Determinar, analizar y Aplicar un Marco de
6 4 ¿Qué es preciso hacer? 3
priorizar las brechas Referencia Único Integrado
Implementar el plan de ¿Cómo conseguiremos Hacer posible un Enfoque
7 5 4
Acción llegar? Holístico
Revisión del plan de ¿Hemos conseguido
8 6
Acción llegar?
¿Cómo mantenemos vivo
9 Gestión del ciclo de vida 7
el impulso?
Separar el Gobierno de la
5
Gestión
Fuente: Implementing the NIST Cybersecurity Framework. ISACA 2016 – Adaptación Propia
5.2.1.1 Fase 1. ¿Cuáles son los motivos?
A. Iniciar el programa
Después de aplicar los instrumentos de recolección de información, tales como

entrevistas, encuestas y visitas de campo, se les manifiesta a las directivas del
Centro Radiológico Digital Américas CRA, la intención de realizar una propuesta de
estudio de seguridad de la información, se expone la necesidad de que se debe
determinar los diferentes actores y asignarles roles y responsabilidades, para la
realización del presente estudio. Como la actual propuesta tiene el enfoque de
seguridad de información, las directivas reconocen inicialmente la necesidad de
levantar este documento, como punto de partida para que, en un futuro se estudie
la posibilidad de la implementar un sistema de seguridad de la información, la
participación de la alta dirección demuestra el compromiso de la empresa, frente al
sistema de gestión de seguridad de la información.
89
B. Establecer el deseo de cambio
Con la participación de gran variedad de stakeholders, se reconoce la necesidad de

establecer un área responsable de la dirección y acciones de la división de TI, con
base en el estudio y de sus resultados, los responsables de la empresa que
participan en este estudio, comunicarán esta iniciativa al personal para motivarlo a
la colaboración en la etapa de cambio, con el fin de lograr los objetivos estratégicos
planteados a corto y largo plazo.
C. Reconocer la necesidad de actuar
Dada la naturaleza de la iniciativa y teniendo en cuenta que este documento es una

propuesta, no se dará alcance de implementación hasta que no se validen los
resultados del presente estudio, esta opción es viable, solo hasta que la empresa
tenga el recurso financiero y con base en los resultados y recomendaciones del
presente estudio, decidirá tomar acciones de implantación.
En esta fase también es importante identificar la estrategia para dirigir los esfuerzos
de TI, en la obtención de los objetivos estratégicos de la organización, esto se logra
mediante la creación del PETI (Planeación estratégica de Tecnologías de
Información), el cual determina que procesos de TI se deben implementar y
mantener, para que el negocio alcance los objetivos estratégicos, esta metodología
o técnica de cascada define los siguientes pasos:
Figura 32 Visión general de la cascada de metas COBIT 5
Fuente: www.isaca.org /COBIT® 5 Framework-Spanish.pdf - Adaptación: Propia
90
Los siguientes objetivos estratégicos, se encuentran establecidos y coherentes con
la política del Centro Radiológico Digital Américas CRA, los cuales serán revisados,
ajustados periódicamente y muestran las metas a las que se quieren llegar, como
parte de la mejora continua del sistema de gestión de calidad, a continuación, se
mapea los objetivos del CRA vs los objetivos corporativos de COBIT.
Tabla 7 Mapeo objetivos estratégicos con metas corporativas de COBIT 5
Objetivos Empresa Meta Corporativa de COBIT 5.0 Perspectiva

Contar con el recurso humano
Personal motivado y capacitado
competente Aprendizaje y
Desarrollar programas continuos Cultura de innovación del producto Crecimiento
de investigación e innovación y del negocio
Cultura de servicio orientada al
Garantizar la calidad del servicio Cliente
cliente
Cartera de productos y servicios
Generar rentabilidad
competitivos
Financiera
Asegurar el crecimiento y Cartera de productos y servicios
desarrollo de la empresa competitivos
Garantizar la infraestructura Optimización de las funcionalidades
necesaria para prestar el servicio de los procesos de negocio.
Interna
Mejorar la estructura de Optimización de los costes de los
organización de la empresa procesos de negocio
5.2.1.2 Fase 2: ¿Dónde estamos?
A. Describir los problemas y oportunidades
En la actualidad el Centro Radiológico Digital Américas CRA, presenta dificultades

financieras, teniendo en cuenta que ha realizado una inversión considerable en su
expansión, aunque reconoce que debe iniciar un proceso de cambio dentro de sus
procesos e integrar un sistema de gestión de TI, la dirección es consciente de
implantar el área de TI, que gestione la seguridad de la información, consecuente
con la normativa vigente en Colombia para la protección de los derechos de los
pacientes y las leyes de protección de datos, esto, alineado a la planeación
estratégica de la organización. Es de prioridad velar por la seguridad de la
información del paciente y brindar un valor agregado en la toma de los servicios del
CRA, por tal razón se ve una oportunidad de crecimiento en adoptar los controles
necesarios para la seguridad de la información.
91
Así mismo, se admite que las partes interesadas cumplen un papel clave en el
alcance de los objetivos estratégicos de la empresa, y de esta manera existe una
oportunidad para aportar con las regulaciones vigentes a nivel normativo, esto
apoya el aprovechamiento de las oportunidades de acceder y crecer en tecnologías
de información, permitiendo una mayor competitividad en el sector, como
consecuencia, el plan a iniciar, es documentar esta propuesta, la cual servirá como
punto de partida, para que en un futuro se determine la implementación del sistema
de TI para la gestión de la seguridad de la información.
B. Establecer el equipo de implementación
Como se ha mencionado, el presente documento es una propuesta y del resultado

del análisis de la misma, la dirección del Centro Radiológico Digital Américas CRA,
tomará las decisiones pertinentes respecto a la implementación del gobierno de TI,
decisiones que deben contemplar la pertinencia contar con personas idóneas, con
experiencia y conocimiento sobre los principios del marco elegido, que para nuestro
caso es COBIT 5, en caso que no desee tener personal directo de planta, determinar
la opción de contratar una firma consultora que acompañe dicha implementación.
Siendo consecuentes con el estudio, se sugiere que el grupo de personas que

intervengan en una futura implementación, sean idóneas en diferentes
especialidades, con el fin de garantizar el cumplimiento de los objetivos
establecidos, este equipo de personas deben ser funcionarios que respondan por la
información procesada en las tecnologías, personal de informática, con dominio de
aspectos técnicos para la implementación de controles de seguridad en sus
diferentes aspectos.
C. Revisar el estado actual
Se analiza el organigrama y el mapa de procesos del Centro Radiológico Digital

Américas CRA, y, se identifica que el macroproceso Gestión operacional, contiene
el proceso Gestión de la información, el cual facilita la mejora del enfoque de
seguridad de información, sin embargo, su gestión es casi nula, ya que no cumple
con las exigencias del marco de referencia aplicado para el caso estudio, el nivel de
madurez de dicho proceso es incompleto.
Con base en lo anterior, se debe analizar y validar los objetivos y estratégicas a
seguir, con el fin de tener métricas y medidas para el proceso, y en un futuro revisar
si alcanzó parte de los objetivos estratégicos planteados por la organización.
Para tener un acercamiento al cumplimiento de lo establecido en la fase 2, se debe

realizar control de activos, por lo cual, es indispensable levantar un inventario de
activos de información, que represente un valor considerable para la dirección del
CRA, dicho inventario debe contener elementos como: propiedad del activo,
92
clasificación de la información en cuanto a la confidencialidad, integridad y
disponibilidad, el Anexo D. Inventario de activos y clasificación de la información,
brinda elementos y características de cómo realizar un inventario de activos,
también propone dos plantillas sencillas para realizar los inventarios de activos de
información.
5.2.1.3 Fase 3: ¿Dónde Queremos Estar?
A. Definir la hoja de ruta
Alineando a los objetivos estratégicos del Centro Radiológico Digital Américas CRA,
de la información de las entrevistas realizadas a la dirección y demás personal de
la empresa, se genera la necesidad de documentar la situación de la empresa en
cuanto a la seguridad de la información, por este motivo, se evalúan los resultados
de la aplicación de la Fase 2: ¿Dónde estamos?, permitiendo tener como insumo,
el inventario de activos de información de la organización, esto facilitará establecer
tiempos y costos de la implementación del sistema de seguridad de la información,
determinar los riesgos asociados a estos activos y las vulnerabilidades que se
pueden presentar en los diferentes escenarios. Con base en el análisis anterior, se
la dirección establecerá los mecanismos necesarios para alcanzar el nivel ideal de
madurez de procesos, ajustando los criterios e implementando los controles de
proceso se podrá escalar al nivel de proceso superior, y así, lograr identificar
oportunidades de mejora continua de TI. COBIT presenta los modelos de capacidad
de procesos, en los cuales un nivel de proceso no puede ser alcanzado hasta no
cumplir con el rendimiento establecido en cada nivel, para lograrlo los procesos
deben ser realizados con éxito y la organización obtendría los resultados esperados.
B. Comunicar los resultados
Es importante involucrar a todas las partes interesadas internas y externas, para

cubrir todas las áreas y asignar tareas que permitan gobernar y gestionar la
información en todos los niveles, se debe cubrir la información de extremo a
extremo, comunicando la importancia de participar para lograr los resultados
propuestos por la dirección del Centro Radiológico Digital Américas CRA. La
gerencia delegará el personal encargado de documentar el sistema de seguridad
de la información y tendrá tareas específicas como: divulgar y sensibilizar a la
organización, el valor que tiene la adopción de un gobierno de TI, mostrar la
problemática de la adaptación al cambio, los beneficios que se obtienen a corto y
largo plazo al implementar un sistema de seguridad de información bajo el marco
de trabajo NIST y COBIT 5, generar un plan de gestión de cultura de seguridad de
la información, acompañamiento a la implementación y llevar un control de
93
indicadores de cubrimiento de dicho plan de comunicación, con el fin de realizar
mejora continua.
C. Definir el estado objetivo
Determinadas las intenciones de la dirección del Centro Radiológico Digital

Américas CRA, se desea llegar a un estado de madurez o nivel de capacidad de
proceso Predecible-COBIT Adaptativo-NIST , el cual brinda los mecanismos para
lograr los objetivos estratégicos, por medio de la implementación del sistema de
gestión TI para la seguridad de la información, el enfoque u objetivo será la
obtención de beneficios, optimización de los riesgos y recursos, la diferenciación de
gobierno Corporativo y de TI.
5.2.1.4 Fase 4: ¿Qué es preciso hacer?
A. Planificar el plan
La dirección del Centro Radiológico Digital Américas CRA, debe establecer

procedimientos para estructurar y clasificar la información, que permitan que los
sistemas de información sean organizados y, establecer esquemas de clasificación
que definan los niveles de criticidad y sensibilidad de la información en relación a:
si es pública, confidencial y/o secreta, el Anexo D. Propuesta de inventario de
activos y clasificación de la información, brinda elementos y características de cómo
realizar una clasificación de la información teniendo en cuenta estos
procedimientos.
También se debe definir e implementar políticas y procedimientos que garanticen la

integridad, confidencialidad y consistencia de los datos almacenados en formato
electrónico, tales como: bases de datos, almacenes de datos y fuentes digitales,
entre otros.
Es de vital importancia realizar un análisis de riesgos que identifique: los activos o

bienes a proteger, las amenazas que puedan actuar sobre estos, el nivel de impacto
que pueden causar y la probabilidad de cuales amenazas, se pueden materializar
sobre los bienes informáticos.
El análisis de riesgos debe facilitar métodos de evaluación para su gestión, lo cual

implica identificar, establecer controles para evitar, eliminar o reducir los riesgos y
llevarlos a niveles aceptables para:
• Reducir la probabilidad de ocurrencia de amenazas
94
• Limitar el impacto en caso de materializarse
• Mitigar o eliminar vulnerabilidades
• Establecer mecanismos de recuperación del impacto y/o trasferir a terceros
Es necesario la adopción de planes de infraestructura tecnológica consistentes para

la gestión del riesgo, con el fin de evitar, reducir, retener y transferir el riesgo, esto,
debe documentarse y socializase a todos los colaboradores de la organización,
dando a conocer herramientas que apoyen el cumplimiento del plan estratégico
corporativo y de TI, con enfoque en seguridad de la información.
Con el fin de realizar un ejercicio de análisis de riesgos, se realizó una auditoría al

proceso atención al cliente, con los lineamientos de la versión COBIT 4.1, la cual,
se enfoca en el control óptimo que debe tener una empresa, el resultado de dicho
informe se encuentra en el Anexo C. Informe de auditoría.
B. Identificar el rol de los involucrados
La dirección del Centro Radiológico Digital Américas CRA, identificará la lista de

personas responsables de participar, gestionar, comunicar y sensibilizar a la
organización los beneficios del estudio de seguridad, en caso de llegar a la etapa
de implementación.
C. Diseñar y construir mejoras
Se identifican los principales beneficios del estudio de seguridad y la viabilidad de

su ejecución en conjunto con la dirección del CRA, por lo cual, se evidencian las
siguientes mejoras a seguir:
Se debe enfocar el estudio de seguridad de la información, bajo los lineamientos del

marco COBIT 5, siguiendo lo estipulado en la normatividad vigente. Con base en lo
anterior, no se debe descartar la posibilidad de nombrar un oficial de seguridad de
información, el cual realizaría tareas de seguimiento y gestión de las mejoras que
se puedan implementar, como resultado del presente estudio, adicional, apoyaría el
cumplimiento de las políticas que se desprendan a futuro, si se decide realizar un
plan de implementación en la empresa.
Para dar cumplimiento a esta fase, en el Anexo E. Propuesta de política de

seguridad de la información, se establecen políticas de seguridad de la información,
siendo un proceso técnico y administrativo, se realiza dicha propuesta con el apoyo
de la alta dirección, esta política indica las directrices de la dirección del CRA,
respeto a:
95
• La necesidad de proteger la información corporativa
• Definir la postura frente a requisitos de negocio, leyes y normas vigentes
• Comunicarse a toda la organización y demás partes interesadas
• Revisarse periódicamente para ajustarse a las necesidades del negocio.
• Ser un documento de apoyo para la gestión de TI y seguridad de la
información
• Tener principios de neutralidad sin comprometerse con tecnologías
especificas
• Permitir clasificar la información
• Debe ser vigente en el tiempo, ser clara y no generar nuevos problemas
5.2.1.5 Fase 5: ¿Cómo conseguiremos llegar?
A. Ejecutar el plan
Se deben establecer los detalles de los planes, en coordinación de la alta dirección,

con el fin de lograr su ejecución en cortos plazos, estos detalles deben considerar
los tiempos de ejecución, fechas de inicio, terminación de cada etapa, entregables
de cada iteración o hitos, etc.
Es pertinente dar a conocer informes de los avances de los proyectos o planes

definidos, a las partes interesadas, con el fin de monitorear y garantizar el progreso,
esto ayuda a mitigar los riesgos que se presenten en cada proyecto, de esta
manera, se pueden tomar decisiones o acciones correctivas y en algunos casos re
estructurar el proyecto o plan.
Se deben establecer mediciones de los planes mediante la definición de metas y

métricas que sugiere COBIT 5, con el fin de asegurar que están alineados a los
planes estratégicos, y que todas las partes afectadas a nivel TI y de negocio tengan
toda la responsabilidad y propiedad para su realización.
B. Operar y usar
Con el fin de sensibilizar a los colaboradores de la organización, de la implantación

del gobierno de TI con enfoque de seguridad de información, se debe generar
acciones o planes que permitan mitigar la resistencia al cambio, estos planes se
han de diseñar en conjunto con la alta dirección de la empresa.
Así mismo, se debe comunicar las funciones y responsabilidades de los planes de

resistencia al cambio, esto debido a que la empresa puede cambiar en su estructura
organizacional y se deben redefinir o crear nuevos roles o cargos, que permitan el
96
mantenimiento y continuidad del gobierno de TI bajo el enfoque de seguridad de
información.
C. Implementar mejoras
Es indispensable implementar acciones de mejora en cada una de las iniciativas

establecidas, integrando las medidas en el Balanced Scorecard de TI o cuadro de
mando integral TI, con el fin de monitorear la implementación en la organización, y
de esta manera lograr la mejora continua, y realizar la retroalimentación o feedback
con los hallazgos del monitoreo y ajustar la iniciativas o proyectos.
Posteriormente, tomar las salidas de la fase anterior, para complementar los

documentos de implementación e identificar lo siguiente:
• Métodos de medición o indicadores para los objetivos estratégicos

• Métricas para los objetivos desde el cuadro de mando integral
• Identificar los procesos habilitadores que estén alineados con el enfoque de
seguridad de la información.
Para dar cumplimiento a la fase 5, en el Anexo F. Propuesta de matriz de análisis

de riesgos (pdf)34, se realizó el análisis de riesgos inherentes, con base en el
inventario de activos, este análisis permite tener un panorama de donde se
encuentran los problemas actuales y potenciales y así, determinar las acciones a
tomar, para dar tratamiento a dichos riesgos con el fin de asegurar el sistema de
seguridad de la información y lograr los objetivos marcados por la dirección.
Dar tratamiento a los riesgos, previniéndolos y reduciéndolos, facilita la mejora
continua y permite alcanzar el nivel de madurez deseado.
Con el contexto anterior se pueden determinar los objetivos de control a seguir,

COBIT 5 permite organizar y minimizar los factores de riesgo, mediante la
administración adecuada de la seguridad de la información, facilitando controles
para esta gestión, a continuación, se enunciarán los procesos de COBIT 5, que
cubren la seguridad de información en el Centro Radiológico Digital Américas CRA.
El marco establece dos áreas importantes con procesos que abordan la gestión de
la seguridad de la información, estos procesos habilitadores se describen a
34 TAPIERO T., Hawin Andrei y SUAREZ R., Heiner. Modelo de Gestión de Riesgos de la Seguridad
de la Información en Empresas del Sector Asegurador Utilizando la Norma ISO/IEC 27005. Trabajo
de Grado Ingeniería en Telemática. Bogotá D.C. Universidad Distrital Francisco José de Caldas.
Facultad tecnológica. 2017. Pag 100. [En línea], 2013. Disponible en:
http://hdl.handle.net/11349/8322. Este documento se utilizó como fuente para la adaptación de la
matriz de riesgos para el CRA.
97
continuación como parte del estudio de seguridad realizado para el CRA, estos
habilitadores permiten definir, operar y monitorear un sistema de gestión de
seguridad, en la siguiente gráfica se ilustran dichas áreas, sus dominios y procesos.
Figura 32 Dominios, Procesos y prácticas de gestión de S.I. COBIT 5
Fuente: Elaboración Propia
Dominio: Alinear, Planear y Organizar (APO)
Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la
manera en que TI se alinea con los objetivos del negocio, este dominio proporciona
la dirección para la entrega de soluciones y la entrega de servicios35. Los siguientes
son los procesos que cubren la seguridad de la información.
35 ANONIMO. DOMINIOS Y PROCESOS DE COBIT. [En línea], 2017. Disponible en:

http://cobitmmatiasc.blogspot.com/2017/03/dominios-y-procesos-de-cobit.html
98
• Gestionar la Seguridad
• Establecer y mantener un SGSI
• Definir y gestionar un plan de tratamiento del riesgo de SI
• Supervisar y revisar el SGSI
Dominio: Entrega, Servicio y Soporte (DSS)
Este dominio involucra la ejecución de los planes estratégicos requeridos,

estableciendo medios de control de incidentes, su objetivo es lograr que los
servicios de TI se entreguen de acuerdo a las necesidades para alcanzar los
objetivos de negocio y permitir que se implanten controles de forma correcta para
asegurar la confidencialidad, la integridad y la disponibilidad36 de la información, los
siguientes procesos y actividades permiten dar alcance la seguridad de la
información.
• DSS04 Gestionar la Continuidad
▪ Definir la política de continuidad de negocio, objetivos y alcance.

▪ Mantener una estrategia de continuidad.
▪ Desarrollar e implementar una respuesta a la continuidad del negocio.
▪ Ejercitar, probar y revisar el BCP.
▪ Revisar, mantener y mejorar el plan de continuidad.
▪ Proporcionar formación en el plan de continuidad.
▪ Gestionar acuerdos de respaldo.
• DSS05 Gestionar Servicios de Seguridad
▪ Protección contra software malicioso

▪ Gestionar la seguridad de la red y las conexiones
▪ Gestionar la seguridad de los puestos de usuario finales
▪ Gestionar la identidad del usuario y el acceso lógico
▪ Gestionar el acceso físico a los activos de TI
▪ Gestionar documentos sensibles y dispositivos de salida
▪ Supervisar la infraestructura para detectar eventos relacionados con la
seguridad.
36 Ibidem.
99
5.2.1.6 Fase 6: ¿Hemos conseguido llegar?
A. Obtener beneficios
Con base en la asignación de actividades y responsabilidades, debemos evaluar el

nivel de logro alcanzado, validando si efectivamente se realizó un aporte positivo
con la iniciativa, llegar a las personas que inciden con estos cambios y comparar si
los resultados obtenidos están acordes a los objetivos estratégicos, esto definirá si
la iniciativa fue satisfactoria o si se debe ajustar de manera que se alcance las metas
propuestas
B. Incorporar nuevos enfoques
Realizada las diferentes etapas metodológicas de la implantación de un sistema de

seguridad de la información, se establecen iniciativas adicionales que generar
nuevos enfoques.
C. Operar y medir
Junto a las personas que designe la dirección del CRA, se debe proponer periodos
de revisión para validar el cumplimiento de las iniciativas que se halan generado
para el tratamiento de riesgos y el cumplimiento de la implementación del sistema
de seguridad de la información, sin embargo, teniendo en cuenta el alcance de la
propuesta y las brechas identificadas del estado actual, alineadas al estado ideal al
que se quiere llegar, se recomienda que la evaluación se realice solo al final y
después del análisis de este documento. Éstas son las métricas base para identificar
los beneficios y la realidad de la organización frente a lo que pretende alcanzar.
5.2.1.7 Fase 7: ¿Cómo se mantiene la iniciativa?
A. Revisar la efectividad
En esta etapa, se verifica que la propuesta se esté ejecutando, y que esté

considerada en el contexto de la organización, se debe verificar que el marco de
gobierno, que para nuestro caso es COBIT 5, este alineado a las políticas, objetivos
de la empresa y marco de gobierno TI de la empresa, sin embargo, en este último
punto el Centro Radiológico Digital Américas CRA, no tiene implementado alguno.
Respecto al modelo propuesto, se cuenta con la colaboración de la empresa,

aunque no sea una pasantía, se está realizado bajo el entorno de la organización y
empleando información real.
100
En cuanto a la efectividad, como la organización no tiene en la actualidad todas las
medidas para garantizar la seguridad de información y alineamiento con el marco
propuesto, puede adaptarse a los cambios propuestos sin hablar de una
implementación.
B. Sostener
Para plantear metas o generar iniciativas futuras, se debe revisar el resultado de

esta propuesta y contar con el aval de la alta dirección para:
•Generar capacitaciones y concientizar al personal respecto a estas

iniciativas de gobierno y orientarlos a la adaptación al cambio.
• La contratación de una persona que realice la funciones de oficial y gestor
de la seguridad de la información
• Para trabajos futuros se sugiere fortalecer la estructura organizacional, para
la toma de decisiones
• Establecer desde ahora planes de cambio que sensibilicen a todas las
partes interesadas sobre una cultura con enfoque de seguridad de la
información en la empresa.
• Medir los niveles de madurez de los procesos después de comunicar esta
propuesta con el fin de determinar si se deben ajustar a nuevos cambios
dependiendo del entorno
• Reconocer las debilidades encontradas en el modelo de gobierno que tenía
adaptado la organización.
• Trabajar en conjunto para alcanzar metas que generen beneficios que se
alineen con los objetivos estratégicos y de TI cuando se adopte un sistema
de gestión TI.
C. Supervisar y evaluar
Con los resultados del monitoreo y evaluación de los procesos habilitadores, se

debe reconocer cuáles son las necesidades de mejora para encaminar esta
iniciativa de documentar el estudio de seguridad de la información, considerando lo
siguiente:
• Fomentar un Sistema de gestión de riesgos en toda la organización

• Establecer estrategias de seguridad de información.
• Lograr subir al siguiente nivel de madurez de los procesos
• Proponer objetivos de gobierno de TI que se ajusten con las necesidades
de la empresa
• Proponer un alcance más ambicioso para la iniciativa propuesta.
101
CONCLUSIONES
La implementación de redes LAN y WAN, en el Centro Radiológico Digital Américas

CRA, es fundamental para el logro de los objetivos estratégicos, los cuales buscan
el mejoramiento de sus procesos internos y externos, mayor competitividad y
participación en licitaciones en el mercado, a nivel interno, los usuarios tendrán
herramientas tecnológicas que ayudarán a la satisfacción del cliente, la optimización
de tiempos y procesos, reflejándose en ahorro en costos de operación.
La culminación de soporte de Microsoft para Windows XP exige que la empresa

realice la implantación de la virtualización de los servidores de imágenes
diagnosticas, teniendo en cuenta que estos activos resguardan gran información
clave de los clientes, la adopción de estas herramientas ofrece servicios
empresariales que catapultan a la transformación digital, dando valor al componente
TI alineado a los objetivos corporativos.
El establecimiento de una cultura de seguridad de la información permitirá el

crecimiento sostenible del Centro Radiológico Digital Américas CRA y su
priorización es vital para alcanzar los objetivos corporativos y TI, la adopción de este
sistema de gestión de la seguridad de la información permite asegurar la empresa
y proyectarse ante certificaciones que abren las oportunidades de mercado y dan
un valor organizacional al momento de ofrecer productos y servicios.
La propuesta presentada es una síntesis de las recomendaciones, planteamientos

y buenas prácticas que ofrece los diferentes marcos de trabajo planteados para la
implementación, tales como: Top Down, VMware, COBIT y NIST; su
implementación requiere de un conocimiento muy amplio para el logro exitoso de
los objetivos.
102
RECOMENDACIONES
Se sugiere que la dirección del Centro Radiológico Digital Américas CRA,

establezca el gobierno de TI, el cual tomaría decisiones y evaluaría los procesos de
TI, permitiendo impulsar las diferentes iniciativas propuestas, esto permitirá
alcanzar los objetivos estratégicos planteados a corto y largo plazo.
Se recomienda conformar un equipo interdisciplinario perteneciente a la empresa,

que tenga conocimiento de las diferentes operaciones de la empresa, para que se
integre con los consultores especializados en los marcos de trabajo planteados,
para la implementación de las diferentes iniciativas.
Es conveniente que se establezcan medios de comunicación y divulgación, que

permitan sensibilizar a la organización para la transformación digital, concientizar al
personal sobre los riesgos a los que está expuesta la información.
Es necesario que, si la empresa no implementa un sistema de seguridad de la

información, se deben adoptar políticas que se alinean a la ley, permitiendo
minimizar los riesgos para proteger la información.
103
BIBLIOGRAFÍA
ANONIMO. DOMINIOS Y PROCESOS DE COBIT. [En línea], 2017. Disponible en:

http://cobitmmatiasc.blogspot.com/2017/03/dominios-y-procesos-de-cobit.html
CARDENAS ZARATE, Simón Ernesto. Análisis de Arquitecturas Modernas de Data

Center . [En Línea] Ingeniero Civil en Informática, Universidad Técnica Federico
Santa María Departamento de Informática Valparaíso. [Consultado el 6 de febrero
de 2019]. Disponible en:
https://repositorio.usm.cl/bitstream/handle/11673/23408/3560900257190UTFSM.p
df?sequence=1&isAllowed=y#page=34&zoom=100,0,250
CENTRO RADIOLÓGICO AMÉRICAS CRA. Propuesta del Manual de Gestión de

Calidad. Bogotá D.C. 2014.
CORREA Luis. Las topologías [En Línea]. Ministerio de Educación Instituto

Adventista Panameño. 2016. Disponible en http://chuckifutbolista.blogspot.com/
CORTES CAMACHO, Jesús German. auditoría a la seguridad de la red de datos de

la empresa panavias s.a. [En Linea] Especialista en Seguridad Informática.
Universidad Nacional Abierta y Distancia “UNAD” Facultad de ciencias Básicas e
Ingeniería Especialización en Seguridad Informática San Juan de Pasto, Colombia
2016 [Consultado el 6 de febrero de 2019]. Disponible en
https://stadium.unad.edu.co/preview/UNAD.php?url=/bitstream/10596/11941/1/108
5267906.pdf#page=74&zoom=100,0,608
FOCC. Comparación de OM1, OM2, OM3 y OM4 En Línea]. 2019. [Consultado el 2

de febrero de 2019]. Disponible en : http://www.fibresplitter.com/info/comparison-of-
om1-om2-om3-om-37789606.html
FS. ¿Cuál es la mejor opción entre la fibra multimodo OM3 y la OM4? En Línea].
2019. [Consultado el 2 de febrero de 2019]. Disponible en
https://www.fs.com/mx/om3-vs-om4-multimode-fiber-which-one-to-choose-aid-
935.html
GAMEZ PRIETO, Daniel. Metodología para el análisis y diseño de redes

fundamentados en Itil 4, para empresas de servicio [En Línea]. Bogotá: Universidad
Libre de Colombia, Facultad de Ingeniería, Ingeniería de Sistemas e Informática.
2012. Disponible en
https://www.academia.edu/30820270/METODOLOG%C3%8DA_PARA_EL_AN%
C3%81LISIS_Y_DISE%C3%91O_DE_REDES_FUNDAMENTADOS_EN_ITIL_4_
PARA_EMPRESAS_DE_SERVICIO
GRANDSTREAM, GRANDSTREAM GXP1610 HD IP pone. [En Línea]. 2019

[Consultado el 20 de Julio de 2019]. Disponible en
https://es.grandstream.net/es/grandstream-gxp1610-hd-ip-
phone.html?listtype=search&searchparam=GrandStream%20GPX1610
GRANDSTREAM, Grandstream Ucm6208 Ip Pbx [En Línea]. 2019 [Consultado el

20 de Julio de 2019]. Disponible en https://es.grandstream.net/es/grandstream-
ucm6208-ip-pbx.html
GUILARTE María. ¿Qué es un Tier? [En Línea]. 2013. [Consultado el 5 de febrero

de 2019]. Disponible en https://www.muycomputerpro.com/2013/03/14/que-es-un-
tier
INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS ICONTEC. NORMA

TÉCNICA NTC-ISO/IEC COLOMBIANA 27001-2013. [En línea], 2013. Disponible
en: https://tienda.icontec.org/wp-content/uploads/pdfs/NTC-ISO-IEC27001.pdf
JOSKOWICZ José. Cableado estructurado [En Línea]. Instituto de Ingeniería

Eléctrica, Facultad de Ingeniería Universidad de la República Montevideo, Uruguay.
2013., p 25. Disponible en
https://iie.fing.edu.uy/ense/asign/ccu/material/docs/Cableado%20Estructurado.pdf
MENDOZA ORDÓÑEZ Mynor Geovanny, Análisis de los negocios y las limitaciones

[en línea]. Universidad de San Carlos de Guatemala, Facultad de Ingeniería,
Escuela de Ingeniería Mecánica Eléctrica Escuela de Vacaciones diciembre 2012.
[Consultado: 5 de febrero de 2019]. Disponible en Internet:
https://www.buenastareas.com/ensayos/Top-Down-Network-Desing/6938648.html
NAGIOS. Nagios Open Source [en línea]. [Consultado: 15 de febrero de 2019].

Disponible en Internet:
https://www.openitnet.com/index.php/software/nagios/nagios-network-analyzer
NIST. Cybersecurity Framework [En Línea]. [Consultado: 5 de febrero de 2019].

Disponible en https://www.nist.gov/cyberframework
PERALTA REYES, Alexandra, MARTIN SANDOVAL, Luis, VIVAS Juan, BELTRÁN

MORENO Derly, MORA VARELA, Medardo. AGUIRRE Marco, PEÑA, Jader.
Cableado Estructurado [En Línea]. Bogotá: Servicio Nacional de Aprendizaje Sena.
Centro de Electricidad, Electrónica y telecomunicaciones complejo sur 2014.,
Disponible en http://spartbeat.blogspot.com/2015/01/actividad-conceptos-sobre-
cableado.html
TAPIERO T., Hawin Andrei y SUAREZ R., Heiner. Modelo de Gestión de Riesgos
de la Seguridad de la Información en Empresas del Sector Asegurador Utilizando la
Norma ISO/IEC 27005. Trabajo de Grado Ingeniería en Telemática. Bogotá D.C.
Universidad Distrital Francisco José de Caldas. Facultad tecnológica. 2017.
Disponible en: http://hdl.handle.net/11349/8322.
VALDIVIA MIRANDA Carlos. Redes Telemáticas [en línea]. Ediciones Paraninfo, SA
1ª Edición, 2015. 122 p. [Consultado: 6 de febrero de 20196]. Disponible en Internet:
https://es.scribd.com/document/391872308/Libro-Redes-Telema-ticas-Paraninfo
VELASCO, Rubén. VMware vs VirtualBox. ¿Qué herramienta de virtualización

elegir? [En Línea]. 2017 [Consultado el 2 de febrero de 2019]. Disponible en
https://www.softzone.es/2017/03/14/comparativa-vmware-virtualbox/
VMWARE. ¿Por qué elegir VMware? [En Línea]. 2017 [Consultado el 2 de febrero
de 2019]. Disponible en https://www.vmware.com/latam/company/why-choose-
vmware.html
WIKIPEDIA, Ashrae [En Línea] [Consultado el 6 de febrero de 2019]. Disponible en:

https://en.wikipedia.org/wiki/ASHRAE
WIKIPEDIA. Cable de categoría 6 [En Línea]. 2019. [Consultado el 20 de Julio de

2019]. Disponible en https://es.wikipedia.org/wiki/Cable_de_categor%C3%ADa_6
WIKIPEDIA. COBIT [En Línea]. 2019. [Consultado el 2 de febrero de 2019].

Disponible en
https://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_
tecnolog%C3%ADas_relacionadas
WIKIPEDIA. VMware ESXi [En Línea]. 2019. [Consultado el 2 de febrero de 2019].

Disponible en https://es.wikipedia.org/wiki/VMware_ESXi
ANEXOS
ANEXO A
MARCO TEÓRICO Y ESTADO DEL ARTE
1 MARCO TEÓRICO Y ESTADO DEL ARTE
1.1 MARCO TEÓRICO
El diseño e implementación de una red, permite facilitar la administración de una

empresa, en la que los usuarios, a través de las más avanzadas tecnologías, son
capaces de comunicarse entre sí y acceder a datos, servicios de procesamiento,
aplicaciones y otros recursos, lo cual reduce drásticamente el costo de
funcionamiento interno, tanto económicos como de tiempos de respuesta, adicional,
mediante la implementación de estándares de aseguramiento de la información,
permiten a las organizaciones tener un control de sus procesos y de la información.
Para lograr esto, se requiere iniciar las fases de estudio mínimas, que, para nuestro
caso, parte del análisis realizado a la organización, con el fin de recoger e identificar
el conjunto de las necesidades más importantes, se realiza a través de la
investigación sobre el uso y manejo que se hace de la información desde las
diferentes áreas y departamentos y así definir el perfil de los usuarios, quienes
finalmente son los que producen, utilizan y comparten dicha información. De esta
manera se puede diseñar una propuesta de red funcional de acuerdo con los
hábitos de manejo de la informacional de la organización.
Cuando se planifica y se construye una red de computadores, la consideración de

los requisitos de la red es de primordial importancia. Si el plan es una nueva
instalación de red o una actualización de la infraestructura de red ya existente, las
consideraciones para el diseño de la red son las necesidades previstas y el equipo
necesario para satisfacer estas necesidades. Para tener éxito, el diseño del plan y
lo mejor de la red requiere un análisis cuidadoso de estas características de la red,
los pasos en la planificación de la red darán lugar a diferentes diseños para
satisfacer las necesidades individuales de la red de computadores.
La gestión de la seguridad de la información es de gran importancia en la actualidad

y se realiza por proceso sistemáticos, documentados y que deben ser conocidos
por toda la organización, para nuestro caso estudio adquiere una gran importancia
y relevancia, dado el continuo desarrollo de la tecnología de toma de imágenes y la
salvaguarda de la información, se convierte para la organización un objetivo que le
facilitará ajustar o mitigar las fallas que se presentan en los procesos que operan y
almacenan la información de la toma de imágenes.
Seguridad informática: Es una disciplina que se basa en la protección de la

integridad y la privacidad de la información, se encarga de diseñar normas,
procedimientos, métodos y técnicas, consiguiendo un sistema de información
seguro y confiable.
Integridad: Es necesario asegurar que los datos no sufran cambios no autorizados,

la perdida de integridad puede acabar en fraudes, decisiones erróneas o como paso
a otros ataques. El sistema contiene información que debe ser protegida de
modificaciones imprevistas, no autorizadas o accidentales.
Disponibilidad: Continuidad operativa de la entidad, la perdida de disponibilidad

implica pérdida de productividad de la entidad.
Confidencialidad: Protección de datos frente a la difusión no autorizada, la perdida
de confidencialidad puede terminar en problemas legales, perdida del negocio o
credibilidad.
Vulnerabilidad Informática: Posibilidades del mismo ambiente en el cual, sus

características proporcionan y se vuelven susceptible a una potencial amenaza, por
lo tanto, se puede considerar como la capacidad de reaccionar ante la presencia
de una amenaza o un daño.
Amenazas Informática: Es la posibilidad de que algún tipo de evento se pueda

presentar en cualquier instante de tiempo, en el cual existe un daño material o
inmaterial, sobre los sistemas de información,
Riesgos Informáticos: Son problemas potenciales que pueden afectar a los

sistemas de información u ordenadores, si no se poseen las medidas adecuadas
para salvaguardar los datos, dichos riesgos informáticos se pueden presentar por
las vulnerabilidades y amenazas en cualquier momento.
1.2 TOP-DOWN DESIGN
El diseño de red Top-Down es una metodología para diseñar redes que comienza
en las capas superiores del modelo de referencia de OSI antes de mover a las
capas inferiores. Esto se concentra en aplicaciones, sesiones, y transporte de datos
antes de la selección de routers, switches, y medios que funcionan en las capas
inferiores37.
Figura 1. Metodología TopDown
Fuente: SAAVEDRA, Juan Carlos. TopDown [imagen]. 24 diciembre de 2016 [Consultado: 2 de

febrero de 2019]. Disponible en http://juancarlossaavedra.me/2015/01/diseno-de-red-con-top-
down/topdown/
Top-Down permite iniciar desde los niveles superiores del diseño, transmitiendo los
requerimientos y o especificaciones a los niveles inferiores, permitiendo establecer
funciones específicas entre los diferentes componentes del diseño, esto permite
realizar los ajustes en cada una de las etapas, brindando flexibilidad en el ciclo de
vida del diseño de la red.
37 HUERTAS S, Marcos. Metodología Top Down [en línea]. es.scribd Octubre 13, 2014. [Consultado: 2 de
febrero de 2019]. Disponible en https://es.scribd.com/doc/242870887/2-Metodologia-Top-Down-espanol-pdf
Por otro lado, esta metodología permite trabajar en partes más pequeñas a medida
que se avanza en el proyecto, lo que permite enfocarse productivamente en el
cumplimiento de los objetivos, adicionalmente permite minimizar el impacto que
pueda tener los cambios que aparezcan cronológicamente en el diseño, de esta
manera se tiene una actualización del proyecto y su monitoreo continuo,
ajustándose a los requerimientos iniciales o los que se puedan presentar en el ciclo
de vida del proyecto.
Para la propuesta descrita en este documento utilizaremos la metodología top-

Down que propone cuatro Fases para el diseño de redes:
I. Fase1: Análisis de Negocios Objetivos y limitaciones

II. Fase2: Diseño Lógico
III. Fase3: Diseño Físico
IV. Fase4: Pruebas, Optimización y Documentación de la red
Teniendo en cuenta la dimensión del proyecto como propuesta de actualización de

la red corporativa del Centro Radiológico Digital Américas C.R.A., incluyendo
estudio de seguridad de la información con el Framework NIST, no tiene alcance de
implementación, trabajaremos hasta la etapa III, ya que Top-Down propone las
etapas Fase 4: Pruebas, Optimización y Documentación de la red, Fase 5:
Implementar y probar la red y Fase 6: Monitorear y Optimizar la Red, las cuales
abarcan la implementación, la no tiene alcance para esta propuesta de actualización
de la red corporativa del centro radiológico digital américas C.R.A., incluyendo
estudio de seguridad de la información con el Framework NIST.
Cisco nos propone un ciclo de vida de la red, ya que las organizaciones actualmente
exigen el monitoreo constante en la implementación de un proyecto, esto con el fin
de aprovechar al máximo cada uno de sus beneficios, para lograr este objetivo uno
de los métodos que se puede utilizar es la versión que plantea Cisco del ciclo de
vida de PPDIOO, que significa "Preparar, Planear, Diseñar, Implementar, Operar y
Optimizar.
1.3 NIST CYBERSECURITY FRAMEWORK
Este Marco voluntario consta de estándares, pautas y mejores prácticas para

gestionar el riesgo relacionado con la ciberseguridad. El enfoque prioritario, flexible
y rentable del Marco de Ciberseguridad ayuda a promover la protección y la
resistencia de la infraestructura crítica y otros sectores importantes para la
economía y la seguridad nacional.38
38 NIST. Cybersecurity Framework [En Línea]. [Consultado: 5 de febrero de 2019]. Disponible en

https://www.nist.gov/cyberframework
1.3.1 Historia y antecedentes
La seguridad nacional y económica de los Estados Unidos se ha visto afectada por

las amenazas de muchas organizaciones y de fuentes informáticas, la seguridad
nacional depende del funcionamiento confiable de la infraestructura crítica. Estos
riesgos e incertidumbre, motivó al presidente Obama a emitir la Orden ejecutiva
13636 (EO), "Mejora de la ciberseguridad de la infraestructura crítica" (Executive
Order 13636 Improving Critical Infrastructure Cybersecurity) el 12 de febrero, 2013,
la cual sería responsabilidad del NIST (National Institute of Standards and
Technology) para el desarrollo de un Framework de trabajo para la reducción de
riesgos asociados con este tipo de entornos, con el respaldo del Gobierno, la
industria y los usuarios.
1.3.2 ¿Cómo y cuándo se desarrolló el Cybersecurity Framework?
La versión 1.0 del Framework fue preparada por el Instituto Nacional de Estándares
y Tecnología (NIST) con amplio aporte del sector privado y emitida en febrero de
2014. El Framework fue desarrollado en respuesta a la Orden Ejecutiva Presidencial
(OE) 13636, Mejorando la Ciberseguridad de Infraestructura Crítica, que se emitió
en 2013. El futuro papel del Framework del NIST se ve reforzado por la Ley de
mejora de la seguridad cibernética de 2014 (Ley pública 113-274), que pide al NIST
que facilite y respalde el desarrollo de estándares de ciberseguridad y mejores
prácticas voluntarias para la infraestructura crítica. El segundo borrador de
actualización a V1.0 se publicó para comentario público el 5 de diciembre de 2017
como borrador 2 de la versión 1.1 del Framework y se finalizará después de
considerar los comentarios presentados antes del 19 de enero de 2018 fecha límite.
1.3.3 ¿Qué es el NIST Cybersecurity Framework?
Cybersecurity Framework es un conjunto de estándares de la industria y mejores

prácticas para ayudar a las organizaciones a gestionar los riesgos de
ciberseguridad. El Framework creado a través de la colaboración entre gobierno y
el sector privado.
El Framework se centra en el uso de impulsores de negocios para orientar las

actividades de ciberseguridad y considerar los riesgos de ciberseguridad como
parte de los procesos de gestión de riesgos de cada organización.
1.3.4 Versiones del Cybersecurity Framework
El NIST desarrolló el Framework voluntario de manera consistente con su misión

de promover la innovación y la competitividad industrial de los Estados
Unidos. El Framework ha sido desarrollado y promovido a través del compromiso
continuo con los interesados en el gobierno, la industria y el mundo académico.
• 12 de febrero de 2013 - Orden ejecutiva 13636

• 01 de julio de 2013 – Publicación preliminar
• 12 de febrero de 2014 - Lanzamiento Versión 1.0
• 18 de diciembre de 2014 - Ley de mejora
• 16 de abril de 2018 - Lanzamiento Versión 1.1
Figura 2 Evolución del Cybersecurity Framework
Fuente: BLOGDELCISO. SF-NIST una oportunidad para tiempos donde la ciberseguridad es

difusa [imagen]. 2018 [Consultado: 26 de septiembre de 2016]. Disponible en
https://www.blogdelciso.com/2018/06/21/csf-nist-una-oportunidad-para-tiempos-donde-la-
ciberseguridad-es-difusa/
1.3.5 Componentes del Framework
El Framework consta de tres partes: el núcleo del Framework, Niveles de

Implementación del Framework y perfiles del Framework
Figura 3 Componentes del Cybersecurity Framework

Fuente: Adaptación Propia
1.3.6 Núcleo del Framework
Es un conjunto de actividades de ciberseguridad, resultados esperados y

referencias aplicables que son comunes a los sectores de infraestructuras críticas,
en términos de estándares de la industria, directrices y prácticas que permiten la
comunicación de actividades de ciberseguridad y sus resultados a lo largo de la
organización, desde el nivel ejecutivo hasta el nivel de implementación/operación.
El núcleo es "un conjunto de actividades para lograr resultados de ciberseguridad

específicos, y referencias de ejemplos de orientación para lograr esos resultados".
Se divide en cuatro elementos:
• Funciones
• Categorías
• Subcategorías
• Referencias informativas
Figura 4 Estructura del Núcleo del Marco
Fuente: Instituto Nacional de Estándares y Tecnología. Marco para la mejora de la seguridad

cibernética en infraestructuras críticas [imagen]. 2018. p. 6. [Consultado: 2 de febrero de
2019]. Disponible en
https://www.nist.gov/sites/default/files/documents/2018/12/10/frameworkesmellrev_20181102
mn_clean.pdf
Funciones: hay cinco funciones utilizadas para organizar los esfuerzos de

seguridad cibernética en el nivel más básico: identificar, proteger, detectar,
responder y recuperar. En conjunto, estas cinco funciones forman un enfoque de
alto nivel para asegurar los sistemas y responder a las amenazas.
Figura 5 Funciones Cybersecurity Framework
Fuente: ASSERTIVA. ¡Tómale una foto a la ciberseguridad de tu organización! [imagen]. 2019.

[Consultado: 2 de abril de 2019]. Disponible en https://www.assertiva.biz/tomale-una-foto-a-
la-ciberseguridad-de-tu-organizacion/
Figura 6 Funciones de implementación del Cybersecurity Framework
Fuente: Instituto Nacional de Estándares y Tecnología. Marco para la mejora de la seguridad

cibernética en infraestructuras críticas [imagen]. 2018. p. 6. [Consultado: 2 de febrero de
2019]. Disponible en:
https://www.nist.gov/sites/default/files/documents/2018/12/10/frameworkesmellrev_20181102
mn_clean.pdf
A su vez, cada una de estas funciones cuenta con categorías y subcategorías con
sus referencias informativas relacionadas (estándares, directrices y prácticas).
Categorías: cada función contiene categorías utilizadas para identificar tareas o

desafíos específicos dentro de ella. Por ejemplo, la función de protección podría
incluir control de acceso, actualizaciones regulares de software y programas
antimalware.
Subcategorías: Estas son divisiones adicionales de categorías con objetivos

específicos. La categoría regular de actualizaciones de software se puede dividir en
tareas como asegurarse de que Wake on LAN esté activo, que las actualizaciones
de Windows estén configuradas correctamente y actualizar manualmente las
máquinas que se pierden.
Referencias informativas: la documentación, los pasos para la ejecución, los

estándares y otras directrices entrarían en esta categoría. Un buen ejemplo en la
categoría de actualización manual de Windows sería un documento que describa
los pasos para actualizar manualmente las PC con Windows.
1.3.6.1 Niveles de Implementación
Existen cuatro niveles de implementación, y aunque los documentos de CSF no los

consideran niveles de madurez, los niveles más altos se consideran una
implementación más completa de los estándares de CSF.
Figura 7 Niveles de implementación del Cybersecurity Framework
Fuente: BLOG.ISECAUDITORS. Guía rápida para entender el marco de trabajo de

ciberseguridad del NIST [Consultado: 2 de febrero de 2019]. Disponible en
https://blog.isecauditors.com/2016/12/guia-rapida-para-entender-marco-trabajo-de-
ciberseguridad-del-NIST.html / Adaptación Propia
Nivel 1: llamada implementación parcial, las organizaciones en el Nivel 1 tienen una

postura de ciberseguridad ad-hoc y reactiva. Tienen poca conciencia del riesgo de
la organización y los planes implementados a menudo se hacen de manera
inconsistente.
Nivel 2: las organizaciones informadas por el riesgo pueden aprobar medidas de

ciberseguridad, pero la implementación aún es fragmentaria. Son conscientes de
los riesgos, tienen planes y cuentan con los recursos adecuados para protegerse,
pero aún no han llegado a un punto proactivo.
Nivel 3: El tercer nivel se llama repetible, lo que significa que una organización ha
implementado los estándares de CSF en toda la empresa y puede responder
repetidamente a las crisis. La política se aplica constantemente y los empleados
están informados de los riesgos.
Nivel 4: llamado adaptable, este nivel indica la adopción total del CSF. Las
organizaciones adaptables no solo están preparadas para responder a las
amenazas: detectan de forma proactiva las amenazas y predicen problemas en
función de las tendencias actuales y su arquitectura de TI.
1.3.6.2 Perfiles del Framework
Los perfiles son tanto un resumen del estado de seguridad cibernética actual de una
organización como hojas de ruta hacia los objetivos de CSF. NIST dijo que tener
múltiples perfiles, tanto actuales como objetivos, puede ayudar a una organización
a encontrar puntos débiles en sus implementaciones de seguridad cibernética y
hacer que sea más fácil pasar de niveles más bajos a niveles más altos.
Los perfiles también ayudan a conectar las funciones, categorías y subcategorías

con los requisitos comerciales, la tolerancia al riesgo y los recursos de la
organización más grande a la que atiende. Piense en los perfiles como un resumen
ejecutivo de todo lo hecho con los tres elementos anteriores del CSF.
Figura 8 Arquitectura del marco de trabajo de ciberseguridad del NIST
Fuente: BLOG.ISECAUDITORS. Guía rápida para entender el marco de trabajo de

ciberseguridad del NIST [Consultado: 2 de febrero de 2019]. Disponible en
https://blog.isecauditors.com/2016/12/guia-rapida-para-entender-marco-trabajo-de-
ciberseguridad-del-NIST.html
1.3.6.3 Implementación del Cybersecurity Framework
La implementación de un programa de ciberseguridad basado en CSF consta de los

siguientes pasos iterativos:
Figura 9 Pasos para la implementación de un programa de ciberseguridad basado en el CSF
Fuente: Fuente: ISACA., Cobit 2019 Infographics and Videos [imagen]. [Consultado: 2 de
septiembre de 2019]. Disponible en Internet: http://www.isaca.org/COBIT/Documents/COBIT-
Timeline-2019_ifg_eng_1118.pdf
Paso 1: Priorización y definición de alcance:
Mediante la identificación de los objetivos y misión del negocio y las prioridades de

alto nivel en términos organizacionales, se decide de forma estratégica el entorno
de aplicabilidad de los controles. Este entorno puede ser toda la organización, una
línea de negocio en particular o un proceso, teniendo presente que cada uno de
estos elementos puede tener diferentes niveles de tolerancia al riesgo.
Paso 2: Orientación:
Se identifican los sistemas, activos, requerimientos regulatorios, amenazas y

vulnerabilidades vinculadas al entorno de aplicabilidad definido.
Paso 3: Crear un perfil actual: A través de las funciones del Framework básico y
empleando las categorías y subcategorías, se obtienen los resultados de
implementación de controles en el entorno.
Paso 4: Ejecutar un análisis de riesgos: Se ejecuta un análisis de riesgos que
permita determinar la probabilidad y el impacto de eventos de ciberseguridad en el
entorno analizado.
Paso 5: Crear un perfil objetivo: Se establecen los objetivos que en términos de

ciberseguridad la organización pretende cubrir.
Paso 6: Determinar, analizar y priorizar las brechas detectadas: Mediante el

análisis diferencial entre el perfil actual y el perfil objetivo, se define un plan de
acción priorizado en términos de coste/beneficio, que permita la determinación de
recursos y acciones de mejora.
Paso 7: Implementar el plan de acción: Se procede con la alineación de controles

y despliegue de mejoras de forma paulatina y monitorizada.
Todas estas acciones deben ser implementadas dentro de un entorno de mejora

continua, permitiendo que de forma continua la organización optimice sus controles
de seguridad y escale a niveles superiores dentro del Framework de trabajo.
1.3.7 Estándares, directrices y mejores prácticas en las que está basado el

Cybersecurity Framework
El CSF está basado y/o hace referencia a los siguientes estándares, directrices y
mejores prácticas:
• Control Objectives for Information and Related Technology (COBIT)

• Council on CyberSecurity (CCS) Top 20 Critical Security Controls (CSC)
• ANSI/ISA-62443-2-1 (99.02.01)-2009, Security for Industrial Automation and
Control Systems: Establishing an Industrial Automation and Control Systems
Security Program
• ANSI/ISA-62443-3-3 (99.03.03)-2013, Security for Industrial Automation and
Control Systems: System Security Requirements and Security Levels
• ISO/IEC 27001:2013, Information technology --Security techniques --
Information security management systems --Requirements
• NIST SP 800-53 Rev. 4: NIST Special Publication 800-53 Revision 4,
Security and Privacy Controls for Federal Information Systems and
Organizations.
1.4 COBIT
1.4.1 Historia y antecedentes
Al mencionar COBIT, se relaciona directamente con ISACA (Information Systems

Audit and Control Association), comenzó en 1967, cuando un pequeño grupo de
personas con trabajos similares—auditar controles en los sistemas
computacionales que se estaban haciendo cada vez más críticos para las
operaciones de sus respectivas organizaciones—se sentaron a discutir la necesidad
de tener una fuente centralizada de información y guías en dicho campo.
En 1969, el grupo se formalizó, incorporándose bajo el nombre de EDP Auditors

Association (Asociación de Auditores de Procesamiento Electrónico de Datos). En
1976 la asociación formó una fundación de educación para llevar a cabo proyectos
de investigación de gran escala para expandir los conocimientos y el valor en el
campo de gobierno y control de TI. Conocida previamente como la Information
Systems Audit and Control Association (Asociación de Auditoría y Control en
Sistemas de Información), ISACA ahora es solo un acrónimo, que refleja la amplia
gama de profesionales en gobierno de TI a los que sirve hoy, los integrantes de
ISACA – más de 115,000 en todo el mundo – se caracterizan por su diversidad. Los
integrantes viven y trabajan en más de 180 países y cubren una variedad de puestos
profesionales relacionados con TI – sólo por nombrar algunos ejemplos, auditor de
SI, consultor, profesional de la educación, profesional de seguridad de SI, regulador,
director ejecutivo de información (CIO) y auditor interno39.
ISACA® (isaca.org) ayuda a los profesionales globales a liderar, adaptar y asegurar

la confianza en un mundo digital en evolución ofreciendo conocimiento, estándares,
relaciones, acreditación y desarrollo de carrera innovadores y de primera clase.
Establecida en 1969, ISACA es una asociación global sin ánimo de lucro de 140
000 profesionales en 180 países. ISACA también ofrece Cybersecurity Nexus TM
(CSX), un recurso integral y global en ciberseguridad, y COBIT®, un marco de
negocio para gobernar la tecnología de la empresa. ISACA adicionalmente
promueve el avance y certificación de habilidades y conocimientos críticos para el
negocio, a través de las certificaciones globalmente respetadas: Certified
Information Systems Auditor® (CISA®), Certified Information Security Manager®
(CISM®), Certified in the Governance of Enterprise IT® (CGEIT®) y Certified in Risk
and Information Systems Control™ (CRISC™). La asociación tiene más de 200
capítulos en todo el mundo40.
39 ISACA. La Historia de ISACA [en línea]. [Consultado 2 de febrero de 2019]. Disponible en Internet:
http://www.isaca.org/about-isaca/history/espanol/pages/default.aspx?utm_referrer=
40 ISACABOGOTA. ¿Qué es ISACA? [en línea]. [Consultado 2 de febrero de 2019]. Disponible en Internet:
https://www.isacabogota.org/preguntas-frecuentes/
1.4.2 Versiones de COBIT
Lanzado por primera vez en 1996, COBIT (Objetivos de control para la información
y tecnologías relacionadas) se diseñó inicialmente como un conjunto de objetivos
de control de TI para ayudar a la comunidad de auditoría financiera a navegar mejor
en el crecimiento de los entornos de TI. En 1998, ISACA lanzó la versión 2, que
amplió el marco para aplicar fuera de la comunidad de auditoría. Más tarde, en la
década de 2000, ISACA desarrolló la versión 3, que trajo las técnicas de
administración de TI y gobernanza de la información que se encuentran en el marco
actual41.
Figura 10 Línea de tiempo COBIT
Fuente: ISACA., Cobit 2019 Infographics and Videos [imagen]. [Consultado: 2 de febrero de
2019]. Disponible en Internet: http://www.isaca.org/COBIT/Documents/COBIT-Timeline-
2019_ifg_eng_1118.pdf
COBIT 4 se lanzó en 2005, seguido por COBIT 4.1 en 2007. Estas actualizaciones
incluyeron más información sobre la gobernanza en torno a la tecnología de
información y comunicación. En 2012, se lanzó COBIT 5 y en 2013, ISACA lanzó
un ‘add-on’ para COBIT 5, que incluía más información para las empresas en
relación con la gestión de riesgos y la gobernanza de la información42. Para el 2019
ISACA lanza su versión COBIT 2019 denominado Gobierno de la Información y
41 NETWORKWORLD. ¿Qué es COBIT? Un marco para la alineación y la gobernanza [en línea]. [Consultado
5 de febrero de 2019]. Disponible en Internet: https://www.networkworld.es/archive/que-es-cobit-un-marco-
para-la-alineacion-y-la-gobernanza
42 Ibid.,
Tecnología de las Empresas (EGIT). Con COBIT 2019, en esta versión se cambia
el nombre y se enfatiza la importancia de la información en las organizaciones y la
tecnología necesaria.
1.4.3 ¿Qué es COBIT?
COBIT (Control Objectives For Information And Related Technology - Objetivos de

Control para la Información y Tecnologías Relacionadas), es un marco de trabajo
que permite comprender el gobierno y la gestión de las tecnologías de información
(TI) de una organización, así como evaluar el estado en que se encuentran las TI
en las empresas.
También se puede definir como un conjunto de herramientas de soporte empleadas

por los gerentes para reducir la brecha entre los requerimientos de control, los temas
técnicos y los riesgos del negocio.
Mediante COBIT 5 se puede desarrollar una política clara que permite el control de
las TI en la organización, la aplicación de este marco incide especialmente en el
cumplimiento regulatorio y ayuda a incrementar el valor asociado al área de TI de la
organización, desde su inicio, COBIT ha evolucionado desde su uso para la
auditoría de TI, para luego pasar por el control, la gestión de TI, el gobierno de TI,
llegando a su versión actual que es un enfoque holístico de gobierno corporativo de
TI43.
COBIT provee de un marco de trabajo integral que ayuda a las empresas a alcanzar
sus objetivos para el gobierno y la gestión de las TI corporativas, dicho de una
manera sencilla, ayuda a las empresas a crear el valor óptimo desde IT
manteniendo el equilibrio entre la generación de beneficios y la optimización de los
niveles de riesgo y el uso de recursos. COBIT permite a las TI ser gobernadas y
gestionadas de un modo holístico para toda la empresa, abarcando al negocio
completo de principio a fin y las áreas funcionales de responsabilidad de TI,
considerando los intereses relacionados con TI de las partes interesadas internas y
externas, COBIT es genérico y útil para empresas de todos los tamaños.
COBIT 5 acopla los 5 principios que admiten a la empresa desarrollar de forma

segura el marco de Gobierno y Administración enfocado en una sucesión de 7
habilitadores que tienen relación, que perfeccionan el financiamiento en información
43 ESAN.EDU.PE. Los cinco principios de COBIT 5 [En Línea]. ISACA lanza Risk IT Framework para ayudar a
organizaciones a equilibrar los riesgos con los beneficios. [Consultado 5 de febrero de 2019]. Disponible en
Internet: https://www.esan.edu.pe/apuntes-empresariales/2016/06/los-cinco-principios-de-cobit-5/
como también en tecnología mediante lo cual la utilización va en beneficio de los
interesados.44
1.4.4 Principios de COBIT 5
COBIT 5 se basa en cinco principios claves para el gobierno y la gestión de las TI

empresariales, los cuales se ilustran en la siguiente figura:
Figura 11 Principios de COBIT 5
Fuente: ISACA, Cobit 5. Un Marco de Negocio para el Gobierno y la Gestión de las TI de la

Empresa [En Linea]. 2012 ISACA. All rights reserved. For usage guidelines, see
www.isaca.org/COBITuse p. 13. [Consultado: 6 de diciembre de 2016]. Disponible en Internet
http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx
1.4.4.1 Principio 1. Satisfacer las Necesidades de las Partes Interesadas
Todas las empresas generan valor para sus partes interesadas, esta promesa de
valor se ve reflejada dependiendo de la actividad económica y del campo de acción
al cual este dedicada la organización, y se traducen en beneficios económicos de
servicio o de fidelización, para lograr este principio debe existir un equilibrio entre la
realización de beneficios y la optimización de los riesgos y el uso de recursos, por
la naturaleza de cada empresa, es indispensable que se ajusten sistemas que se
acoplen y ayuden a cumplir con el gobierno en el contexto interno y externo.
44 www.isaca.org /COBIT® 5 Framework-Spanish.pdf

Figura 12 Creación de Valor

www.isaca.org/COBITuse p. 17. [Consultado: 6 de febrero de 2019]. Disponible en Internet
Técnica de la cascada de Metas COBIT 5.
Por medio de la metodología o técnica de la cascada propuesta por COBIT 5, se

puede priorizar la implementación del marco durante la adopción de gobierno en el
negocio. Las necesidades de las partes interesadas se ven reflejadas en la
definición de las estrategias de Negocio alineadas a las de TI, esto permite
establecer metas específicas en cada nivel y diferentes áreas de la organización.
La metodología o técnica de la cascada define los siguientes pasos:
• Identificar las necesidades o requerimientos de las partes interesadas que

apoyen la estrategia del negocio.
• Alinear las necesidades identificadas en el primer paso con uno o varios de
los 17 objetivos corporativos genéricos clasificados según las perspectivas
de Balanced Scorecard (CMI – Cuadro de Mando Integral).
• Alinear los objetivos corporativos genéricos identificados, con su
correspondiente meta genérica de TI.
• Los objetivos relacionados con TI se pueden lograr mediante el uso óptimo
y la ejecución de varios de los 7 facilitadores de COBIT.
A continuación, se muestra el flujo del proceso de la cascada de COBIT 5
Figura 13 cascada de Metas COBIT 5
1.4.4.2 Principio 2: Cubrir la Empresa extremo a extremo
COBIT 5 integra el gobierno y la gestión de TI en el gobierno corporativo, cubre

todas las funciones y procesos dentro de la empresa, (personas y procesos internos
y externos) no se enfoca sólo en la “función de TI”, trata la información y las
tecnologías relacionadas como activos que deben ser tratados como cualquier otro
activo por todos en la empresa.
Figura 14 Gobierno y Gestión en COBIT

1.4.4.3 Principio 3: Aplicar un Marco de Referencia único integrado
Hay muchos estándares y buenas prácticas relativos a TI, ofreciendo cada uno
ayuda para un subgrupo de actividades de TI. COBIT 5 se alinea a alto nivel con
otros estándares y marcos de trabajo relevantes, y de este modo puede hacer la
función de marco de trabajo principal para el gobierno y la gestión de las Ti de la
empresa.
Figura 15 Marco de Referencia único integrado

1.4.4.4 Principio 4: Hacer Posible un Enfoque Holístico
Un gobierno y gestión de las TI de la empresa efectivo y eficiente requiere de un

enfoque holístico que tenga en cuenta varios componentes interactivos. COBIT 5
define un conjunto de catalizadores (enablers) para apoyar la implementación de un
sistema de gobierno y gestión global para las TI de la empresa. Los catalizadores
se definen en líneas generales como cualquier cosa que puede ayudar a conseguir
las metas de la empresa. El marco de trabajo COBIT 5 define siete categorías de
catalizadores, los cuales se muestran en la siguiente gráfica:
Figura 16 Catalizadores Corporativos COBIT
1.Principios,
Políticas y
Marcos de
Trabajo
7.Personas,
Habilidades y 2.Procesos
Competencias
6.Servicios,
3.Estructuras
Infraestructuras y
Organizativas
Aplicaciones
4.Cultura, Ética y
5.Información
Comportamiento

http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx / adaptación Propia
1.4.4.5 Principio 5: Separar el Gobierno de la Gestión
El marco de trabajo COBIT 5 establece una clara distinción entre gobierno y gestión.
Estas dos disciplinas engloban diferentes tipos de actividades, requieren diferentes
estructuras organizativas y sirven a diferentes propósitos. La visión de COBIT 5 en
esta distinción clave entre gobierno y gestión es:
Gobierno
El Gobierno asegura que se evalúan las necesidades, condiciones y opciones de

las partes interesadas para determinar que se alcanzan las metas corporativas
equilibradas y acordadas, estableciendo la dirección a través de la priorización y la
toma de decisiones, y midiendo el rendimiento y el cumplimiento respecto a la
dirección y metas acordadas.
Gestión
La gestión planifica, construye, ejecuta y controla actividades alineadas con la

dirección establecida por el cuerpo de gobierno para alcanzar las metas
empresariales.
Figura 17 Áreas claves de Gobierno y Gestión de COBIT

Las empresas pueden adecuar sus procesos para cubrir las metas de gobierno y
gestión y dependiendo del campo de acción determinan que procesos pueden
intervenir de los 37 procesos que propone COBIT, en la siguiente gráfica se
muestran estos dominios.
Figura 18 Modelo de Referencia de Procesos de COBIT

1.4.4.6 Catalizadores Corporativos COBIT
Los catalizadores son factores que, individual y colectivamente, influyen sobre si

algo funcionará – en este caso, el gobierno y la gestión de la empresa TI. Los
catalizadores son guiados por la cascada de metas, es decir, objetivos de alto nivel
relacionados con TI definen lo que los diferentes catalizadores deberían conseguir,
el marco de referencia COBIT 5 describe siete categorías de catalizadores.45
1.4.4.7 Principios, políticas y marcos de referencia
Son el vehículo para traducir el comportamiento deseado en guías prácticas para la

gestión del día a día, tiene que ver con el direccionamiento estratégico de cada
organización y se construye según la razón de ser de cada negocio.
1.4.4.8 Los procesos
45ISACA, Cobit 5. Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa [En Linea]. 2012
ISACA. All rights reserved. For usage guidelines, see www.isaca.org/COBITuse p. 27. [Consultado: 6 de febrero
de 2019]. Disponible en Internet http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx
Describen un conjunto organizado de prácticas y actividades para alcanzar ciertos
objetivos y producir un conjunto de resultados, estas salidas ayudan al logro de las
metas generales relacionadas con TI.
1.4.4.9 Las estructuras organizativas
Son las entidades de toma de decisiones clave en una organización, pueden ser
internas o externas, incluyendo socios individuales, clientes, proveedores, etc. sus
roles, adicional a toma de decisiones, pueden influenciar en las mismas y asesorar,
algunos miembros pueden ser:
• CISO: Director de Seguridad de la información

• ERM: Comité de gestión de riesgos corporativos
• ISM: Gerente de seguridad de la información
• Administradores: dueños o custodios de la información
• RACI: Matriz para definir roles y responsabilidades
1.4.4.10 La Cultura, ética y comportamiento
Son todos lo motivadores de los individuos y de la empresa, son a menudo

subestimados como factor de éxito en las actividades de gobierno y gestión de las
organizaciones, son los elementos de asuntos diarios que generan triunfo, valores
y compromiso sobre la organización.
1.4.4.11 La información
Todo lo relacionado a los datos generados y utilizados por la empresa, tienen

alcance a toda la organización, es necesaria para mantener los procesos de la
organización funcionando y permite ser bien gobernada, pero a nivel operativo, la
información es muy a menudo el producto clave de la empresa en sí misma.
1.4.4.12 Los servicios, infraestructuras y aplicaciones
Proveen la infraestructura, tecnología y aplicaciones necesarias para la empresa,

es importante para los servicios y tecnologías de procesamiento de la información,
permite la continuidad en la organización y la generación de información y valor en
la empresa.
1.4.4.13 Las personas, habilidades y competencias
Son la razón de ser de la gestión empresarial y son necesarias para lograr de

manera exitosa todas las actividades y para la correcta toma de decisiones y de
acciones correctivas, para tener claridad en las funciones de cada persona, COBIT
tiene la matriz RACI, la cual sirve como base para el establecimiento de
responsabilidades y funciones.
1.4.4.14 El modelo de capacidad de los procesos de COBIT 5
En COBIT 5, la evaluación de brechas entre procesos, es decir las diferencias de

para alcanzar un nivel deseado, se realiza con base en la norma ISO / EC 15504 de
Ingeniería de Software-Evaluación de procesos. Con este modelo se determinan los
objetivos generales de evaluación de procesos y se identifican oportunidades de
mejora de TI.
COBIT 5 establece seis niveles de capacidad, para determinar el nivel de capacidad

de un proceso, el cual se designa como “proceso incompleto” hasta “Proceso
optimizado”, a continuación, se describen cada uno de los niveles:
Nivel 0 Proceso incompleto: El proceso no está implementado o no alcanza su

propósito, se evidencia muy poco o ningún logro sistemático del propósito del
proceso.
Nivel 1 Proceso ejecutado (un atributo): El proceso implementado alcanza su

propósito.
Nivel 2 Proceso gestionado (dos atributos): El proceso ejecutado descrito

anteriormente está ya implementado de forma gestionada (planificado, supervisado
y ajustado) y los resultados de su ejecución están establecidos, controlados y
mantenidos apropiadamente.
Nivel 3 Proceso establecido (dos atributos): El proceso gestionado descrito

anteriormente está ahora implementado usando un proceso definido que es capaz
de alcanzar sus resultados de proceso.
Nivel 4 Proceso predecible (dos atributos): El proceso establecido descrito

anteriormente ahora se ejecuta dentro de límites definidos para alcanzar sus
resultados de proceso.
Nivel 5 Proceso optimizado (dos atributos): El proceso predecible descrito

anteriormente es mejorado de forma continua para cumplir con los metas
empresariales presentes y futuros, cada nivel de capacidad puede ser alcanzado
sólo cuando el nivel inferior se ha alcanzado por completo. Por ejemplo, un nivel 3
de capacidad de proceso (establecido) requiere que los atributos de definición y
despliegue del proceso se hayan alcanzado ampliamente, sobre la consecución
completa de los atributos del nivel 2 de madurez de procesos (proceso
gestionado).
Figura 19 Modelo de capacidad de Proceso COBIT 5

Los niveles de capacidad son alcanzados sólo cuando el nivel inferior se ha

alcanzado por completo, esto requiere que los atributos de definición y despliegue
del proceso se hayan alcanzado, COBIT 5 define los atributos
En la norma ISO/IEC 15504 los niveles de capacidad se definen por un conjunto de

nueve atributos de proceso. Estos atributos cubren algo del terreno cubierto por los
atributos de madurez COBIT 4.1 y/o los controles de proceso, pero solo en cierta
medida y de forma distinta46.
El modelo de capacidad de procesos de COBIT 5, se ajustó de manera que cubriera

cada proceso y se diferencia al modelo de madurez de COBIT 4.1, donde un
proceso podía alcanzar un nivel 1 o 2 sin alcanzar completamente todos los
46ISACA, Cobit 5. Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa [En Línea]. 2012
ISACA. All rights reserved. For usage guidelines, see www.isaca.org/COBITuse p. 43. [Consultado: 6 de febrero
de 2019]. Disponible en Internet http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx
objetivos del proceso, lo cual no se logra con COBIT 5, ya que, para alcanzar el
nivel superior se debe cumplir con los requisitos.
Figura 20 Capacidad de los procesos Vs Modelo de madurez COBIT 4.1

En la siguiente grafica se muestran los atributos de proceso definidos por COBIT 5

- PAM (Process Assessment Model - Modelo de autoevaluación de procesos) los
cuales están determinados según la norma ISO/IEC 15504.
Figura 21 Atributos de procesos
Fuente: ISACA, Cobit 5. Guía de autoevaluación Cobit 5, EE.UU., 2013 [En Línea]. ISACA. All
rights reserved. For usage guidelines, [Consultado: 6 de febrero de 2019]. Disponible en
Internet https://www.isaca.org/Journal/archives/2016/Volume-1/Pages/how-cobit-5-improves-
the-work-process-capability-of-auditors-spanish.aspx?utm_referrer=
1.4.4.15 Fases de implementación COBIT 5
COBIT 5.0 proporciona un método para hacer frente a la complejidad y desafíos en

la ejecución del Gobierno de TI. Existen tres componentes relacionados al ciclo de
vida:
1. Ciclo de vida de Mejora continua – Este no es un proyecto único

2. Habilitación del cambio – Abordar los aspectos culturales y de comportamiento
3. Gestión del programa
Este modelo enfatiza que las actividades no son tratadas una sola vez, sino son
parte de un proceso continuo de implementación y mejora, los tres componentes
del ciclo de vida son:
Figura 22 Las Siete Fases de la Implementación del Ciclo de Vida

1.5 ESTADO DEL ARTE
El Cybersecurity Framework del NIST es un conjunto de buenas prácticas que

actualmente no está definido como un estándar que pueda ser certificado, siendo
un marco de referencia emergente y relativamente reciente, no hay registro de la
cantidad de empresas u organizaciones que han implementado dichas prácticas,
existen muchos estudios referentes a la implementación de Framework como se
evidencia en las siguientes referencias, que, pueden tomarse como punto de
partida para la implementación y adopción en nuestro caso estudio.
1.5.1 Propuesta de Implantación del Cyber Security Framework (CSF) del

NIST, usando Cobit, en Honda del Perú (HDP)
La tesis propone implantar un Framework de ciberseguridad en Honda del Perú,

empresa peruana, en la cual plantean determinar los tres componentes principales
de la problemática identificada al implantar un framework de ciberseguridad,
sugiere estrategias de solución a los tres principales problemas y propone un plan
de acción para la gestión de la ciberseguridad en HDP. En la propuesta de
investigación, aplicar el CSF a HDP involucró un desarrollo exhaustivo de los
componentes principales de cada fase, para lo cual se hizo uso de los recursos y
las herramientas de COBIT 5, utilizándose sus prácticas e instrumentos de gobierno
y gestión más relevantes. También fue necesario crear herramientas particulares
de análisis en la gestión de los riesgos, para adaptar la realidad y contexto actual
de HDP, dentro de la metodología de trabajo de aplicación del CSF bajo COBIT47.
1.5.2 Diseño de un modelo de gobierno de TI utilizando el marco de trabajo

de COBIT 5 con enfoque en seguridad de la información.
Presenta el caso de estudio de una empresa privada administradora de fondo de

pensiones, el proyecto propone diseñar un modelo de Gobierno de TI, utilizando el
marco de trabajo COBIT 5, con enfoque en Seguridad de Información, para este
proyecto se desarrolló cada uno de los cinco pilares del Gobierno de TI (Alineación
estratégica, entrega de valor, gestión de riesgos, gestión de los recursos y medición
del desempeño) siguiendo las buenas prácticas de gobierno de TI de COBIT 548.
47 AGUILAR ARAUJO, Carlos Eduardo, LAU ALAYO, Eduardo Roberto, OLIVERA KALINOWSKI, Sandro,
POLANCO RAMOS, Cristian Arthur. Propuesta de implantación del «Cyber Security Framework (CSF)» del
NIST, usando COBIT, en Honda del Perú [En Línea]. Magíster en Dirección de Tecnologías de Información.
Lima, 10 de julio de 2017. Esan Business. [Consultado: 6 de febrero de 2019]. Disponible en
http://repositorio.esan.edu.pe/bitstream/handle/ESAN/1200/madti20177_R.pdf?sequence=1&isAllowed=y
48 BEINGOLEA MANAVI, Henry Jhonatan. Diseño de un modelo de gobierno de ti utilizando el marco de trabajo
de cobit 5 con enfoque en seguridad de la información. caso de estudio: una empresa privada administradora
de fondo de pensiones. [En Línea]. Ingeniero Informático. Lima, octubre de 2015. Pontificia Universidad Católica
1.5.3 Implementación de COBIT – ECOPETROL S.A
En el año 2008, la DTI (Dirección de Tecnología de Información) de la empresa,

decide adoptar COBIT, como marco para la implementación del sistema de gestión
de tecnologías de información, integrando los esfuerzos de iniciativas en curso,
relacionadas con el Diseño e implementación de Servicios (ITIL), la Gestión por
Procesos, Control Interno y cumplimiento de regulaciones tales como la Ley
Sarbanes Oxley. (Léon. A., 2012). DTI eligió COBIT como el marco de gobierno de
TI adecuado para integrar un sistema de gestión de TI, basado en las
características de COBIT (ISACA, 2016)49.
1.5.4 Curso Cybersecurity Nexus (CSX) ™
Ofertado por ISACA (Information Systems Audit and Control Association), es un

curso que facilita el conocimiento, herramientas y la orientación a través del
Cybersecurity Nexus (CSX) ™, el cual brinda:
• Comprender los objetivos del Marco de seguridad cibernética (CSF)

• Comprender y discutir el contenido del CSF y lo que significa alinearse a él.
• Comprender cada uno de los siete pasos de implementación de CSF
• Ser capaz de aplicar y evaluar los pasos de implementación usando COBIT5.
Adicional a los proyectos mencionados anteriormente, encontramos las referencias

de la implementación del framework en las estructuras críticas del gobierno de EE.
UU. las cuales están descritas en la página oficial de la NIST.
En cuanto a la implementación de infraestructuras de redes, VoIP y redes

inalámbricas, encontramos un gran número de proyectos que brindaron soluciones
a las necesidades e inconvenientes de las empresas en las que fueron
implementados, las siguientes son algunas referencias de los proyectos que
evidencian estas soluciones.
del Perú Facultad de Ciencias e Ingeniería [Consultado: 6 de febrero de 2019]. Disponible en

http://tesis.pucp.edu.pe/repositorio/handle/123456789/6390
49 OTERO, Nelson. 1.5.3 Implementación de Cobit Ecopetrol S.A [En Línea]. 9 junio, 2016. [Consultado 6 de
febrero de 2019]. Disponible en https://nelsonotero.wordpress.com/2016/06/09/caso-exito-cobit-ecopetrol-s-a/

http://www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-Case-Study-Ecopetrol.aspx
1.5.5 Diseño de una infraestructura de red VoIP para la universidad de
Cartagena utilizando la metodología Top-Down
Este proyecto describe el diseño lógico y físico de una infraestructura de red para
la Universidad de Cartagena que soporte telefonía VoIP utilizando la metodología
Top-Down, realizaron el diagnóstico de la red de datos existente para identificar
necesidades y disponibilidad para soportar telefonía IP, el proyecto se llevó a cabo
con las actividades referentes a la metodología Top Down Design50.
1.5.6 Diseño e implementación de virtualización de escritorios para el Fondo

Nacional del Ahorro-FNA-seccional Bogotá
El proyecto documenta el diseño e implementación de virtualización de escritorios

para el fondo Nacional del Ahorro seccional Bogotá, estableciendo las buenas
prácticas que PMI incluye en su última edición del PMBOOK ® y en los
conocimientos y habilidades adquiridas por los estudiantes en el proceso de
formación profesional en la Universidad Piloto de Colombia51.
1.5.7 Diseño e implementación de virtualización con VSPHERE sobre

servidores BLADE dentro de una zona desmilitarizada LINUX para
ambiente de pruebas de software WEB en el departamento de
desarrollo de la empresa Transoceánica C LTDA
Describe la implementación de la virtualización utilizando VSPHERE, para trabajar

en ambiente de pruebas de software en el departamento de desarrollo de la
empresa, mediante la creación de máquinas virtuales, con ambientes virtuales en
sistemas operativos Windows, Linux52.
50 ESCAMILLA HERNANDEZ, Wesly David, HERNANDEZ CABRERA, Kelvin José. Diseño de una
Infraestructura de red VOIP para la Universidad de Cartagena Utilizando la Metodología Topdown. [En Línea].
Universidad de Cartagena Facultad de Ingeniería Programa Ingeniería de Sistemas Cartagena de Indias d. t y
c. 2015. [Consultado el 6 de febrero de 2019]. Disponible en
http://repositorio.unicartagena.edu.co:8080/jspui/bitstream/11227/2927/1/DISE%C3%91O%20DE%20UNA%2
0INFRAESTRUCTURA%20DE%20RED%20VOIP%20PARA%20LA%20UNIVERSIDAD%20DE%20CARTAG
ENA%20UTILIZANDO%20TOPDOWN.pdf
51 BERROCAL CONDE, Claudia Patricia, MUÑOZ, Yadira Marcela. Proyecto Diseño e Implementación de
Virtualización de Escritorios para el Fondo nacional del Ahorro-FNA-Seccional Bogotá. [En Línea]. Especialista
en Gerencia de Proyectos. Bogotá, Colombia julio de 2015. [Consultado el 6 de febrero de 2019]. Disponible en
http://polux.unipiloto.edu.co:8080/00002662.pdf
52 CABRERA ESPINOZA, Anthony Joel. Diseño e Implementación de Virtualización con Vsphere sobre
Servidores Blade, Dentro de una Zona Desmilitarizada Linux para Ambientes de Pruebas de Software Web en
el Departamento de Desarrollo de la Empresa Transoceánica c. Ltda. [En Línea]. Ingeniero de Sistemas.
Guayaquil, septiembre del 2017. [Consultado el 6 de febrero de 2019]. Disponible en
https://dspace.ups.edu.ec/handle/123456789/15005
ANEXO B
CRONOGRAMA DE ACTIVIDADES (PDF)
ANEXO C
INFORME DE AUDITORÍA
PROCESO DE ATENCIÓN AL CLIENTE BAJO LA METODOLOGÍA COBIT 4.1
1 MARCO REFERENCIAL DE AUDITORÍA.
Para la presente propuesta hemos tomado como marco metodológico COBIT 4.1,
la cual se enfoca en el control óptimo que debe tener una empresa, los aspectos,
capítulos o temas a tener en cuenta en la auditoría fueron tomados de los dominios
y procesos definidos por el marco.
Figura 1. Procesos de TI definidos en los cuatro dominios de COBIT 4.1.
Fuente: ISACA. COBIT4.1 Spanish. [En línea], 2017. Disponible en Internet:

http://www.slinfo.una.ac.cr/documentos/EIF402/cobit4.1.pdf
1.1 FUENTES DE DATOS PARA LA AUDITORÍA
Como parte del plan de auditoria, se realizaron las siguientes actividades para la
recolección de información:
Figura 2. Actividades para obtener información
1.2 METODOLOGÍA DE AUDITORÍA
Para el plan de auditoria se establecieron las siguientes etapas, las cuales describen
las actividades realizadas:
Figura 3. Metodología de Auditoría
2. Selección 3.Revisión de
1. Identificación
Escenarios de Cumplimiento según
Proceso
Riesgos escenarios
8. Controles críticos
5. Recomendaciones asociados para
mitigar riesgos

1.3 DEFINICIÓN DE AMENAZAS
Se realiza un proceso de análisis de la información recolectada, se asigna una

clasificación de escenarios, con sus respectivos riesgos, dando una calificación
cualitativa al impacto y probabilidad de ocurrencia; esto genera una relación entre
las dos calificaciones que nos facilita la matriz de riesgos.
1.4 NIVEL DE IMPACTO
Durante la identificación se califica el nivel de impacto en una escala de uno (1) a

cinco (5), asignando una escala numérica para establecer un proceso de calificación
más intuitivo que permite disminuir los niveles de ambigüedad.
Tabla 1 Escala de nivel de impacto
ESCALA SIGNIFICADO
1 MUY ALTO
2 ALTO
3 MODERADO
4 BAJO
5 MUY BAJO
1.5 NIVEL DE PROBABILIDAD
Al igual que el nivel de impacto, se clasificará el nivel de probabilidad de ocurrencia

del riesgo, es decir que tan probable es que suceda el evento, con una escala de
uno (1) a cinco (5).
Tabla 2 Escala de nivel de Probabilidad
ESCALA SIGNIFICADO
1 DEBIL
2 LEVE
3 MEDIO
4 IMPORATANTE
5 CATASTRÓFICO
1.6 ZONAS DE RIESGO
Las zonas de riesgo son determinadas por la relación de la probabilidad con el

impacto, multiplicando la calificación cuantitativa de las dos, con escalas de riesgo
inherente entre 1 y 25; siendo 25 el máximo de promedio de riesgo inherente, lo que
indica que es crítico para los objetivos de negocio. Las siguientes son las zonas de
riesgo y su notación gráfica y cualitativa:
Tabla 3 Escala de Zona de Riesgo
ZONA DE
SIGNIFICADO
RIESGO CALIFICADOR
BAJA Asumir el riesgo
MODERADA Asumir o reducir el riesgo
Reducir, evitar, compartir o

ALTA
transferir el riesgo
Evitar, reducir, compartir o
EXTREMA
transferir el riesgo
Se estableció un modelo que asocia los riesgos operacionales con los objetivos de
negocio de TI los cuales comprende los siguientes procesos de análisis de la
información, para obtener una matriz de riesgos; este modelo se puede evidenciar
en el Anexo G. Matriz de escenarios, el cual identifica las siguientes actividades:
• Identificar los riesgos operacionales.

• Impacto y probabilidad de los riesgos operacionales, presentada en forma de
una matriz de riesgos.
• Escenarios de riesgos asociados.
• Cuantificar la probabilidad de ocurrencia.
1.7 MATRIZ DE RIESGOS
Esta matriz fue creada para catalogar un riesgo y saber qué clase de daño puede causar un mal procedimiento en el proceso
auditado
Tabla 4. Matriz de riesgos
MATRIZ DE RIESGOS
ESCALA VALOR ZONAS DE RIESGO
Zona de Riesgo Alta Zona de Riesgo Alta Zona de Riesgo Extrema Zona de Riesgo Extrema Zona de Riesgo Extrema
MUY ALTO 5 Reducir, evitar, compartir Reducir, evitar, compartir Evitar, reducir, compartir o Evitar, reducir, compartir o Evitar, reducir, compartir o
o transferir el riesgo o transferir el riesgo transferir el riesgo transferir el riesgo transferir el riesgo
Zona de Riesgo Alta Zona de Riesgo Alta Zona de Riesgo Extrema Zona de Riesgo Extrema
Zona de Riesgo Moderado
PROBABILIDAD
ALTO 4 Asumir o reducir el riesgo

Reducir, evitar, compartir Reducir, evitar, compartir o Evitar, reducir, compartir o Evitar, reducir, compartir o
o transferir el riesgo transferir el riesgo transferir el riesgo transferir el riesgo
Zona de Riesgo Moderado Zona de Riesgo Alta Zona de Riesgo Extrema Zona de Riesgo Extrema
MODERADO 3 Zona de Riesgo Baja Asumir o reducir el riesgo Reducir, evitar, compartir o Evitar, reducir, compartir o Evitar, reducir, compartir o
Asumir el riesgo transferir el riesgo transferir el riesgo transferir el riesgo
Zona de Riesgo Moderado Zona de Riesgo Alta Zona de Riesgo Extrema

BAJO 2 Zona de Riesgo Baja Zona de Riesgo Baja Asumir o reducir el riesgo Reducir, evitar, compartir o Evitar, reducir, compartir o
Asumir el riesgo Asumir el riesgo transferir el riesgo transferir el riesgo
Zona de Riesgo Moderado Zona de Riesgo Alta Zona de Riesgo Alta

MUY BAJO 1 Zona de Riesgo Baja Zona de Riesgo Baja Asumir o reducir el riesgo Reducir, evitar, compartir o Reducir, evitar, compartir o
Asumir el riesgo Asumir el riesgo transferir el riesgo transferir el riesgo
ESCALA DEBIL LEVE MEDIO IMPORTANTE CATASTROFICO
VALOR 1 2 3 4 5
IMPACTO

Entidad Auditada:
Centro Radiológico Digital C.R.A.

Proceso atención al cliente
Distribuido a:
Directivos de la empresa
Copia a:
Subdirector Operaciones
Gerente General
Coordinador de proceso
Emitido y elaborado por:
Ovidio Castro Umaña

Alexander Ávila Cárdenas
1 INFORME DE AUDITORÍA.
1.1 OBJETIVO AUDITORÍA
Determinar el grado de madurez del sistema de control interno del proceso de

Atención al Cliente para recepción de clientes, con el fin de valorar su estado en
términos de riesgos y controles, considerando los siguientes objetivos:
a. Evaluar el cumplimiento de políticas TI

b. Evaluar la efectividad de los controles automáticos y manuales asociados al
procedimiento, de modo que se minimice la probabilidad de materialización
de los riesgos.
c. Evaluar la calidad de la información registrada en el sistema y su coherencia
con los documentos físicos que evidencia el cumplimiento de los requisitos
para proceso objeto de la auditoría.
1.2 ALCANCE DE LA AUDITORÍA
Ventanillas de atención en la sede de Kennedy - Proceso de atención al cliente del

C.R.A., la auditoría tendrá alcance a la infraestructura tecnológica en el punto de
atención de esta sede.
1.3 NORMA APLICADA
Para la presente propuesta hemos tomado como marco metodológico COBIT 4.1,
sus iteraciones y aspectos; los capítulos o temas a tener en cuenta en la Auditoría
fueron:
Figura 1 Iteraciones de Procesos COBT 4.1 para la Auditoría
PO1 Definir un Plan

Planear y Organizar (PO)PO9 Evaluar y Administrar
PO3 Determinar la Dirección
Estratégico de TI Tecnológica los Riesgos de TI
Adquirir e Implementar (AI)

AI3 Adquirir y mantener infraestructura
AI2 Adquirir y mantener software aplicativo
tecnológica
Entregar y Dar Soporte (DS)

DS5 Garantizar la seguridad de los sistemas (DS12) Administración de instalaciones
Monitorear y Evaluar (ME)

ME1 Monitorear y Evaluar el Desempeño de TI
1.4 CONTEXTUALIZACIÓN DE LA ORGANIZACIÓN
El Centro Radiológico Digital Américas CRA, cuenta con tres sedes distribuidas
estratégicamente en la ciudad para la prestación del servicio, Sede Kennedy, Sede
Bosa, Sede Suba.
El Centro Radiológico Digital CRA, ha prestado sus servicios de Imágenes

diagnósticas para el área de odontología desde su fundación, y dentro de sus planes
corporativos ha participado en licitaciones para ser una Institución prestadora de
Salud (IPS); partiendo de este punto, uno de los parámetros a evaluar y alineando
a las políticas de gestión de algunas entidades para la participación en estos
concursos, se debe tener certificado el sistema de gestión de la información.
Actualmente no se realiza una gestión inteligente de la información y del
conocimiento como factores claves de éxito ya que no se posee una infraestructura
de red LAN estandarizada, y por tal motivo se están perdiendo oportunidades de
participar como proveedores en algunas entidades del sector de la salud.
La implementación de infraestructuras tecnológicas da una ventaja competitiva, e
integra el direccionamiento estratégico del Centro Radiológico Digital CRA con los
objetivos de TI, lo cual se convierte de gran importancia para la gestión de la
empresa y su mejora continua.
1.5 DIRECCIONAMIENTO ESTRATÉGICO
Uno de los pilares de la organización es el Direccionamiento Estratégico, el cual

inspira nuestra filosofía organizacional, el direccionamiento estratégico del Centro
Radiológico Digital Américas CRA, se establece mediante el documento DOC- 001
DE-V-00153, el cual se determinada a través de los siguientes componentes:
Figura 2. Direccionamiento Estratégico
POLITICA
DE
CALIDAD
MISIÓN VISIÓN
DIRECCIONAMIENTO
ESTRATÉGICO
OBJETIVO
S VALORES
1.5.1 Política de Calidad
La gestión del Centro Radiológico Digital Américas CRA, está enmarcada en el

compromiso de satisfacer las necesidades de nuestros clientes, con estándares de
calidad en nuestros procesos y con personal competente para mejorar nuestros
servicios y desempeño profesional; incorporamos prácticas de gestión con referente
mundial, como desarrollo integral de estrategias de operación, basados en los
53 Tomado de documento corporativo CRA - Sistema de Gestión de Calidad

principios de honestidad, solidaridad, compromiso, liderazgo, desarrollo del recurso
humano y mejora continua54.
1.5.2 Misión
Somos el centro de radiología experto en la generación de imágenes radiográficas

y ayudas diagnosticas para el área de la salud oral y maxilofacial, brindamos
satisfacción a nuestros clientes con calidad humana orientada al servicio, apoyados
en innovación tecnología con profesionales competentes, generando rentabilidad
con desarrollo sostenible55.
1.5.3 Visión
Consolidarnos al año 2022 como el centro de radiología oral y maxilofacial, con

avanzada tecnología de punta, siendo reconocidos en el sector, por la amabilidad,
cordialidad y calidad en el servicio; por ofrecer una amplia cobertura y siendo aliado
estratégico de nuestros clientes, proveedores y colaboradores56.
1.5.4 Objetivos Estratégicos
Se encuentran establecidos, coherentes con nuestra política, estos serán revisados

y ajustados anualmente como parte de nuestro sistema de gestión de calidad y
mejora continua57.
• Contar con el recurso humano competente

• Garantizar la calidad del servicio
• Generar rentabilidad
• Garantizar la infraestructura necesaria para prestar el servicio
• Asegurar el crecimiento y desarrollo de la empresa
• Desarrollar programas continuos de investigación e innovación
• Mejorar la estructura de organización de la empresa
54 Tomado de documento corporativo CRA - Sistema de Gestión de Calidad

55 Ibid.
56 Ibid.
57 Ibid.
1.6 CONTEXTO DEL PROCESO DE ATENCIÓN AL CLIENTE
Uno de los procesos de la organización más importante es el de Atención a los

clientes, el cual determina un momento de verdad con el cliente, quienes forman
parte fundamental para la continuidad de negocio, por lo cual se debe monitorear
que este proceso funcione con la máxima eficiencia posible, es por eso que se debe
garantizar que cuente con la infraestructura tecnológica para su optima operación.
1.6.1 Sistemas de información que soportan la gestión del proceso
• Aplicación de registro de clientes:
Solución corporativa para la gestión electrónica para crear clientes o modificar sus
datos básicos de manera fácil y ágil, así como también radicar documentación y
registrar atenciones en forma dinámica, se integra con la aplicación de ingreso de
pacientes para la toma de imágenes diagnosticas
• Aplicación de asignación de turno (Digiturno):
Solución corporativa para la gestión asignación de turnos de atención en las

ventanillas.
• Aplicación de facturación:
Solución corporativa para la el registro contable y facturación de servicios.
1.6.2 Objetivo del Proceso:
Establecer una política clara para el ingreso y atención inicial de pacientes que
asistan a Centro Radiológico Digital Américas CRA.
1.6.3 Responsables de las actividades del proceso
Gerente del Centro Radiológico Digital Américas CRA, Recepcionista y Auxiliares

de Odontología.
1.6.4 Funciones y tareas del proceso auditado
• Recepción de pacientes (atención personal)

• Asignación de Digiturno para atención (ingreso en sistema)
• Registro de cliente en el sistema (aplicación de registro de pacientes)
• Apertura de historia clínica en aplicativo de registro de pacientes (en sistema)
• Recepción de imágenes diagnosticas (Si el cliente cuenta con ellas)
• Asignación de cita para toma de imagen diagnostica (ingreso en aplicativo de
agendamiento tomas diagnósticas)
• Impresión de stickers de control con datos del paciente, para colocar manilla
en la muñeca del paciente y en imágenes entregadas por el paciente.
• Entrega de orden de toma de imágenes a los auxiliares de Radiología para
que el paciente sea llamado.
• Después de realizada las tomas de imágenes diagnosticas, el auxiliar de
radiología entrega al colaborador de recepción, la remisión con registro de la
toma de imágenes
• Se elaboran las fichas de fotografía de los paquetes que se deben enviar con
un programa establecido para dicho fin. Luego de esto se le pasan los
paquetes al profesional para que le realice en diagnóstico.
• El colaborador revisa la carpeta de historia clínica del paciente para revisar las
imágenes tomadas por el técnico radiológico
• Validar que los datos del paciente coinciden con los registrados en la remisión
para quemar el CD si son tomografías computarizadas, en caso de imágenes
de ortodoncia o radiografías se imprimen
• Generación de factura en aplicativo de contabilidad
• Salida del paciente
1.7 PRUEBAS DE AUDITORÍA
Tabla 1. Diagnóstico según procesos COBIT 4.1
Planear y Organizar (PO)

Detalle de la Prueba
Proceso Consecuencia Recomendación Riesgo
(Hallazgo)
Conformar un equipo de colaboradores
No existen procesos para evaluar y Esto es debido a la falta del manual de
para evaluar el desempeño, tomar
PO1 monitorear el desempeño de la red funciones donde se especifique el personal
decisiones, cumplir objetivos planteados,
Definir un Plan de datos en la parte física, no hay a cargo de la red de datos ni los
establecer políticas y procedimientos para
Estratégico de TI políticas ni procedimientos para la procedimientos que se realizaran por parte
la arquitectura y el diseño físico de la red de
adecuada de la arquitectura de los funcionarios.
datos
Se descarta la implementación de nuevas

No se evidencia iniciativas ni herramientas que permitan la optimización Crear políticas que motiven la búsqueda de
PO3
documentación relacionada con el de los procesos de la red de datos. adopten nuevas tecnologías que mejoren el
Determinar la
estudio para implementar nuevas Al no existir documentación sobre desempeño del sistema de red de datos,
Dirección
tecnologías que mejoren la red de estudios, se aumenta en alto grado la llevar registro de estudios para la
Tecnológica
datos. adaptación de implementación de nuevas implementación de las mismas
tecnologías en el futuro
Pérdida de capacidad para actuar con

No existen políticas y inmediatez frente a las amenazas y
Elaborar políticas y procedimientos para el
procedimientos para el análisis y aumenta el riesgo de toma de malas
PO9 análisis y la gestión del riesgo para el
gestión del riesgo del en la decisiones. Se aumenta el riesgo de tener
Evaluar y sistema físico de la red de datos en caso que
infraestructura de red, no hay plan mecanismos de plan de continuidad y
Administrar los si existen amenazas, se tomen decisiones
de contingencia para contrarrestar contingencia que ayuden a recomponer y
Riesgos de TI oportunas y adecuadas que no llegue
eventos que afecten la conexión reactivar procesos importantes donde el
afectar la operación de la red de datos.
física de la red de datos. desempeño de la red de datos es
primordial.
Adquirir e Implementar (AI)
(Hallazgo)
No existen herramientas para Sin software para monitorear la conexión
(AI2) Adquirir software para monitorear la
monitorear la conexión de la red física de la red de datos se pierde el control
Adquirir y conexión física de la red de datos, tener
de datos, debido al corto de la conexión global de la red y con ello no
Mantener procesos de mantenimiento periódico de la
presupuesto del CRA no se tiene se permite identificar errores de conexión,
Software red física de datos y así asegurar el óptimo
proyectado invertir a corto plazo no hay manera de mejorar mecanismos de
Aplicativo funcionamiento
en este SW reconexión
No existe procedimientos ni
Al no contar con políticas de adquisición, se
conocimiento para adquisición de
puede presentar mala administración del Implementar proceso de adquisición de
hardware, por parte de la gran
presupuesto de la empresa, al no contar hardware con múltiples cotizaciones para
mayoría de funcionarios sobre las
con el registro de mantenimiento de los proteger el presupuesto. Documentar el
políticas de adquisición de
equipos de cómputo, se pierde la guía mantenimiento de los equipos de cómputo
hardware.
trazabilidad, la no elaboración de un y así facilitar el trabajo a la persona
No se lleva registros de del
documento por parte de la persona encargada del proceso para la respectiva
mantenimiento de los equipos que
encargada de hacer la recepción de revisión, reparación y la recolección de
se van a revisar y reparar, no hay
(AI3) equipos de cómputo para la respectiva antecedentes, programar capacitaciones al
personal de mantenimiento o
Adquirir y revisión y reparación, se pierde guía de personal del mantenimiento de equipos de
funcionario que tenga
Mantener la ejecución de este proceso y control de cómputo.
especialidad en la reparación los
infraestructura antecedentes. Implementar el centro de cómputo con
equipos.
Tecnológica El no tener personal de mantenimiento características adecuadas y normatividad
No hay implementación adecuada
especializado en reparación se estancan los correspondiente para lograr optimización
del centro de cómputo, ni
procesos y se puede presentar gastos de procesos y seguridad de la información
mantenimiento para switches,
mayores, no tener una adecuación correcta que es vital para la entidad.
servidores y routers, no se
del centro de cómputo se atenta contra la Elaborar los planos del cableado
evidencia planos de la
normatividad y aspectos de seguridad. El estructurado que se extiende por la
infraestructura de red
no tener planos del cableado estructurado entidad para tener poder analizar la
No hay elementos de seguridad
de la red, carece de visión para decisiones escalabilidad de la red
física, elementos contra incendio,
de escalamiento
o desastres naturales
Entregar y dar soporte
(DS)
(Hallazgo)
No se evidencia políticas de Al no existir políticas adecuadas de

seguridad referente la seguridad para el acceso y salida de las
identificación, autenticación, instalaciones, identificación,
autorización y requisas al autenticación y autorización de las Crear políticas de seguridad para el
personal que entra y sale de laspersonas que ingresan a la empresa, se acceso y salida a las instalaciones,
instalaciones, no hay vigilancia corre el riesgo de sufrir robos, tener procedimientos de Identificación,
para controlar las acciones de atentados o pérdida de información autenticación y autorización de los
las personas en las vital para la empresa, sin control sobre individuos, contar con personal de
instalaciones. eventos naturales o ambientales, no se vigilancia, cámaras de monitoreo,
(DS12) disminuye los riesgos de desastres que Instalar dispositivos detectores de
Administración No existe políticas para brindar puedan afectar la operación del de la humo, supresores de fuego.
de seguridad de las instalaciones red de datos.
instalaciones ante eventos naturales o Implementar políticas de seguridad a
ambientales, no existe la El no contar con la instalación de las instalaciones ante cualquier evento
instalación de dispositivos dispositivos detectores de humo, natural o ambiental para disminuir los
detectores humo, supresores supresores de fuego en el cuarto de riesgos de desastres que atenten
de fuego que permitan servidores se corre el riesgo de sufrir contra el óptimo desempeño y el
detectar y prevenir incendios. un incendio. Sin la instalación de aspecto físico en general de la red de
No hay instalación de cámaras cámaras en el interior de la entidad no datos y de la operación.
que permitan monitorear el se pueden registrar las actividades
interior de las instalaciones de sospechosas que atenten contra la
la empresa. entidad.
Monitorear y Evaluar
(ME)
(Hallazgo)
No existen políticas ni
procedimientos para
monitorear la seguridad del
Elaborar e implementar políticas,
aspecto físico de la red de
Al no existir políticas ni procedimientos procedimientos y auditorías adecuadas
datos, ni descripción detallada
de monitoreo de la seguridad del para el seguimiento óptimo y preciso.
de cunado, quien y como se
aspecto físico de la red de datos se Definir cuándo, quien debe realizar el
debe efectuar procesos de
(ME2) pierde el seguimiento de la actividad, monitoreo que optimice, prevenga y
monitoreo.
Evaluar lo se ocasiona perdida del seguimiento en corrija el funcionamiento de la red de
No existe conocimiento del
adecuado del tiempo adecuado y recomendado para datos, priorizar la ejecución de estas
personal encargado de
control interno realizar ajustes correctivos y tareas permitirá saber quién
administrar la red, no hay
preventivos, se pierde información guía responderá ante estas actividades, y
auditorias de ningún tipo para
que agilice, prevenga y corrija lograr lo correctivo y preventivo frente
evaluar el desempeño de la
problemas con la red de datos. a las amenazas del sistema de red de
parte eléctrica, ventilación del
datos.
centro de cómputo y utilización
de normas de cableado
estructurado.
ZONA DE RIESGO
BAJA MODERADA ALTA EXTREMA

1.8 MODELO DE MADUREZ DEL SISTEMA DE CONTROL INTERNO
En el desarrollo de la Auditoría, se observaron las siguientes fortalezas que realiza

el proceso en la atención al cliente:
Existe documentos que especifican las funciones a realizarse por el personal del
proceso y su nivel de compromiso es muy alto, sin embargo, falta concientizar a la
gerencia para realizar una alineación de los objetivos de negocio con los de TI, con
el fin de tener los recursos que abastezcan las necesidades tecnológicas.
Figura 3. Modelo de Madurez actual del CRA
Fuente: ISACA. COBIT4.1 Spanish. [En línea], 2017. Disponible en:

http://www.slinfo.una.ac.cr/documentos/EIF402/cobit4.1.pdf - Adaptación Propia
Como resultado de las pruebas de auditoría, identificamos que la administración de

riesgos y el nivel de madurez del proceso de Atención al cliente en la infraestructura
de red está en un nivel repetible. Debido a que falta definir un esquema para
desplegar la administración de riesgos a lo largo del proceso, y esto solo se logra
por medio procedimientos y proyectos de mejora. Además, la operatividad manual
de los controles es clave para el aumento de los factores de riesgo.
1.9 CONCLUSIONES DE LA AUDITORÍA
Se identifican asuntos significativos de falta de control, con debilidades y/o riesgos,

en consecuencia, se debe diseñar una mejora del proceso para el control de riesgos,
utilizando herramientas que faciliten esta tarea, y permitan a la alta gerencia
analizar, detectar y monitorear las inconsistencias de la operación; esto con el fin
de minimizar la corrección de errores, asociados con las siguientes situaciones que
se identificaron:
✓ No existen procesos para evaluar y monitorear el desempeño de la red de
datos en la parte física,
✓ No hay políticas ni procedimientos para la adecuada de la arquitectura
✓ No se evidencia iniciativas ni documentación relacionada con el estudio
para implementar nuevas tecnologías que mejoren la red de datos.
✓ No existen políticas y procedimientos para el análisis y gestión del riesgo
de la infraestructura de red,
✓ No hay planes de contingencia para contrarrestar eventos que afecten la
conexión física de la red de datos.
✓ No existen herramientas para monitorear la conexión de la red de datos,
debido al corto presupuesto del CRA
✓ No existe procedimientos ni conocimiento para adquisición de productos
tecnológicos
✓ No se evidencia políticas de seguridad referente la identificación,
autenticación, autorización y requisas al personal que entra y sale de las
instalaciones,
✓ No hay vigilancia para controlar las acciones de las personas en las
instalaciones.
✓ No existe políticas para brindar seguridad de las instalaciones ante eventos
naturales o ambientales,
✓ no existe la instalación de dispositivos detectores humo, supresores de
fuego que permitan detectar y prevenir incendios.
✓ No hay instalación de cámaras que permitan monitorear el interior de las
instalaciones de la empresa.
✓ No hay implementación adecuada del centro de cómputo, ni una buena
planeación de la infraestructura de red
El Centro Radiológico Digital Américas C.R.A., desde la gerencia hasta los niveles
operativos, se han concientizado de las fallas que existen y que se evidencian en
los resultados de la auditoria.
Es importante mencionar que, debido a las limitaciones inherentes a cualquier

estructura de control interno, pueden ocurrir errores o irregularidades que no sean
detectados a través de nuestros procedimientos.
La gerencia de la empresa es responsable de establecer y mantener un sistema de
control interno adecuado y de prevenir y detectar irregularidades que atenten con la
continuidad de negocio.
Con la auditoría realizada en el Centro Radiológico Digital Américas CRA, se
facilitan herramientas que sirven de base para planear sus objetivos; el proceso de
analizar y procesar la información, sirve como punto de partida para la
implementación de un sistema de gestión de la información.
Aun con las deficiencias tecnológicas que existen en la empresa, se destaca que el
personal en general está comprometido con el logro de objetivos, y esto es un factor
que ayuda a mitigar los riesgos de manera implícita, sin embargo, se debe
establecer modelo de administración de riesgos más estructurados.
GLOSARIO DE TÉRMINOS
Alcance de la auditoría: El marco o límite de la auditoría y las materias, temas,

segmentos o actividades que son objeto de la misma.
Auditor: Persona que efectúa una auditoría.
Auditoría: Examen de las operaciones de una empresa, realizado por especialistas

ajenos a ella y con objetivos de evaluar la situación de la misma.
Auditoría de sistema. Es la revisión que se dirige a evaluar los métodos y

procedimientos de uso en una entidad, con el propósito de determinar si su diseño
y aplicación son correctos; y comprobar el sistema de procesamiento de información
como parte de la evaluación de control interno; así como para identificar aspectos
susceptibles de mejorarse o eliminarse.
Alta gerencia: Está compuesta por una cantidad de personas comparativamente

pequeña y es la responsable de administrar toda la organización. Estas personas
reciben el nombre de ejecutivos. Establecen las políticas de las operaciones y
dirigen la interacción de la organización con su entorno.
Auditoría de tecnologías de la información: Consiste en el examen de las

políticas, procedimientos y utilización de los recursos informáticos; confiabilidad y
validez de la información, efectividad de los controles en las áreas, las aplicaciones,
los sistemas de redes y otros vinculados a la actividad informática.
Amenaza: Cualquier aspecto o escenario que pueda ocasionar que un riesgo se

convierta en incidente, o sea, que llegue a realizarse.
Informe de Auditoría: Es el producto final del Auditor de SI; constituye un medio

formal de comunicar los objetivos de la auditoría, el cuerpo de las normas de
auditoría que se utilizan, el alcance de auditoría y, los hallazgos, conclusiones y
recomendaciones
COBIT: Control Objectives for Information and related Technology (Objetivos de

Control para Tecnología de la Información y Relacionadas)
Eficacia: Capacidad de lograr el efecto que se desea o se espera.
Eficiencia: Conjunto de atributos, que se refieren a las relaciones entre el nivel de

rendimiento del software y, la cantidad de recursos utilizados bajo unas condiciones
predefinidas
Estándar: Es toda regla aprobada o práctica requerida, para el control de la
performance técnica y de los métodos utilizados por el personal involucrado en el
Planeamiento y Análisis de los Sistemas de Información.
Evaluación: Es el proceso de recolección y análisis de información y, a partir de
ella, presentar las recomendaciones que facilitarán la toma de decisiones
Evaluación de Riesgo: Es el proceso utilizado para identificar y evaluar riesgos y

su impacto potencial.
Evidencia: Es toda información que utiliza el AI, para determinar, si el ente o los
datos auditados siguen los criterios u objetivos de la auditoría.
Evidencia de auditoría: Son las pruebas que obtiene el auditor, durante la

ejecución de la auditoría, que hace patente y manifiesta la certeza o convicción,
sobre los hechos o hallazgos, que prueban y demuestran claramente éstos, con el
objetivo de fundamentar y respaldar sus opiniones y conclusiones.
Estándares: Es una especificación o modelos que regulan la realización de ciertos

procesos o la fabricación de componentes para garantizar la interoperabilidad.
Hallazgos: Son evidencias, como resultado de un proceso de recopilación y síntesis

de información: la suma y la organización lógica de información, relacionada con la
entidad, actividad, situación o asunto que se haya revisado o evaluado, para llegar
a conclusiones al respecto o para cumplir alguno de los objetivos de la auditoría.
Sirven de fundamento a las conclusiones del auditor y, a las recomendaciones que
formula para que se adopten las medidas correctivas.
Irregularidades: Son las violaciones intencionales a una política gerencial

establecida, declaraciones falsas deliberadas u omisión de información del área
auditada o de la organización.
Riesgo. Posibilidad de que no puedan prevenirse o detectarse errores o

irregularidades importantes.
• Riesgo inherente. Existe un error que es significativo y se puede combinar

con otros errores cuando no hay control.
• Riesgo de control: Error que no puede ser evitado o detectado

oportunamente por el sistema de control interno.
Escenario de riesgo: Es la descripción de un evento relacionado con TI que puede

conllevar a un impacto en el negocio siempre y cuando ocurra.
Integridad: Asegurar que los datos no sufran cambios no autorizados, que estén
protegidos de modificaciones imprevistas, no autorizadas o accidentales.
Disponibilidad: Continuidad operativa de la entidad, la perdida de disponibilidad

implica pérdida de productividad de la entidad.
Confidencialidad: Protección de datos frente a la difusión no autorizada.
Vulnerabilidad Informática: Posibilidades del mismo ambiente en el cual, sus

características proporcionan y se vuelven susceptible a una potencial amenaza, por
lo tanto, se puede considerar como la capacidad de reaccionar ante la presencia de
una amenaza o un daño.
Amenazas Informática: Es la posibilidad de que algún tipo de evento se pueda

presentar en cualquier instante de tiempo, en el cual existe un daño material o
inmaterial, sobre los sistemas de información,
Riesgos Informáticos: Son problemas potenciales que pueden afectar a los

sistemas de información u ordenadores, si no se poseen las medidas adecuadas
para salvaguardar los datos, dichos riesgos informáticos se pueden presentar por
las vulnerabilidades y amenazas en cualquier momento.
ANEXO D
INVENTARIO DE ACTIVOS Y CLASIFICACIÓN DE LA INFORMACIÓN
1. PROPUESTA DE ACTIVOS DE INFORMACIÓN.
Los activos de información son los recursos que utiliza un Sistema de Gestión de
Seguridad de la Información para que las organizaciones funcionen y consigan los
objetivos que se han propuesto por la alta dirección. Los activos incluyen toda la
información y soporte que la organización requiera para conducir el negocio58, es
importante que los activos se deben agrupar en varios tipos según la función de
tratamiento sobre la información, a continuación de realiza una clasificación de los
diferentes tipos de activos de información.
Organización: Grupos de personas que realizan actividades de soporte para la

organización, así como terceros que le prestan servicios ya sea en forma contractual
o no.
Ejemplo: Departamentos que prestan servicios de soporte en la organización:

recursos humanos, compras, administración, seguridad a oficinas y edificios,
auditoria, finanzas, Servicios generales y de mantenimiento, proveedores de
servicios y contratistas vinculados mediante contrato: consultorías, outsourcing,
servicios informáticos, limpieza, vigilancia.
Personal: Grupos de personas involucradas en el uso, mantenimiento,

administración y toma de decisiones en los sistemas de información.
Ejemplo: Usuarios. Desarrolladores y administrador de aplicaciones del negocio, de

bases de datos, Administradores de servidores de aplicaciones, portales, directorios
de usuarios, Oficiales de seguridad. Gerente de alto nivel, líder de proyectos.
Software: Aplicaciones internas, software particular hacen posible la realización de

tareas específicas informáticas dentro de la organización tanto para personal
técnico como usuarios.
Ejemplo: Sistemas Operativos, Software para tareas administrativas. Herramienta

de diseño, desarrollo, mantenimiento y control de aplicaciones informáticas.
Aplicaciones de negocio ya sean adquiridas o desarrolladas internamente, Servidor
58SGSI Blog especializado en Sistemas de Gestión de Seguridad de la Información. ISO 27001: Los
activos de información. [En línea], 2015. Disponible en: https://www.pmg-ssi.com/2015/03/iso-27001-
los-activos-de-informacion/
y cliente de Correo electrónico, Antivirus, Antispam, filtrado de contenido web,
software de telefonía.
Hardware: Elementos físicos (equipos, accesorios, periféricos, etc.) que soportan

el procesamiento de datos de la Organización.
Ejemplo: Documentos físicos en papel, Servidores, Estaciones de trabajo, portátiles,

tabletas, Impresoras, unidad de disco removibles, CD, DVD, discos duros
removibles, memorias USB, cintas, documentación, fax, entre otros.
Redes: Dispositivos físicos y sus protocolos de telecomunicaciones utilizados para

interconectar diferentes equipos o sistemas de información.
Ejemplo: Enrutadores, Switch, firewall, adaptadores de red, equipos de

comunicaciones y telecomunicaciones, redes telefónicas, Ethernet, Protocolos de
redes inalámbricas WiFi, bluetooth, Equipos.
Ubicación: Lugares, servicios básicos, suministros para que las distintas

instalaciones funcionen adecuadamente, con el objeto que los sistemas de
información operen en condiciones normales.
Ejemplo: Edificios, instalaciones, recintos, bodegas, oficinas, centros de

procesamiento de datos, oficinas periféricas, zonas de seguridad, Suministro
eléctrico, líneas telefónicas, suministro de agua, servicios y medios, tuberías de
agua, aires acondicionados.
A continuación, se realiza una escala de valoración de los diferentes tipos de activos

de información.
Tabla 1 Valoración Activos de Información
VALOR ACTIVO
01 Organización
02 Personal
03 Software
04 Hardware
05 Redes
06 Ubicación

1.1 CRITERIOS VALORACIÓN DE ACTIVOS
A continuación, se describe los criterios tenidos en cuenta para la clasificación de

los activos en cuanto a la importancia que tiene para la organización y su impacto
en relación a los pilares de la información59.
Tabla 2 Criterios Valoración de Activos
CRITERIO CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD

La divulgación no La información que Apoya los procesos
autorizada de la administra o procesa apoya críticos de la entidad
información tiene un efecto la toma de decisiones y se requiere de una
crítico para la organización. estratégicas de la entidad. recuperación
Administra o procesa No se admiten errores, los inmediata en caso de
información confidencial y errores deben ser falla.
ALTO
su uso inadecuado puede solucionados de inmediato. La interrupción en el
generar graves La destrucción o acceso a la
consecuencias para la modificación no autorizada información o los
entidad (demandas, de la información tiene un sistemas tiene un
pérdidas económicas, de efecto severo para la efecto severo para la
reputación o imagen, etc.) organización. organización.
Administra o procesa La información que Apoya los procesos
información interna y su administra o procesa apoya no críticos de la
uso inadecuado puede la toma de decisiones de las entidad y permite su
generar medianas áreas de la entidad. Permite recuperación en un
consecuencias para la una brecha en los errores de tiempo no mayor a 2
MEDIO
entidad (Reclamaciones de la información. Los errores días, tienen un efecto
las áreas que soporta), pueden ser solucionados a considerable para la
tiene un efecto limitado corto plazo. organización.
para la organización Tiene un efecto considerable
para la organización.
El activo administra o La información que Apoya los procesos
procesa información administra o procesa apoya no críticos de la
pública y su divulgación no la toma de decisiones de las entidad y permite su
le genera consecuencias áreas de la compañía. recuperación en un
negativas a la entidad, Permite una brecha en los tiempo superior a 2
BAJO La divulgación de la errores de la información. Los días, tienen un efecto
información no tiene errores pueden ser mínimo para la
ningún efecto para la solucionados a mediano organización.
organización. plazo.
Tiene efecto leve para la
organización.
59 Instituto Colombiano de Normas Técnicas ICONTEC. NORMA TÉCNICA NT-ISO/IEC

COLOMBIANA 27001-2013. [En línea], 2013. Disponible en: https://tienda.icontec.org/wp-
content/uploads/pdfs/NTC-ISO-IEC27001.pdf
1.2 LISTA DE ACTIVOS DE INFORMACIÓN
En la siguiente tabla se describe los criterios tenidos en cuenta para realizar el

listado de activos, dándole una valoración en relación a la importancia que tiene
para clasificación de la información de la organización.
Tabla 3 Activos de Información
Valor
Confidencia
Listado de activos Tipo Descripción Integridad Disponibilidad del
lidad
Activo
Evidencias digitales,
valor probatorio de la
información
Datos Digitales 1 Alto Alto Alto Alto
almacenada o
transmitida en
formato digital
Infraestructura
Base de Datos
2 tecnológica Alto Alto Alto Alto
Clientes
compartida
Copias de
4 Alto Alto Alto Alto
Seguridad
Activos Tangibles
Correo, Fax,
1 Evidencias Físicas Alto Alto Alto Alto
Libros, Informes
Impresos
Activos
Bienes que posee la
Intangibles,
empresa y que no
Conocimiento, 1 Alto Alto Alto Alto
pueden ser percibidos
Valor de la Imagen
físicamente
de Marca Patentes
Infraestructura
Software
3 tecnológica Alto Alto Alto Alto
Corporativo
compartida
Canales de Información Dirigida a
5 Alto Alto Alto Alto
Comunicación Clientes

1.3 ACTIVOS FÍSICOS
Los siguientes activos hacen referencia a todos aquellos componentes físicos de

los sistemas de información que ayudan a recibir, transformar, producir o procesar
la información.
Tabla 4 Activos Físicos
Valor
Listado de
Tipo Descripción Confidencialidad Integridad Disponibilidad del
Activos
Activo
Infraestructura Lugar donde se
TI Estructuras 6 encuentra ubicada Medio Medio Medio Medio
Físicas la organización
Lugar donde se
Infraestructura
6 encuentra ubicado Alto Alto Alto Alto
TI
lo MC,
Elementos que se
Equipos utilizan para
Pasivos Red 5 interconectar los Alto Alto Alto Alto
LAN dispositivos de
una red de datos
Dispositivos, los
cuales se
interconectan con
segmentos de
cable a las
Equipos computadoras y
Activos Red 5 servidores con el Alto Alto Alto Alto
LAN fin de pasar datos
y comunicar
internamente o
externamente a
las personas de
una compañía.
Es el recurso más
importante y
básico ya que son
los que
Personal 2 Alto Alto Alto Alto
desarrollan el
trabajo de la
productividad de
bienes o servicios.
2. PROPUESTA DE CLASIFICACIÓN DE LA INFORMACIÓN
Según la norma ISO27001 la información se puede clasificar según su valor, los

requisitos legales, la sensibilidad y la criticidad de la empresa60.
La norma ISO 27001 asegura un alto nivel de protección a los activos de

información, la información tiene que clasificarse para indicar el grado de necesidad,
de prioridad y de protección. La información tiene diferentes grados que varían
según la sensibilidad y la criticidad. Existen diferentes elementos de información
que necesitan un nivel más elevado de protección. Se tiene que utilizar un sistema
de clasificación para definir los niveles de protección adecuados y comunicar la
necesidad para tomar las medidas oportunas.
Se debe clasificar la información para indicar la necesidad, prioridad y nivel de

protección previsto para su tratamiento. La información tiene diversos grados de
sensibilidad y criticidad. Algunos ítems podrían requerir niveles de protección
adicionales o de un tratamiento especial.
La guía de clasificación tiene que incluir una clasificación inicial y una reclasificación,
que se realizará a través del tiempo, encontrándose en concordancia con las
políticas de control determinadas por la organización en su Sistema de Gestión de
Seguridad de la Información. La definición de la clasificación de los activos de
información tiene que ser realizada por el responsable de dicho activo y ser revisada
cada periódicamente para controlar que se encuentra actualizado al nivel de
seguridad oportuno.
Existen ciertas actividades de control del riesgo, que comprometen la seguridad de

la información, estas actividades son:
• Directrices de clasificación: La información debería clasificarse en relación a

su valor, requisitos legales, sensibilidad y criticidad para la Organización.
• Etiquetado y manipulado de la información: Se debería desarrollar e

implantar un conjunto apropiado de procedimientos para el etiquetado y
tratamiento de la información, de acuerdo con el esquema de clasificación
adoptado por la organización.
• Manipulación de activos: Se deberían desarrollar e implantar procedimientos

para la manipulación de los activos acordes con el esquema de clasificación
de la información adoptado por la organización.
60 Ibid. Pag 4
2.1 PROCESO PARA CLASIFICAR LA INFORMACIÓN SEGÚN ISO 27001
La clasificación de activos de información tiene como objetivo asegurar que la

información reciba los niveles de protección adecuados, ya que con base en su valor
y de acuerdo a otras características particulares requiere un tipo de manejo
especial.
2.1.1. Clasificación y valoración de la información de Acuerdo con la

Confidencialidad
La confidencialidad hace referencia que la información no esté disponible ni sea

revelada a individuos, entidades o procesos no autorizados, Esta se debe definir de
acuerdo con las características de los activos que se manejan en la organización.
Tabla 5 Clasificación de Acuerdo con la Confidencialidad
CONFIDENCIALIDAD DESCRIPCIÓN
Información disponible sólo para un proceso de la entidad y que en caso de ser
RESERVADA
conocida por terceros sin autorización puede conllevar un impacto negativo de
(INF.R)
índole legal, operativa, de pérdida de imagen o económica
Información disponible para todos los procesos de la entidad y que en caso de
ser conocida por terceros sin autorización puede conllevar un impacto negativo
CLASIFICADA para los procesos de la misma. Esta información es propia de la entidad o de
(INF.C) terceros y puede ser utilizada por todos los funcionarios de la entidad para
realizar labores propias de los procesos, pero no puede ser conocida por
terceros sin autorización del propietario.
Información que puede ser entregada o publicada sin restricciones a cualquier
PÚBLICA
persona dentro y fuera de la entidad, sin que esto implique daños a terceros ni
(INF.P)
a las actividades y procesos de la entidad.
Activos de Información que deben ser incluidos en el inventario y que aún no
NO CLASIFICADA
han sido clasificados, deben ser tratados como activos de Información
(INF.N.C)
Reservada.
2.1.2. Clasificación y valoración de la información de acuerdo con la

Integridad
La integridad hace referencia a la exactitud y completitud de la información esta

propiedad es la que permite que la información sea precisa, coherente y completa
desde su creación hasta su destrucción.
Tabla 6 Clasificación de Acuerdo con la Integridad
INTEGRIDAD DESCRIPCIÓN
Información cuya pérdida de exactitud y completitud puede conllevar un
ALTA
impacto negativo de índole legal o económica, retrasar sus funciones, o
(INT.A)
generar pérdidas de imagen severas de la entidad.
Información cuya pérdida de exactitud y completitud puede conllevar un
MEDIA
impacto negativo de índole legal o económica, retrasar sus funciones, o
(INT.M)
generar pérdida de imagen moderado a funcionarios de la entidad.
BAJA Información cuya pérdida de exactitud y completitud conlleva un impacto
(INT.B) no significativo para la entidad o entes externos.
Activos de Información que deben ser incluidos en el inventario y que aún
NO CLASIFICADA
no han sido clasificados, deben ser tratados como activos de información
(INT.N.C)
de integridad ALTA.
2.1.3. Clasificación y valoración de la información de acuerdo con la

Disponibilidad
La disponibilidad es la propiedad de la información que se refiere a que ésta debe

ser accesible y utilizable por solicitud de una persona entidad o proceso autorizada
cuando así lo requiera está, en el momento y en la forma que se requiere ahora y
en el futuro, al igual que los recursos necesarios para su uso.
Tabla 7 Clasificación de Acuerdo con la Disponibilidad
DISPONIBILIDAD DESCRIPCIÓN
Disponibilidad se refiere a la habilidad de la comunidad de usuarios para
acceder al sistema
ALTA (DIS.A)
Supone que la información pueda ser recuperada en el momento que se
necesite, evitando su pérdida o bloqueo.
La Media disponibilidad de la información puede afectar la operación normal
MEDIA (DIS.M) de la entidad o entes externos, pero no conlleva implicaciones legales,
económicas o de pérdida de imagen.
La Baja Disponibilidad de la información puede conllevar un impacto negativo
BAJA (DIS.B) de índole legal o económica, retrasar sus funciones, o generar pérdida de
imagen moderado de la entidad.
Activos de Información que deben ser incluidos en el inventario y que aún no
NO CLASIFICADA
han sido clasificados, deben ser tratados como activos de información de
(DIS.N.C)
disponibilidad ALTA.

En la siguiente tabla se muestra la valoración de la información respecto a los pilares de la
seguridad de información.
Tabla 8 Valoración de la Información
Activos Confidencialidad Integridad Disponibilidad Valor

1 ALTA ALTA ALTA ALTA
2 ALTA BAJO BAJO MEDIO
3 ALTA ALTO MEDIO ALTO
4 MEDIO ALTO BAJO MEDIO
5 MEDIO BAJO MEDIO MEDIO
6 BAJO BAJO MEDIO MEDIO
La guía No. 561 del Ministerio de Tecnologías de la Información y las

Comunicaciones de Colombia, brinda características y definiciones de cómo realizar
un inventario de activos. Las siguientes tablas son plantillas de Inventario de Activos
de Información de la secretaria General de la Alcaldía mayor de Bogotá62 utilizadas
en su sistema integrado de gestión, estas plantillas son una base sencilla y
completa, para realizar los inventarios de activos de información.
61 Ministerio de Tecnologías de la Información y las Comunicaciones MINTIC. Guía para la Gestión

y Clasificación de Activos de Información. [En línea], 2013. Disponible en:
https://www.mintic.gov.co/gestionti/615/articles-5482_G5_Gestion_Clasificacion.pdf
62 Secretaría General de la Alcaldía Mayor De Bogotá. Inventario de Activos de Información. [En
línea], 2013., p 25-26. Disponible en: https://secretariageneral.gov.co/sites/default/files/linemientos-

distritales/L_11%20Inventario%20de%20Activos%20de%20Informaci%C3%B3n.pdf
Tabla 9 Plantilla Activos de información HW, SW y servicios
Fuente: Secretaría General de la Alcaldía Mayor De Bogotá. Inventario de Activos de

Información. [En línea], 2013., p 25-26. Disponible en:
https://secretariageneral.gov.co/sites/default/files/linemientos-
Tabla 10 Plantilla Registro de activos de información
Fuente: Secretaría General de la Alcaldía Mayor De Bogotá. Inventario de Activos de Información. [En línea], 2013., p 25-26.
Disponible en: https://secretariageneral.gov.co/sites/default/files/linemientos-
ANEXO E
PROPUESTA DE POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
1. POLÍTICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN
La dirección del Centro Radiológico Digital Américas CRA, entendiendo la

importancia de una adecuada gestión de la información, se ha comprometido con la
implementación de un sistema de gestión de seguridad de la información, buscando
establecer un marco de confianza en el ejercicio de sus deberes con las partes
interesadas en especial sus clientes, todo enmarcado en el estricto cumplimiento de
las leyes y en concordancia con la misión y visión de la empresa.
Objetivos
• Establecer las expectativas de la Dirección con respecto al correcto uso que

el personal haga de los recursos de información del Centro Radiológico
Digital Américas CRA, así como de las medidas que se deben adoptar para
la protección de los mismos.
• Establecer para todo el personal de la organización la necesidad de la

seguridad de la información y promover la comprensión de sus
responsabilidades individuales.
• Determinar las medidas esenciales de seguridad de la información que el

Centro Radiológico Digital Américas CRA debe adoptar, para protegerse
apropiadamente contra amenazas que podrían afectar en alguna medida la
confidencialidad, integridad y disponibilidad de la información, ocasionando
alguna de las siguientes consecuencias:
▪ Pérdida o mal uso de los activos de información (datos, equipos,

documentación impresa, etc.).
▪ Pérdida de imagen como organización respetable del sector de la
toma de imágenes diagnosticas de la ciudad.
▪ Interrupción total o parcial de los procesos que soportan el negocio.
• Proporcionar a todo el personal del Centro Radiológico Digital Américas CRA,

una herramienta que facilite la toma de decisiones apropiada, en situaciones
relacionadas con la preservación de la seguridad de la información.
Para cumplir con estos objetivos el SGSI, se basa en la identificación de los activos
de información involucrados en los procesos de negocios y en los procesos de
soporte de la empresa, lo cual implica llevar a cabo, junto a los responsables de los
diferentes procesos de la empresa, las siguientes actividades esenciales:
• Identificar, para todos los procesos de negocio, los activos de información

involucrados, catalogados como información física, información digital,
personas e infraestructura.
• Para cada activo de información, identificar un responsable que vele por su
disponibilidad, confidencialidad e integridad.
• Analizar el riesgo al cual están expuestos.
• Difundir en forma planificada entre todo el personal de la empresa el objetivo
corporativo de preservación de la información, sus características y las
responsabilidades individuales para lograrlo.
Para el Centro Radiológico Digital Américas CRA, la protección de la información

busca la disminución del impacto generado sobre sus activos, por los riesgos
identificados de manera sistemática, con objeto de mantener un nivel de exposición
que permita responder por la integridad, confidencialidad y la disponibilidad de la
misma, acorde con las necesidades de los diferentes grupos de interés
identificados. De acuerdo con lo anterior, esta política aplica a la empresa según lo
defina el alcance, sus funcionarios, terceros, aprendices, practicantes, proveedores
y las partes interesadas en general, teniendo en cuenta que los principios sobre los
que se basa el desarrollo de las acciones o toma de decisiones alrededor del SGSI,
estarán determinadas por las siguientes premisas:
• Minimizar el riesgo en las funciones más importantes de la empresa.

• Cumplir con los principios de seguridad de la información.
• Mantener la confianza de sus clientes, socios y empleados.
• Apoyar la innovación tecnológica.
• Proteger los activos tecnológicos.
• Establecer las políticas, procedimientos e instructivos en materia de
• Fortalecer la cultura de seguridad de la información en los funcionarios,
terceros, aprendices, practicantes, clientes y partes interesadas del Centro
Radiológico Digital Américas CRA.
• Garantizar la continuidad del negocio frente a incidentes.
• El CRA, ha decidido definir, implementar, operar y mejorar de forma continua
un Sistema de Gestión de Seguridad de la Información, soportado en
lineamientos claros alineados a las necesidades del negocio, y a los
requerimientos regulatorios.
La política de seguridad y privacidad de la Información, es la declaración general

que representa la posición de la dirección del Centro Radiológico Digital Américas
CRA frente a la protección de los activos de información (funcionarios, contratistas,
terceros, información, procesos, tecnologías de información, hardware y software),
que soportan los procesos de la empresa y que apoyan la implementación del
Sistema de Gestión de Seguridad de la Información, por medio de la generación y
publicación de sus políticas, procedimientos e instructivos, así como de la
asignación de responsabilidades generales y específicas para la gestión de la
1.1 ALCANCE Y APLICABILIDAD
Esta política aplica a toda la empresa, sus funcionarios, contratistas y las partes
interesadas en general del Centro Radiológico Digital Américas CRA. También es
aplicable a todo activo de información que la organización posea en la actualidad o
en el futuro, de manera que la no inclusión explícita en el presente documento, no
constituye argumento para no proteger estos activos de información.
La política cubre toda la información tanto, impresa o escrita en papel, almacenada

electrónicamente, trasmitida por correo o de uso en medios electrónicos, mostrada
en películas o hablada en una conversación.
La gestión de la seguridad de la información se realizará mediante un proceso

sistemático, documentado y conocido por toda la organización basándose en
metodologías de mejoramiento continuo. Este proceso de gestión deberá ser
aplicado a todos los procesos de negocio de la organización.
1.2 NIVEL DE CUMPLIMIENTO
Todas las personas cubiertas por el alcance y aplicabilidad deberán dar

cumplimiento en su totalidad de la política; a continuación, se establecen las 12
políticas de seguridad que soportan el SGSI del Centro Radiológico Digital Américas
CRA
:
• EL CRA ha decidido definir, implementar, operar y mejorar de forma continua
un Sistema de Gestión de Seguridad de la Información, soportado en
lineamientos claros, alineados a las necesidades del negocio, y a los
requerimientos regulatorios que le aplican a su naturaleza.
• Las responsabilidades frente a la seguridad de la información serán
definidas, compartidas, publicadas y aceptadas por cada uno de los
empleados, contratistas, terceros o partes interesadas.
• Protegerá la información generada, procesada o resguardada por los
procesos de negocio y activos de información, que hagan parte de los
mismos.
• Protegerá la información creada, procesada, transmitida o resguardada por
sus procesos de negocio, con el fin de minimizar impactos financieros,
operativos o legales debido a un uso incorrecto de esta. Para ello es
fundamental la aplicación de controles de acuerdo con la clasificación de la
información de su propiedad o en custodia.
• Protegerá su información de las amenazas originadas por parte del personal.
• Protegerá las instalaciones de procesamiento y la infraestructura tecnológica
que soporta sus procesos críticos.
• Controlará la operación de sus procesos de negocio garantizando la
seguridad de los recursos tecnológicos y las redes de datos.
• Implementará control de acceso a la información, sistemas y recursos de red.
• Garantizará que la seguridad sea parte integral del ciclo de vida de los
sistemas de información.
• Garantizará a través de una adecuada gestión de los eventos de seguridad
y las debilidades asociadas con los sistemas de información una mejora
efectiva de su modelo de seguridad.
• Garantizará la disponibilidad de sus procesos de negocio y la continuidad de
su operación basado en el impacto que pueden generar los eventos.
• Garantizará el cumplimiento de las obligaciones legales, regulatorias y
contractuales establecidas.
ANEXO F
PROPUESTA DE MATRIZ DE ANÁLISIS DE RIESGOS (PDF)
ANEXO G
MATRIZ DE ESCENARIOS (PDF)
ANEXO H
PLANOS CENTRO RADIOLÓGICO CRA
Plano 1 Piso Kennedy
Plano 2 Piso Kennedy

Plano Bosa
Plano Suba

ANEXO I
FORMATO ENTREVISTAS USUARIOS
ENTREVISTAS USUARIOS
Versión 1.0
CUESTIONARIO GENERAL
ÁREA
RED DE DATOS CENTRO RADIOLÓGICO DIGITAL AMÉRICAS CRA
EVALUACIÓN DE LA SEGURIDAD FÍSICA DE LA RED DE DATOS

Objetivo
Conocer la situación actual y actividades de la red de datos del Centro Radiológico
Digital Américas CRA.
Indicación: Se deberá subrayar la respuesta que considere que se adecua más a

la situación que se está preguntando.
Se deberá llenar las preguntas que no poseen opciones múltiples en el espacio
proporcionado.
¿Cómo considera usted, el servicio proporcionado por el área de Sistemas o TI?

A. Deficiente B. Aceptable C. Satisfactoria D. Excelente ¿Por qué?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
¿Qué piensa de la atención que brinda el personal de informática o TI, a los demás
integrantes del Centro Radiológico Digital Américas CRA?
A. Insatisfactoria B. Satisfactoria C. Excelente ¿Por qué?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
¿Se cubren las necesidades del manejo de información?

A. No las cubre B. Parcialmente C. La mayor parte D. Todas ¿Por qué?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
¿Cómo considera la calidad del servicio que se proporciona los equipos de
cómputo?
A. Deficiente B. Aceptable C. Satisfactoria D. Excelente ¿Por qué?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
¿Qué piensa de la seguridad en el manejo de la información del Centro Radiológico

Digital Américas CRA, proporcionada para el área de Sistema o TI?
A. nula B. Riesgosa C. Satisfactoria D. Excelente E. Lo desconoce ¿Por qué?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
Versión 1.0
ADMINISTRATIVOS TI
ÁREA
EVALUACIÓN DE LA SEGURIDAD FÍSICA DE LA RED DE DATOS

Objetivo
Conocer la situación actual y actividades de la red de datos del Centro Radiológico
Digital Américas CRA.

proporcionado.
Control de áreas para los equipos de redes y

SI NO N/A
comunicaciones, previniendo accesos inadecuados
¿Para el ingreso al centro de datos cuenta con identificación,
como código de huella, carnet?
¿Se tienen lugares de acceso restringido?
¿Los equipos de red y comunicaciones se mantienen en
habitación cerrada con acceso únicamente del personal
autorizado?
¿Conoce métodos o actividades para el control de acceso al área
de equipos de la red?
¿Se tiene un registro de las personas que ingresan a las
instalaciones?
¿Se cuenta actualmente con un inventario de todos los
dispositivos de red?
¿Si tiene alguna plantilla o tabla de registro de Fallas en los
Equipos de Red?
¿Se cuenta con servicio de mantenimiento preventivo y correctivo
de los equipos de red?
¿Se tienen tiempos establecidos para el mantenimiento de los
equipos de red?
¿Se tienen los espacios adecuados para el mantenimiento de los
equipos de red?
Utilización de los equipos de red y de comunicaciones
¿Conoce cómo se distribuyen los equipos de red? (cableado, Reuters, servidor,
etc.
¿Existen equipos de monitorización en la red? Cuales
¿Se tienen criterios de evaluación para determinar el rendimiento de los equipos

de red?
¿Existe un administrador de sistemas que controle las cuentas de los usuarios?
¿Se cuenta con un proceso para dar mantenimiento preventivo y/o correctivo al
software?
Seguridad de la Información
¿Existen métodos de respaldo de información?
¿Se realizan copias de seguridad de la información periódicamente?
¿Se crean contraseñas pares el uso de los equipos de cómputo?
¿Cuenta con antivirus instalados en los equipos de cómputo? Cual?
¿Los antivirus están Actualizados? ¿Por qué?
¿Se tienen licencias de los programas que utiliza?

En caso de pérdida de la información, ¿el Centro Radiológico Digital Américas
CRA, cuenta con respaldos ?, de ser afirmativo, ¿qué mecanismos utiliza la
organización para realizar los respaldos de la información?
Controles para la protección y tendido adecuado de cables y

SI NO N/A
líneas de comunicaciones
¿El cableado de red se encuentra debidamente protegido,
etiquetado?
¿En el Data Center, los armarios, distribuidores, se encuentran

etiquetados o marcados?
¿Se realiza una revisión periódicamente de las líneas de

comunicaciones? de ser afirmativo, ¿con que frecuencia se
realiza?
¿El cableado de datos (UTP) va en la misma bandeja del cableado

eléctrico?
¿Se tiene UPS de suministro adecuadas ante posibles cortes de

luz inesperados?, de ser afirmativo, ¿qué tipo de instalaciones
utiliza?
¿Los equipos de red y comunicaciones se encuentran protegidos

sobre posibles amenazas físicas y ambientales?
¿Existen estrategias para mitigar desastres que solo afecten a las

comunicaciones del Centro Radiológico Digital Américas CRA? de
ser afirmativo ¿Cuáles?
¿Podría mencionar que metodología o procedimientos se tienen para manejar la
implementación, mantenimiento y seguridad de los equipos de red el Centro
Radiológico Digital Américas CRA? ¿Por qué?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
¿Existen normas para el manejo de las redes de comunicaciones, sistemas
operativos, aplicaciones, entre otros?
SI NO ¿Cuál?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
¿Existe alguna norma para el manejo de la seguridad en los dispositivos de red?
SI NO ¿Cuál?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
¿Existen métodos secundarios de transmisión de la información entre las diferentes
sedes del Centro Radiológico Digital Américas CRA?
SI NO ¿Cuál?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
¿Existe alguna forma para reducir el mal uso accidental o deliberado de los
Sistemas de Cómputo y comunicaciones?
__________________________________________________________________
__________________________________________________________________
Versión 1.0
ADMINISTRATIVOS TI
ÁREA
EVALUACIÓN DE LA SEGURIDAD LÓGICA DE LA RED DE DATOS

Objetivo
Crear planes estratégicos para proteger la red y evitar daños internos

proporcionado.
¿Se tienen configuraciones seguras para hardware y software?

SI NO ¿Cuáles?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
¿Se realiza evaluación continua de la vulnerabilidad y remediación?

SI NO ¿Cuáles?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
¿Existe uso controlado de privilegios administrativos?

SI NO ¿Cuáles?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
¿Existen actividades de protecciones de correo electrónico y navegador web?

SI NO ¿Cuáles?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
¿Se tienen defensas de malware?
SI NO ¿Cuáles?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
¿Se realiza limitación y control de los puertos de red?

SI NO ¿Cuáles?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
¿Existen configuraciones seguras para dispositivos de red?

SI NO ¿Cuáles?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
¿Existen procesos o procedimientos para la protección de datos?
SI NO ¿Cuáles?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
¿Se tiene control de acceso inalámbrico?
SI NO ¿Cuáles?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
¿Hay procedimientos para Control y supervisión de cuentas?

SI NO ¿Cuáles?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
¿Ser tiene respuesta y gestión de incidentes?

SI NO ¿Cuáles?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
Seguridad en los Datos SI NO N/A
¿El Centro Radiológico Digital Américas CRA tiene un sistema de
gestión de la información?
¿ El servidor e imágenes diagnosticas en funcional?
¿Las bases de datos guardan la información necesaria y
adecuada para el Centro Radiológico Digital Américas CRA?
¿Existen copia (backups) y se guardan en lugares seguros y
adecuados para tal fin?
¿Existen procesos y procedimientos de copias de seguridad y de
recuperación de datos?
¿Hay controles para el acceso físico a las copias de seguridad del
Centro Radiológico Digital Américas CRA?
¿Existen procesos o procedimientos de asignación y distribución
de contraseñas?
El Centro Radiológico Digital Américas CRA asigna
dinámicamente direcciones usando DHCP
¿Se utilizan los certificados del cliente para validar y autenticar los
sistemas antes de conectarse a la red privada?
¿Se tiene lista de software autorizado y la versión que se requiere
en el Centro Radiológico Digital Américas CRA, para cada tipo de
sistema?
¿Se utilizan listas blancas de aplicaciones que permite que los
sistemas ejecuten software?

Ávila Cárdenas Jorge Alexánder 2019

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ávila Cárdenas Jorge Alexánder 2019

Cargado por

Copyright:

Formatos disponibles

PROPUESTA DE ACTUALIZACIÓN DE LA RED CORPORATIVA DEL CENTRO

RADIOLÓGICO DIGITAL AMÉRICAS C.R.A., INCLUYENDO ESTUDIO DE

JORGE ALEXÁNDER ÁVILA CÁRDENAS

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

JORGE ALEXÁNDER ÁVILA CÁRDENAS

Proyecto de grado en la modalidad de monografía

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

Presidente del Jurado

Bogotá D.C., Septiembre de 2019

Anexo A. Marco teórico y estado del arte ..............................................……..…...108

Tabla 1 Establecimiento de Prioridades ................................................................. 29

Gráfica 1 Subredes ................................................................................................ 49

Figura 1 Organigrama C.R.A ................................................................................. 21

La infraestructura tecnológica en las organizaciones son de vital importancia, para

Palabras clave: Redes, LAN, WAN, Virtualización, framework, seguridad de la

The technological infrastructure in the organizations is of vital importance, for the

Keywords: Networks, LAN, WAN, Virtualization, Framework, Information Security.

En la actualidad, el diseño e implementación de redes LAN y WAN, facilita la

El presente trabajo propone la actualización de red y estudio de seguridad de la

Complementando la propuesta de actualización de red, el quinto capítulo

Dada la importancia que tiene la seguridad de la información en la actualidad y lo

Al finalizar este documento, se obtienen conclusiones y recomendaciones que

El presente proyecto describe la propuesta de actualización de la red corporativa,

1.2 TITULO PROYECTO

Propuesta de actualización de la red corporativa del Centro Radiológico Digital

1.3 PLANTEAMIENTO DEL PROBLEMA

El Centro Radiológico Digital Américas CRA, presta los servicios de toma de

Cuenta con tres sedes en Bogotá ubicadas en:

Sede Kennedy - Av. 1 de mayo (transv.74F) # 40B – 63 2do piso

El Centro Radiológico Digital Américas CRA, se caracteriza por la constante

Presenta obsolescencia en equipos de conectividad y fallas en el rendimiento de la

Las pruebas realizadas a la red actual reflejan la ineficiencia de esta, representando

Estos inconvenientes se presentan por la falta de planeación de la red, visión de

1.4 FORMULACIÓN DEL PROBLEMA

¿Cómo se puede lograr la interconexión entre las sedes de la organización?, ¿Qué

La propuesta de actualización de la red corporativa del Centro Radiológico Digital

Esta propuesta de actualización en el Centro Radiológico Digital Américas CRA, con

La finalidad de la propuesta de actualización de la red corporativa del Centro

• La integración del medio de transmisión para los servicios informáticos y

1.5 ALCANCE Y DELIMITACION

La propuesta de actualización de la red corporativa del Centro Radiológico Digital

• Realizar el análisis de la infraestructura de red en cada una de las sedes de

La comunicación al interior de la organización es fundamental ya que hace parte de

Adicional a estos beneficios, la empresa incrementará la satisfacción de sus clientes

1.8 RESEÑA HISTÓRICA DE LA ORGANIZACIÓN

El Centro Radiológico Digital Américas CRA, ha prestado sus servicios de toma

La implementación de infraestructuras de red de área local (LAN) estandarizada

Partiendo que la comunicación al interior de la organización es fundamental, ya

Somos el centro de radiología experto en la generación de imágenes radiográficas

Consolidarnos como el centro de radiología oral y maxilofacial, con tecnología de

1.11 OBJETIVOS ESTRATÉGICOS

• Contar con el recurso humano competente

1.12 DIRECCIÓN CORPORATIVA

En el Centro Radiológico Digital Américas CRA, creemos firmemente en la ética,

El siguiente es el organigrama del Centro Radiológico Digital Américas CRA, el cual

Figura 1 Organigrama C.R.A

Fuente: Documento corporativo CRA

El marco teórico y estado del arte se apoyan al estudio de caso y aportan el

1.15 SOLUCIÓN TECNOLÓGICA

Se elaborará la propuesta de actualización de la red corporativa del Centro

Para esta propuesta se utilizará la metodología Top Down, diseño descendente de

Se realizará la propuesta de virtualización de los servidores de almacenamiento de

[Consultado: 6 de febrero de 20196]. Disponible en Internet: https://es.scribd.com/document/391872308/Libro-