Академический Документы
Профессиональный Документы
Культура Документы
diseño y ejecución
Hernán Mendieta
Ibagué - Colombia
hdmendieta@ut.edu.co
Resumen--- El presente trabajo tiene como fin realizar un análisis estándares internacionales, como es el caso de MAGERIT que
y planeación, diseño y ejecución sobre los riesgos informáticos es usado para el análisis de riesgos informáticos.
enfocados a la seguridad informática y de la información.
Actualmente, el Instituto de Educación a Distancia 4) Estructura organizacional del área informática, los cargos
de la Universidad del Tolima cuenta con 13 programas y funciones - oficina de gestión tecnológica
académicos de pregrado, con 4 especializaciones, con 54
Centros Regionales de Educación a Distancia (CREAD) y 1
Centro Regional de Educación Superior (CERES) y con 13 La Oficina de Gestión Tecnológica dentro del organigrama de
universidades en convenio en todo el país ( Unillanos, la institución hace parte de la Vicerrectoría Académica, está
Unicauca, UPTC, Uniminuto, Surcolombiana, Cartagena, conformada por 4 áreas conformadas de la siguiente manera:
Amazonía, Cordoba, Francisco De Paula Santander, Quindío,
Santander de Quilichao, Instituto Técnico José Camacho, U. Fig. 2. Áreas de Gestión Tecnológica
Área Andina).
3) Organigrama organizacional
TABLA 2. Relación de activos de seguridad de la información Router: Equipo Mediante el cual se establece
conexión hacia el exterior de la intranet.
Equipamiento auxiliar UPS, planta eléctrica Asegurar el buen rendimiento de la infraestructura
Instalación Cableado estructurado, instalaciones tecnológica de la universidad, con el fin de que el recurso
eléctricas. tecnológico sea oportuno
Servicios Conectividad a internet, soporte de
mantenimiento de hardware y software, Disponibilidad del servicio
disponibilidad del servicio a los sistemas de Aseguramiento de la información
información.. Apoyo en formación, innovación e implementación de
Personal Personal informático (administradores: de red
y comunicaciones, aplicativos, servidores,
recursos y herramientas enfocadas a la información y
telefonía y Webmaster) , DBA y comunicación, de la comunidad docente, estudiante y
desarrolladores y personal técnico. además administrativa de la Universidad del Tolima.
de los usuarios finales (administrativos, Administrar el servicio de publicación web, así como las
estudiantes y docentes).
tecnologías implementados en el mismo.
8) Procesos realizados dentro del área Atender las solicitudes de desarrollo de nuevas
aplicaciones según requerimientos emitidos por las
Los procesos que se realizan en el área de Gestión de diferentes dependencias.
Tecnológica son básicamente los siguientes: Diseñar y desarrollar aplicaciones de software requeridos
por la Universidad
Asesorar las dependencias académico-administrativas en
Gestionar políticas y lineamientos de informática para toda la
la adquisición y manejo de los sistemas de cómputo y
Universidad.
comunicación, emitiendo conceptos técnicos.
Investigar las tendencias tecnológicas en teleinformática y Mediar entre los recursos tecnológicos, la enseñanza y
evaluar su incorporación a la universidad, para el apoyo a la aprendizaje, así como apoyará el desempeño docente en
administración, la docencia, la investigación y la proyección la utilización de recursos tecnológicos y herramientas
social. digitales.
Mantener un sistema de información integral y consistente, de Brindar mantenimiento correctivo a los equipos de
apoyo a la toma de decisiones de la dirección. cómputo que estén presentando inconvenientes técnicos.
Velar por el cumplimiento de estándares, normas y leyes de Realizar mantenimiento correctivo y preventivo a los
uso de servicios de informática y de telecomunicaciones. equipos de cómputo adquiridos por la universidad
Realizar el trámite de garantías de los equipos con el
Velar por el buen funcionamiento de los recursos informáticos
proveedor dependiendo del inconveniente detectado.
y de telecomunicaciones.
Desarrollar e implantar soluciones al nivel de hardware y 10) Cuadro con las categorías de los activos, las
software. vulnerabilidades, amenazas de seguridad encontrados en la
Instalar, mantener y garantizar la disponibilidad de universidad del Tolima
aplicaciones académico-administrativas.
Asesorar y dar soporte técnico a todos los usuarios. TABLA 3. Activos: vulnerabilidad y amenazas UT
3) Organigrama organizacional
1) Actividad comercial que realiza
Fuente: UPTC
Aplicacio
5) Cargos y funciones nes Técnicos
para PC´S
Personal que labora en la unidad de organización y sistemas:
esta unidad es dirigida por un Profesional Universitario con 1Técnico
conocimiento
título ingeniero de sistemas y Maestría en una de las áreas y habilidades
Plataform electrónico
en la Informaci
relacionadas directamente con las funciones de la misma, a para
manipulación ón restringido
adicional cuenta con el siguiente grupo de trabajo: Computac pantallas,
de hardware, Publica
ional Impresos y
instalación de
TABLA 4. Organización y Sistemas videobeams
aplicaciones
Organización del Área de Tecnología
Conocimient
de
Nivel de Informaci
Redes de 3 técnicos o y Restringid
ón
3. Soporte Técnico.
Capacidades Publica
es Humano La SI
Áreas
s en redes.
Informac
ión 1 técnico
Habilidad en
para
Desarrollo la Informaci
Conocimient Data manejo de Restringid
de manipulación ón
4 oy Informaci Center software o
Sistemas Restringid de hardware Publica
desarrollad habilidades ón especializa
de o tipo servidor.
or en Privada do
Informaci habilidad en
herramientas
1. Sistemas de Información
ón el manejo de
de desarrollo
Informaci 1 equipos de
ón Capacitaci Profesional protección,
Informaci
confidenc ón a en Ing. De UPS, Aire Restringid
Bases de Total con ón
DBA Conocimient ial e usuarios Sistemas acondicionad o
datos. restricción Publica
oy informaci finales para Data o tipo
certificación ón Center precisión,
en Oracle Privada Plantas de
emergencias
Administr
4 mantenim
ación de Diseñadores,
Profesional Informaci iento
Sistemas analistas, Total con
es en ón preventiv 6 Informaci
de restricción
4. Administración de Aulas de
auditores en Restringid
Ingeniería pública o y técnic Operadores ón
Informaci Sistemas de o
de sistemas correctivo os para la Publica
ón información
de las gestión de las
Informática.
video cámaras
Esta unidad fue creada mediante el articulo 41 del acuerdo No.
cámaras
038 de 2001 Por el cual se determina la Estructura Orgánica
emisora de la universidad
de la Universidad Pedagógica y Tecnológica de Colombia,
video beam
esta área es la encargada de administrar y velar por la Equipos de video conferencia
integridad, disponibilidad y confiabilidad de los sistemas de 6. Equipos de oficina: Equipos
información (académico y financiero), como de velar por el necesarios para el buen
buen uso, administración y mantenimiento de la red lógica, funcionamiento de la unidad
como de la internet, y a su vez dar soporte, capacitación a los académica como la unidad
usuarios y a los administradores de base de datos.
administrativa.(oficinas),
donde se alimentan los
Esta área también es responsable de la proyección,
diferentes sistemas de
actualización e implementación de nuevas tecnologías, que
información.
permitan a la universidad de estar a la vanguardia de las
(PC.
nuevas tecnologías, como de la competitividad tecnológica en
Portátiles.
el mercado de la educación superior.
Servidores.}
dispositivos móviles
controles de acceso
7) Inventario de activos informáticos de la Universidad entre otros
Pedagógica y Tecnológica de Colombia (U.P.T.C). 7. Telefonía IP
1. Sistemas operativos
(Microsoft Windows, Linux)
Tipo de Descripción 2. Aplicaciones servidor
activo (Apache, OpenSSH, servidor
1. Data Center: infraestructura Software
Subversión)
física o de Hardware con que 3. Aplicaciones Cliente (Cliente
cuenta la Universidad para a SSH, Chrome, IE, Mozilla)
logar: 4. Software de seguridad
Servidor de Correo (antivirus, cortafuegos, IDS)
Servidor VOIP 5. Sistemas de información:
Servidor DNS financiero, académico, gestión
Servidor Proxy documental y biblioteca.
Servidor Web
UPS Infraestruct Cableado estructurado, fibra óptica,
Aire acondicionada ura lógica y instalaciones eléctrica regulada y
Circuito Cerrado eléctrica domiciliaria, cuartos eléctricos.
back bone La información se encuentra
2. Planta eléctrica. a logada en diferentes
sistemas de información.
3. Dispositivos de red: Académica: registro y
control académico de los
Switch Activo estudiantes, docentes,
Router intangible la graduados, convenios,
Bandejas de fibra óptica información recursos físicos
LAN de la Proveedores: Mantiene y
Hardware DMZ organizació administra la información de
VLANs n los proveedores
VPN
Financiera: Contabilidad,
presupuesto, facturación,
cartera, compras, almacén, Soporte, capacitación y asesoría en las diferentes
inventario plataformas y tecnologías académicas y
Talento Humano (Nominas y administrativas.
hojas de vida de Administrar, Soporte y capacitación en el servicio de
administrativos, docentes y publicación vía web.
toda la información Diseñar, desarrollar e implementar aplicaciones de
relacionada con el software, según las necesidades de la Universidad
trabajador).
Soporte, capacitación y asesoría en el área de soporte
Sistemas de información de
Biblioteca técnico a las salas de informáticas, como a las
diferentes dependencias administrativas y académicas
(mantenimiento preventivo y correctivo) a los equipos
8) Procesos realizados dentro del área de cómputo que estén presentando inconvenientes
técnicos.
Realizar el trámite de garantías de los equipos con el
Administrar la red de sistemas de la Universidad.
proveedor dependiendo de los inconvenientes
Elaborar los estudios de factibilidad para la
detectados.
automatización de procesos que la Universidad
requiera a nivel académico, administrativo y de 10) Cuadro con las categorías de los activos, las
investigación y extensión universitaria.
vulnerabilidades, amenazas de seguridad
Analizar, diseñar y programar las diferentes encontrado en la Universidad Pedagógica y
aplicaciones requeridas por las distintas dependencias
Tecnológica de Colombia UPTC.
de la Universidad.
Asistir a las demás dependencias en la implantación de TABLA 5. Activos: vulnerabilidades y amenazas UPTC
las aplicaciones y procedimientos administrativos, y Problemas
en el mantenimiento de equipos. Falta de conocimiento en la manipulación y uso de las
aplicaciones por parte de los usuarios.
Diseñar mecanismos que permitan la integridad y Rotación constante de personal.
seguridad en el manejo de la información y de los Indisponibilidad de los servicios
equipos a su cargo, y velar por su cumplimiento, así Requerimientos nuevos
como de las normas que dicte el Gobierno Nacional en Delitos informáticos:
Robo de Identidades
materia de informática. Accesos no autorizados
Asesorar a las Facultades en el desarrollo de las Hackers
actividades propias de procesamiento de datos. Suplantación de identidades
Elaborar en coordinación con la oficina de planeación, Riesgos
Falla del hardware
estudios de reorganización administrativa en donde la Violación de la seguridad
sistematización simplifique la ejecución de procesos. Perdida de información
Velar por el buen funcionamiento, conservación y uso Perdida de energía
Denegación de servicios
adecuado de los equipos y programas de
Ataques informáticos
procesamiento de datos.
Administrar los servidores que presten servicio a las
redes de área local, para la creación de grupos, C. Integrar en un solo cuadro la totalidad de las
dominios y usuarios con los perfiles que cada uno vulnerabilidades y amenazas encontradas en las
utilice. organizaciones sin repetirlas.
Dar soporte a las aplicaciones que se manejan en la
Universidad. El consolidado de las dos empresas en su totalidad de
Presentar informes de su gestión al Director vulnerabilidades y amenazas se puede ver la siguiente tabla:
Administrativo y Financiero.
Las demás que le sean asignadas, de acuerdo con la
naturaleza de la dependencia
TABLA 6. Total de vulnerabilidades y amenazas
Activo: Activo de información
9) Servicios prestados a las demás áreas de la Vulnerabilidad Amenaza
organización. la falta de Acceso no autorizado a las aplicaciones y a la
conocimiento de información.
un usuario
El área de organización y sistemas presta apoyo a las demás
Comunidades académicas y administrativas de la universidad
la inexistencia Fallo en el disco rígido Computadores
de respaldos portátiles bajo
de información Borrado accidental de la responsabilidad
y equipamiento información del usuario.
redundante Activo: Redes y Comunicaciones
Vulnerabilidad Amenaza
La falta de Desastres naturales, como las inundaciones, rayos o Saturación de Control de acceso a la red no autorizado
medidas terremotos, y las condiciones medioambientales, canal de datos Control de acceso al sistema operativo no
preventivas tales como la temperatura, humedad, presencia de autorizado
polvo, entre otros. Alteración en la disponibilidad del servicio
Equipos de
La falta de Borrado/modificación de la información comunicación Falla en la red
políticas de desactualizados
acceso a los .
sistemas Daños en el
informáticos cableado Alteración en la disponibilidad del servicio
estructurado de
la transmisión la organización,
Perdida de información
de información daños en los
por medios equipos de
inseguros comunicación
Perdida de confidencialidad, e integridad como Routes y
Cuentas de Switchs, cortes
usuario en
de fibra óptica,
algunos casos
daño en los
con privilegios
de equipos activos
administrador del ISP.
Activo: Software o aplicación
La falta de
Vulnerabilidad Amenaza
medidas Desastres naturales, como las inundaciones, rayos o
Los errores de Robo de información
preventivas terremotos, y las condiciones medioambientales,
programación
en las tales como la temperatura, humedad, presencia de
aplicaciones polvo, entre otros.
Activo: Equipamiento Informático
Fallas de Perdida y robo de información Vulnerabilidad Amenaza
seguridad en las Alteración de la disponibilidad del servicio Daño o falla que Daño a la integridad de la información.
aplicaciones Ataques informáticos puede ocasionar Pérdidas de información
un equipo
No tener Perdida y robo de información
controles Ingresos no autorizados Configuraciones Robo de información
criptográficos incompletas, Pérdida de la confidencialidad, integridad y
Acciones intencionales tales como la comisión de configuraciones disponibilidad de la información.
robo o fraude indebidas, mala Fallas en el Sistema Informático.
La suplantación de identidad configuración de
software.
Falta de Desarrollo de software sin calidad
entornos de Activo: Instalaciones
pruebas Vulnerabilidad Amenaza
No hay Desastres naturales, como las inundaciones, rayos
No existe Errores operarios protección o terremotos, y las condiciones medioambientales,
documentación Errores técnicos contra las tales como la temperatura, humedad, presencia de
en el software amenazas polvo, entre otros
adquirido y externas y de
desarrollado origen
ambiental
Antivirus no
Virus
actualizados La falta de Robar, modificar o destruir
mobiliario de
Activo: Hardware oficina con llave
Vulnerabilidad Amenaza
La falta de Desastres naturales, como las inundaciones, rayos o No hay Robar, modificar o destruir
medidas terremotos, y las condiciones medioambientales, controles de
preventivas tales como la temperatura, humedad, presencia de acceso a las
polvo, entre otros. instalaciones ni
restricción al
Fallas por personal
Perdida y robo de información
obsolescencia o
mal La falta de
funcionamiento mantenimiento
en las Alteración en la disponibilidad del servicio
de equipamiento
instalaciones
Control de M (Medio) M (Medio) (26- M
acceso al Robar, modificar o destruir 75) (Moderado)(41-
DataCenter 80)
indebido L (Grande) A (Alto) (76- C (Catastrófico)
100) (81-100)
Activo: Servicios
Vulnerabilidad Amenaza TABLA 8. Clasificación Riesgo
La falta de Desastres naturales, como las inundaciones, rayos
medidas o terremotos, y las condiciones medioambientales, Activo: SERVIDORES
preventivas tales como la temperatura, humedad, presencia de Probabili Nivel
polvo, entre otros. Factor de dad de de Vulnerabilid
Amenaza
Riesgo Ocurrenci Impac ad
a to
Interrupciones Alteración en la disponibilidad del servicio Falta de
prolongadas de protección,
servicios puertas del
Robo,
eléctricos o de Data Center
Acceso no modificación
comunicaciones, B C
autorizado de
Ausencia de
información
control de
Acceso a redes Ingreso al
Robo de información
abiertas Data Center
suplantación
Falta de
mantenimient
o de la UPS,
Activo: Personal Corte de
reguladores,
Vulnerabilidad Amenaza fluido
planta
Contratación de Rotación constante de personal eléctrico,
eléctrica.
personal UPS en Falla
B C
descarga o eléctrica
Falta de
Falta de Mínima Formación y concienciación con
control de
políticas y variación de
nivel de
voltaje
procedimientos combustible
por parte de la para la planta
organización eléctrica
para velar por Falta de
los activos. mantenimient
Destrucción o periódico Polución,
Falta de Mal uso de los servicios de un B C de los humedad,
capacitación componente servidores corrosión
100
50
0 V. BIOGRAFÍA
Daño o…
Aplicaci…
Softwar…
Poca…
Acceso…
Mala…
Perdida…
Mala…
Errores…
Pérdida…
Falta de…
Límite…
Riesgo…
Error de…
Errores…
Sabotaje