Trabajo colaborativo: análisis y planeación,
diseño y ejecución
Hernán Mendieta
Ibagué - Colombia
hdmendieta@ut.edu.co
Resumen--- El presente trabajo tiene como fin realizar un análisis
y planeación, diseño y ejecución sobre los riesgos informáticos
enfocados a la seguridad informática y de la información.
Mediante el conocimiento de estándares más usados a nivel
internacional para realizar el proceso de análisis, evaluación y
gestión de riesgos aplicados a la misma.
El trabajo se divide en dos etapas; la primera es de planeación y
análisis, de carácter individual y la segunda etapa de diseño y
ejecución, es un trabajo colaborativo. A través de casos concretos se
aplicara la evaluación y la matriz de riesgos, tomando como
referencia la metodología MAGERIT.
Palabras Clave— Amenaza, análisis, diseño, ejecución, planeación,
riesgo, vulnerabilidad.
Abstract--- This paper aims to make an analysis and planning,
design and execution focused on IT risks to computer security and
information.
By understanding more internationally used standard for process
analysis, evaluation and risk management applied to it. The work is
divided into two stages; the first is planning and analysis, individual
character and the second stage of design and implementation is a
collaborative work. Through specific cases assessment and risk
matrix applied, by reference to the MAGERIT methodology.
Keywords— Threat, analysis, design, implementation, planning,
risk, vulnerability.
I. INTRODUCCIÓN
Actualmente, el uso de recursos informáticos y nuevas
tecnologías para los procesos de procesamiento de
información, hace que la seguridad en la información obtenga
más relevancia y es por eso que las organizaciones han venido
implementando planes de seguridad informática y Sistemas
de Gestión de la Información (SGSI) que permitan brindar un
sistema de control acorde a las nuevas circunstancias.
Por lo anterior se hace necesario conocer el proceso de
análisis de riesgos para detectar vulnerabilidades, riesgos,
amenazas y fallas para encontrar sus causa y las posibles
soluciones que lo minimicen, para esto se debe conocer los
estándares internacionales, como es el caso de MAGERIT que
es usado para el análisis de riesgos informáticos.
Para la etapa de planeación y análisis, se realizó de manera
individual, donde cada estudiante realiza un informe de la
empresa donde labora, también una descripción del área del
departamento de sistemas y por ultimo determina las
vulnerabilidades, amenazas y riesgos de seguridad de dicha
área, teniendo en cuenta todos los elementos activos
informáticos.
La segunda etapa de diseño y ejecución, es un trabajo
colaborativo donde se consolida la información de la etapa
anterior. Luego realizar un cuadro general de las
vulnerabilidades y amenazas.
Teniendo como base dicho cuadro se procede a adjuntar los riesgos,
clasificándolos por activo informático, describiéndolo como se
presenta y la valoración del impacto y la probabilidad de ocurrencia.
Finalmente se elabora una matriz de riesgo, donde se muestre
gráficamente el impacto y la probabilidad de acuerdo a la
escala de valoración.
II. DESCRIPCIÓN DE LAS EMPRESAS
Las organizaciones que se toman en cuenta para esta
descripción son: La Universidad del Tolima con sede en
Ibagué y la Universidad pedagógica y Tecnológica de
Colombia (UPTC) con sede Tunja.
A continuación se relaciona cada empresa
A. Universidad del Tolima
1) Actividad comercial que realiza
La Universidad del Tolima es un ente universitario autónomo,
de carácter estatal u oficial, del orden departamental, creado
por la Ordenanza No. 005 de 1945, con personería jurídica,
autonomía académica, administrativa y financiera, y
patrimonio independiente, que elaborará y manejará su
presupuesto de acuerdo con las funciones que le
corresponden. En lo concerniente a las políticas y la
planeación del sector educativo, está vinculada al Ministerio
de Educación Nacional ,según el DANE el código 8050 hace
referencia a la Educación superior, por tal motivo la principal
actividad realizada por la Universidad del Tolima, es la
Educación siendo una universidad pública y ofreciendo
programas académicos en su metodología presencial y
Educación a Distancia, Comprometidos con el desarrollo
científico, tecnológico, cultural y artístico que desemboca en
la formación de líderes con conciencia, ética y expresión
crítica con profundo respecto por la dignidad humana,
buscando contribuir a las necesidades del país ofreciendo
programas en áreas como Agronomía, Tecnologías, Ciencias
Básicas, Educación, Veterinaria, Forestal, ciencias de la salud
y Administración de empresas.
2) Reseña histórica de la organización
En 1945, siendo diputado a la Asamblea del Departamento del
Tolima para el período 1944-1946, don Lucio Huertas
Rengifo, presentó un proyecto de ordenanza por el cual se
creaba la Universidad del Tolima; este fue aprobado mediante
la Ordenanza No. 05 del 21 de mayo de 1945 y pasó a sanción
del señor Gobernador.
La Universidad del Tolima nació con la firma del Decreto No.
357 del 10 de marzo de 1955, que al amparo de la Ordenanza
No. 26 del 16 de diciembre de 1954 le asignaba recursos del
presupuesto departamental. Este Decreto creó los cargos de
Rector y de Decano de la Facultad de Agronomía.
El 12 de marzo de 1955 se inauguró oficialmente la
Universidad del Tolima, en terrenos de la Escuela
Agronómica de San Jorge (de los salesianos). Poco tiempo
después se creó la Escuela de Enfermería, por Decreto No.
099 de enero 31 de 1956 y se anexó la Escuela de Bellas Artes,
creada por Decreto No. 1236 de octubre 18 de 1955.
Para el primer semestre de 1956, la Universidad del Tolima
contaba con la Facultad de Ingeniería Agronómica, Escuela
de Enfermería y Escuela de Bellas Artes.
A partir de la década de los 90, la Universidad del Tolima
inicia la apertura de programas en el nivel de postgrado
(Especializaciones, maestrías y doctorados) y abre el camino
hacia el mejoramiento del nivel académico en todos sus
programas. Cuenta con las siguientes facultades:
Facultad Medicina Veterinaria y Zootecnia
Facultad de Ingeniería Forestal
Facultad de Ingeniería Agronómica
Facultad de Ciencias Económicas y Administrativas
Facultad de Ciencias de la Salud
Facultad de Ciencias de la Educación
Facultad de Ciencias
Facultad de Tecnologías
Facultad de Ciencias Humanas y artes
Instituto de Educación a Distancia
El día 30 de diciembre de 1982, mediante Acuerdo No. 080,
emanado por el Consejo Superior de la Universidad del
Tolima, se creó el Programa de Universidad Abierta y a
Distancia, adscrito a la Vicerrectoría Académica, dando
respuesta a una política del gobierno Nacional del Presidente
Belisario Betancourt Cuartas, cuyo objetivo principal era
ofrecer oportunidades de Educación Superior a quienes, por
razones de trabajo, lugar de residencia y/o disponibilidad de
tiempo no pudieran seguir programas presénciales.
Con la colaboración del Lic. Luís Alfonso Cruz Londoño
(1982-1983), quien fue sucedido por la Lic. Sandra Cecilia
Amaya de Pujana (1983-1993), inició labores en 1984 con
505 estudiantes el Centro Especial de Educación a Distancia
con el Programa de Licenciatura en Educación Preescolar
(Acuerdo No. 232 del 6 de octubre de 1983), aprobado
mediante Resolución 02524 del 11 de octubre de 1990,
quedando como sede central Ibagué, y con CREAD en los
municipios de Espinal, Chaparral Lérida y Armero.
Dadas las necesidades, la aceptación y las solicitudes de la
comunidad Tolimense, en el periodo académico B de 1984,
iniciaron tres nuevos programas:
• Licenciatura en Educación Básica Primaria, mediante
convenio con el ITUC (Acuerdo No 026 de febrero de 1985)
• Tecnología en Gestión Bancaria y Financiera (Acuerdo No.
172 del 20 de octubre de 1986)
• Tecnología Agropecuaria (Acuerdo No. 085 del 5 de junio
de 1986)
En marzo 7 de 1991, el Consejo Superior según Acuerdo No.
027, el Centro Especial adopta el nombre de Instituto de
Educación a Distancia. A partir de 1994, una de las políticas
de la dirección de la universidad fue la ampliación de
fronteras, buscando horizontes en otras regiones del
departamento y del país, hecho en el que se proyectó la
Universidad en los aspectos académico, pedagógico,
administrativo, cultural y comunitario.
En el año de 1995 se inician nuevos programas tales como:
• Tecnología en Sistemas de Información
• Tecnología en Obras Civiles
• Tecnología Forestal con Énfasis en Protección y
Recuperación de Ecosistemas Forestales.
• Administración Turística y Hotelera
• Especialización en Gerencia de Instituciones Educativas

De 1993-1994 asume la dirección del Instituto en calidad de

encargada la Lic. Ana Myriam Pinto Blanco. Desde 1994
hasta 1999, bajo la dirección del Magíster Luís Alberto
Malagón Plata, dentro del plan de Desarrollo 1994-1996, se
proyectó la ampliación de la oferta educativa, a través de
convenios con universidades como la del Valle, del Quindío
y Sur colombiana. En el año 2000 asume el Dr. Juan Carlos
Ferrero Otero con el plan de desarrollo 2001-2010. Desde
2005 hasta 2006 asumió la Dirección del Instituto la Magíster
Lucia Duran Pinilla. A partir del año 2007 hasta el 2010
asume la dirección del Instituto el Magíster Gerardo Montoya
de la Cruz. En el año 2011 la dirección del Instituto fue
asumida por el doctor Germán Rubio Guerrero, luego en el
año 2012 se nombra como directora encargada a la doctora
Liliana Margarita del Basto Sabogal y en la actualidad la Fig. 1. Organigrama Universidad del Tolima
dirección es asumida por el doctor Luis Alberto Malagon
Fuente: www.ut.edu.co
Plata desde noviembre de 2013.

Actualmente, el Instituto de Educación a Distancia
de la Universidad del Tolima cuenta con 13 programas
académicos de pregrado, con 4 especializaciones, con 54
Centros Regionales de Educación a Distancia (CREAD) y 1
Centro Regional de Educación Superior (CERES) y con 13
universidades en convenio en todo el país ( Unillanos,
Unicauca, UPTC, Uniminuto, Surcolombiana, Cartagena,
Amazonía, Cordoba, Francisco De Paula Santander, Quindío,
Santander de Quilichao, Instituto Técnico José Camacho, U.
Área Andina).
4) Estructura organizacional del área informática, los cargos
y funciones - oficina de gestión tecnológica
La Oficina de Gestión Tecnológica dentro del organigrama de
la institución hace parte de la Vicerrectoría Académica, está
conformada por 4 áreas conformadas de la siguiente manera:
Fig. 2. Áreas de Gestión Tecnológica

Actualmente, la Universidad es ampliamente conocida a nivel

de todo el país por la calidad de los programas que ofrece en
el ámbito de las ciencias agropecuarias, con una tradición de
más de medio siglo formando profesionales.

3) Organigrama organizacional

Actualmente el organigrama de la Universidad del Tolima, se

encuentra en proceso de adaptación y aprobación por parte del
consejo superior debido a la restructuración que ha tenido en
los últimos tiempos. En el actual organigrama la Oficina de
Gestión Tecnológica no aparece debido a que todavía no se
había creado mediante resolución.
Fuente: Los autores
La Oficina fue creada con el artículo 8 del acuerdo número
017 de 17 de Agosto de 2011 emanado por el Consejo
Superior de la Universidad del Tolima.

Finalidad: Dirigir y prestar servicios de apoyo a la

comunidad universitaria en la actividad académica,
administrativa e institucional, mediante el uso de las
herramientas que ofrecen las tecnologías de información y de
telecomunicaciones, teniendo como meta el fortalecimiento y
desarrollo de soluciones tecnológicas.

Personal que labora en la Oficina: Tiene en la dirección al

Coordinador de Gestión tecnológica.
5) Cargos y funciones  Generación de reportes solicitados
por la comunidad universitaria,
recepción de solicitudes).
TABLA 1. Cargos y funciones área de Gestión Tecnológica  Depuración de la información
Área Infraestructura y Redes reposada en las Bases de Datos.
Personal Cuatro Profesionales Universitarios  Diseñar y desarrollar aplicaciones
de software requeridas por la
Roles Funciones Universidad del Tolima.
Administrador de Redes  Supervisar a los proveedores de la  Desarrollar componentes de
Administrador Telefonía Universidad del Tolima en el software, y establecer los módulos
IP suministro e instalación de los necesarios para la implementación
Administrador equipos de cómputo y del sistema de información.
Servidores comunicaciones, cableado de red y  Realizar el levantamiento de
Oficial de Seguridad eléctrico. requerimientos y especificaciones
 Asegurar el buen rendimiento de la funcionales.
infraestructura tecnológica de la  Gestión de la configuración de
universidad, con el fin de que el cada uno de los desarrollos y/o
recurso tecnológico sea oportuno ajustes realizados a la aplicación
informática de la Universidad del
 Asesorar las dependencias Tolima.
académico-administrativas en la
 Garantizar el correcto
adquisición y manejo de los
funcionamiento de las aplicaciones
sistemas de cómputo y
informáticas desarrolladas,
comunicación, emitiendo los
enmarcadas en los estándares de
conceptos técnicos.
calidad empleados por la
 Monitorear permanentemente los Universidad del Tolima.
servicios del área  Diseñar la base de datos requeridos
 Probar nuevas tecnologías y para el desarrollo y/o ajuste -si es el
proponer su implementación de caso- de las aplicaciones
acuerdo a las necesidades, informáticas, según los
garantizando la funcionalidad, requerimientos de la Universidad
soporte y facilidad de del Tolima y en coordinación con
administración el administrador de las base de
 Mantener y dar soporte permanente datos de la Institución.
al servicio telefónico IP. Área TIC, Innovación y Apoyo a la Docencia
Personal Cinco Profesionales Universitarios y un
 Aplicar políticas de seguridad y
Técnico
asegurar la integridad de la
información.
Roles Funciones
 Aplicar y conceder acceso a las
distintas aplicaciones de Software.
Administrador  Administrar y gestionar los
Contenidos LMS proyectos y recursos enfocados en
 Administrar y aplicar políticas de Desarrolladores de TIC existentes en la institución, la
Correo Electrónico. contenidos AVA evaluación e implementación de
 Mantener y asegurar el correcto Productores de recursos o herramientas
funcionamiento de los servidores. Contenidos digitales de tecnológicas, la producción de
 Asegurar el correcto enseñanza contenidos digitales y garantizar la
funcionamiento de la aplicaciones funcionalidad de los procesos
 Realización de Backus de las
dentro del área.
distintas aplicaciones, sistemas y  Evaluar y establecer los objetivos
servidores. de aprendizaje para el caso de los
recursos digitales y de la enseñanza
dirigida por ordenador, basados en
Área Análisis y Desarrollo de Sistemas de la utilización de recursos web y
Información metodologías de aprendizaje.
Personal Ocho Profesionales Universitarios
 Gestionar y administrar los recursos
disponibles en el portal web, así
Roles Funciones como de desarrollar y
Administrador de Base  Administrar, mantener y mejorar programar los contenidos del portal
de Datos las aplicaciones informáticas. de acuerdo a los requerimientos de
Tres Desarrolladores de  Seguridad de la Información la institución
Software
Administrador
(Creación de respaldo y
 Mediar entre los recursos
configuración de ambientes,
tecnológicos, la enseñanza y el
Servidores restauración de archivos de backup,
aprendizaje, así como apoyará el
Cuatro Administradores control de acceso a la base de
desempeño docente en la
de Aplicaciones datos).
utilización de recursos tecnológicos
Administrativa y  Administrar, Optimizar, y herramientas digitales, estará en
Académicas Monitorear y Mantener las Bases de condiciones de capacitar y ofrecer
Datos. estrategias de formación durante el
 Manejo de Base de datos DDL y proceso de competencias docentes
DML. de manera presencial y apoyada por
 Soporte (novedades y auditorias recursos virtuales.
académicas.
 Área Mantenimiento de Hardware y Software
Personal Cuatro Técnicos
Roles Funciones
Técnicos  Realizar mantenimiento correctivo
y preventivo a los equipos de
cómputo adquiridos por la
Universidad
 Elaborar, programar y difundir las
jornadas de mantenimiento
preventivo a los equipos de
cómputo de las dependencias
 Brindar mantenimiento correctivo a
los equipos de cómputo que estén
presentando inconvenientes
técnicos.
 Realizar el trámite de garantías de
los equipos con el proveedor
dependiendo del inconveniente
detectado.
 Instalación y configuración de
equipos de cómputo, de acuerdo al
software adquirido por la
Universidad.
 Emisión de conceptos técnicos a los
equipos de cómputo que estén
presentando fallas de acuerdo a su
revisión técnica previamente
realizada.
 Instalación y configuración de
periféricos. (Scanner, video beams
e impresoras)
 Instalación de software gratuito o
licenciado en equipos de cómputo
(Dependencias o salas de sistemas).
 Elaborar y presentar los informes
periódicos de las actividades
realizadas por el Área.
6) Descripción del área de informática
En esta oficina se gestionan los diferentes aplicativos
académicos, administrativos, redes, Internet, brindar soporte
a los usuarios, administrar bases de datos, velar por la
integridad de los equipos e información, realizar
capacitaciones, controlar usuarios y perfiles, etc.
Somos los responsables de elaborar, desarrollar y proponer la
implementación de nuevas tecnologías, siendo proactivos y
propositivos, teniendo la capacidad de identificar más
fácilmente los procesos que pueden ser automatizados, dicho
departamento juega un papel muy importante dentro de la
organización ya que significa todo el sustento
técnico/tecnológico dentro de la Universidad del Tolima.
7) Inventario de activos informáticos de la universidad del
Tolima
Dentro de los activos se pueden relacionar los siguientes:
TABLA 2. Relación de activos de seguridad de la información
Tipos de activos Descripción
Activo de información La información no se encuentra unificada, se
tienen diferentes sistemas de información. Se
encuentran las siguientes bases de datos:
Corporativa (Normas, estatutos, reglamentos
y resoluciones): Almacena la información
clasificada de la Universidad.
Académica: Alberga y gestiona la
información académica de los estudiantes y,
docentes, graduados, convenios, recursos
físicos. No se encuentra unificada en un solo
sistema.
Proveedores: Mantiene y administra la
información de los proveedores
Financiera (Contabilidad, presupuesto,
facturación, cartera, compras, almacén e)
inventario): Gestiona del manejo y flujo
administrativo de la universidad.
Talento Humano (Nominas y hojas de vida de
administrativos, docentes y toda la
información relacionada con el trabajador).
También existe en algunos casos
documentación (manuales de usuario,
contratos, normativas, etc.)
Software o aplicación Sistemas de información: Existen tres el
financiero, académico y gestión documental.
Es desarrollo de terceros, aunque en el
software académico se ha realizado desarrollo
propio para ajustarlo a las necesidades de la
organización
Software Antivirus : Corporativo
Estaciones de Trabajo: Sistemas operativos
licenciados Windows, y software de
ofimática Microsoft Office licenciado.
Hardware Servidor de Correo SMTP / Gestión
Documental: Realiza procesos tendientes a
transportar información entre los distintos
usuarios y alberga la base de datos de Gestión
Documental
Servidor DNS: Determinar la ubicación a que
hace referencia una petición de un usuario
(URL) y lo conecta con ella.
Servidor Proxy: Servidor intermediario entre
computadores analiza y autoriza peticiones de
servicio
Servidor Web HTTP y FTP: Equipo desde
donde se maneja Protocolo de transferencia
de archivos y gestión y seguridad y permisos
Web.
Computadores: Estaciones de trabajo de cada
usuario activo en la red donde guarda la
información que produce.
Equipos de oficina (PC, portátiles, servidores,
dispositivos móviles, etc.)
Red Switchs: Equipo mediante el cual se establece
la comunicación al interior de la intranet y
forma parte de la columna vertebral (back
bone) de la red.
Router: Equipo Mediante el cual se establece
conexión hacia el exterior de la intranet.
 Equipamiento auxiliar UPS, planta eléctrica
Instalación Cableado estructurado, instalaciones
eléctricas.
Servicios Conectividad a internet, soporte de
mantenimiento de hardware y software,
disponibilidad del servicio a los sistemas de
información..
Personal Personal informático (administradores: de red
y comunicaciones, aplicativos, servidores,
telefonía y Webmaster) , DBA y
desarrolladores y personal técnico. además
de los usuarios finales (administrativos,
estudiantes y docentes).
8) Procesos realizados dentro del área
Los procesos que se realizan en el área de Gestión de
Tecnológica son básicamente los siguientes:
Gestionar políticas y lineamientos de informática para toda la
Universidad.
Investigar las tendencias tecnológicas en teleinformática y
evaluar su incorporación a la universidad, para el apoyo a la
administración, la docencia, la investigación y la proyección
social.
Mantener un sistema de información integral y consistente, de
apoyo a la toma de decisiones de la dirección.
Velar por el cumplimiento de estándares, normas y leyes de
uso de servicios de informática y de telecomunicaciones.
Velar por el buen funcionamiento de los recursos informáticos
y de telecomunicaciones.
Desarrollar e implantar soluciones al nivel de hardware y
software.
Instalar, mantener y garantizar la disponibilidad de
aplicaciones académico-administrativas.
Asesorar y dar soporte técnico a todos los usuarios.
 Asegurar el buen rendimiento de la infraestructura
tecnológica de la universidad, con el fin de que el recurso
tecnológico sea oportuno
 Disponibilidad del servicio
 Aseguramiento de la información
 Apoyo en formación, innovación e implementación de
recursos y herramientas enfocadas a la información y
comunicación, de la comunidad docente, estudiante y
administrativa de la Universidad del Tolima.
 Administrar el servicio de publicación web, así como las
tecnologías implementados en el mismo.
 Atender las solicitudes de desarrollo de nuevas
aplicaciones según requerimientos emitidos por las
diferentes dependencias.
 Diseñar y desarrollar aplicaciones de software requeridos
por la Universidad
 Asesorar las dependencias académico-administrativas en
la adquisición y manejo de los sistemas de cómputo y
comunicación, emitiendo conceptos técnicos.
 Mediar entre los recursos tecnológicos, la enseñanza y
aprendizaje, así como apoyará el desempeño docente en
la utilización de recursos tecnológicos y herramientas
digitales.
 Brindar mantenimiento correctivo a los equipos de
cómputo que estén presentando inconvenientes técnicos.
 Realizar mantenimiento correctivo y preventivo a los
equipos de cómputo adquiridos por la universidad
 Realizar el trámite de garantías de los equipos con el
proveedor dependiendo del inconveniente detectado.
10) Cuadro con las categorías de los activos, las
vulnerabilidades, amenazas de seguridad encontrados en la
universidad del Tolima
TABLA 3. Activos: vulnerabilidad y amenazas UT

Apoyo y capacitación en TIC para la docencia, investigación Activo: Activo de información

y extensión. Vulnerabilidad Amenaza
la falta de Acceso no autorizado a las aplicaciones y a la
Coordinar con el comité de Desarrollo de la docencia la conocimiento de información.
elaboración de planes de capacitación en TIC para los un usuario
profesores de la Universidad.
la inexistencia Fallo en el disco rígido
Coordinar con la División de Relaciones Laborales y de respaldos
Prestacionales la elaboración de planes de capacitación de de información Borrado accidental de la
TIC para el personal administrativo de la Universidad. y equipamiento información
redundante

La falta de Desastres naturales, como las inundaciones, rayos o

9) Servicios prestados a las demás áreas de la organización medidas terremotos, y las condiciones medioambientales,
preventivas tales como la temperatura, humedad, presencia de
Los servicios que brinda la oficina de Gestión Tecnología a la polvo, entre otros.
comunidad universitaria van enmarcados al soporte de apoyo La falta de Borrado/modificación de la información
y al logro de los objetivos misionales de la institución. políticas de
acceso a los
 Soporte técnico de hardware y software sistemas
informáticos
 Soporte de soluciones de hardware y software
 Soporte para adquisición de hardware y software la transmisión
Perdida de información
de información
por medios
inseguros
 Perdida de confidencialidad, e integridad como Routes y
Cuentas de Switchs, cortes
usuario en de fibra óptica,
algunos casos daño en los
con privilegios equipos activos
de del ISP.
administrador
Activo: Software o aplicación La falta de
Vulnerabilidad Amenaza medidas Desastres naturales, como las inundaciones, rayos o
Los errores de Robo de información preventivas terremotos, y las condiciones medioambientales,
programación tales como la temperatura, humedad, presencia de
en las polvo, entre otros.
aplicaciones Activo: Equipamiento Informático
Vulnerabilidad Amenaza
Fallas de Perdida y robo de información Daño o falla que Daño a la integridad de la información.
seguridad en las Alteración de la disponibilidad del servicio puede ocasionar Pérdidas de información
aplicaciones Ataques informáticos un equipo
No tener Perdida y robo de información Configuraciones Robo de información
controles Ingresos no autorizados incompletas, Pérdida de la confidencialidad, integridad y
criptográficos
configuraciones disponibilidad de la información.
Acciones intencionales tales como la comisión de
indebidas, mala Fallas en el Sistema Informático.
robo o fraude
configuración de
La suplantación de identidad
software.
Falta de Desarrollo de software sin calidad
entornos de Activo: Instalaciones
pruebas Vulnerabilidad Amenaza
No hay Desastres naturales, como las inundaciones, rayos o
No existe Errores operarios protección terremotos, y las condiciones medioambientales,
documentación Errores técnicos contra las tales como la temperatura, humedad, presencia de
en el software amenazas polvo, entre otros.
adquirido y externas y de
desarrollado origen
ambiental.
Antivirus no
Virus La falta de Robar, modificar o destruir
actualizados
mobiliario de
Activo: Hardware oficina con llave .
Vulnerabilidad Amenaza
No hay
La falta de Desastres naturales, como las inundaciones, rayos o
controles de Robar, modificar o destruir
medidas terremotos, y las condiciones medioambientales,
acceso a las
preventivas tales como la temperatura, humedad, presencia de
instalaciones ni
polvo, entre otros.
restricción al
personal
Fallas por Perdida y robo de información
obsolescencia o
mal La falta de
funcionamiento mantenimiento
de equipamiento en las Alteración en la disponibilidad del servicio
instalaciones
Computadores
portátiles bajo Control de
responsabilidad acceso al Robar, modificar o destruir
del usuario. DataCenter
indebido
Activo: Redes y Comunicaciones
Activo: Servicios
Vulnerabilidad Amenaza
Vulnerabilidad Amenaza
Saturación de Control de acceso a la red no autorizado
canal de datos Control de acceso al sistema operativo no La falta de Desastres naturales, como las inundaciones, rayos
autorizado medidas o terremotos, y las condiciones medioambientales,
Alteración en la disponibilidad del servicio preventivas tales como la temperatura, humedad, presencia de
Equipos de polvo, entre otros.
comunicación Falla en la red
desactualizados
. Interrupciones Alteración en la disponibilidad del servicio
prolongadas de
Daños en el
servicios
cableado Alteración en la disponibilidad del servicio
eléctricos o de
estructurado de
comunicaciones,
la organización,
daños en los
equipos de
comunicación Robo de información
 Acceso a redes suplantación La proyección a la sociedad en la formación de ciudadanos
abiertas conscientes de sus responsabilidades para el ordenamiento
social y la realización personal, y en la calidad de los
Activo: Personal profesionales en las respectivas formas del saber y del hacer.
Vulnerabilidad Amenaza
Contratación de Rotación constante de personal La potenciación de las competencias discursivas y la
personal adquisición de valores, exigidos por la sociedad
Falta de Mínima Formación y concienciación
contemporánea, como condición prioritaria para el
políticas y aprendizaje de las actividades intelectuales básicas, por medio
procedimientos de la lectura y escritura rigurosa, para incrementar los
por parte de la horizontes de la interpretación del mundo, poner en
organización
para velar por perspectivas las formas sociales imperantes, desarrollar la
los activos. capacidad argumentativa y orientar, críticamente, las
acciones.
Falta de Mal uso de los servicios
capacitación La fundamentación de los saberes que repercutan en la
Falta Calidad en los servicios sociedad, sustentados en el diseño racional, la diagramación
compromiso de eficiente y la programación estratégica, de manera que
la Organización brinden capacitación en la acción instrumental requerida para
alcanzar el bienestar en la sociedad moderna, dentro del
La falta de Errores de los usuarios
manuales de contexto de la formación humana, la justicia social y el
procedimientos desarrollo sostenible.
la divulgación o Pérdida o robo e información
utilización de 2) Reseña histórica de la organización
contraseñas
inseguras La Universidad Pedagógica y Tecnológica de Colombia
(UPTC), con domicilio en Tunja, es una Universidad oficial
del orden Nacional, creada mediante decreto 2655 del 10 de
Octubre de 1953, expedido por el Gobierno Nacional. La
B. Universidad pedagógica y Tecnológica de Colombia
Universidad cuenta con seccionales en Duitama, Sogamoso,
(UPTC).
Chiquinquirá y Yopal.

3) Organigrama organizacional
1) Actividad comercial que realiza

Fig. 3. Organigrama UPTC

La finalidad de la Universidad es la de buscar la verdad,
investigar la realidad en todos los campos, cuestionar y
controvertir el conocimiento ya adquirido, formular nuevas
hipótesis, construir nuevo conocimiento y transmitirlo a las
nuevas generaciones; formar ciudadanos y profesionales
íntegros, estudiar y criticar las fallas y problemas de la
sociedad y el Estado, proponer soluciones y servir de guía a
la Nación.

En este sentido, la visión de la Universidad se incorporará en

los Planes Estratégicos de Desarrollo, y en ellos se propenderá
por la concreción de las siguientes acciones:

El fortalecimiento de la actividad formativa, investigativa y

de proyección social, para lo cual dedicará su empeño y
adecuará organizaciones y servicios.

La fundamentación de la racionalidad del saber en el orden

económico, productivo y en el saber argumentativo; en la
construcción del conocimiento, la realización de la
democracia y el fomento de los valores de la cultura.
Fuente: UPTC
4) Estructura organizacional del área informática, los Conocimient
cargos y funciones - oficina organización y sistemas oy
Administr habilidades
ación de en
Fig. 4. Organigrama UPTC la administració
seguridad n de Sistemas
de las operativos
redes Windows
Organización y 20xx, redhat,
Sistemas Solaris 11
Diseñar
actualizac Manejo de
Sistemas de Administracion de Gestor de iones de herramientas Restringid
Telecomunicaciones Soporte Tecnico
Aulas Proyectos
Informacion infraestru o
ctura

Fuente: UPTC
Aplicacio
5) Cargos y funciones nes Técnicos
para PC´S
Personal que labora en la unidad de organización y sistemas:
esta unidad es dirigida por un Profesional Universitario con 1Técnico
conocimiento
título ingeniero de sistemas y Maestría en una de las áreas y habilidades
Plataform electrónico
en la Informaci
relacionadas directamente con las funciones de la misma, a para
manipulación ón restringido
adicional cuenta con el siguiente grupo de trabajo: Computac pantallas,
de hardware, Publica
ional Impresos y
instalación de
TABLA 4. Organización y Sistemas videobeams
aplicaciones
Organización del Área de Tecnología
Conocimient
de

Nivel de Informaci
Redes de 3 técnicos o y Restringid
ón
3. Soporte Técnico.

Actividad Recurso Acceso a Acceso a Datos para redes certificacione o

Trabajo

Capacidades Publica
es Humano La SI
Áreas

s en redes.
Informac
ión 1 técnico
Habilidad en
para
Desarrollo la Informaci
Conocimient Data manejo de Restringid
de manipulación ón
4 oy Informaci Center software o
Sistemas Restringid de hardware Publica
desarrollad habilidades ón especializa
de o tipo servidor.
or en Privada do
Informaci habilidad en
herramientas
1. Sistemas de Información

ón el manejo de
de desarrollo
Informaci 1 equipos de
ón Capacitaci Profesional protección,
Informaci
confidenc ón a en Ing. De UPS, Aire Restringid
Bases de Total con ón
DBA Conocimient ial e usuarios Sistemas acondicionad o
datos. restricción Publica
oy informaci finales para Data o tipo
certificación ón Center precisión,
en Oracle Privada Plantas de
emergencias
Administr
4 mantenim
ación de Diseñadores,
Profesional Informaci iento
Sistemas analistas, Total con
es en ón preventiv 6 Informaci
de restricción
4. Administración de Aulas de

auditores en Restringid
Ingeniería pública o y técnic Operadores ón
Informaci Sistemas de o
de sistemas correctivo os para la Publica
ón información
de las gestión de las
Informática.

Conocimient aulas salas

Administr os y informaci
ación habilidades ón Conocimient
2. Telecomunicaciones.

redes en gestión de privada, Restringid o y habilidad

Inalámbri redes confidenc o Definir en el manejo
cas ial y programa de las Informaci
1 herramientas Restringid
pública ción de ón
Profesional tecnológicas o
Conocimient clases y Publica
os y préstamo disponibles
Administr para la
habilidades
ación administració
gestión de la Restringid
Data n de cada sala
seguridad de o
Center
la
información
  WI_FI
4. Salas de informática:
5. Gestores de
Informaci
Proyectos
Administr 2
ón Restringid
ar Profesional
Privada y o
 Pcs.
proyectos es
Gerentes de Publica  Portátiles
proyectos  Impresoras
informáticos  Escáner
 Plotter
 CCTV
6) Descripción del área de informática 5. Medios audiovisuales:

 video cámaras
Esta unidad fue creada mediante el articulo 41 del acuerdo No.
 cámaras
038 de 2001 Por el cual se determina la Estructura Orgánica
 emisora de la universidad
de la Universidad Pedagógica y Tecnológica de Colombia,
 video beam
esta área es la encargada de administrar y velar por la  Equipos de video conferencia
integridad, disponibilidad y confiabilidad de los sistemas de 6. Equipos de oficina: Equipos
información (académico y financiero), como de velar por el necesarios para el buen
buen uso, administración y mantenimiento de la red lógica, funcionamiento de la unidad
como de la internet, y a su vez dar soporte, capacitación a los académica como la unidad
usuarios y a los administradores de base de datos.
administrativa.(oficinas),
donde se alimentan los
Esta área también es responsable de la proyección,
diferentes sistemas de
actualización e implementación de nuevas tecnologías, que
información.
permitan a la universidad de estar a la vanguardia de las
 (PC.
nuevas tecnologías, como de la competitividad tecnológica en
 Portátiles.
el mercado de la educación superior.
 Servidores.}
 dispositivos móviles
 controles de acceso
7) Inventario de activos informáticos de la Universidad  entre otros
Pedagógica y Tecnológica de Colombia (U.P.T.C). 7. Telefonía IP
1. Sistemas operativos
(Microsoft Windows, Linux)
Tipo de Descripción 2. Aplicaciones servidor
activo (Apache, OpenSSH, servidor
1. Data Center: infraestructura Software
Subversión)
física o de Hardware con que 3. Aplicaciones Cliente (Cliente
cuenta la Universidad para a SSH, Chrome, IE, Mozilla)
logar: 4. Software de seguridad
 Servidor de Correo (antivirus, cortafuegos, IDS)
 Servidor VOIP 5. Sistemas de información:
 Servidor DNS financiero, académico, gestión
 Servidor Proxy documental y biblioteca.
 Servidor Web
 UPS Infraestruct Cableado estructurado, fibra óptica,
 Aire acondicionada ura lógica y instalaciones eléctrica regulada y
 Circuito Cerrado eléctrica domiciliaria, cuartos eléctricos.
 back bone  La información se encuentra
2. Planta eléctrica. a logada en diferentes
sistemas de información.
3. Dispositivos de red:  Académica: registro y
control académico de los
 Switch Activo estudiantes, docentes,
 Router intangible la graduados, convenios,
 Bandejas de fibra óptica información recursos físicos
 LAN de la  Proveedores: Mantiene y
Hardware  DMZ organizació administra la información de
 VLANs n los proveedores
 VPN
  Financiera: Contabilidad,
presupuesto, facturación,
cartera, compras, almacén,
inventario
 Talento Humano (Nominas y
hojas de vida de
administrativos, docentes y
toda la información
relacionada con el
trabajador).
 Sistemas de información de
Biblioteca
8) Procesos realizados dentro del área
 Administrar la red de sistemas de la Universidad.
 Elaborar los estudios de factibilidad para la
automatización de procesos que la Universidad
requiera a nivel académico, administrativo y de
investigación y extensión universitaria.
 Analizar, diseñar y programar las diferentes
aplicaciones requeridas por las distintas dependencias
de la Universidad.
 Asistir a las demás dependencias en la implantación de
las aplicaciones y procedimientos administrativos, y
en el mantenimiento de equipos.
 Diseñar mecanismos que permitan la integridad y
seguridad en el manejo de la información y de los
equipos a su cargo, y velar por su cumplimiento, así
como de las normas que dicte el Gobierno Nacional en
materia de informática.
 Asesorar a las Facultades en el desarrollo de las
actividades propias de procesamiento de datos.
 Elaborar en coordinación con la oficina de planeación,
estudios de reorganización administrativa en donde la
sistematización simplifique la ejecución de procesos.
 Velar por el buen funcionamiento, conservación y uso
adecuado de los equipos y programas de
procesamiento de datos.
 Administrar los servidores que presten servicio a las
redes de área local, para la creación de grupos,
dominios y usuarios con los perfiles que cada uno
utilice.
 Dar soporte a las aplicaciones que se manejan en la
Universidad.
 Presentar informes de su gestión al Director
Administrativo y Financiero.
 Las demás que le sean asignadas, de acuerdo con la
naturaleza de la dependencia
9) Servicios prestados a las demás áreas de la
organización.
El área de organización y sistemas presta apoyo a las demás
Comunidades académicas y administrativas de la universidad
 Soporte, capacitación y asesoría en las diferentes
plataformas y tecnologías académicas y
administrativas.
 Administrar, Soporte y capacitación en el servicio de
publicación vía web.
 Diseñar, desarrollar e implementar aplicaciones de
software, según las necesidades de la Universidad
 Soporte, capacitación y asesoría en el área de soporte
técnico a las salas de informáticas, como a las
diferentes dependencias administrativas y académicas
(mantenimiento preventivo y correctivo) a los equipos
de cómputo que estén presentando inconvenientes
técnicos.
 Realizar el trámite de garantías de los equipos con el
proveedor dependiendo de los inconvenientes
detectados.
10) Cuadro con las categorías de los activos, las
vulnerabilidades, amenazas de seguridad
encontrado en la Universidad Pedagógica y
Tecnológica de Colombia UPTC.
TABLA 5. Activos: vulnerabilidades y amenazas UPTC
Problemas
 Falta de conocimiento en la manipulación y uso de las
aplicaciones por parte de los usuarios.
 Rotación constante de personal.
 Indisponibilidad de los servicios
 Requerimientos nuevos
Delitos informáticos:
 Robo de Identidades
 Accesos no autorizados
 Hackers
 Suplantación de identidades
Riesgos
 Falla del hardware
 Violación de la seguridad
 Perdida de información
 Perdida de energía
 Denegación de servicios
 Ataques informáticos
C. Integrar en un solo cuadro la totalidad de las
vulnerabilidades y amenazas encontradas en las
organizaciones sin repetirlas.
El consolidado de las dos empresas en su totalidad de
vulnerabilidades y amenazas se puede ver la siguiente tabla:
TABLA 6. Total de vulnerabilidades y amenazas
Activo: Activo de información
Vulnerabilidad Amenaza
la falta de Acceso no autorizado a las aplicaciones y a la
conocimiento de información.
un usuario
la inexistencia Fallo en el disco rígido Computadores
de respaldos portátiles bajo
de información Borrado accidental de la responsabilidad
y equipamiento información del usuario.
redundante Activo: Redes y Comunicaciones
Vulnerabilidad Amenaza
La falta de Desastres naturales, como las inundaciones, rayos o Saturación de Control de acceso a la red no autorizado
medidas terremotos, y las condiciones medioambientales, canal de datos Control de acceso al sistema operativo no
preventivas tales como la temperatura, humedad, presencia de autorizado
polvo, entre otros. Alteración en la disponibilidad del servicio
Equipos de
La falta de Borrado/modificación de la información comunicación Falla en la red
políticas de desactualizados
acceso a los .
sistemas Daños en el
informáticos cableado Alteración en la disponibilidad del servicio
estructurado de
la transmisión la organización,
Perdida de información
de información daños en los
por medios equipos de
inseguros comunicación
Perdida de confidencialidad, e integridad como Routes y
Cuentas de Switchs, cortes
usuario en
de fibra óptica,
algunos casos
daño en los
con privilegios
de equipos activos
administrador del ISP.
Activo: Software o aplicación
La falta de
Vulnerabilidad Amenaza
medidas Desastres naturales, como las inundaciones, rayos o
Los errores de Robo de información
preventivas terremotos, y las condiciones medioambientales,
programación
en las tales como la temperatura, humedad, presencia de
aplicaciones polvo, entre otros.
Activo: Equipamiento Informático
Fallas de Perdida y robo de información Vulnerabilidad Amenaza
seguridad en las Alteración de la disponibilidad del servicio Daño o falla que Daño a la integridad de la información.
aplicaciones Ataques informáticos puede ocasionar Pérdidas de información
un equipo
No tener Perdida y robo de información
controles Ingresos no autorizados Configuraciones Robo de información
criptográficos incompletas, Pérdida de la confidencialidad, integridad y
Acciones intencionales tales como la comisión de configuraciones disponibilidad de la información.
robo o fraude indebidas, mala Fallas en el Sistema Informático.
La suplantación de identidad configuración de
software.
Falta de Desarrollo de software sin calidad
entornos de Activo: Instalaciones
pruebas Vulnerabilidad Amenaza
No hay Desastres naturales, como las inundaciones, rayos
No existe Errores operarios protección o terremotos, y las condiciones medioambientales,
documentación Errores técnicos contra las tales como la temperatura, humedad, presencia de
en el software amenazas polvo, entre otros
adquirido y externas y de
desarrollado origen
ambiental
Antivirus no
Virus
actualizados La falta de Robar, modificar o destruir
mobiliario de
Activo: Hardware oficina con llave
Vulnerabilidad Amenaza
La falta de Desastres naturales, como las inundaciones, rayos o No hay Robar, modificar o destruir
medidas terremotos, y las condiciones medioambientales, controles de
preventivas tales como la temperatura, humedad, presencia de acceso a las
polvo, entre otros. instalaciones ni
restricción al
Fallas por personal
Perdida y robo de información
obsolescencia o
mal La falta de
funcionamiento mantenimiento
en las Alteración en la disponibilidad del servicio
de equipamiento
instalaciones
 Control de M (Medio) M (Medio) (26- M
acceso al Robar, modificar o destruir 75) (Moderado)(41-
DataCenter 80)
indebido L (Grande) A (Alto) (76- C (Catastrófico)
100) (81-100)
Activo: Servicios
Vulnerabilidad Amenaza TABLA 8. Clasificación Riesgo
La falta de Desastres naturales, como las inundaciones, rayos
medidas o terremotos, y las condiciones medioambientales, Activo: SERVIDORES
preventivas tales como la temperatura, humedad, presencia de Probabili Nivel
polvo, entre otros. Factor de dad de de Vulnerabilid
Amenaza
Riesgo Ocurrenci Impac ad
a to
Interrupciones Alteración en la disponibilidad del servicio Falta de
prolongadas de protección,
servicios puertas del
Robo,
eléctricos o de Data Center
Acceso no modificación
comunicaciones, B C
autorizado de
Ausencia de
información
control de
Acceso a redes Ingreso al
Robo de información
abiertas Data Center
suplantación
Falta de
mantenimient
o de la UPS,
Activo: Personal Corte de
reguladores,
Vulnerabilidad Amenaza fluido
planta
Contratación de Rotación constante de personal eléctrico,
eléctrica.
personal UPS en Falla
B C
descarga o eléctrica
Falta de
Falta de Mínima Formación y concienciación con
control de
políticas y variación de
nivel de
voltaje
procedimientos combustible
por parte de la para la planta
organización eléctrica
para velar por Falta de
los activos. mantenimient
Destrucción o periódico Polución,
Falta de Mal uso de los servicios de un B C de los humedad,
capacitación componente servidores corrosión

Falta Calidad en los servicios Corto circuito

compromiso de Falta de
la Organización personal
capacitado en
el área
La falta de Errores de los usuarios
manuales de
Políticas de
procedimientos
Seguridad
inadecuadas
la divulgación o Pérdida o robo e información
utilización de
Inestabilidad Operaciones
contraseñas
Error de del Sistema incorrectas,
inseguras
configuració B M personal
n Falta de descontento
controles negligencia
periódicos a
D. Diseñar un cuadro donde aparezcan clasificados los la
riesgos por activo informático (talento humano, configuració
hardware, seguridad física, redes de datos, sistemas n
operativos, bases de datos, seguridad lógica, entre Falta de
otros), describiendo claramente cómo se están capacitación
presentando los riesgos y la valoración del impacto y la continua al
probabilidad de ocurrencia. personal
Deterioro del
funcionamien
Límite de Servicios y
to.
TABLA 7. Medición Riesgo vida útil - seguridad
B M
Máquinas desactualizad
Sistemas
obsoletas os
Medición del Riesgo desactualizad
Probabilidad de os
Potencial Nivel Activo: BASES DE DATOS
Ocurrencia
S (Pequeño) B (Bajo) (0-25) L (leve) (0-40)
 Falta de Robo de rotación de divulgación
control de información, backups de la
acceso a los fraude información,
sistemas Falta de virus
Copia no Daño a la políticas
autorizada integridad de adecuadas
M C
en medios de los datos
datos Backups
Daño a los Expuestos
sistemas
motores bd Backups
almacenados
Falta de en equipos
Actualizacio sin
nes y parches protección
Caída del
Falta de Falta de
servicio
controles redundancia
periódicos de en los
Errores de Bugs del
B M verificación backups
software sistema
de la Backups
configuració Perdida de almacenados
Huecos de Robo de
n. confidenciali en equipos
seguridad información,
dad en datos sin
B C alteración de
Falta de privados y protección
información,
mantenimient de
virus
o sistema Backups
Falta de expuestos
planeación Falta de
del controles de
crecimiento acceso físicos
del sistema
Falta de Vandalismo,
Problemas Falta de
espacio de perdida de
M M Almacenami con nuevos controles
almacenamie datos,
ento registros accesos
nto Sabotaje B C divulgación
compartido lógicos
de
información,
Falta de Falta de
virus
Mantenimien controles de
to seguridad
Falta de (antivirus,
políticas firewall)
adecuadas Activo: SOFTWARE DE APLICACIÓN, PROGRAMAS FUENTE
Falta de
Falta de controles de
procedimient accesos.
Perdida de
os
información,
documentado Falta de
perdida de
Mala s mecanismos
integridad de
configuració B M de
la
n de backups Falta de monitorizaci
información,
Control ón Robo,
restauracione
periódico Perdida
s fallidas.
Backups Falta de divulgación,
realizados no Control de alteración de
concurrentes usuarios la
Acceso no
cesados información.
autorizado a
Backups Sabotaje,
datos
parciales B C Existencia de vandalismo.
(borrado,
Mala Falta de puntos de la Personal
Datos Modificació
integridad de B M Mantenimien red sin interno
corruptos n, etc.)
los datos to ningún (descontento,
Falta de control de negligencia,
monitoreo seguridad deshonestida
Medios de Fallas de
adecuado d, cesados,
datos no software,
Políticas de etc)
están hardware y o
M M Falta de seguridad
disponibles red de datos,
Tuning de las inadecuadas
cuando son ataques de
base de datos
necesarios DDOS
y Falta de
aplicaciones capacitación
Falta de Robo de sobre valores
Pérdida de control información, y ética
B C profesional
backups adecuado de barrado de
información,
 Políticas de cantidad de
Seguridad persona
inadecuadas. especializado
Falta de Ausencia de
control y mecanismos
Aplicaciones monitoreo. Multas, de monitoreo.
B B
sin licencia Equipos con Demandas. Ausencia de
usuario mecanismos
Software
administrado para
desactualiza B B Virus
r sin despliegue de
do
protección o actualizacion
restricción es y parches.
Políticas Softwares sin
inadecuadas. soporte.
Personal no Daño del
Error de capacitado. sistema. Activo: ALMACENAMIENTO
configuració B B Falta de Perdida de Falta o
n mecanismos confidenciali imprecisión
de dad Copia no Información
de políticas
monitorizaci autorizada a privilegiada
B C sobre uso de
ón. un medio de conocida por
medios de
datos terceros
Software almacenamie
Perdida de la
Errores en obsoleto. nto externo
confidenciali
las funciones Falta de Copias de
M M dad.
de nieles de volúmenes
Robo de
encriptación administració información
información
n. grandes
Perdida de
Falta de Errores de
B B integridad en
control de software Fallas en los
Falta de Falla de la los datos
versiones. procesos
compatibilid B B prestación
Software lógicos de
ad del servicio.
desactualizad transferencia
o. de datos
Usencia de Daños físicos
control de los en medios
sistemas. Robo, Falla en externos
Falta de Ausencias de alteración y medios B B
confidenciali M C sistemas de divulgación externos Perdida de
dad seguridad. de la medios
Políticas información externos Perdida o
inadecuadas. Almacenami inaccesibilida
ento d de
Ausencia de Suplantación compartido información
Falta de
administració de identidad.
espacio de
n. Autorización B M Falta de
almacenamie
Mala Personal o elevada de políticas
nto
administraci capacitado. privilegios. sobre tipos de
B M
ón de control Robo, archivos a
de acceso alteración y almacenar
divulgación Copia de Espacio de
de la información almacenamie
información innecesaria nto mal
Mala
Ausencia de Fallas en el utilizado
configuració B M
Poca capacitación. sistema. Periodicidad
n de backups
adaptación a Proyectos Rechazo al de copias Respaldo de
B B
cambios del inmaduros. sistema. indebidas datos
sistema Mal diseño Corrupción desfasados
de sistemas de datos. Mala
Ausencia de integridad de Procesos de Información
control de los datos B M copias de no acta para
Fallas en el
versiones. resguardados datos fallidos su lectura
sistema,
Necesidades .
Corrupción
Prueba de inmediatas. Medios de
de datos. Falta de
software B M Falta de datos no Información
Información rotulación en
deficiente personal de están no
privilegiada B M las copias de
pruebas. disponibles actualizada
expuesta. seguridad
Ausencia de cuando son en el
ambiente de realizadas
necesarios momento
pruebas Pérdida de Sistemas no indicado
Ausencia de B C
backups integrales
mecanismos Corte en la Información
Falla del de control y prestación Información
M C privilegiada
sistema monitoreo. del servicio. Robo B C privilegiada
conocida por
Falta de expuesta
terceros
mayor
 Falta de E. Lista de riesgos y elaborar la matriz de riesgos donde se
Falta de disponibilida muestre gráficamente el impacto y probabilidad de
control sobre d, integridad
Sabotaje B M el nivel de y acuerdo a la escala de valoración para probabilidad
acceso a la accesibilidad que puede tener los valores (bajo, medio, alto), y para
información en la impacto los valores de (leve, moderado, catastrófico),
información esta valoración debe hacerla el grupo de acuerdo a la
Información Perdida de
Spoofing y
B M privilegiada integridad en probabilidad de ocurrencia de riesgos (número de veces
Sniffing por periodo de tiempo) y el impacto (las consecuencias
expuesta los datos
Activo: CABLEADO Y EQUIPOS ACTIVOS de llegar a concretarse el riesgo).
Perdida de
comunicació TABLA 9. Lista Riesgo
Uso de
Conexión de n entre nodos
medios de Probabilidad
cables M M de red. Nivel de
conexión no Factor de Riesgo de
inadmisible Impacto
certificados Ocurrencia
Loops en la
red
Falta de Acceso no autorizado B C
control o Corte de luz, UPS descargado o
inspección a variaciones de Voltaje. B C
Daño o Nodos de red
los centros de
destrucción desconectado
cableado Destrucción de un componente B C
de cables o s
A C
equipamient Error de configuración B M
Hojas de vida
o Comunicacio
de equipos Límite de vida útil - Máquinas
inadvertido nes fallidas
activos obsoletas B M
desactualizad
as Copia no autorizada de un medio
Deterioro de de datos M C
los
Errores de software B M
Exceso de componentes
Factores calor en los electrónicos Falta de espacio de
M C
ambientales centros de de los almacenamiento M M
cableado equipos de
comunicacio Mala configuración de backups B M
nes
Mala integridad de los datos B M
Espectro
electromagné Medios de datos no están
tico disponibles cuando son
compartido necesarios M M
en redes WiFi
Bloqueos e Pérdida de backups B C
Interferencia
M M intermitencia
s Equipos de Perdida de confidencialidad en
s del servicio
potencia datos privados y de sistema B C
cercanos a los
de Sabotaje B C
comunicacio Acceso no autorizado a datos
nes (borrado, Modificación, etc.) B C
Falta de
Límite de Perdida o
equipos de Aplicaciones sin licencia B B
vida útil de A C caída del
soporte en
equipos. servicio Error de configuración B B
inventario
Certificacion Errores en las funciones de
Longitud de Transmisión
es de encriptación M M
los cables de B M de datos
cableado
red excedida deficiente
adulteradas Falta de compatibilidad B B
Medios
desprotegido Desgaste del Falta de confidencialidad M C
Reducción
s medio o Mala administración de control de
de velocidad
M M tiempos de acceso. B M
de
Equipos vida útil
transmisión Poca adaptación a cambios del
activos excedidos
obsoletos sistema B B
Inexperiencia
Prueba de software deficiente B M
en estática Daño físico a
Riesgo por el eléctrica los equipos Falla del sistema M C
personal de activos
limpieza o A M Falta de Software desactualizado B B
personal control en Puntos de
Virus M M
externo ingreso a los conexión a la
centros de red Copia no autorizada a un medio
cableado de datos B C
Errores de software B B
Falla en medios externos B B
III. CONCLUSIONES
Falta de espacio de
almacenamiento B M Este trabajo es muy complejo y este grupo no tuvo la
B
participación activa del tutor para aclarar inquietudes.
Mala configuración de backups M
Mala integridad de los datos
resguardados. B M
El análisis y evaluación de riesgos informáticos enfocados a
la seguridad informática y de la información, es muy valioso
Medios de datos no están
disponibles cuando son ya que permite la valoración del mismo.
necesarios B M
La aplicación de los estándares no es tan sencilla, ya que se
Pérdida de backups B C
requiere la comprensión total, en el caso la metodología
Robo B C MAGERIT es muy compleja y requiere de buen tiempo a
Rótulos inadecuado en los medios prender a utilizarla.
de datos B M
Sabotaje B M
Spoofing y sniffing B M
Conexión de cables inadmisible M M IV. REFERENCIAS
Daño o destrucción de cables o
equipamiento inadvertido A C
[1] «http://virtual.uptc.edu.co,» [En línea]. Available:
Factores ambientales M C http://virtual.uptc.edu.co/acreditacion/MODELO/ANEXOS/FACTOR
_ADMINISTRACION/ESTRUCTURA%20ORGANICA.htm.
Interferencias M M [Último acceso: 14 03 2015].
Límite de vida útil de equipos. A C [2] «ut.edu.co,» 11 03 2014. [En línea]. Available:
http://www.ut.edu.co/administrativos/. [Último acceso: 13 03 2015].
Longitud de los cables de red
excedida B M [3] «Naturaleza Jurídica e Historia,» 11 03 2014. [En línea]. Available:
http://www.ut.edu.co/administrativos/. [Último acceso: 13 03 2015].
Reducción de velocidad de
transmisión M M [4] «Área de TIC, Innovación y Apoyo a la Docencia,» 09 02 2015. [En
línea]. Available:
Riesgo por el personal de limpieza http://www.ut.edu.co/administrativos/index.php/area-de-tic-
o personal externo A M innovacion-y-apoyo-a-la-docencia/actualidad. [Último acceso: 13 03
2015].
TABLA 10. Matriz Riesgo
[5] «Administración de Sistemas de Información,» 05 11 2014. [En
Probabilidad línea]. Available:
http://www.ut.edu.co/administrativos/index.php/area-de-analisis-y-
Riesgo B M A desarrollo-de-sistemas-de-informacion. [Último acceso: 13 03 2015].
S L L M [6] «Área de Mantenimiento de Hardware y Software,» 03 07 2014. [En
línea]. Available:
Impacto M M M C http://www.ut.edu.co/administrativos/index.php/area-de-
mantenimiento-de-hardware-y-software. [Último acceso: 13 03 2015].
L C C C
[7] «Área de Infraestructura y Redes,» 20 05 2014. [En línea]. Available:
http://www.ut.edu.co/administrativos/index.php/area-de-
infraestructura-y-redes. [Último acceso: 13 03 2015].
Fig.1. Riesgos, probabilidad e Impacto
[8] «Información Institucional,» 24 07 2013. [En línea]. Available:
http://www.uptc.edu.co/universidad/acerca_de/inf_institucional/index
150 .html. [Último acceso: 03 2015].

100
50
0 V. BIOGRAFÍA
Daño o…
Aplicaci…

Softwar…
Poca…
Acceso…

Mala…
Perdida…

Mala…
Errores…

Pérdida…
Falta de…

Límite…
Riesgo…
Error de…
Errores…

Sabotaje

Probabilidad de Ocurrencia Nivel de Impacto

Fuente: De los autores

Hernan Dario Mendieta. Nació en
Cajamarca Tolima. Títulos Obtenidos
Tecnólogo en Electrónica de la Universidad
de Tolima, Ingeniero de Sistemas de la
Universidad del Tolima.
Su experiencia profesional incluye la
Registraduría Nacional del Estado Civil,
Tolplasicos, Comercial de Servicios,
Ministerio de la Protección social,
Universidad del Tolima. Sus áreas de
interés incluyen, entre otras, Planes de la
seguridad de la Información, Etical
Hacking, Bases de Datos. Actualmente
Adelanta estudios de Especialización en
Seguridad, en la Universidad Nacional
Abierta y a Distancia UNAD.