Universidad Nacional Abierta y a Distancia

Vicerrectoría Académica y de Investigación

Guía de actividades y rúbrica de evaluación – Fase 2

1. Descripción general del curso

Escuela o Unidad Escuela de Ciencias Básicas, Tecnología e

Académica Ingeniería
Nivel de Especialización
formación
Campo de Formación disciplinar
Formación
Nombre del Riesgos y Control Informático
curso
Código del curso 233004
Tipo de curso Práctico Habilitable Si ☐ No ☒
Número de 2
créditos

2. Descripción de la actividad

Tipo de Número de
Individual ☐ Colaborativa ☒ 4
actividad: semanas
Momento de
Intermedia,
la Inicial ☐ ☒ Final ☐
unidad:
evaluación:
Peso evaluativo de la Entorno de entrega de actividad:
actividad: 125 Seguimiento y evaluación
Fecha de inicio de la Fecha de cierre de la actividad:
actividad: 15/02/2019 13/03/2019
Competencia a desarrollar:
Evaluar el nivel riesgo de los activos informáticos de una organización
mediante el uso de una metodología de análisis de riesgos para determinar el
estado actual de la seguridad informática.

Temáticas a desarrollar:

Identificación del problema y Levantamiento de información asociado con la

seguridad informática en una organización

Identificación de vulnerabilidades, amenazas, riesgos y salvaguardas

Pasos, fases o etapa de la estrategia de aprendizaje a desarrollar

Contexto de la estrategia de aprendizaje a desarrollar en el curso

Aprendizaje Basado en Problemas

Este se constituye en una estrategia didáctica donde a partir del

planteamiento de un problema, se desarrolle un razonamiento critico que
permita resolver el mismo, fomentando la creatividad y la promoción de un
pensamiento divergente y convergente.

Actividades a desarrollar

Actividad Individual

A partir de una situación problema propuesta por el curso, de una empresa

simulada, establecer el alcance para la realización de un análisis y gestión del
riesgo. La metodología propuesta para el análisis y la gestión del Riesgo de
los sistemas de información propuesta para el curso es MAGERTI.

Esta metodología se asocia con el marco de trabajo para la gestión del riesgo
ISO 31000 y tiene como objetivos:

 Concienciar a los responsables de las organizaciones de información de

la existencia de riesgos y de la necesidad de gestionarlos
 Ofrecer un método sistemático para analizar los riesgos derivados del
uso de tecnologías de la información y comunicaciones (TIC)
 Ayudar a descubrir y planificar el tratamiento oportuno para mantener
los riesgos bajo control Indirectos:
 Preparar a la Organización para procesos de evaluación, auditoría,
certificación o acreditación, según corresponda en cada caso

Ver libros de la metodología

Es este primer momento se selecciona el área estratégica sobre la cual se

busca mejorar la seguridad.

Cada estudiante debe entregar un informe individual con el nombre de la

organización, la actividad comercial que realiza, el organigrama
organizacional señalando donde se encuentra ubicada el área informática o
departamento de sistemas, la estructura organizacional del área informática
y los cargos y funciones que pueda evidenciar desde el caso propuesto.
Debe determinar las vulnerabilidades, amenazas y riesgos de seguridad del
área informática o departamento de sistemas en cada uno de los activos
informáticos categorizados de acuerdo al activo donde se presentan:

[D] DATOS
[K] CLAVES CRIPTOGRAFICAS
[S] SERVICIOS
[SW] SOFTWARE
[HW] EQUIPAMENTO INFORMÁTICO
[COM] REDES DE COMUNICACIONES
[Media] SOPORTE DE INFORMACIÓN
[AUX] EQUIPAMENTO AUXILIAR
[L] INSTALACIONES
[P] PERSONAL

Se debe entregar un cuadro con las categorías de los activos, las

vulnerabilidades, amenazas de seguridad encontrados en dicha organización
y las salvaguardas que pueden estar implantadas en empresa objeto a
estudio.

Descargue aquí el escenario propuesto

Para tener un acercamiento a la infraestructura de la organización, descargue

aquí plano de red

Actividad Colaborativa

Con la información anterior generada en el trabajo individual, el grupo debe

consolidar en un solo trabajo la información de la organización, el cuadro de
las vulnerabilidades y amenazas de seguridad encontrados en cada uno de los
activos de información.

Al hacer el cuadro de vulnerabilidades y amenazas de seguridad debe tenerse

presente que las vulnerabilidades son las debilidades del activo o sistema y
las amenazas son las posibilidades que tiene una persona interna o externa
de cometer un ilícito explotando esas vulnerabilidades (posibles ataques).

Cada uno de los integrantes debe hacer los aportes en el documento de base,
tratando de complementar los aportes de los compañeros.

Una vez se tiene el cuadro de las vulnerabilidades y amenazas, se adjunta los

riesgos de seguridad a que se ven expuestas las organizaciones y se debe
diseñar un cuadro donde aparezcan clasificados los riesgos por activo
informático.

Para el caso de los riesgos se debe tener en cuenta que al describirlos se

relacione la amenaza con el riesgo y se dé una breve descripción de cómo se
presenta en la organización o en el sistema.

Por ejemplo, si la vulnerabilidad es la falta de personal de seguridad, la

amenaza puede ser el acceso no autorizado de personal a los equipos donde
se procesa información y el riesgo sería el robo de información confidencial
debido al acceso libre de personal no autorizado a los equipos terminales en
la empresa.
Entornos Entorno de Información Inicial
para su Entorno de Aprendizaje Colaborativo
desarrollo Entorno de Seguimiento y evaluación
Individuales:

Informe individual de la organización, el área informática con

cargos y funciones, activos informáticos, procesos y servicios
que presta a toda la organización.

Informe individual de vulnerabilidades, amenazas, riesgos y

salvagurdas que estén implantadas en la organización.

Colaborativos:

Productos Consolidar en un instrumento que permita generar un análisis

a entregar de riesgos y que contenga:
por el
estudiante  Cuadro de vulnerabilidades, amenazas, riesgos y
salvaguardas.
 Mapa de dependencia entre activos
 Informe final colaborativo con todos los puntos de la
actividad.

Si no cuenta con un instrumento para el desarrollo del

levantamiento de la información, el curso propone un
instrumento para la realización del análisis.

Descargue aquí el instrumento

 Lineamientos generales del trabajo colaborativo para el
desarrollo de la actividad

Para desarrollar la actividad propuesta se debe realizar las

siguientes acciones:
1. Leer la guía de actividades.
Planeación 2. Descargar archivos adjuntos que son: escenario, plano
de de red y si se requiere el instrumento
actividades 3. Determinar la metodología de análisis y gestión de
para el riesgos
desarrollo 4. Definir el alcance
del trabajo 5. Identificar activos
colaborativo 6. Identificar vulnerabilidades
7. Identificar amenazas
8. Identificar salvaguardas implantadas.
9. Realizar la matriz de riesgo.
Roles a El único rol indispensable para el trabajo colaborativo es el
desarrollar rol de líder quien será la persona encargada de la entrega de
por el los trabajos finales resultado del trabajo colaborativo.
estudiante
dentro del Los demás integrantes deben ser encargados de realizar
grupo aportes efectivos ya que el trabajo colaborativo debe iniciarse
colaborativo tempranamente.
Roles y
responsabili
dades para
Rol de Antifraude, cada estudiante se encargan de revisar
la
que no exista plagio en el documento que se entregue en el
producción aula.
de
entregables
por los
estudiantes
Uso de la norma APA, versión 3 en español (Traducción de la
versión 6 en inglés)

Las Normas APA es el estilo de organización y presentación de

Uso de
información más usado en el área de las ciencias sociales.
referencias Estas se encuentran publicadas bajo un Manual que permite
tener al alcance las formas en que se debe presentar un
artículo científico. Aquí podrás encontrar los aspectos más
relevantes de la sexta edición del Manual de las Normas APA,
 como referencias, citas, elaboración y presentación de tablas
y figuras, encabezados y seriación, entre otros. Puede
consultar como implementarlas ingresando a la página
http://normasapa.com/
¿Qué es el plagio para la UNAD? El plagio está definido por el
diccionario de la Real Academia como la acción de "copiar en
lo sustancial obras ajenas, dándolas como propias". Por tanto
el plagio es una falta grave: es el equivalente en el ámbito
académico, al robo. Un estudiante que plagia no se toma su
educación en serio, y no respeta el trabajo intelectual ajeno.

No existe plagio pequeño. Si un estudiante hace uso de

cualquier porción del trabajo de otra persona, y no documenta
su fuente, está cometiendo un acto de plagio. Ahora, es
evidente que todos contamos con las ideas de otros a la hora
de presentar las nuestras, y que nuestro conocimiento se basa
en el conocimiento de los demás. Pero cuando nos apoyamos
en el trabajo de otros, la honestidad académica requiere que
Políticas de anunciemos explícitamente el hecho que estamos usando una
plagio fuente externa, ya sea por medio de una cita o por medio de
un paráfrasis anotado (estos términos serán definidos más
adelante). Cuando hacemos una cita o un paráfrasis,
identificamos claramente nuestra fuente, no sólo para dar
reconocimiento a su autor, sino para que el lector pueda
referirse al original si así lo desea.

Existen circunstancias académicas en las cuales,

excepcionalmente, no es aceptable citar o parafrasear el
trabajo de otros. Por ejemplo, si un docente asigna a sus
estudiantes una tarea en la cual se pide claramente que los
estudiantes respondan utilizando sus ideas y palabras
exclusivamente, en ese caso el estudiante no deberá apelar a
fuentes externas aún, si éstas estuvieran referenciadas
adecuadamente.
 4. Formato de Rubrica de evaluación

Formato rúbrica de evaluación

Actividad Actividad
Tipo de actividad: ☒ ☒
individual colaborativa
Momento de la Intermedia,
Inicial ☐ ☒ Final ☐
evaluación unidad
Aspectos Niveles de desempeño de la actividad individual
Puntaje
evaluados Valoración alta Valoración media Valoración baja
El estudiante no
El estudiante
El estudiante participa con el
participa con el envío
participa con el envío envío de la
de una descripción
Descripción de la descripción de la descripción de la
parcial de la
organización y organización, la del organización, la del
organización, la del
centro de área informática y los área informática y 20
área informática y los
informática activos informáticos los activos
activos informáticos
de acuerdo a lo informáticos de
de acuerdo a lo
indicado acuerdo a lo
indicado
indicado
(Hasta 20 puntos) (Hasta 10 puntos) (Hasta 0 puntos)
El estudiante
participa en la El estudiante no
El estudiante
consolidación del participa con el
Lista de participa con el envío
cuadro de envío de la lista de
Vulnerabilidades, de la lista de
vulnerabilidades y vulnerabilidades y 20
amenazas de vulnerabilidades y
amenazas pero lo amenazas
seguridad amenazas solicitada
hace al final de la solicitada.
actividad.
(Hasta 20 puntos) (Hasta 10 puntos) (Hasta 0 puntos)
El estudiante envía El estudiante no
El estudiante envía
su trabajo individual envía su trabajo
Publicación del su trabajo individual
solo hasta finalizar la individual de
trabajo de manera oportuna y
actividad y lo publica manera oportuna ni
individual en el lo publica en el foro 10
en el foro pero no lo publica en el foro
foro colaborativo para continuar con el
participa en el trabajo para continuar con
trabajo en equipo
en equipo el trabajo en equipo
(Hasta 10 puntos) (Hasta 5 puntos) (Hasta 0 puntos)
El estudiante
Consolidación El estudiante El estudiante no
participa en la
de participa en la participa en la
consolidación del 25
vulnerabilidades consolidación del consolidación del
cuadro de
y amenazas cuadro de cuadro de
vulnerabilidades y
 vulnerabilidades y amenazas pero lo vulnerabilidades y
amenazas hace al final de la amenazas.
actividad
(Hasta 25 puntos) (Hasta 12 puntos) (Hasta 0 puntos)
El estudiante
El estudiante El estudiante no
participa en la
participa en la participa en la
Valoración de definición y
definición y definición y
riesgos de descripción de los
descripción de los descripción de los
seguridad y riesgos de seguridad
riesgos de seguridad riesgos de seguridad 15
matriz de de manera pertinente
de manera oportuna de manera oportuna
riesgos de acuerdo a la guía
y pertinente de y pertinente de
Residuales de actividades pero lo
acuerdo a la guía de acuerdo a la guía de
hace al final de la
actividades actividades
actividad
(Hasta 15 puntos) (Hasta 7 puntos) (Hasta 0 puntos)
Aspectos Niveles de desempeño de la actividad colaborativa
Puntaje
evaluados Valoración alta Valoración media Valoración baja
El estudiante
participa activamente El estudiante no
El estudiante
y de manera participa
participa en el trabajo
oportuna en el activamente y de
Participación trabajo colaborativo
colaborativo pero solo
manera oportuna en
lo hace al inicio o al 25
Trabajo Grupal desde el inicio hasta el trabajo
final de la actividad
el final de la colaborativo
actividad.
(Hasta 25 puntos) (Hasta 12 puntos) (Hasta 0 puntos)
El documento
El documento El documento no
cumple con el
cumple con el cumple con el
formato parcialmente
formato y la formato y la
Presentación y la estructura
estructura completa estructura completa 10
del documento parcialmente
especificado en la especificado en la
especificado en la
actividad. actividad
actividad
(Hasta 10 puntos) (Hasta 5 puntos) (Hasta 0 puntos)
Calificación final 125