Universidad Nacional Abierta y a Distancia

Vicerrectoría Académica y de Investigación

Curso: Estándares, Normatividad y Regulación de la Seguridad
Informática
Código: 219019

Guía de actividades y rúbrica de evaluación – Etapa 3

Establecimiento e implementación del SGSI

1. Descripción de la actividad

Tipo de actividad: En grupo colaborativo

Momento de la evaluación: Intermedio
Puntaje máximo de la actividad: 135 puntos
La actividad inicia el:
La actividad finaliza el: jueves, 29
viernes, 25 de septiembre de
de octubre de 2020
2020
Con esta actividad se espera conseguir los siguientes resultados
de aprendizaje:

Formular estrategias, políticas y procesos, mediante el uso de

estándares y regulaciones de gestión de seguridad informática.
La actividad consiste en:

El equipo de trabajo deberá de iniciar la construcción de SGSI, para lo

cual deberá de abordar en la presente actividad las fases planear y hacer
de un SGSI para el problema propuesto en el curso el cual puede
consultar aquí.

1
Fuente: adaptado de www.iso27000.es

De acuerdo a lo anterior, cada integrante del grupo, deberá de participar

anticipada y adecuadamente en el desarrollo de la actividad, asumiendo
tareas y responsabilidades en la construcción de la propuesta de SGSI
que brinde solución al problema propuesto en el curso.

El grupo de trabajo deberá de presentar la propuesta de las 2 primeras

fases (Planear y Hacer), para el caso de estudio, las cuales estarán
compuestas básicamente por las siguientes actividades:

Fase 1 PLANEAR: Establecer el SGSI

1. Diseñar SGSI: Identificar el enfoque y diseño del SGSI, marco
normativo y de aplicación.
2. Análisis de procesos: Entendimiento corporativo y los procesos que
administra.
3. Definir Alcance: Define el alcance del SGSI en la organización.
4. Elaborar política de seguridad: diseño de una política de seguridad
de la información base para la organización.
5. Identificar y evaluar Inventario de activos: realizar el inventario de
los activos a ser cobijados por el SGSI.
6. Realizar análisis de riesgos: Realizar un análisis de los riesgos
existentes para los activos identificados en la organización.

2
 7. Declaración de aplicabilidad (SoA): Elaborar la declaración de
controles a aplicar dentro de la organización.

Fase 2 HACER: Implementar y operar el SGSI

8. Generar plan de mitigación de riesgos: Aplicar metodología para
la mitigación de riesgos identificados.
9. Aplicar plan de mitigación de riesgos: establecer cómo se aplicarán
los riesgos en la organización.
10. Implementar controles seleccionados: diseñar los controles a
implementar en los activos identificados, buscando reducir los
riesgos identificados.
11. Administración de cambio: establece la ruta la gestión de
cambios relacionados con el SGSI en la organización.

El SGSI propuesto, debe estar basado en la norma ISO 27001, e incluir

los frameworks y/o estándares que el grupo identificó como viables para
ser incorporados.

Para el desarrollo de la actividad tenga en cuenta que:

En el entorno de Información inicial debe:

Consultar en la agenda del curso la actividad, el tiempo de desarrollo,
entrega y retroalimentación de la misma.

En el entorno de Aprendizaje debe:

En la unidad 2 realizar la lectura del recurso bibliográfico Cómo implantar
un SGSI según une-en ISO/IEC 27001 y su aplicación en el esquema
nacional de seguridad. Participar de forma activa en el foro.

En el entorno de Evaluación debe:

Entregar la actividad propuesta en la guía de actividades
correspondiente a la etapa 3.
Evidencias de trabajo independiente:
Las evidencias de trabajo independiente para entregar son:

Asumir un rol de trabajo y responsabilidades para construir en equipo

un SGSI.

Participar activa y oportunamente en desarrollo de las 2 primeras fases

del SGSI propuesto por el grupo.

Evidenciar su participación en el foro con dichos aportes.

3
Evidencias de trabajo grupal:
Las evidencias de trabajo grupal a entregar son:

Documento Word con el desarrollo de la etapa 3, que contenga:

• Propuesta de SGSI para el problema propuesto con el diseño de

las 2 primeras fases (planear y hacer).

El documento debe ser creado utilizando la plantilla que acompaña las

guías, y debe ser construido teniendo en cuenta las normas NTC 1486 y
NTC 6166 y este no puede superar el 15% de similitud en el informe de
turnitin que genera en la entrega del producto

El documento deberá nombrarse con la siguiente estructura:

Etapa3_219019_número_del_grupo.docx.
•

4
2. Lineamientos generales para la elaboración de las evidencias
de aprendizaje a entregar.

Para evidencias elaboradas en grupo colaborativamente, tenga en

cuenta las siguientes orientaciones

1. Todos los integrantes del grupo deben participar con sus aportes
en el desarrollo de la actividad.

2. En cada grupo deben elegir un solo integrante que se encargará

de entregar el producto solicitado en el entorno que haya señalado
el docente.

3. Antes de entregar el producto solicitado deben revisar que cumpla

con todos los requerimientos que se señalaron en esta guía de
actividades.

4. Solo se deben incluir como autores del producto entregado, a los

integrantes del grupo que hayan participado con aportes durante
el tiempo destinado para la actividad.

5. Entregar la evidencia de aprendizaje en la fecha estipulada dentro

de la agenda del curso.
Tenga en cuenta que todos los productos escritos individuales o
grupales deben cumplir con las normas de ortografía y con las
condiciones de presentación que se hayan definido.
En cuanto al uso de referencias considere que el producto de esta
actividad debe cumplir con las normas ICONTEC
En cualquier caso, cumpla con las normas de referenciación y evite el
plagio académico, para ello puede apoyarse revisando sus productos
escritos mediante la herramienta Turnitin que encuentra en el campus
virtual.

Considere que en el acuerdo 029 del 13 de diciembre de 2013, artículo

99, se considera como faltas que atentan contra el orden académico,
entre otras, las siguientes: literal e) “El plagiar, es decir, presentar como
de su propia autoría la totalidad o parte de una obra, trabajo,
documento o invención realizado por otra persona. Implica también el
uso de citas o referencias faltas, o proponer citad donde no haya
coincidencia entre ella y la referencia” y liberal f) “El reproducir, o copiar
con fines de lucro, materiales educativos o resultados de productos de
investigación, que cuentan con derechos intelectuales reservados para
la Universidad”

5
Las sanciones académicas a las que se enfrentará el estudiante son las
siguientes:
a) En los casos de fraude académico demostrado en el trabajo
académico o evaluación respectiva, la calificación que se impondrá será
de cero puntos sin perjuicio de la sanción disciplinaria correspondiente.
b) En los casos relacionados con plagio demostrado en el trabajo
académico cualquiera sea su naturaleza, la calificación que se impondrá
será de cero puntos, sin perjuicio de la sanción disciplinaria
correspondiente.

6
 3. Formato de Rúbrica de evaluación

Tipo de actividad: En grupo colaborativo

Momento de la evaluación: Intermedio
La máxima puntuación posible es de 135 puntos
Nivel alto: Participa en la construcción de las 2 primeras fases
Primer criterio de del SGSI, asumiendo su responsabilidad con aportes
evaluación: significativos.
Si su trabajo se encuentra en este nivel puede obtener
Participa y asume entre 31 puntos y 40 puntos
responsabilidades
en la construcción Nivel Medio: Aunque participa en la construcción de las 2 fases
de las fases de un del SGSI, sus aportes son dispersos y no poco significativos para
SGSI. la construcción del mismo.
Si su trabajo se encuentra en este nivel puede obtener
Este criterio entre 11 puntos y 30 puntos
representa 40
puntos del total Nivel bajo: No asume responsabilidad ni participa en la
de 135 puntos de construcción de las 2 primeras fases del SGSI.
la actividad. Si su trabajo se encuentra en este nivel puede obtener
entre 0 puntos y 10 puntos
Nivel alto: El grupo de trabajo propone el diseño de las 2
primeras fases de un SGSI que brinda solución a un problema
propuesto de manera adecuada, abordando cada una de las
Segundo criterio
actividades de sus fases y desarrollando los productos y
de evaluación:
documentos que soportan dicho SGSI.
Si su trabajo se encuentra en este nivel puede obtener
El grupo propone un
entre 51 puntos y 60 puntos
SGSI, consistente y
que brinda solución
Nivel Medio: El grupo propone el diseño de las 2 primeras fases
a un problema
de un SGSI que brinda solución al problema propuesto, pero las
propuesto.
actividades ni productos se articulan para dar consistencia y
coherencia al mismo.
Este criterio
Si su trabajo se encuentra en este nivel puede obtener
representa 60
entre 11 puntos y 50 puntos
puntos del total
de 135 puntos de
Nivel bajo: El grupo no diseña las 2 primeras fases del SGSI o
la actividad.
no es pertinente para el caso propuesto.
Si su trabajo se encuentra en este nivel puede obtener
entre 0 puntos y 10 puntos
Tercer criterio de Nivel alto: Construye el documento utilizando la norma NTC
evaluación: 1486 para la presentación de trabajos académicos escritos y la

7
 norma NTC 6166 para la bibliografía. El porcentaje de similitud
Construye en el contenido no es mayor al 15%.
documento usando Si su trabajo se encuentra en este nivel puede obtener
la norma NTC 1486 entre 31 puntos y 35 puntos
para la presentación
de trabajos Nivel Medio: Aunque construye el documento, utiliza
académicos y norma medianamente la norma NTC 1486 para la presentación de
NTC 6166 para el trabajos académicos escritos y la norma NTC 6166 para la
uso de referencias bibliografía. El porcentaje de similitud en el contenido se
bibliográficas. No encuentra entre un 15% y 20%.
superando en Si su trabajo se encuentra en este nivel puede obtener
validación de entre 11 puntos y 30 puntos
similitud de
contenido 15%. Nivel bajo: No utiliza en la construcción del documento, la norma
NTC 1486 para la presentación de trabajos académicos escritos y
Este criterio la norma NTC 6166 para la bibliografía. El porcentaje de similitud
representa 35 en el contenido es mayor al 20%.
puntos del total Si su trabajo se encuentra en este nivel puede obtener
de 135 puntos de entre 0 puntos y 10 puntos
la actividad.