Universidad Nacional Abierta y a Distancia

Vicerrectoría Académica y de Investigación

Formato guía de actividades y rúbrica de evaluación

1. Descripción general del curso

Escuela o Unidad Escuela de Ciencias Básicas, Tecnología e

Académica Ingeniería
Nivel de Especialización
formación
Campo de Formación disciplinar
Formación
Nombre del Sistema de gestión de seguridad informática -
curso SGSI
Código del curso 233003
Tipo de curso Teórico Habilitable Si ☐ No ☒
Número de 2
créditos

2. Descripción de la actividad

Tipo de Número de
Individual ☐ Colaborativa ☒ 7
actividad: semanas
Momento de
Intermedia,
la Inicial ☐ ☒ Final ☐
unidad: 1
evaluación:
Peso evaluativo de la Entorno de entrega de actividad:
actividad: 35% Seguimiento y evaluación
Fecha de inicio de la
Fecha de cierre de la actividad:
actividad: 19 de febrero de
28 de marzo de 2018
2018
Competencia a desarrollar:

El estudiante identifica las principales vulnerabilidades y amenazas de

seguridad a que se ve expuesta la organización.

El estudiante diseña los instrumentos de recolección de información que

le permitan recoger la información acerca de los problemas y las
pruebas de seguridad en la empresa propuesta.
El estudiante aprende a levantar información de procesos, servicios,
activos de información, y documentación acerca de la existencia de
políticas de seguridad y/o controles informáticos existentes.

El estudiante hace el levantamiento de información y clasificación de

los activos informático de la empresa

El estudiante aprende la metodología y los procesos para aplicar una

metodología para el análisis y evaluación de los riesgos aplicados a la
seguridad informática

El estudiante define y ejecuta las pruebas que permitan confirmar las

vulnerabilidades y amenazas existentes con la ayuda de software
especializado.
Temáticas a desarrollar:

Norma ISO/IEC 27001, la norma ISO/IEC 27002, Metodología de análisis y

evaluación de riesgos informáticos MAGERIT.
Pasos, fases o etapa de la estrategia de aprendizaje a
desarrollar
Fase de planeación – Análisis y Evaluación de riesgos
Actividades a desarrollar

La actividad individual consiste en elaborar un escrito que muestre los

macro procesos, procesos, servicios y trámites que presta el área
informática a las demás dependencias de la organización, documentos
existentes de políticas de seguridad a través del uso de técnicas de
recolección de información de las cuales se debe crear los formatos
correspondientes.

El estudiante hace la identificación de los activos informáticos de la

organización, los clasifica de acuerdo a una metodología y los valora de
acuerdo a la metodología MAGERIT.

El estudiante hace la identificación de amenazas y las valora en cuanto

a las características de la información: confidencialidad, integridad,
disponibilidad solamente o trazabilidad, autenticidad propuestas en la
metodología MAGERIT.
 El estudiante elabora un plan de pruebas de distinto tipo
(documentales, fotográficas, software, otro) para determinar las
vulnerabilidades de seguridad existentes en los activos informáticos de
la empresa de acuerdo a la guía para el uso de recursos educativos que
se encuentra en el entorno de aprendizaje práctico.

El estudiante realiza la estimación de la probabilidad e impacto de los

riesgos encontrados de acuerdo a la metodología MAGERIT de análisis
y evaluación de riesgos.

La actividad colaborativa consiste en leer los aportes de cada uno de

los integrantes que participaron en el foro en cada uno de los puntos,
complementarlo, organizarlo y redactarlo nuevamente para consolidar
los aportes en un solo documento consolidado con los aportes de todos
los integrantes.

La entrega de los trabajos solicitados se realiza en el entorno de

evaluación y seguimiento.

El trabajo deberá desarrollarse en el entorno de

aprendizaje colaborativo donde cada uno de los
Entornos estudiantes deberá participar activamente en cada uno de
para su los puntos solicitados de manera individual y al final se
desarrollo consolidará los aportes en un solo trabajo para su entrega
en el entorno de evaluación y seguimiento.

Individuales:

Escrito que muestre los macro procesos, procesos y

servicios informáticos que presta el área informática a las
demás dependencias de la organización, así como la
Productos recolección de información acerca de las políticas y
a entregar procedimientos de seguridad informática existentes en la
por el empresa.
estudiante
Diseño de instrumentos de recolección de información
(entrevistas, cuestionarios, listas de chequeo) usados
para obtener la información acerca de la seguridad
informática en la empresa.
Cuadro de los activos informáticos clasificados de acuerdo
a una metodología MAGERIT y la valoración de los
mismos.

Cuadro de amenazas y su valoración en las características

que son pilares de la seguridad confidencialidad,
integridad, disponibilidad, trazabilidad, autenticidad
aplicados en la metodología MAGERIT.

Plan de pruebas para detectar las vulnerabilidades y

amenazas existentes en la empresa y clasificarlas de
acuerdo a la guía para el uso de recursos educativos que
se encuentra en el entorno de aprendizaje práctico
(pruebas documentales, fotográficas, con software)

Cuadro de estimación de impacto y probabilidad de

ocurrencia de los riesgos usando la metodología
MAGERIT.

Cuadro de tratamiento de los riesgos y controles

propuestos para mitigar los riesgos encontrados.

Elaboración del plan de tratamiento de riesgos PTR de

acuerdo a los resultados del proceso de análisis y
evaluación de riesgos aplicados anteriormente.

Colaborativos:

Trabajo consolidado de los integrantes que participaron

en la actividad con la consolidación de los instrumentos
de recolección de información aplicados y los resultados,
datos de la empresa elegida para el diseño del SGSI,
activos y clasificación, amenazas y su valoración en los
pilares de seguridad, vulnerabilidades y pruebas de su
existencia, la estimación de los riesgos en cuanto a
probabilidad e impacto, el tratamiento de los riesgos y el
plan de tratamiento de riesgos PTR.

El producto a entregar es un documento en formato .DOC

o .PDF que incluya: Portada con nombres de los
integrantes que participaron en el trabajo, Introducción,
Objetivos, Contenido del informe de construcción grupal,
Conclusiones, Referencias bibliográficas. Número máximo
de páginas: sin límite

El trabajo final será entregado por el líder del grupo en el

entorno de Evaluación y seguimiento.
 Lineamientos generales del trabajo colaborativo para el
desarrollo de la actividad

Actividades Previas:

1. Cada integrante del pequeño grupo colaborativo:

o Realizar una lectura reflexiva de los temas
correspondientes a la Unidad 1.
o Leer, analizar e interpretar las instrucciones
de la guía de actividades.
o Revisar a rúbrica de evaluación.
2. Realizar un debate en grupo para definir y organizar
cómo se va a desarrollar el trabajo.
3. Elegir un líder de grupo que será responsable de
subir un único trabajo final.

Pasos para el desarrollo del trabajo:

Planeación
1. Seleccionar la empresa y hacer el levantamiento
de
de la información solicitada.
actividades
2. Determinar los activos informáticos, clasificarlos
para el
y valorarlos.
desarrollo
3. Detectar las amenazas existentes para los
del trabajo
activos y determinar la valoración en cuanto a las
colaborativo
características pilares de seguridad de la información.
4. Confirmar la existencia de vulnerabilidades
mediante pruebas de distinto tipo
5. Hacer la estimación de los riesgos en cuanto a
probabilidad e impacto
6. Elaborar el cuadro de tratamiento de los riesgos
7. Elaborar el Plan de tratamiento de riesgos PTR.

Estas actividades se realizarán usando la metodología

de análisis y evaluación de riesgos MAGERIT
disponible en internet.

Antes de realizar la actividad propuesta deben revisar

los blog del curso y la metodología MAGERIT para el
análisis y evaluación de riesgos.
 Los estudiantes deben participar en cada semana
realizando la actividad correspondiente a cada una de
las semanas de acuerdo a lo expuesto en el syllabus,
tratando de terminar sus aportes individuales con una
semana de anticipación para que permita consolidar el
trabajo en la última semana dada la extensión del
mismo.
El único rol indispensable para el trabajo colaborativo
Roles a es el rol de líder quien será la persona encargada de la
desarrollar entrega de los trabajos finales resultado del trabajo
por el colaborativo.
estudiante
dentro del Los demás integrantes deben ser encargados de
grupo realizar aportes efectivos tanto en el trabajo individual
colaborativo como en el colaborativo durante el tiempo que dure la
actividad.
Roles y responsabilidades

Compilador: Cuya función es consolidar el documento

que se constituye como el producto final del debate,
teniendo en cuenta que se hayan incluido los aportes
de todos los participantes y que solo se incluya a los
participantes que intervinieron en el proceso. Debe
informar a la persona encargada de las alertas para
Roles y
que avise a quienes no hicieron sus participaciones,
responsabili
que no se les incluirá en el producto a entregar.
dades para
la
Revisor: Cuya función es asegurar que el escrito
producción
cumpla con las normas de presentación de trabajos
de
exigidas por el docente.
entregables
por los
Evaluador: Cuya función es de asegurar que el
estudiantes
documento contenga los criterios presentes en la
rúbrica. Debe comunicar a la persona encargada de las
alertas para que informe a los demás integrantes del
equipo en caso que haya que realizar algún ajuste
sobre el tema.

Entregas: Cuya función es alertar sobre los tiempos

de entrega de los productos y enviar el documento en
 los tiempos estipulados, utilizando los recursos
destinados para el envío, e indicar a los demás
compañeros que se ha realizado la entrega.

Alertas: Cuya función es asegurar que se avise a los

integrantes del grupo de las novedades en el trabajo e
informar al docente mediante el foro de trabajo y la
mensajería del curso, que se ha realizado el envío del
documento.
Uso de la norma APA, versión 3 en español (Traducción
de la versión 6 en inglés)

Las Normas APA son el estilo de organización y

presentación de información más usado en el área de
las ciencias sociales.

Estas se encuentran publicadas bajo un Manual que

Uso de permite tener al alcance las formas en que se debe
referencias presentar un artículo científico.

Aquí podrás encontrar los aspectos más relevantes de

la sexta edición del Manual de las Normas APA, como
referencias, citas, elaboración y presentación de tablas
y figuras, encabezados y seriación, entre otros.

Puede consultar como implementarlas ingresando a la

página http://normasapa.com/

Políticas de plagio: ¿Qué es el plagio para la UNAD? El

plagio está definido por el diccionario de la Real
Academia como la acción de "copiar en lo sustancial
obras ajenas, dándolas como propias". Por tanto el
plagio es una falta grave: es el equivalente en el
Políticas de
ámbito académico, al robo. Un estudiante que plagia
plagio
no se toma su educación en serio, y no respeta el
trabajo intelectual ajeno.

No existe plagio pequeño. Si un estudiante hace uso de

cualquier porción del trabajo de otra persona, y no
documenta su fuente, está cometiendo un acto de
plagio. Ahora, es evidente que todos contamos con las
ideas de otros a la hora de presentar las nuestras, y
que nuestro conocimiento se basa en el conocimiento
de los demás. Pero cuando nos apoyamos en el trabajo
de otros, la honestidad académica requiere que
anunciemos explícitamente el hecho que estamos
usando una fuente externa, ya sea por medio de una
cita o por medio de un paráfrasis anotado (estos
términos serán definidos más adelante).

Cuando hacemos una cita o un paráfrasis,

identificamos claramente nuestra fuente, no sólo para
dar reconocimiento a su autor, sino para que el lector
pueda referirse al original si así lo desea.

Existen circunstancias académicas en las cuales,

excepcionalmente, no es aceptable citar o parafrasear
el trabajo de otros. Por ejemplo, si un docente asigna
a sus estudiantes una tarea en la cual se pide
claramente que los estudiantes respondan utilizando
sus ideas y palabras exclusivamente, en ese caso el
estudiante no deberá apelar a fuentes externas aún, si
éstas estuvieran referenciadas adecuadamente.
 4. Formato de Rubrica de evaluación

Formato rúbrica de evaluación

Actividad Actividad
Tipo de actividad: ☐ ☒
individual colaborativa
Momento de la Intermedia,
Inicial ☐ ☒ Final ☐
evaluación unidad 1
Niveles de desempeño de la actividad
Aspectos individual
Puntaje
evaluados Valoración Valoración
Valoración alta
media baja
El estudiante
elabora el escrito El estudiante
de acuerdo a los elabora el
requerimientos escrito de
especificados y lo acuerdo a los El estudiante
Escrito sobre hace de manera requerimientos NO elabora el
información de oportuna con una especificados escrito sobre
20 puntos
la empresa semana de pero no está la empresa
anticipación completo o lo
antes de hace al final de
terminar la la actividad
actividad
(Hasta 20 (Hasta 10 (Hasta 0
puntos) puntos) puntos)
El estudiante
El estudiante
identifica los
identifica los
activos
activos
informáticos, los El estudiante
informáticos,
Activos clasifica y valora NO elabora el
pero no los
informáticos de teniendo en cuadro de
clasifica o no los
la empresa, cuenta la activos
valora o no está 20 puntos
clasificación y metodología informáticos,
la lista de
valoración de MAGERIT y lo ni los clasifica
activos
los mismos hace de manera y tampoco los
completa, y lo
oportuna mínimo valora
hace solamente
con una semana
al final de la
de anticipación
actividad
antes de
 terminar la
actividad
(Hasta 20 (Hasta 10 (Hasta 0
puntos) puntos) puntos)
El estudiante
identifica los
El estudiante
factores de
identifica los
amenaza para
factores de
cada activo
amenaza solo
informático y
para algunos de
hace la El estudiante
Amenazas de los activos
valoración en los NO participa
seguridad informáticos
cinco pilares de en la
informática y su más
seguridad de identificación y
valoración en importantes, 20 puntos
información y lo valoración de
los pilares de hace la
hace de manera las amenazas
seguridad de la valoración de
oportuna con una
información los mismos pero
semana de
lo hace solo al
anticipación
final de la
antes de
actividad
terminar la
actividad
(Hasta 20 (Hasta 10 (Hasta 0
puntos) puntos) puntos)
El estudiante
realiza la
estimación de los El estudiante
riesgos por realiza la
probabilidad e estimación de
impacto hasta los riesgos por El estudiante
Estimación de
llegar a la matriz probabilidad e NO participa
riesgos por
de riesgos y lo impacto pero no en la 20 puntos
probabilidad e
hace de manera elabora la estimación de
impacto
oportuna con una matriz de riesgos
semana de riesgos y lo
anticipación hace al finalizar
antes de la actividad
terminar la
actividad
 (Hasta 20 (Hasta 10 (Hasta 0
puntos) puntos) puntos)
El estudiante
determina las
El estudiante
vulnerabilidades
determina las
de seguridad
vulnerabilidades El estudiante
existentes
de seguridad NO participa
Determinar las adjuntando
existentes pero en la
vulnerabilidades pruebas para
no adjunta identificación
de seguridad soportar los
pruebas para de las 20 puntos
existentes y hallazgos y lo
soportar los vulnerabilidade
aportar las hace de manera
hallazgos o lo s
pruebas oportuna con una
hace al finalizar
semana antes de
la actividad
terminar la
actividad
(Hasta 20 (Hasta 10 (Hasta 0
puntos) puntos) puntos)
El estudiante
elabora el cuadro El estudiante
de tratamiento elabora el
de los riesgos y cuadro de El estudiante
lo hace de tratamiento de NO participa
Cuadro de manera oportuna los riesgos pero en el cuadro
tratamiento de con una semana está incompleto de tratamiento 20 puntos
los riesgos de anticipación o lo hace al de riesgos
antes de finalizar la
terminar la actividad
actividad
(Hasta 20 (Hasta 10 (Hasta 0
puntos) puntos) puntos)
El estudiante El estudiante El estudiante
elabora el Plan elabora el Plan NO participa
Plan de de tratamiento de tratamiento en la
tratamiento de de riesgos PTR y de riesgos PTR elaboración del 20 puntos
riesgos PTR lo hace de pero está plan de
manera oportuna incompleto o lo tratamiento de
con una semana hace solo al riesgos PTR
 de anticipación finalizar la
antes de actividad
terminar la
actividad
(Hasta 20 (Hasta 10 (Hasta 0
puntos) puntos) puntos)
Niveles de desempeño de la actividad
Aspectos colaborativa
Puntaje
evaluados Valoración Valoración
Valoración alta
media baja
El estudiante
participa en la
El estudiante consolidación
participa en la del trabajo final
El estudiante
consolidación del con sus aportes
NO participa
trabajo final con individuales
en la
Participación en sus aportes pero no
consolidación
la consolidación individuales y en complementa
del trabajo 20 puntos
del trabajo final complementar los aportes para
final.
los aportes para la entrega final
la entrega final. o solo participa
al final de la
actividad.
(Hasta 20 (Hasta 10 (Hasta 0
puntos) puntos) puntos)
La estructura
del documento
La estructura
No está
del documento
completa, o
está completa, y
esta No se entrega
organizada,
desorganizada, el documento
Estructura del además cumple
o no cumple consolidado 15 puntos
documento final con las normas y
con las normas
se entrega de
o no se entrega
manera oportuna
de manera
oportuna
(Hasta 15 (Hasta 7 (Hasta 0
puntos) puntos) puntos)
Calificación final 175 puntos