Universidad Nacional Abierta y a Distancia

Vicerrectoría Académica y de Investigación

Guía para el uso de Recursos Educativos

1. Descripción general del curso

Escuela o Unidad Escuela de Ciencias Básicas, Tecnología e Ingeniería

Académica
Nivel de formación Especialización
Campo de Formación Formación disciplinar
Nombre del curso Sistema de gestión de seguridad informática
Código del curso 90168
Tipo de curso Teórico Habilitable Si No x
Número de créditos 2

2. Descripción de la actividad

Simula Laborato
Tipo de Recurso Recurso
dor rio Otro x Cuál
Recurso web multimedia
virtual remoto
Número de
Tipo de actividad: Individual x Colaborativa 12
semanas
Momento de la Intermedia,
Inicial x Final
evaluación: unidad:1 y 2
Entorno donde se hace uso del recurso:
Peso evaluativo de la actividad
Entorno de aprendizaje colaborativo
(si lo tiene):
Fecha de inicio de la actividad: Fecha de cierre de la actividad:
05 de febrero de 2018 13 de mayo de 2018
Temáticas que aborda el recurso: Metodología de análisis y evaluación de riesgos
(pruebas para conformar vulnerabilidades y amenazas)
Actividades a desarrollar

El presente documento presenta la actividad de tipo práctico programada para el curso

de Sistema de gestión de seguridad informática, específicamente para las actividades
de la fase de Análisis y evaluación de riesgos, a continuación se describen las
actividades y los pasos a seguir de manera detallada:

Cada estudiante debe crear una carpeta donde se relacionen las pruebas sobre las
vulnerabilidades y amenazas detectadas. Las pruebas deben estar organizadas en
subcarpetas con los nombres: Pruebas documentales, pruebas fotográficas, pruebas
en video, pruebas con software, pruebas entrevistas digitales, otras pruebas. En cada
una de estas subcarpetas el estudiante debe identificar cada una de las pruebas con
una sigla para que posteriormente sean de fácil identificación de acuerdo al tipo de
prueba que corresponda. Por ejemplo para la prueba fotográfica 1 sería (PF01).

El estudiante debe recolectar las pruebas necesarias que puedan sustentar las
vulnerabilidades y amenazas de seguridad informática detectadas. Una vez realizadas
las pruebas y organizadas en carpetas y subcarpetas, los resultados deben publicarse
en el foro de trabajo colaborativo de la fase de Análisis y Evaluación de riesgos,
específicamente en el cuadro de vulnerabilidades para que cada estudiante pueda
incluirlo como evidencia de las amenazas y vulnerabilidades existentes.

Como es un trabajo de tipo colaborativo, deben tener en cuenta que cada uno de los
estudiantes trabajará evaluando dominios diferentes por lo que debe especificar las
pruebas con la sigla correspondiente que soportan las vulnerabilidades y amenazas
encontradas para el dominio evaluado.

Para organizar las pruebas, se debe crear una carpeta principal de pruebas, y varias
subcarpetas de acuerdo al tipo de prueba realizada con su respectiva identificación:
Pruebas documentales, pruebas fotográficas, pruebas en video, pruebas con software,
pruebas entrevistas digitales, otras pruebas.

De acuerdo a las pruebas que cada estudiante haya adjuntado en el proceso evaluado,
se deben incluir en el documento de formato de hallazgos la respectiva prueba que
sustenta la vulnerabilidad encontrada.

El grupo colaborativo puede usar estas carpetas en el desarrollo del trabajo

colaborativo correspondiente a la fase de Análisis y Evaluación de riesgos con los
resultados de las pruebas con las siglas de las pruebas que soportan esas
vulnerabilidades o amenazas.

Los resultados de las pruebas servirán para determinar la existencia de

vulnerabilidades o amenazas y a definir los controles dentro de las políticas y
procedimientos.

NOTA: Recuerden que consolidado no significa copiar y pegar las carpetas que cada
uno entrega, sino mirar cada una de las carpetas y organizarlas por tipos de prueba y
pruebas que adjunte cada estudiante.
Actividades Previas:
1. Cada integrante del pequeño grupo colaborativo debe leer, analizar e interpretar
las instrucciones de la guía para el uso de recursos educativos y los documentos
de las actividades prácticas.
2. El grupo debe organizarse de acuerdo a los dominios seleccionados por cada
integrante para definir cómo participará en el trabajo práctico.
3. Cada integrante dentro del grupo debe elegir el o los dominios que serán evaluados
de manera individual.
4. Cada estudiante debe elaborar las pruebas para cada uno de los dominios que serán
evaluados de manera individual
5. Elegir un líder de grupo que será responsable de organizar las pruebas en una
única carpeta de pruebas.

Pasos para el desarrollo del trabajo:

1. Identificar las vulnerabilidades y amenazas existentes en la empresa propuesta

por cada estudiante
2. Analizar el tipo de prueba se puede demostrar la existencia de la vulnerabilidad
o la amenaza evidenciada.
3. Diseñar el plan de pruebas que será necesario realizar para los procesos
auditados y elegidos por cada estudiante
4. Definir los recursos necesarios para poder ejecutar esas pruebas
5. Realizar la prueba y adjuntarla en cada una de las subcarpetas
6. Consolidar las pruebas en una sola carpeta de pruebas
7. Publicar la carpeta de pruebas en el foro colaborativo de la fase de Análisis y
Evaluación para cada uno de los dominios evaluados
8. Hacer uso de los resultados de las pruebas para incluirlos como evidencias
dentro del cuadro de vulnerabilidades correspondiente.
9. Adjuntar las pruebas en el documento final como anexos.

Para ejecutar las pruebas se debe disponer de los medios tecnológicos necesarios que
permitan obtener resultados, algunos de estos recursos pueden ser: equipo celular,
cámara fotográfica, grabadora de voz digital, y software especializado para auditoría
y seguridad informática.

Dentro del software se dispone de sistemas operativos que contienen un conjunto de

aplicaciones para realizar las pruebas de seguridad, dentro de ellos están: Backtrack,
Kali Linux, y Matriux que están disponibles en internet como recursos libres.
Entorno para
Entorno de aprendizaje práctico
su desarrollo:
Productos a
Plan de pruebas para cada uno de los dominios de la ISO/IEC
entregar por el
27001 evaluados
estudiante:
Tipo de No se entrega ningún
Individual x
producto: Colaborativo producto
Individual:
El estudiante al final de la actividad debe entregar un plan de pruebas para cada uno
de los dominios seleccionados, el plan de pruebas debe estar organizado por carpetas
e identificadas mediante siglas que hagan referencia al tipo de pruebas realizada y la
identificación de la prueba específica realizada.

Si el estudiante hace uso de software para realizar las pruebas, debe adjuntar los
pantallazos de los resultados de dicha prueba y una descripción de la misma que
permita evidenciar las vulnerabilidades o amenazas a que está expuesta la empresa.

Colaborativo
Al final el grupo puede anexar la carpeta de las pruebas realizadas como anexo del
trabajo final o en cada uno de los cuadros de vulnerabilidades asociadas a cada
dominio.