Académique Documents
Professionnel Documents
Culture Documents
(AS-IS -- TOBE)
INTRODUCCIÓN .......................................................................................................................... 1
DATOS DE LA EMPRESA ........................................................................................................... 2
MISIÓN: ..................................................................................................................................... 2
PROCESOS CRÍTICOS DE LA EMPRESA ................................................................................. 3
Procesos Misionales .................................................................................................................... 3
Gestión Curricular ................................................................................................................... 3
Gestión de Información del Proceso Formativo ..................................................................... 4
Vinculación, Permanencia y graduación................................................................................. 4
Impacto de los Egresados........................................................................................................ 4
Procesos de Apoyo:..................................................................................................................... 4
Gestión Humana...................................................................................................................... 4
Bienestar Institucional ............................................................................................................ 5
Gestión de Comunicaciones .................................................................................................... 5
Gestión de TIC ........................................................................................................................ 5
Gestión Documental................................................................................................................ 5
Gestión de Medios para la Investigación y el aprendizaje ...................................................... 5
Gestión jurídica ....................................................................................................................... 6
Gestión de Infraestructura ....................................................................................................... 6
Gestión Financiera .................................................................................................................. 6
Contratación de Bienes y Servicios ........................................................................................ 6
SOLUCIONES TECNOLÓGICAS Y ESTRUCTURA ................................................................. 8
1. Servicio de correo electrónico. ........................................................................................... 8
Seguridad ................................................................................................................................ 8
Abuso en el Correo Electrónico .............................................................................................. 8
Garantía de entrega de los mensajes ....................................................................................... 9
2. Servicio de hosting:........................................................................................................... 10
Datacenter ............................................................................................................................. 10
Servidores ............................................................................................................................. 10
Política de Seguridad ............................................................................................................ 11
3. Sistema de información de registro de clientes/usuarios: ................................................. 12
Solicitud y Creación de Correos Electónicos........................................................................ 12
4. Toma de backups: ............................................................................................................. 14
5. Servicio de desarrollo de software: ................................................................................... 15
6. Servicio de administración de infraestructura, servidores de dominio, servidores de
aplicaciones: .............................................................................................................................. 16
7. Servicio de administración de comunicaciones, LAN, WAN, WIFI: ............................... 16
8. Componentes tecnológicos en un mapa arquitectónico: ................................................... 17
Infraestructura De Apoyo ......................................................................................................... 19
Conexión con RENATA (Red Nacional Académica de Tecnología) ....................................... 21
CONCLUSIONES .........................................................................Error! Bookmark not defined.
Lista de referencias ........................................................................Error! Bookmark not defined.
Lista de figuras iii
INTRODUCCIÓN
DATOS DE LA EMPRESA
MISIÓN:
El Departamento de Sistemas y Apoyo TIC, está integrado por cinco áreas de apoyo a los
procesos institucionales, las cuales son:
Dentro de los principales servicios brindados por este departamento a los diferentes
estamentos de la comunidad universitaria se encuentran:
Los procesos Críticos de la organización son los procesos Misionales y de apoyo, dentro
de ellos encontramos:
Procesos Misionales
Gestión Curricular
Objetivo: Formar personas integralmente con valores éticos y competencias necesarias
que aporten soluciones a la sociedad, por medio de la oferta de programas académicos en
todos los tipos, modalidades y niveles de formación, fundamentados de acuerdo al
modelo pedagógico institucional.
Alcance: Inicia con el análisis de la fundamentación de la gestión curricular y finaliza con
el desarrollo y construcción permanente de conocimiento, así como el seguimiento y
mejoramiento del currículo.
4
Procesos de Apoyo:
Gestión Humana
Objetivo: Seleccionar personal competente y generar desarrollo humano integral en el
personal implementando procesos eficaces y eficientes de reclutamiento, selección,
vinculación, planes de capacitación, plan de Bienestar laboral, evaluación de desempeño
y desvinculación; a fin de satisfacer las necesidades de cada uno de los Departamentos
que conforman la Institución fomentando la cultura de mejoramiento continuo en el
proceso.
5
Bienestar Institucional
Objetivo: Mantener y desarrollar la política de Bienestar Institucional, planificando y
ejecutando programas y actividades de bienestar en las áreas de: Crecimiento y desarrollo
psicológico y afectivo, promoción socioeconómica, desarrollo de expresiones culturales y
artísticas, del deporte y la recreación, de la cultura de la salud y del acompañamiento para
el desarrollo cognitivo.
Alcance: Inicia con el desarrollo de estrategias que permitan el acceso a las actividades y
servicios que ofrece bienestar para los estamentos de la comunidad universitaria en busca
del desarrollo humano integral hasta las acciones de mejoramiento continuo.
Líder del Proceso: Director(a) de Bienestar Institucional
Gestión de Comunicaciones
Objetivo: Garantizar la comunicación con los diferentes grupos de interés para contribuir
con la proyección de la imagen Institucional y la construcción y fortalecimiento de las
relaciones humanas, a partir de estrategias coherentes con las necesidades de las unidades
académicas y administrativas de UNISANGIL y con las tendencias en materia de
comunicación.
Alcance: Inicia con la identificación de las necesidades comunicativas por parte de las
unidades académicas y administrativas, hasta la publicación, emisión o transmisión de los
productos comunicativos.
Líder del Proceso: Coordinador(a) de Comunicaciones.
Gestión de TIC
Objetivo: Planear, desarrollar e implementar soluciones tecnológicas, que provean en
forma oportuna y eficiente los requerimientos necesarios para dar cumplimiento a los
fines misionales de UNISANGIL
Alcance: Aplica desde la identificación de las necesidades de infraestructura tecnológica
hasta su adaptación, puesta en marcha, soporte y mantenimiento.
Líder del Proceso: Director(a) del departamento de sistemas y apoyo a TIC
Gestión Documental
Objetivo: Orientar a los departamentos administrativos y académicos sobre las políticas
establecidas de manera que permitan organizar, clasificar, controlar, gestionar, conservar
y custodiar la documentación y los registros controlados de UNISANGIL.
Alcance: Aplica desde la recepción de documentación hasta el archivo y control de todos
los documentos de UNISANGIL y del Sistema de Gestión de Calidad.
Líder del Proceso: Secretaria(o) General
Gestión jurídica
Objetivo: Brindar asesoría jurídica para la adecuada toma de decisiones por parte de la
Alta Dirección y unidades académicas y administrativas, siempre que ellas involucren
aspectos jurídicos (laboral, civil, disciplinario, administrativo), así como revisar y
construir documentos jurídicos institucionales, garantizando el manejo de la información
y el asegurando el cumplimiento del marco legal aplicable vigente.
Alcance: Inicia desde la identificación y análisis de los diferentes aspectos normativos
existentes, hasta la asesoría y representación jurídica de UNISANGIL, dando
cumplimiento al contexto legal aplicable.
Líder del Proceso: Director(a) de la oficina jurídica y de contratación.
Gestión de Infraestructura
Objetivo: Mantener y gestionar la infraestructura física de UNISANGIL en sus tres sedes,
bajo principios de gestión ambiental y de seguridad y salud en el trabajo, propiciando y
garantizando ambientes académicos y laborales adecuados para la prestación de nuestros
servicios.
Alcance: Inicia desde la creación del Proyecto Estratégico Gestión de la Infraestructura
Física de la institución en sus tres sedes y finaliza con el seguimiento al mismo.
Líder del Proceso: Director(a) del Departamento de Planta Física y Seguridad
Gestión Financiera
Objetivo: Planear, Controlar y Ejecutar de manera eficiente y transparente los recursos
financieros destinados para el desarrollo y actividades de la Unidades Académicas y
Administrativas de UNISANGIL.
Alcance: Inicia con la programación del Presupuesto de la Vigencia, la Asignación y
Ejecución de los Recursos, la contabilización de cada una de las operaciones, los ajustes
contables, la producción de los estados financieros, el establecimiento de controles para
las áreas propias del proceso e informes hacia los grupos de interés de UNISANGIL
Líder del Proceso: Vicerrectoría Administrativa y Financiera
UNISANGIL cuenta con una APPS educativa, de Google a través de la cual se tienen las
cuentas corporativas con el dominio @unisangil.edu.co; a través de esta APPS se brinda
una cuenta de correo a cada uno de los estudiantes, docentes, administrativos y egresados
de la institución.
Los usuarios que deseen obtener una cuenta de correo deberán aceptar los "Términos y
Condiciones de Uso del Correo Electrónico" de UNISANGIL (Ver ANEXO1).
Seguridad
Contraseña.
Una vez se cree la cuenta de correo electrónico, se asignará una contraseña de ingreso
provisional, la cual obliga el cambio de clave con el primer ingreso del usuario.
La contraseña de acceso al correo no debe ser cedida o facilitada a otros usuarios, siendo
responsabilidad del propio usuario su custodia.
Contenido ilegal por naturaleza (todo el que constituya complicidad con hechos
delictivos). Ejemplos: apología del terrorismo, programas piratas, pornografía infantil,
amenazas, estafas, esquemas de enriquecimiento piramidal, virus o código hostil en
general, etc.
Uso no autorizado de una estafeta ajena para reenviar correo propio. Aunque el mensaje
en sí sea legítimo, se están utilizando recursos ajenos sin su consentimiento (nada que
objetar cuando se trata de una estafeta de uso público, declarada como tal).
El uso de estafetas propias o ajenas para enviar de forma masiva publicidad o cualquier
otro tipo de correo no solicitado se considera inadecuado.
Es responsabilidad del propio usuario, leer los mensajes de retorno que los sistemas de
correo le envíen, notificándole cualquiera de estas incidencias en la entrega de los
mensajes remitidos por él. 2
2. Servicio de hosting:
En esta sede Unisangil cuenta con los recursos tanto de Hardware como de
infraestructura que garantiza la continuidad de las operaciones en todo momento.
Datacenter
Unisangil cuenta con un datacenter el cual fue construido bajo los requerimientos de la
Norma TIA942, se implementó el Sistema de Control de Acceso, Sistema contra
Incendio, Aire de Precisión, Puerta contra Fuego y sellos corta fuegos, Sistema de
Redundancia Eléctrica N+1, Sistema de Malla de alta Frecuencia en el Data Center y
acometidas eléctricas independientes para el DataCenter, todo esto con el fin de
garantizar la integridad y el correcto funcionamiento de los equipos tecnológicos de la
institución. En este datacenter se alojan los diversos servidores de la institución como se
puede ver en la Figura 2.
Servidores
Unisangil cuenta con un Servidor Blade con seis cuchillas, provisto con 2 procesadores
Xeon Six Core de última tecnología cada uno, con Memoria RAM instalada de 28 Gb y 2
11
discos duros de 146 Gb SAS configurados en Raid 1/0 los cuales se encuentran
virtualizados con el software VMware (VSPHERE y VMWARE VCENTER SERVER).
Política de Seguridad
Aplicaciones en entorno de producción.
• Diariamente se realizará una copia de seguridad completa, a los publicadores de
los servidores de producción, los días lunes, martes, miércoles, jueves, viernes y sábado,
las cuales se sobrescriben por cada día de la semana todas las semanas.
• El domingo se realiza una copia de seguridad completa, la cual tiene un periodo
de retención de 4 semanas y se sobrescriben en el siguiente mes.
• El último día del mes se realizará una copia de seguridad completa, la cual tendrá
un periodo de retención de 12 meses y se sobrescriben en el siguiente año.
12
• El último día del año se realizará una copia de seguridad completa, la cual tendrá
un periodo de retención de 5 años.
• Estas copias de seguridad serán almacenadas en el servidor de copias de seguridad
alojado en el Datacenter de UNISANGIL
El primer día laboral del año siguiente, se da cierre al proceso de copias de seguridad del
año inmediatamente anterior, mediante acta se formaliza la actividad y se diligencia el
formato de control de respaldo de servidores y bases de datos (F-GTI-004) con la
información de las copias realizadas con periodicidad anual.
Nota aclaratoria: (*) Aplica para la sede de San Gil 3
Si el usuario pierde la clave, la podrá recuperar a través del medio de recuperación que
ofrece las apps de Gmail.
Estudiantes.
Una vez el estudiante formalice su matrícula por primera vez en la universidad, el
Departamento de Admisiones Registro y Control Académico, creará la cuenta de correo y
hará entrega de los datos de usuario y clave.
Si el usuario pierde la clave, la podrá recuperar a través del medio de recuperación que
ofrece las apps de Gmail.
Egresados.
La oficina de Secretaria General de UNISANGIL, reportará a través de correo electrónico
a la cuenta email@unisangil.edu.co, la información de los egresados graduados, una vez
se otorgué el respectivo título profesional por parte de UNISANGIL, para efectos de
incluir estas cuentas en el grupo de egresados.
Si el usuario pierde la clave, la podrá recuperar a través del medio de recuperación que
ofrece las apps de Gmail.
14
4. Toma de backups:
El último día del mes se realizará una copia de seguridad completa, la cual tendrá un
periodo de retención de 12 meses y se sobrescriben en el siguiente año. El último día del
año se realizará una copia de seguridad completa, la cual tendrá un periodo de retención
de 5 años.
Bases de datos de solo consulta. (Son aquellas bases de datos que no tienen movimiento
en los datos)
Semestralmente se realiza una copia de seguridad completa, la cual tiene un periodo de
retención anual, y se sobrescriben en el siguiente semestre. El último día del año se
realizará una copia de seguridad completa, la cual tendrá un periodo de retención de 5
años.
Estas copias de seguridad serán almacenadas en el servidor de copias de seguridad
alojado en el Datacenter de Unisangil.
Todos los equipos de UNISANGIL al ser entregados a las UAA cuentan con el software
básico instalado de acuerdo a las directrices determinadas Institucionalmente. Si alguna
dependencia posee alguna necesidad adicional de software, debe realizar la solicitud de
compra al Dpto. de Compras.
De acuerdo al tipo de software que solicite el usuario a Compras, la Dirección del Dpto.
de Sistemas se comunicará con este para indagar sobre sus necesidades a fin de
determinar el tipo de software que se ajustará a su medida.
Toda licencia que sea requerida en cualquiera de las sedes, se debe solicitar al Dpto. de
Compras (San Gil), el Departamento de Compras realiza las respectivas cotizaciones y
las pasa al departamento de sistemas sede San Gil, quien realiza las revisiones técnicas y
da visto bueno a la compra. Toda licencia de software debe llegar al departamento de
sistemas de la sede San Gil, desde donde se lleva el control de las mismas y se entrega a
la sede o usuario respectivo.
Toda compra de licencias de software sea académico o administrativo, debe contar con el
Visto Bueno de la Dirección del Departamento de Sistemas y TIC de la sede San Gil,
también según el documento de Topología de red del Departamento de Sistemas y TIC
servidores de aplicaciones:
Unisangil cuenta con un Servidor Blade con seis cuchillas, provisto con 2 procesadores
Xeon Six Core de última tecnología cada uno, con Memoria RAM instalada de 28 Gb y 2
discos duros de 146 Gb SAS configurados en Raid 1/0 los cuales se encuentran
virtualizados con el software VMware (VSPHERE y VMWARE VCENTER SERVER).
- Sointecs S.A.S: el cual nos provee cuatro canales de internet dedicado para un
total de 100 Mbps con reúso 1:1 en fibra óptica.
De igual forma cada sede cuenta con un canal de internet dedicado para el desarrollo de
su actividad laboral.
Se cuenta con un switchcore Cisco 4510 ubicado en el Datacenter, el cual recibe los
enlaces de fibra de los demás edificios; este se encarga de despachar todas las solicitudes
de la LAN a alta velocidad. Los demás edificios cuentan con un switch Cisco 2960-S,
para recibir las conexiones de datos del edificio. La seguridad de la red institucional está
garantizada con un equipo UTM marca Sonic Wall.
Las marcas de estos equipos de cómputo son marca Hewlett Packard, iMac y Lenovo,
gama alta en cuanto a tecnología.
Los equipos Lenovo se encuentran en calidad de leasing operativo con una política de
renovación cada tres años, lo que nos permite contar siempre con equipos de última
gama. Los Equipos HP y iMac son de propiedad de la institución.
18
Cada sede cuenta con un canal de internet dedicado para el desarrollo de su actividad
laboral.
5.
Figura 4 Redes Unisangil
19
Infraestructura De Apoyo
De igual forma para interconexión se cuenta con la MCU de Renata y Unired, las cuales
están al servicio de la comunidad Universitaria.
Fuente. RENATA
- Proyectos que generen, fortalezcan o integren SERVICIOS que puedan ser ofrecidos
sobre la red.
Todas las propuestas deberán estar cobijadas por la licencia de atribución y compartición
de Creative Commons. Esto garantiza el reconocimiento del autor así como la libre
disponibilidad de terceros para modificarlo. 4
23
UNISANGIL
FUNCIÓN CATEGORIA JUSTIFICACIÓN
Gestión de activos (ID.AM): Los
datos, el perso
Actualmente se realiza el inventario
nal, los dispositivos, los sistemas y
de equipos físico, aplicaciones,
las instalacion
plataformas, en hoja de vida de cada
es que permiten a la organización
equipo, pero se encuentran
alcanzar objetiv
desactualizados.
IDENTIFICAR os de negocio se identifican y
Actualmente no se han establecidos
gestionan de acuerd
la
o con su importancia relativa para los
s funciones, responsabilidades de
objetivos d
cibe
e negocio y la estrategia de riesgo de
rseguridad.
la organizac
ión.
Entorno Empresarial (ID.BE): Se
entiende y pr
Actualmente no se está
ioriza la misión, los objetivos, las
estableciendo,
partes interesa
ni comunicando las prioridades de la
das y las actividades de la
misión, los objetivos y las actividades
organización; Esta inf
de la organización al equipo.
ormación se utiliza para informar las
No se establecen
funciones d
dependencias y funciones críticas par
e ciberseguridad, las
a la prestación de servicios críticos
responsabilidades y las deci
siones de gestión de riesgos
Gobernabilidad (ID. GV): Las Los requisitos legales y
políticas, procedi reglamentario
mientos y procesos para administrar y s relativos a la ciberseguridad, incluid
monitorear as las obligaciones en materia de priv
los requerimientos regulatorios, acidad y libertades civiles, no se
legales, de riesg encuentran establecidos. Existen
24
24
Las amenazas, tanto internas como e
xternas, son identificadas, pero no
son documentadas
Estrategia de Gestión de Riesgos
(ID.RM): Las
prioridades, limitaciones, tolerancias
Los procesos de gestión,
de riesgo y
la tolerancia al riesgo organizacional
suposiciones de la organización se
de riesgos actualmente no se
establecen y ut
encuentran establecidos.
ilizan para apoyar las decisiones de
riesgo operaci
onal.
Las identidades y credenciales se ad
ministran para dispositivos y usuarios
Control de acceso (PR.AC): El autorizados.
acceso a los acti Los permisos de acceso se gestionan,
vos e instalaciones asociadas está pero no se
limitado a usua incorporan los principios del privilegi
PROTEGER
rios, procesos o dispositivos o mínimo y la separación de funcione
autorizados, ya las a s.
ctividades y transacciones La integridad de la red no está
autorizadas. protegida, ya que no hay segregación
de red para usuarios de portátil y
dispositivos externos.
Sensibilización y Capacitación
(PR.AT): El per
sonal y los socios de la organización
reciben educ
ación para la concienciación en
Falta informar y capar tizar a los
ciberseguridad y
usuarios.
están adecuadamente capacitados
Actualmente no se cuenta con una
para cumplir co
per
n sus deberes y responsabilidades
sona de seguridad física y de informa
relacionados co
ción.
n la seguridad de la información, de
acuerdo con l
as políticas, procedimientos y
acuerdos relaciona
dos.
Seguridad de datos (PR.DS): La Actualmente el área no gestiona los d
información y l atos en tránsito de la empresa.
25
25
activos, de acuerdo con las políticas, Falta sistemas de protección
procedimien en las redes de comunicaciones y co
tos y acuerdos relacionados. ntrol
No Se establece, ni
Anomalías y Eventos (DE.AE): La
gestiona una línea base de operacione
actividad an
s de red y flujos de datos esperados p
DETECTAR ómala se detecta de manera oportuna
ara usuarios y sistemas.
y se entiend
Los eventos detectados no
e el impacto potencial de los eventos.
son analizados.
Monitoreo Continuo de Seguridad
(DE.CM): E Actualmente se cuenta con un report
l sistema de información y los activos ador donde se almacena los eventos
son monito de seguridad, pero no
reados a intervalos discretos para se monitorea la actividad de personal
identificar event para detectar posibles eventos de ci
os de ciberseguridad y verificar la berseguridad, ni se realiza escaneos
efectividad de l de vulnerabilidad
as medidas de protección.
Procesos de Detección (DE.DP): Los roles y responsabilidades para la
26
26
Según la Fig.7 y Fig.8, el estado actual de la red de datos de UNISANGIL,
encontramos que en identificación se tiene un cumplimiento del 26,14%,
mientras en protección 30,33%, detección 30,67%, respuesta del 20 % y
recuperar 24%, con un nivel de adherencia total del 24,09%, donde
observamos que no nos encontramos preparados en un cibera taque,
comprometiendo a diferentes niveles de pérdidas económicas, prestigio e
imagen institucional.
28
TO – BE
El modelamiento ASIS nos da las pautas para abordar una nueva tecnología en
nuestra universidad, gracias al modelo ASIS tenemos claro cuáles son los
puntos críticos, las fortalezas y las debilidades en cuanto a seguridad
informática dentro de la universidad de San Gil sede Yopal.
Teniendo en cuenta los hallazgos en el modelamiento ASIS se evidencio que la
universidad de San Gil sede Yopal tiene varios puntos que deben ser tratados a
la hora de implementar una arquitectura de seguridad multicapa.
Las políticas de seguridad informática de la universidad se basan en las buenas
prácticas que se le pueden dar a los distintos sistemas informáticos de la misma,
y a diferentes mecanismos que existen para evitar posibles daños o catástrofes
futuras, que puedan afectar de una u otra manera la integridad y la
confidencialidad de los datos o información que esta contenga; por lo que la
universidad ha decidido implementar las siguientes políticas de seguridad
informática, que serán ejecutadas y llevadas a cabo por cada uno de los
empleados que tengan acceso a información privilegiada y que por su
manipulación o extravío puedan afectar los procesos que internamente lleva la
universidad:
· Será violación de las normas de seguridad cualquier acto que permita que
externamente se penetre la red de la universidad, o conlleve a pérdida,
alteración o cualquier otra causa que pueda poner en peligro la confidencialidad
de los procesos que lleva internamente la universidad.
· Los miembros de la organización serán capacitados en seguridad
informática básica, esto les permitirá tener nociones acerca de cuáles son los
riesgos que se pueden correr al descuidar cierta información.
Arquitectura actual.
Seguridad Perimetral
Seguridad en la Red
32
Seguridad Aplicativa.
La universidad de San gil cuenta con una buena Practica a la Hora de proteger
la seguridad aplicativa, en ese orden de ideas no se ve la necesidad de
implementar un sistema de seguridad en esta.
34
Seguridad de Datos.