Manual de procedimientos de la Fundación Universitaria de San Gil Unisangil

(AS-IS -- TOBE)

Nelson Manuel Hernández Córdoba

Mayo 2019.

Servicio Nacional de Aprendizaje

Modalidad Virtual
Seguridad en la Red
 Tabla de Contenidos ii

INTRODUCCIÓN .......................................................................................................................... 1
DATOS DE LA EMPRESA ........................................................................................................... 2
MISIÓN: ..................................................................................................................................... 2
PROCESOS CRÍTICOS DE LA EMPRESA ................................................................................. 3
Procesos Misionales .................................................................................................................... 3
Gestión Curricular ................................................................................................................... 3
Gestión de Información del Proceso Formativo ..................................................................... 4
Vinculación, Permanencia y graduación................................................................................. 4
Impacto de los Egresados........................................................................................................ 4
Procesos de Apoyo:..................................................................................................................... 4
Gestión Humana...................................................................................................................... 4
Bienestar Institucional ............................................................................................................ 5
Gestión de Comunicaciones .................................................................................................... 5
Gestión de TIC ........................................................................................................................ 5
Gestión Documental................................................................................................................ 5
Gestión de Medios para la Investigación y el aprendizaje ...................................................... 5
Gestión jurídica ....................................................................................................................... 6
Gestión de Infraestructura ....................................................................................................... 6
Gestión Financiera .................................................................................................................. 6
Contratación de Bienes y Servicios ........................................................................................ 6
SOLUCIONES TECNOLÓGICAS Y ESTRUCTURA ................................................................. 8
1. Servicio de correo electrónico. ........................................................................................... 8
Seguridad ................................................................................................................................ 8
Abuso en el Correo Electrónico .............................................................................................. 8
Garantía de entrega de los mensajes ....................................................................................... 9
2. Servicio de hosting:........................................................................................................... 10
Datacenter ............................................................................................................................. 10
Servidores ............................................................................................................................. 10
Política de Seguridad ............................................................................................................ 11
3. Sistema de información de registro de clientes/usuarios: ................................................. 12
Solicitud y Creación de Correos Electónicos........................................................................ 12
4. Toma de backups: ............................................................................................................. 14
5. Servicio de desarrollo de software: ................................................................................... 15
6. Servicio de administración de infraestructura, servidores de dominio, servidores de
aplicaciones: .............................................................................................................................. 16
7. Servicio de administración de comunicaciones, LAN, WAN, WIFI: ............................... 16
8. Componentes tecnológicos en un mapa arquitectónico: ................................................... 17
Infraestructura De Apoyo ......................................................................................................... 19
Conexión con RENATA (Red Nacional Académica de Tecnología) ....................................... 21
CONCLUSIONES .........................................................................Error! Bookmark not defined.
Lista de referencias ........................................................................Error! Bookmark not defined.
 Lista de figuras iii

Figura 1 Mapa de Procesos Sistemas de Gestión de la Calidad UNISANGIL ............................... 3

Figura 2 Datacenter Unisangil ...................................................................................................... 10
Figura 3 Servidores Institucionales ............................................................................................... 11
Figura 4 Redes Unisangil .............................................................................................................. 18
Figura 5 Redes Yopal.................................................................................................................... 19
Figura 6 Topología de Red Renata ............................................................................................... 21
 1

Modelo ciberseguridad Fundación Universitaria de San Gil Unisangil (AS-

IS)

INTRODUCCIÓN

FUNDACIÓN UNIVERSITARIA DE SAN GIL – UNISANGIL, es una institución de

Educación Superior de origen y economía solidaria de Personería Jurídica 10989 de
1991.Vigilada por el Ministerio de Educación, fundada en San Gil Santander en el año
1988, por organizaciones sociales y cooperativas, la institución se consolida en
programas de ciencias administrativas, ingenierías, ciencias de la salud. UNISANGIL,
desarrolla 9 programas de pregrado en la ciudad de Yopal, 12 en la ciudad de San Gil y 4
en la ciudad de Chiquinquirá, en formación tecnológica 2 programas en cada una de sus
Sedes y 17 especializaciones y 2 maestrías en todas sus sedes. Según la guía de proceso
01, el proceso misional está enfocado a la formación, acompañado de procesos
estratégicos, de apoyo y evaluación.

A través de la infraestructura tecnológica, se busca garantizar a la comunidad

universitaria condiciones favorables de acceso permanente a la información,
experimentación y práctica profesional necesarias para adelantar procesos de
investigación, docencia y proyección social, en correspondencia con la naturaleza,
estructura y complejidad del programa, así como con el número de estudiantes.

Dentro de la estructura organizacional, UNISANGIL cuenta con el Departamento de

Sistemas y apoyo a TIC, desde donde se trabaja la gestión tecnológica como apoyo al
quehacer universitario, éste mismo departamento es el encargado de la ciberseguridad de
la institución.

El objetivo de este trabajo denominado “Modelo Ciberseguridad Fundación Universitaria

de San Gil UNISANGIL” es establecer el diagnóstico inicial y realizar un estado futuro
con las recomendaciones de implementaciones de CIBERSEGURIDAD, identificando
los componentes tecnológicos y arquitectura de seguridad actual y proporcionar una
recomendación futura.
 2

DATOS DE LA EMPRESA

FUNDACIÓN UNIVERSITARIA DE SAN GIL – UNISANGIL, es una Institución de

Educación Superior de origen y economía solidaria de Personería Jurídica 10989 de
1991.Vigilada por el Ministerio de Educación, fundada en San Gil Santander en el año
1988, por organizaciones sociales y cooperativas 1

MISIÓN:

“Somos una institución de educación superior de origen y acción solidarios que

contribuye al desarrollo de la sociedad en los ámbitos local y regional con visión global,
mediante la participación en la formación integral de personas, la investigación y la
interacción social”.

Dentro de la estructura organizacional, UNISANGIL cuenta con el Departamento de

Sistemas y Apoyo a TIC, desde donde se trabaja la gestión tecnológica como apoyo al
quehacer universitario.

El Departamento de Sistemas y Apoyo TIC, está integrado por cinco áreas de apoyo a los
procesos institucionales, las cuales son:

- Administración de Redes y Tele comunicaciones

- Administrador de Bases de Datos
- Administrador de Servidores
- Administrador Taller de Mantenimiento y Aulas de informática
- Administrador Cursos de Informática

De acuerdo a la estructura organizacional de UNISANGIL se tiene un director general y

en cada una de las sedes se tiene un coordinador de departamento.

Dentro de los principales servicios brindados por este departamento a los diferentes
estamentos de la comunidad universitaria se encuentran:

• Dar Soporte Tecnológico a las actividades académicas y administrativas.

• Apropiación de Nuevas Tecnologías para ser aplicadas en los diferentes ámbitos

del quehacer universitario.

• La Gestión Administrativa de los servicios ofrecidos por entidades externas.

• Planificar y coordinar el desarrollo y mantenimiento de la infraestructura

tecnológica de UNISANGIL, permitiendo a la comunidad universitaria la utilización de
estos recursos de manera consistente, eficiente y productiva.
 3

PROCESOS CRÍTICOS DE LA EMPRESA

El mapa de proceso de UNISANGIL según el Sistema de Gestión de Calidad de la misma

es el presentado en la Figura 1.

Figura 1 Mapa de Procesos Sistemas de Gestión de la Calidad UNISANGIL

Fuente. Fundación Universitaria de San Gil

Los procesos Críticos de la organización son los procesos Misionales y de apoyo, dentro
de ellos encontramos:

Procesos Misionales

Gestión Curricular
Objetivo: Formar personas integralmente con valores éticos y competencias necesarias
que aporten soluciones a la sociedad, por medio de la oferta de programas académicos en
todos los tipos, modalidades y niveles de formación, fundamentados de acuerdo al
modelo pedagógico institucional.
Alcance: Inicia con el análisis de la fundamentación de la gestión curricular y finaliza con
el desarrollo y construcción permanente de conocimiento, así como el seguimiento y
mejoramiento del currículo.
 4

Líder del Proceso. Vicerrector(a) Académico(a)

Gestión de Información del Proceso Formativo

Objetivo: Asegurar que la ejecución de los procesos de admisiones se desarrolle de
manera efectiva con el fin de completar y optimizar procesos y procedimientos
académicos y administrativos; así mismo, garantizar el registro de la información
académica del estudiante con el propósito de atender cualquier solicitud presentada por
este último durante su proceso de formación o en calidad de egresado no graduado.
Alcance: Inicia con la planeación de actividades de información académica y
administrativa, coordina los periodos y la ejecución de las actividades relacionadas con la
inscripción, matrícula, graduación y finaliza con la implementación de actividades
correctivas y de mejora del proceso.
Líder del Proceso: Director(a) de Admisiones y Registro Académico

Vinculación, Permanencia y graduación

Objetivo: Establecer lineamientos que apoyen al estudiante en cada uno de los
componentes académicos, sociales y personales con el fin de garantizar la permanencia
en la vida universitaria.
Alcance: Inicia desde la identificación y análisis de los resultados de las competencias
genéricas de los estudiantes de primer nivel de aprendizaje de pregrado hasta la creación
de estrategias de apoyo para la permanecía en la institución.
Líder del Proceso: Vicerrector(a) Académico(a)

Impacto de los Egresados

Objetivo: Ofrecer a los egresados de UNISANGIL, espacios de participación e
interacción con la institución, vinculándolos a procesos académicos, de investigación,
extensión e inserción al mundo laboral, logrando así el fortalecimiento de su desarrollo
profesional y reconocimiento a través del seguimiento del impacto generado por ellos en
el medio.
Alcance: Inicia con la identificación y fortalecimiento de todos aquellos servicios que
como Institución podemos ofrecer a nuestros egresados a fin de buscar la fidelización de
estos y termina con el seguimiento y actualización de información a fin de mantener
comunicación constante con este grupo de interés.
Líder del Proceso: Director (a) del departamento de egresados

Procesos de Apoyo:

Gestión Humana
Objetivo: Seleccionar personal competente y generar desarrollo humano integral en el
personal implementando procesos eficaces y eficientes de reclutamiento, selección,
vinculación, planes de capacitación, plan de Bienestar laboral, evaluación de desempeño
y desvinculación; a fin de satisfacer las necesidades de cada uno de los Departamentos
que conforman la Institución fomentando la cultura de mejoramiento continuo en el
proceso.
 5

Alcance: Aplica para las actividades de requisición de personal, selección, vinculación,

capacitación, bienestar laboral, evaluación de desempeño y desvinculación del mismo.
Líder del Proceso: Director(a) Departamento de Talento Humano

Bienestar Institucional
Objetivo: Mantener y desarrollar la política de Bienestar Institucional, planificando y
ejecutando programas y actividades de bienestar en las áreas de: Crecimiento y desarrollo
psicológico y afectivo, promoción socioeconómica, desarrollo de expresiones culturales y
artísticas, del deporte y la recreación, de la cultura de la salud y del acompañamiento para
el desarrollo cognitivo.
Alcance: Inicia con el desarrollo de estrategias que permitan el acceso a las actividades y
servicios que ofrece bienestar para los estamentos de la comunidad universitaria en busca
del desarrollo humano integral hasta las acciones de mejoramiento continuo.
Líder del Proceso: Director(a) de Bienestar Institucional

Gestión de Comunicaciones
Objetivo: Garantizar la comunicación con los diferentes grupos de interés para contribuir
con la proyección de la imagen Institucional y la construcción y fortalecimiento de las
relaciones humanas, a partir de estrategias coherentes con las necesidades de las unidades
académicas y administrativas de UNISANGIL y con las tendencias en materia de
comunicación.
Alcance: Inicia con la identificación de las necesidades comunicativas por parte de las
unidades académicas y administrativas, hasta la publicación, emisión o transmisión de los
productos comunicativos.
Líder del Proceso: Coordinador(a) de Comunicaciones.

Gestión de TIC
Objetivo: Planear, desarrollar e implementar soluciones tecnológicas, que provean en
forma oportuna y eficiente los requerimientos necesarios para dar cumplimiento a los
fines misionales de UNISANGIL
Alcance: Aplica desde la identificación de las necesidades de infraestructura tecnológica
hasta su adaptación, puesta en marcha, soporte y mantenimiento.
Líder del Proceso: Director(a) del departamento de sistemas y apoyo a TIC

Gestión Documental
Objetivo: Orientar a los departamentos administrativos y académicos sobre las políticas
establecidas de manera que permitan organizar, clasificar, controlar, gestionar, conservar
y custodiar la documentación y los registros controlados de UNISANGIL.
Alcance: Aplica desde la recepción de documentación hasta el archivo y control de todos
los documentos de UNISANGIL y del Sistema de Gestión de Calidad.
Líder del Proceso: Secretaria(o) General

Gestión de Medios para la Investigación y el aprendizaje

 6

Objetivo: Ofrecer soporte a los procesos de enseñanza aprendizaje e investigación a

través de la gestión de recursos bibliográficos físicos, digitales, la construcción de
material educativo, la gestión de escenarios de prácticas, laboratorios y ayudas
audiovisuales con el fin de satisfacer las necesidades de los grupos de interés.
Alcance: Inicia desde la evaluación de material bibliográfico y demás elementos
utilizados como medios para la investigación y el aprendizaje hasta la puesta en servicio
para los usuarios, incluyendo las actividades de capacitación y asesoría.
Líder del Proceso: Director(a) de CENTURIA.

Gestión jurídica
Objetivo: Brindar asesoría jurídica para la adecuada toma de decisiones por parte de la
Alta Dirección y unidades académicas y administrativas, siempre que ellas involucren
aspectos jurídicos (laboral, civil, disciplinario, administrativo), así como revisar y
construir documentos jurídicos institucionales, garantizando el manejo de la información
y el asegurando el cumplimiento del marco legal aplicable vigente.
Alcance: Inicia desde la identificación y análisis de los diferentes aspectos normativos
existentes, hasta la asesoría y representación jurídica de UNISANGIL, dando
cumplimiento al contexto legal aplicable.
Líder del Proceso: Director(a) de la oficina jurídica y de contratación.

Gestión de Infraestructura
Objetivo: Mantener y gestionar la infraestructura física de UNISANGIL en sus tres sedes,
bajo principios de gestión ambiental y de seguridad y salud en el trabajo, propiciando y
garantizando ambientes académicos y laborales adecuados para la prestación de nuestros
servicios.
Alcance: Inicia desde la creación del Proyecto Estratégico Gestión de la Infraestructura
Física de la institución en sus tres sedes y finaliza con el seguimiento al mismo.
Líder del Proceso: Director(a) del Departamento de Planta Física y Seguridad

Gestión Financiera
Objetivo: Planear, Controlar y Ejecutar de manera eficiente y transparente los recursos
financieros destinados para el desarrollo y actividades de la Unidades Académicas y
Administrativas de UNISANGIL.
Alcance: Inicia con la programación del Presupuesto de la Vigencia, la Asignación y
Ejecución de los Recursos, la contabilización de cada una de las operaciones, los ajustes
contables, la producción de los estados financieros, el establecimiento de controles para
las áreas propias del proceso e informes hacia los grupos de interés de UNISANGIL
Líder del Proceso: Vicerrectoría Administrativa y Financiera

Contratación de Bienes y Servicios

Objetivo: Administrar en forma efectiva la adquisición de suministros en: equipos,
materiales, productos y servicios necesarios para el desarrollo funcional, tecnológico,
estructural, académico y operativo en UNISANGIL teniendo en cuenta la armonía con la
 7

normatividad nacional vigente, principios y criterios éticos de transparencia, prudencia,

eficacia, economía, celeridad y responsabilidad con el medio ambiente.
Alcance: Inicia con la identificación de las necesidades de las diferentes dependencias
institucionales y finaliza con la satisfacción de la necesidad mediante la entrega de
suministros y servicios.
Líder del Proceso: Jefe de almacén, compras e inventarios San Gil– Asistente de
Almacén, compras e inventarios Yopal–Coordinador(a) Administrativa y Financiera
Chiquinquirá, según la información del Sistema de gestión de calidad.
 8

SOLUCIONES TECNOLÓGICAS Y ESTRUCTURA

1. Servicio de correo electrónico.

UNISANGIL cuenta con una APPS educativa, de Google a través de la cual se tienen las
cuentas corporativas con el dominio @unisangil.edu.co; a través de esta APPS se brinda
una cuenta de correo a cada uno de los estudiantes, docentes, administrativos y egresados
de la institución.

Podrá solicitar y utilizar una cuenta de correo electrónico corporativa de UNISANGIL,

los trabajadores con vinculación laboral con UNISANGIL, Estudiantes y Egresados.

Los usuarios que deseen obtener una cuenta de correo deberán aceptar los "Términos y
Condiciones de Uso del Correo Electrónico" de UNISANGIL (Ver ANEXO1).

Tipología: Bajo el dominio o subdominios “unisangil.edu.co”, se pueden distinguir dos

tipos de cuentas: Personales e Institucionales.

Cuentas Personales: Identifican las direcciones de correo electrónico de una persona.

Cuentas Institucionales: Están asociadas a cargos, de acuerdo a lo que está establecido en

el organigrama institucional.

Una persona tendrá acceso a una cuenta institucional en función de su cargo o de su

actividad.

Seguridad
Contraseña.

Una vez se cree la cuenta de correo electrónico, se asignará una contraseña de ingreso
provisional, la cual obliga el cambio de clave con el primer ingreso del usuario.

La contraseña de acceso al correo no debe ser cedida o facilitada a otros usuarios, siendo
responsabilidad del propio usuario su custodia.

El Departamento de Sistemas y TIC, NUNCA solicitará a los usuarios las contraseñas de

las cuentas de correo o cuentas de otros servicios. Ante una sospecha no se deberá abrir o
responder a los mensajes. Ante cualquier duda, se deberá informar al correo
email@unisangil.edu.co.

Abuso en el Correo Electrónico

Tipos de abuso:
 9

Las actividades catalogadas como Abuso en el correo electrónico se pueden clasificar en

cuatro grandes grupos:

• Difusión de contenido inadecuado.

Contenido ilegal por naturaleza (todo el que constituya complicidad con hechos
delictivos). Ejemplos: apología del terrorismo, programas piratas, pornografía infantil,
amenazas, estafas, esquemas de enriquecimiento piramidal, virus o código hostil en
general, etc.

• Difusión a través de canales no autorizados.

Uso no autorizado de una estafeta ajena para reenviar correo propio. Aunque el mensaje
en sí sea legítimo, se están utilizando recursos ajenos sin su consentimiento (nada que
objetar cuando se trata de una estafeta de uso público, declarada como tal).

• Difusión masiva no autorizada.

El uso de estafetas propias o ajenas para enviar de forma masiva publicidad o cualquier
otro tipo de correo no solicitado se considera inadecuado.

• Ataques con objeto de imposibilitar o dificultar el servicio.

Dirigido a un usuario o al propio sistema de correo. En ambos casos el ataque consiste en

el envío de un número alto de mensajes por segundo, o cualquier variante, que tenga el
objetivo neto de paralizar el servicio por saturación.

Suscripción indiscriminada a listas de correo. Es una versión del ataque anterior, en la

que de forma automatizada se suscribe a la víctima a miles de listas de correo. Dado que
en este caso los ataques no vienen de una sola dirección, sino varias.

Garantía de entrega de los mensajes

Generalmente, los mensajes de correo electrónico llegan a su destino rápidamente, en
ningún caso el servicio de correo electrónico garantiza de forma absoluta la entrega de un
mensaje.

Habitualmente las estafetas de correo de UNISANGIL envían un correo al emisor

informando de los problemas surgidos en casos de que no se pueda entregar un correo a
un destinatario debido a las siguientes incidencias:

• Caídas imprevistas en los canales de comunicaciones

• Límites de almacenamiento en los buzones del usuario receptor
• Rechazo de mensajes por virus
 10

• Exceso de tamaño para el servidor que recibe

• Direcciones mal formadas; entre otras.

Es responsabilidad del propio usuario, leer los mensajes de retorno que los sistemas de
correo le envíen, notificándole cualquiera de estas incidencias en la entrega de los
mensajes remitidos por él. 2

2. Servicio de hosting:

La infraestructura tecnológica, necesaria para que los diferentes recursos y sistemas de

información funcionen correctamente, es ofrecida a las diferentes sedes desde la sede
principal de Unisangil ubicada en San Gil, Santander.

En esta sede Unisangil cuenta con los recursos tanto de Hardware como de
infraestructura que garantiza la continuidad de las operaciones en todo momento.

Datacenter
Unisangil cuenta con un datacenter el cual fue construido bajo los requerimientos de la
Norma TIA942, se implementó el Sistema de Control de Acceso, Sistema contra
Incendio, Aire de Precisión, Puerta contra Fuego y sellos corta fuegos, Sistema de
Redundancia Eléctrica N+1, Sistema de Malla de alta Frecuencia en el Data Center y
acometidas eléctricas independientes para el DataCenter, todo esto con el fin de
garantizar la integridad y el correcto funcionamiento de los equipos tecnológicos de la
institución. En este datacenter se alojan los diversos servidores de la institución como se
puede ver en la Figura 2.

Figura 2 Datacenter Unisangil

Servidores
Unisangil cuenta con un Servidor Blade con seis cuchillas, provisto con 2 procesadores
Xeon Six Core de última tecnología cada uno, con Memoria RAM instalada de 28 Gb y 2
 11

discos duros de 146 Gb SAS configurados en Raid 1/0 los cuales se encuentran
virtualizados con el software VMware (VSPHERE y VMWARE VCENTER SERVER).

Un Servidor (Blade) de base de datos el cual tiene la misma configuración de los

virtualizados salvo que este viene con un Procesador instalado, esto por efecto de los
costos de licenciamiento de la Base de Datos Oracle, esta solución se encuentra
conectada a través de una conexión Fiber chaner a una SAN P2000 con 20 discos SAS de
600 Gb, lo cual nos permite contar con 12 Teras de almacenamiento.

Desde la infraestructura de servidores se despacha los servicios de los diferentes sistemas

de información con los que cuenta la institución, el Ambiente Virtual de Aprendizaje
Moodle que actualmente es utilizado por los estudiantes y docentes de los programas
presenciales y virtuales. En la Figura 3 se pueden observar dichos servidores.

Figura 3 Servidores Institucionales

Esta infraestructura se encuentra ubicada en la sede principal en el municipio de San Gil,

y desde ahí se brindan los servicios a cada una de las sedes, particularmente la sede de
Chiquinquirá no cuenta con servidores debido a que no se requieren.

Política de Seguridad
Aplicaciones en entorno de producción.
• Diariamente se realizará una copia de seguridad completa, a los publicadores de
los servidores de producción, los días lunes, martes, miércoles, jueves, viernes y sábado,
las cuales se sobrescriben por cada día de la semana todas las semanas.
• El domingo se realiza una copia de seguridad completa, la cual tiene un periodo
de retención de 4 semanas y se sobrescriben en el siguiente mes.
• El último día del mes se realizará una copia de seguridad completa, la cual tendrá
un periodo de retención de 12 meses y se sobrescriben en el siguiente año.
 12

• El último día del año se realizará una copia de seguridad completa, la cual tendrá
un periodo de retención de 5 años.
• Estas copias de seguridad serán almacenadas en el servidor de copias de seguridad
alojado en el Datacenter de UNISANGIL

Aplicaciones en entorno de pruebas y desarrollo.

• Cada quince días se realiza una copia de seguridad completa, la cual tiene un
periodo de retención trimestral, y se sobrescriben en el siguiente trimestre.
• Estas copias de seguridad serán almacenadas en el servidor de copias de seguridad
alojado en el Datacenter de UNISANGIL
• Cuando la Institución requiera el funcionamiento de nuevos servidores físicos será
necesaria la proyección presupuestalmente desde la vigencia inmediatamente anterior en
la planeación operativa del Departamento de Sistemas y TIC
• Los servidores se encuentran alojados en la Sede San Gil, y los cambios que se
realicen sobre estos servidores afecta el funcionamiento del software y aplicativos en las
sedes en Yopal y Chiquinquirá.

Todas las actualizaciones, ajustes o modificaciones recibidas se aplicarán inicialmente en

el servidor de pruebas del sistema Académico Administrativo, a menos que se haya
cumplido la etapa de pruebas y que los usuarios autorizados (Director(a) Departamento
de Registro y Control Académico, Director(a) Desarrollo Tecnológico) indiquen la
aplicación sobre el servidor de producción, previa aprobación de la Dirección del
Departamento de Sistemas y TIC. Estas actualizaciones se registrarán a través del caso
generado en la plataforma GLPI. (*)

El primer día laboral del año siguiente, se da cierre al proceso de copias de seguridad del
año inmediatamente anterior, mediante acta se formaliza la actividad y se diligencia el
formato de control de respaldo de servidores y bases de datos (F-GTI-004) con la
información de las copias realizadas con periodicidad anual.
Nota aclaratoria: (*) Aplica para la sede de San Gil 3

3. Sistema de información de registro de clientes/usuarios:

Solicitud y Creación de Correos Electrónicos

Trabajadores con vinculación laboral con UNISANGIL.

El Departamento de Talento Humano de UNISANGIL solicitará la creación de la cuenta
de correo electrónico, enviando un correo a la cuenta email@unisangil.edu.co,
especificando el nombre completo del funcionario, cargo a desempeñar, sede, correo
alternativo y número de celular
 13

El departamento de Talento Humano de UNISANGIL, hará firmar al funcionario el

documento “Términos y Condiciones de Uso del Correo Electrónico”, el cual reposará en
la hoja de vida del mismo.

El administrador del correo, perteneciente al Departamento de Sistemas y TIC, creará la

cuenta y se le enviará al correo alterno del usuario con una clave temporal para acceso a
la misma.

El administrador del correo del Departamento de Sistemas y TIC, notificará al

Departamento Talento Humano, a las cuentas Talentohumanosangil@unisangil.edu.co,
talentohumanoyopal@unisangil.edu.co, talentohumanochiquinquira@unisangil.edu.co,
según corresponda, la creación de la cuenta.

Si el usuario pierde la clave, la podrá recuperar a través del medio de recuperación que
ofrece las apps de Gmail.

Si el trabajador ha tenido algún tipo de vinculación académica con la institución

(estudiante de algún programa de pregrado o postgrado) y tiene cuenta de correo vigente,
no se creará una nueva cuenta, si no que se utilizará la que tiene como su cuenta personal.

Estudiantes.
Una vez el estudiante formalice su matrícula por primera vez en la universidad, el
Departamento de Admisiones Registro y Control Académico, creará la cuenta de correo y
hará entrega de los datos de usuario y clave.

Al finalizar el periodo de matrícula por cada semestre, el Departamento de Admisiones

Registro y Control Académico enviará a la cuenta email@unisangil.edu.co, el listado de
cuentas creadas indicando el nombre completo del estudiante, el programa, la cuenta de
correo y la sede.
El administrador de correos del Departamento de Sistemas y TIC, incluirá estas cuentas a
los respectivos grupos creados en la institución.

Si el usuario pierde la clave, la podrá recuperar a través del medio de recuperación que
ofrece las apps de Gmail.

Egresados.
La oficina de Secretaria General de UNISANGIL, reportará a través de correo electrónico
a la cuenta email@unisangil.edu.co, la información de los egresados graduados, una vez
se otorgué el respectivo título profesional por parte de UNISANGIL, para efectos de
incluir estas cuentas en el grupo de egresados.

Si el usuario pierde la clave, la podrá recuperar a través del medio de recuperación que
ofrece las apps de Gmail.
 14

4. Toma de backups:

La toma de backups se realiza bajo una política de copias de seguridad:

Bases de datos en entorno de producción.
Diariamente (de lunes a sábado) se realizará una copia de seguridad completa, a las bases
de datos de producción, las cuales se sobrescriben por cada día de la semana todas las
semanas. El domingo se realiza una copia de seguridad completa, la cual tiene un periodo
de retención de 4 semanas y se sobrescriben en el siguiente mes.

El último día del mes se realizará una copia de seguridad completa, la cual tendrá un
periodo de retención de 12 meses y se sobrescriben en el siguiente año. El último día del
año se realizará una copia de seguridad completa, la cual tendrá un periodo de retención
de 5 años.

Estas copias de seguridad serán almacenadas en el servidor de copias de seguridad

alojado en el Datacenter de Unisangil.

Bases de datos en entorno de desarrollo.

Cada quince días se realiza una copia de seguridad completa, la cual tiene un periodo de
retención trimestral, y se sobrescriben en el siguiente trimestre. Estas copias de seguridad
serán almacenadas en el servidor de copias de seguridad alojado en el Datacenter de
Unisangil.

Bases de datos de solo consulta. (Son aquellas bases de datos que no tienen movimiento
en los datos)
Semestralmente se realiza una copia de seguridad completa, la cual tiene un periodo de
retención anual, y se sobrescriben en el siguiente semestre. El último día del año se
realizará una copia de seguridad completa, la cual tendrá un periodo de retención de 5
años.
Estas copias de seguridad serán almacenadas en el servidor de copias de seguridad
alojado en el Datacenter de Unisangil.

Actualizaciones o ajustes para Academusoft.

Todas las actualizaciones, ajustes o modificaciones recibidas para la suite Academusoft,

se aplicarán inicialmente en el servidor de pruebas del sistema Académico
Administrativo, a menos que se haya cumplido la etapa de pruebas y que los usuarios
autorizados (Director(a) Departamento de Registro y Control Académico, Director(a)
Desarrollo Tecnológico) indiquen la aplicación sobre el servidor de producción, previa
aprobación de la Dirección del Departamento de Sistemas y TIC. Estas actualizaciones se
registrarán a través del caso generado en la plataforma GLPI según el documento de
Topología de red del Departamento de Sistemas y TIC
 15

5. Servicio de desarrollo de software:

Software instalado en los laboratorios, servidores y computadores:

• IBM SPSS STATISTICS

• Java-Lenguaje de programación
• C++
• PseInt
• DFD
• Androd studio
• 324 licencias MicrosoftProjectProfessional AllLng
License/SoftwareAssurancePack Academic OLV 1License LevelE Enterprise
w/1ProjectSvrCAL 1Year
• 32 licencias MicrosoftWindowsServerSTDCORE AllLng
License/SoftwareAssurancePack Academic OLV 2Licenses LevelE AdditionalProduct
CoreLic 1Year
• 324 licencias MicrosoftWindowsServerCAL AllLng
License/SoftwareAssurancePack Academic OLV 1License LevelE Enterprise UsrCAL
1Year
• 324 licencias MicrosoftWINEDUE3 AllLng Upgrade/SoftwareAssurancePack
Academic OLV 1License LevelE Enterprise 1Year
• 324 licencias MicrosoftO365ProPlusOpenforFaculty ShrdSvr AllLng
MonthlySubscriptions-VolumeLicense Academic OLV 1License LevelE Enterprise
1Month Each
• 40 licencias MicrosoftVisioOnlinePlan1OpenFaculty ShrdSvr AllLng
MonthlySubscriptions-VolumeLicense Academic OLV 1License LevelE AP Qualified
1Month
• Adobe CSS 6(Ing. de Sistemas)45 licencias
• Atlas TI (Departamento de Investigación) 10 licencias
• Corel Draw 2017 (Ing. de Sistemas) 22 licencias
• Dominio Institucional (UNISANGIL)1 licencias
• Karpesky antivirus (UNISANGIL) 500 licencias
• Oracle Enterprice (UNISANGIL)3 licencias
• Spas (Psicología e Ing. Financiera) 20 licencias
• Vmware (UNISANGIL)8 licencias
• Matlab (Ingenierías) 20 licencias

Si alguna unidad Académica o administrativa tiene la necesidad de adquirir software por

primera vez, el Director del programa o director del área debe tenerlo en cuenta dentro
del presupuesto cada primera vez. Posterior a este hecho, la Dirección del Dpto. de
Sistemas llevará el control de las licencias adquiridas y de la renovación y soporte de las
mismas. Para la renovación de las licencias Académicas, se realiza contacto con el
Director del programa con el fin de verificar si se llevará a cabo la renovación de la
licencia para el periodo correspondiente.
 16

Todos los equipos de UNISANGIL al ser entregados a las UAA cuentan con el software
básico instalado de acuerdo a las directrices determinadas Institucionalmente. Si alguna
dependencia posee alguna necesidad adicional de software, debe realizar la solicitud de
compra al Dpto. de Compras.
De acuerdo al tipo de software que solicite el usuario a Compras, la Dirección del Dpto.
de Sistemas se comunicará con este para indagar sobre sus necesidades a fin de
determinar el tipo de software que se ajustará a su medida.
Toda licencia que sea requerida en cualquiera de las sedes, se debe solicitar al Dpto. de
Compras (San Gil), el Departamento de Compras realiza las respectivas cotizaciones y
las pasa al departamento de sistemas sede San Gil, quien realiza las revisiones técnicas y
da visto bueno a la compra. Toda licencia de software debe llegar al departamento de
sistemas de la sede San Gil, desde donde se lleva el control de las mismas y se entrega a
la sede o usuario respectivo.
Toda compra de licencias de software sea académico o administrativo, debe contar con el
Visto Bueno de la Dirección del Departamento de Sistemas y TIC de la sede San Gil,
también según el documento de Topología de red del Departamento de Sistemas y TIC

6. Servicio de administración de infraestructura, servidores de dominio,

servidores de aplicaciones:

Unisangil cuenta con un Servidor Blade con seis cuchillas, provisto con 2 procesadores
Xeon Six Core de última tecnología cada uno, con Memoria RAM instalada de 28 Gb y 2
discos duros de 146 Gb SAS configurados en Raid 1/0 los cuales se encuentran
virtualizados con el software VMware (VSPHERE y VMWARE VCENTER SERVER).

Un Servidor (Blade) de base de datos el cual tiene la misma configuración de los

virtualizados salvo que este viene con un Procesador instalado, esto por efecto de los
costos de licenciamiento de la Base de Datos Oracle, esta solución se encuentra
conectada a través de una conexión Fiber chaner a una SAN P2000 con 20 discos SAS de
600 Gb, lo cual nos permite contar con 12 Teras de almacenamiento.

Desde la infraestructura de servidores se despacha los servicios de los diferentes sistemas

de información con los que cuenta la institución, el Ambiente Virtual de Aprendizaje
Moodle que actualmente es utilizado por los estudiantes y docentes de los programas
presenciales y virtuales.

7. Servicio de administración de comunicaciones, LAN, WAN, WIFI:

Actualmente Unisangil, posee una conectividad de última tecnología con tres

proveedores, así:
- Media Commerce: el cual provee un canal de internet dedicado con una capacidad
de 2 Mbps con un reúso de 1 a 1 en fibra óptica.
 17

- Telefónica: La interconexión con las sedes se realiza a través de un canal

Corporativo de 3.5 Mbps de MPLS, distribuidos así: 2 Mbps en la sede principal, 1 Mbps
con El Yopal y 0,5 Mbps con Chiquinquirá. Esto permite contar con servicio de Voz IP
entre las sedes, conexión a las redes de tecnología avanzada UNIRED/RENATA, y
centralización de los sistemas de información.

- Sointecs S.A.S: el cual nos provee cuatro canales de internet dedicado para un
total de 100 Mbps con reúso 1:1 en fibra óptica.

De igual forma cada sede cuenta con un canal de internet dedicado para el desarrollo de
su actividad laboral.

Topología de la Red. El backbone de la red institucional se implementó en fibra óptica

mono modo con doble ruta y un tercer respaldo en cobre, esto para los edificios 1, 3,4 y
casona; para la sede la ceiba se tienen dos enlaces de fibra óptica y el respaldo con un
radio enlace; el tendido de la red de voz y datos se realizó con cable marca
ORTRONICS, categoría 6A F/UTP. La topología física de la red existente en las
instalaciones de Unisangil es de estrella extendida.

Se cuenta con un switchcore Cisco 4510 ubicado en el Datacenter, el cual recibe los
enlaces de fibra de los demás edificios; este se encarga de despachar todas las solicitudes
de la LAN a alta velocidad. Los demás edificios cuentan con un switch Cisco 2960-S,
para recibir las conexiones de datos del edificio. La seguridad de la red institucional está
garantizada con un equipo UTM marca Sonic Wall.

De manera complementaria para puntos administrativos distantes se ha implementado

una WLAN de uso netamente administrativo, y de forma paralela se cuenta con una red
inalámbrica de acceso controlado con un área de cobertura del 80% en las instalaciones
centrales y en las diferentes ubicaciones donde hacemos presencia, destinado al público
en general entre los cuales encontramos Docentes, Estudiantes, Personal Administrativo y
Visitantes. 3

8. Componentes tecnológicos en un mapa arquitectónico:

UNISANGIL tiene al servicio de los estudiantes 20 laboratorios de cómputo, distribuidos

entre todos los municipios donde hace presencia la institución, teniendo una relación
promedio de 12,1 estudiantes por computador.

Las marcas de estos equipos de cómputo son marca Hewlett Packard, iMac y Lenovo,
gama alta en cuanto a tecnología.

Los equipos Lenovo se encuentran en calidad de leasing operativo con una política de
renovación cada tres años, lo que nos permite contar siempre con equipos de última
gama. Los Equipos HP y iMac son de propiedad de la institución.
 18

Cada sede cuenta con un canal de internet dedicado para el desarrollo de su actividad
laboral.

Topología de la Red. El backbone de la red institucional se implementó en fibra óptica

mono modo con doble ruta y un tercer respaldo en cobre, esto para los edificios 1, 3,4 y
casona; para la sede la ceiba se tienen dos enlaces de fibra óptica y el respaldo con un
radio enlace; el tendido de la red de voz y datos se realizó con cable marca
ORTRONICS, categoría 6A F/UTP. La topología física de la red existente en las
instalaciones de Unisangil es de estrella extendida, en cada laboratorio y aulas del campo
se encuentran instalados Access point Ubiquiti, tal como se puede ver en las Figuras 4 y

5.
Figura 4 Redes Unisangil
 19

Figura 5 Redes Yopal

Fuente. Departamento de sistemas y apoyo a TIC UNISANGIL SEDE YOPAL

Infraestructura De Apoyo

Plataformas Tecnológicas que Soportan la Actividad Académica

Los programas académicos de UNISANGIL están apoyados por las siguientes
plataformas tecnológicas las cuales brindan interactividad entre la comunidad académica
y los diferentes sistemas de información, de igual forma se convierten en recursos de
apoyo para los diferentes procesos de aprendizaje en las diferentes modalidades.

Portal de Unisangil Virtual. Con el objetivo de ofrecer a la comunidad educativa

programas en la modalidad a distancia con metodología virtual, UNISANGIL promueve
la creación de entornos didácticos y de comunicación, ambientes virtuales de aprendizaje,
que apoyen los procesos de enseñanza-aprendizaje en esta modalidad, a través del empleo
de una plataforma ÁGORA, que facilita el desarrollo de estos procesos, apoyados en
herramientas comunicativas y de gestión del aprendizaje.

• Academusoft y Gestasoft. Es la suite que integra los procesos académicos y

administrativos de la Institución, brindando relación directa entre los diferentes módulos,
permitiendo una mayor eficiencia en las actividades, para lo cual

Academusoft permite realizar procesos de inscripción y matrícula en línea, acceso a su

histórico académico a través de la web para los estudiantes, consultas e ingreso de
calificaciones para los docentes y desarrollo de consultas a los administrativos entre
 20

otras, y Gestasoft gestiona toda la información financiera de la institución, contando con

interacción directa entre el módulo académico y todas las áreas financieras.

• SNIES. UNISANGIL cuenta con un servidor configurado con las

especificaciones dadas por el Ministerio de Educación para este proceso, desde el
Departamento de Sistemas se realiza el cargue al SNIES, de la información reportada por
las diferentes áreas y se sincroniza con las bases de datos del Ministerio en las fechas
establecidas en la Resolución 12161 de 2015, del Ministerio de Educación Nacional.

• SPADIES. El Departamento de Admisiones, Registro y Control Académico

realiza el reporte de la información solicitada por el sistema SPADIES sobre estudiantes
primer nivel y matriculados en cada semestre académico, graduados, apoyos tanto
académicos como financieros y psicológicos a los estudiantes.

• OLE. UNISANGIL cuenta con un Departamento de Egresados y Postgrados

desde el cual se hace interacción con los egresados. A través de este departamento y en
sus procesos de seguimiento dan cumplimiento a la información requerida por el
Observatorio Laboral.
• ScienTI. El Departamento de Investigación es el encargado de registrar la
información requerida sobre hojas de vida de los investigadores en el CvLAC,
información de grupos de investigación de CTI (Ciencia Tecnología e investigación) en
el GrupLAC, y demás reportes solicitados por el sistema.

• Correo electrónico: UNISANGIL cuenta con una APPS educativa, de google a

través de la cual se tienen las cuentas corporativas con el dominio @unisangil.edu.co; a
través de esta APPS se brinda una cuenta de correo a cada uno de los estudiantes,
docentes, administrativos y egresados de la institución.

• Video conferencias: Se cuenta con un sistema de videoconferencia propio en su

sede principal con una MCU con un software multipunto, lo que nos permite establecer
comunicación con cualquier parte del mundo. En cada una de sus sedes cuenta con una
cámara de Videoconferencia al servicio de la comunidad Universitaria.

De igual forma para interconexión se cuenta con la MCU de Renata y Unired, las cuales
están al servicio de la comunidad Universitaria.

Unisangil, adopta como política de arrendamiento de equipos de cómputo y tecnológicos

el leasing operativo, con un tiempo de vencimiento de tres años.
La solicitud de equipos que se requieran renovar bajo esta modalidad, para las tres sedes
la realiza la Dirección del Dpto. de Sistemas en San Gil, al Dpto. de Compras en San Gil,
el Dpto. de Compras al realizar la compra de acuerdo a los procedimientos establecidos.
Las características técnicas de los equipos para las tres sedes son suministradas por la
Dirección del Dpto. de Sistemas de la sede San Gil con el fin de mantener uniformidad en
las tres sedes.
 21

Si un usuario requiere un equipo y el Dpto. de Sistemas no cuenta con un inventario de

equipos de reserva, dicho usuario realiza la solicitud de compras y debe esperar a que se
acumulé el volumen idóneo (Definido por el área de compras) de solicitudes para llevar a
cabo la solicitud de equipos por medio del leasing. Si la solicitud es con carácter urgente,
se procede a realizar la compra por un medio diferente.
Una vez se formalice la adquisición de equipos mediante la modalidad de leasing, el
Departamento de compras lo ingresa al sistema y hace. 3

Conexión con RENATA (Red Nacional Académica de Tecnología)

La Red Nacional Académica de Tecnología Avanzada, RENATA, es la red nacional de

investigación y educación de Colombia, que conecta, articula e integra a la comunidad
académica y científica, el sector productivo y el Estado, entre sí y con el mundo, para el
desarrollo del conocimiento, la investigación, la educación y la innovación del país, su
objetivo es agrupar a universidades, centros de investigación, de desarrollo tecnológico e
innovación, y demás entidades interesadas en el desarrollo de la ciencia y la tecnología.
En la Figura 6 se puede observar la topología de la red RENATA.

Figura 6 Topología de Red Renata

Fuente. RENATA

Teniendo en cuenta las posibilidades que ofrece la infraestructura de RENATA se busca

que los participantes propongan usos innovadores que puedan ser de utilidad para la
comunidad académica, la población universitaria o los centros de investigación
pertenecientes a RENATA.

Las propuestas podrán presentarse en tres líneas globales:

- Desarrollo de APLICACIONES que hagan uso de la red y/o sus servicios.

 22

- Proyectos que generen, fortalezcan o integren SERVICIOS que puedan ser ofrecidos
sobre la red.

- USOS INNOVADORES o actividades que promueven el trabajo colaborativo, la

conformación de comunidades y aprovechen la infraestructura y/o servicios de
RENATA.

Todas las propuestas deberán estar cobijadas por la licencia de atribución y compartición
de Creative Commons. Esto garantiza el reconocimiento del autor así como la libre
disponibilidad de terceros para modificarlo. 4
 23

MODELO CIBERSEGURIDAD FUNDACIÓN UNIVERSITARIA DE SAN GIL

UNISANGIL (TO-BE)
Objetivo: Implementar modelo de controles de CIBERSEGURIDAD para la
Fundación Universitaria de San Gil UNISANGIL, teniendo en cuenta el
diagnóstico efectuado en el modelo AS-IS y los controles del CyberSecurity
Framework1 (CSF)[5]

1. CyberSecurity Framework Adherence (Estado Actual)

Se establece una línea base para desarrollar un modelo genérico y flexible
para manipular factores clave dentro de la Fundación Universitaria de San
Gil UNISANGIL: Procesos, Recursos Humanos y Tecnología, y extrapolar
el porcentaje de cumplimiento con elmarco de seguridad cibernética del
NIST, siguiendo la guía de protección de la ciberseguridad del Instituto
Nacional de Estándares y Tecnología (NIST)[6]. En el estado Inicial de la
Institución se encontró lo siguiente:

Tabla 1. Guía de protección Ciberseguridad NIST, estado actual

UNISANGIL
FUNCIÓN
IDENTIFICAR
Entorno Empresarial (ID.BE): Se
entiende y pr
ioriza la misión, los objetivos, las
partes interesa
das y las actividades de la
organización; Esta inf
ormación se utiliza para informar las
funciones d
e ciberseguridad, las
responsabilidades y las deci
siones de gestión de riesgos
Gobernabilidad (ID. GV): Las
políticas, procedi
mientos y procesos para administrar y
monitorear
los requerimientos regulatorios,
legales, de riesg
CATEGORIA JUSTIFICACIÓN
Gestión de activos (ID.AM): Los
datos, el perso
Actualmente se realiza el inventario
nal, los dispositivos, los sistemas y
de equipos físico, aplicaciones,
las instalacion
plataformas, en hoja de vida de cada
es que permiten a la organización
equipo, pero se encuentran
alcanzar objetiv
desactualizados.
os de negocio se identifican y
Actualmente no se han establecidos
gestionan de acuerd
la
o con su importancia relativa para los
s funciones, responsabilidades de
objetivos d
cibe
e negocio y la estrategia de riesgo de
rseguridad.
la organizac
ión.
Actualmente no se está
estableciendo,
ni comunicando las prioridades de la
misión, los objetivos y las actividades
de la organización al equipo.
No se establecen
dependencias y funciones críticas par
a la prestación de servicios críticos
Los requisitos legales y
reglamentario
s relativos a la ciberseguridad, incluid
as las obligaciones en materia de priv
acidad y libertades civiles, no se
encuentran establecidos. Existen
 24

o, ambientales y operativos de la políticas de seguridad de la

organización so Información pero solo enmarcada en
n entendidos e informar a la gerencia protección de datos y copias de
del riesgo d Seguridad
e ciberseguridad.
Evaluación de riesgos (ID.RA): La
organizació
n entiende el riesgo de ciberseguridad
para las op La información sobre amenazas y vul
eraciones de la organización (incluida nerabilidades se comunica, pero no se
la misión, toman medidas predictivas, ni se
las funciones, la imagen o la previene la vulnerabilidad y el riesgo.
reputación), los acti
vos de la organización y los
individuos

24
Las amenazas, tanto internas como e
xternas, son identificadas, pero no
son documentadas
Estrategia de Gestión de Riesgos
(ID.RM): Las
prioridades, limitaciones, tolerancias
Los procesos de gestión,
de riesgo y
la tolerancia al riesgo organizacional
suposiciones de la organización se
de riesgos actualmente no se
establecen y ut
encuentran establecidos.
ilizan para apoyar las decisiones de
riesgo operaci
onal.
Las identidades y credenciales se ad
ministran para dispositivos y usuarios
Control de acceso (PR.AC): El autorizados.
acceso a los acti Los permisos de acceso se gestionan,
vos e instalaciones asociadas está pero no se
limitado a usua incorporan los principios del privilegi
PROTEGER
rios, procesos o dispositivos o mínimo y la separación de funcione
autorizados, ya las a s.
ctividades y transacciones La integridad de la red no está
autorizadas. protegida, ya que no hay segregación
de red para usuarios de portátil y
dispositivos externos.
Sensibilización y Capacitación
(PR.AT): El per
sonal y los socios de la organización
reciben educ
ación para la concienciación en
Falta informar y capar tizar a los
ciberseguridad y
usuarios.
están adecuadamente capacitados
Actualmente no se cuenta con una
para cumplir co
per
n sus deberes y responsabilidades
sona de seguridad física y de informa
relacionados co
ción.
n la seguridad de la información, de
acuerdo con l
as políticas, procedimientos y
acuerdos relaciona
dos.
Seguridad de datos (PR.DS): La Actualmente el área no gestiona los d
información y l atos en tránsito de la empresa.

os registros (datos) se manejan de
acuerdo con la
estrategia de riesgo de la
organización para prote
ger la confidencialidad, integridad y
disponibilida
d de la información.
Procesos y procedimientos de
protección de la
información (PR.IP): Se mantienen
y utilizan la
s políticas de seguridad (que abordan
el propósit
o, el alcance, las funciones, las
responsabilidades
, el compromiso de la administración
y la coordi
nación entre las entidades
organizacionales), pro
cesos y procedimientos
para administrar la protección de los
sistemas y a
ctivos de información
Mantenimiento (PR.MA): El
mantenimiento y l
as reparaciones de los componentes
del control i
ndustrial y del sistema de
información se realizan
de acuerdo con las políticas y
procedimientos
Tecnología de Protección (PR.PT):
Las solucio
nes de seguridad técnica se gestionan
para garanti
zar la seguridad y la resiliencia de los
sistemas y
25
activos, de acuerdo con las políticas,
procedimien
tos y acuerdos relacionados.
DETECTAR
Monitoreo Continuo de Seguridad
(DE.CM): E
l sistema de información y los activos
son monito
reados a intervalos discretos para
identificar event
os de ciberseguridad y verificar la
efectividad de l
as medidas de protección.
Procesos de Detección (DE.DP):
25
Los puertos USB se encuentran
habilitados.
Actualmente no se encuentra estable
cidos la
línea de base de los sistemas de tecn
ología, no
se implementa un ciclo de vida de d
esarrollo de sistemas para gestionar s
istemas
Las copias de seguridad se guardan
en única copia en el Data Center de la
sede Principal.
No se tiene un
plan de gestión de la vulnerabilidad
La ciberseguridad
no se incluye en las prácticas de rec
ursos humanos
El mantenimiento y la reparación de
los activos de la organización se dem
oran en restablecerse por procesos
internos complejos.
Actualmente el equipo de Tic
está encargado del mantenimiento de
los activos para conexiones remotas
y gestionan el control de los accesos
No se realizan registros de auditoria,
no se encuentra en la política de
seguridad.
Falta sistemas de protección
en las redes de comunicaciones y co
ntrol
No Se establece, ni
Anomalías y Eventos (DE.AE): La
gestiona una línea base de operacione
actividad an
s de red y flujos de datos esperados p
ómala se detecta de manera oportuna
ara usuarios y sistemas.
y se entiend
Los eventos detectados no
e el impacto potencial de los eventos.
son analizados.
Actualmente se cuenta con un report
ador donde se almacena los eventos
de seguridad, pero no
se monitorea la actividad de personal
para detectar posibles eventos de ci
berseguridad, ni se realiza escaneos
de vulnerabilidad
Los roles y responsabilidades para la
 26

Los procesos detección no están definidos, por tal

y procedimientos de detección son motivo no son probados, ni tiene
mantenidos y proceso de mejora
probados para asegurar una
conciencia oportuna
y adecuada de eventos anómalos
Planificación de Respuesta
(RS.RP): Los proce
sos y procedimientos de respuesta se
RESPONDER ejecutan y m No se posee un plan de respuestas.
antienen para asegurar la respuesta
oportuna a ev
entos de ciberseguridad detectados.
Comunicaciones (RS.CO): Las
actividades de re
Actualmente no hay una capacitación
spuesta se coordinan con las partes
una información constante del person
interesadas int
al.
ernas y externas, según corresponda,
No existe intercambio voluntario de
para incluir
información con la parte externa para
el apoyo externo de los organismos
proteger la imagen institucional.
encargados d
e hacer cumplir la ley.
Actualmente no
Análisis (RS.AN): Se realiza un
se investigan las notificaciones de los
análisis para ase
sistemas de detección, por tal motivo
gurar una respuesta adecuada y
no
apoyar las activid
se entiende el impacto del incidente.
ades de recuperación.
No se aplica análisis forense.
Mitigación (RS.MI): Se realizan
actividades par
Los incidentes no son contenidos, ni
a prevenir la expansión de un evento,
mitigados.
mitigar sus
efectos y erradicar el incidente.
Mejoras (RS.IM): Las actividades
de respuesta o
rganizacional se mejoran
Actualmente no se cuenta con un plan
incorporando las leccio
de respuesta implementado
nes aprendidas de las actividades
actuales y anteri
ores de detección / respuesta.
Planificación de la recuperación
(RC.RP): Los
procesos y procedimientos de
recuperación se eje Actualmente no se cuenta con un
RECUPERAR cutan y se mantienen para asegurar la plan
restauració de recuperación
n oportuna de sistemas o activos
afectados por ev
entos de ciberseguridad.
Mejoras (RC.IM): La planificación
y los proces
os de recuperación se mejoran Actualmente no se cuenta con un plan
incorporando las le de recuperación
cciones aprendidas en las actividades
futuras.
Comunicaciones (RC.CO): Las No se tiene un plan de comunicación
actividades de r para mitigar la reputación después de
estauración se coordinan con las un evento y mantener la imagen
partes internas y institucional.
 27

externas, tales como centros de

coordinación, pro
veedores de servicios de Internet,
propietarios de
sistemas de ataque, víctimas, otros
CSIRT y ven
dedores.

26
Según la Fig.7 y Fig.8, el estado actual de la red de datos de UNISANGIL,
encontramos que en identificación se tiene un cumplimiento del 26,14%,
mientras en protección 30,33%, detección 30,67%, respuesta del 20 % y
recuperar 24%, con un nivel de adherencia total del 24,09%, donde
observamos que no nos encontramos preparados en un cibera taque,
comprometiendo a diferentes niveles de pérdidas económicas, prestigio e
imagen institucional.
 28

TO – BE

El modelamiento ASIS nos da las pautas para abordar una nueva tecnología en
nuestra universidad, gracias al modelo ASIS tenemos claro cuáles son los
puntos críticos, las fortalezas y las debilidades en cuanto a seguridad
informática dentro de la universidad de San Gil sede Yopal.
Teniendo en cuenta los hallazgos en el modelamiento ASIS se evidencio que la
universidad de San Gil sede Yopal tiene varios puntos que deben ser tratados a
la hora de implementar una arquitectura de seguridad multicapa.
Las políticas de seguridad informática de la universidad se basan en las buenas
prácticas que se le pueden dar a los distintos sistemas informáticos de la misma,
y a diferentes mecanismos que existen para evitar posibles daños o catástrofes
futuras, que puedan afectar de una u otra manera la integridad y la
confidencialidad de los datos o información que esta contenga; por lo que la
universidad ha decidido implementar las siguientes políticas de seguridad
informática, que serán ejecutadas y llevadas a cabo por cada uno de los
empleados que tengan acceso a información privilegiada y que por su
manipulación o extravío puedan afectar los procesos que internamente lleva la
universidad:

· Dentro del manual de políticas de seguridad informática de la universidad

se evitarán en lo posible los tecnicismos, que de alguna u otra manera puedan
dificultar el completo entendimiento de las normas.
· Dentro del manual se harán ejemplos prácticos, que faciliten la
comprensión del mismo evitando confusiones o malos entendidos que puedan
afectar la integridad de la misma.
· Las políticas de seguridad serán generales, cumplidas por cada uno de
los empleados, pero se tendrá prioridad por aquellos que de forma directa o
indirecta tienen acceso a información privilegiada, por lo que se tendrá más
rigurosidad con estos.

· La protección de la información será el principal objetivo de estas políticas

y todos los procedimientos que se lleven a cabo tendrán como fin la seguridad
de la misma.
· Cumplir las normas es deber de todo empleado, no importa su rango en la
universidad, las normas los cobijan a todos, por lo tanto deben ser cumplidas en
la misma medida.
· No todos los sistemas tendrán los mismos niveles de seguridad, se le dará
más importancia a aquellos sistemas que sean transcendentales para la
universidad y que por la pérdida, extravío o alteración de la información que
contengan puedan causar costosos e irreparables daños dentro de esta.
· Los miembros de la universidad mediante el cumplimiento de las políticas
de seguridad, estarán en plena facultad para desarrollar el sentido de la
responsabilidad frente a la información a que tienen acceso.
 29

· Será violación de las normas de seguridad cualquier acto que permita que
externamente se penetre la red de la universidad, o conlleve a pérdida,
alteración o cualquier otra causa que pueda poner en peligro la confidencialidad
de los procesos que lleva internamente la universidad.
· Los miembros de la organización serán capacitados en seguridad
informática básica, esto les permitirá tener nociones acerca de cuáles son los
riesgos que se pueden correr al descuidar cierta información.

La trascendencia de las PSI en la organización conlleva a la concientización del

personal, sobre el alto grado de importancia y sensibilidad de la información y
servicios, que le permiten a la universidad un crecimiento positivo y una
estabilidad óptima. Por lo tanto es necesario, para implementar estas políticas,
elaborar un plan que contenga los siguientes puntos:

· Llevar a cabo un análisis de los riesgos informáticos, para luego realizar

un estimado del tipo y valor que representa tanto la información como los activos
de la universidad, para de este modo ajustar las PSI a la naturaleza de la misma.
· Reunirse con los departamentos dueños de los recursos, ya que ellos
poseen la experiencia y son la principal fuente para establecer el alcance y
definir las violaciones a las políticas.
· Establecer un esquema de seguridad con la más debida claridad.
· Inculcar a todo el personal un sentido de pertenencia por todo lo que se
encuentra en la organización, asimismo enfatizar en adentrarlos en el proceso
de seguridad y a su vez que se vayan familiarizando con cada uno de los
mecanismos ejecutados, buscando que se trabaje en total armonía.
· Destacar que todos y cada uno de las personas que hacen parte de la
organización, automáticamente se convierten en interventores del sistema de
seguridad, con el debido manejo y manipulación del mismo; estos pueden
realizar sus respectivas opiniones y sugerencias, para una posible actualización
o modificación a las PSI previamente pactadas.
· Comunicar a todo el personal involucrado sobre el desarrollo de las
políticas, incluyendo los beneficios y riesgos relacionados con los recursos y
bienes, y sus elementos de seguridad.
· Identificar quién tiene la autoridad para tomar decisiones en cada
departamento, pues son ellos los interesados en salvaguardar los activos críticos
de su área.
· Tener un monitoreo constante sobre las tareas ejecutadas, con el fin
principal de verificar posibles fallas y de qué manera pueden formularse
alternativas que conlleven al mejoramiento de las PSI.

Teniendo en cuenta esto identificaremos donde es prudente actuar e

implementar o mejorar nuevas tecnologías.
 30

Arquitectura actual.

En la gráfica se muestra como se encuentra distribuida la red de información

dentro de la universidad de San Gil sede Yopal, dentro de esta se observa los
siguientes puntos:

1. Ingreso del internet al Router

2. Transmisión de la información al data base mediante un canal dedicado
3. 7 Switch que se encargan de derivar las diferentes subredes a cada
dependencia de la red principal
4. Un servidor que administra la red
 31

Seguridad Perimetral

Teniendo en cuenta la figura anterior podemos evidenciar que en cuanto a la

seguridad perimetral de la red abordamos 2 nuevos sistemas para proteger la
red.
a. Firewall IPS : vemos la necesidad de implementar este firewall ya que es
fundamental que la red este protegida entre el Router y la Red en sí de
ataques de intrusos de esta forma estará protegida y tendrá un control de
acceso más seguro y confiable.
b. Anti Malware de Correo: es importante proteger las estaciones de trabajo
de correos maliciosos, spam, ataques de pishing, malware y virus en
general.

Seguridad en la Red
 32

El único sistema de seguridad que es prudente adoptar en cuanto a la Seguridad

en la Red es el sistema DLP (prevención de pérdida de datos). Es importante
implementar esta estrategia para asegurarse de que los usuarios finales no
envían información sensible o crítica fuera de la red de la universidad

Seguridad en el Punto Final.

La seguridad en el punto final es muy importante dentro de la red ya que de esta

depende él envió, ingreso, modificación y recepción de información.
La conexión de un punto final a la red de la universidad siempre trae riesgos
consigo. En este contexto, el robo de datos es un tema de gran importancia. Por
ello, todos los dispositivos deben cumplir determinados requerimientos de
acceso que pueden ser supervisados con la ayuda de programas de seguridad
de punto final.

Para cumplir con el objetivo de tener seguros nuestros puntos finales es

necesario implementar los siguientes sistemas.

a. Actualización del antivirus: Es fundamental tener el antivirus activado y

actualizado para proteger el ordenador de las distintas amenazas que
circulan en Internet.

b. Parches de Aplicaciones: es importante contar con los parches de las

diferentes aplicaciones que se manejan dentro de la universidad.
 33

c. Licencias: La instalación de software con licenciamiento legal garantiza el

funcionamiento correcto del producto sin ningún tipo de anomalías, a su
vez la universidad podrá disfrutar de características adicionales del
software, así como de beneficiarse de las últimas actualizaciones del
software, y recibir soporte del autor del mismo. Por otra parte la
universidad puede llegar a acuerdos con el autor del software para
adquirir licencias por volumen esto permite optimizar el manejo del
licenciamiento y reducir el precio de las licencias.

d. Políticas de seguridad: Es necesario que la universidad tenga sus

propias políticas de seguridad informática porque ayudarán a
establecer una hoja de ruta que acompañe a los empleados en su día a
día. Estas políticas permitirán saber cuáles son las buenas practicas a la
hora de ejecutar procesos dentro de la universidad y qué es lo que nunca
se debe hacer en el entorno de la universidad, evitando así situaciones
complicadas que puedan poner en apuros el futuro de la misma.

e. Anti malware: La protección antimalware del punto final es un tipo de

aplicación que trabaja activamente para evitar que el malware infecte una
computadora y es aquí donde se verá beneficiada la universidad a la
hora de implementar este sistema ya que estará protegida de todo tipo de
virus, troyanos, gusanos, spyware, rootkits y similares.

Seguridad Aplicativa.

La universidad de San gil cuenta con una buena Practica a la Hora de proteger
la seguridad aplicativa, en ese orden de ideas no se ve la necesidad de
implementar un sistema de seguridad en esta.
 34

Seguridad de Datos.

TLS: la tecnología estándar para mantener segura una conexión a Internet

dentro de la universidad, así como para proteger cualquier información
confidencial que se envía entre dos sistemas e impedir que los delincuentes lean
y/o modifiquen cualquier dato que se transfiera,

Cifrado de datos en reposo: El cifrado de los datos en reposo garantiza a la

universidad que los datos no se pueden leer, siempre que su clave de cifrado
esté asegurada. Esta característica complementa la seguridad física en el sitio
de la universidad protegiéndola de un acceso no autorizado a los datos.