Propuesta de orientación en Ciberseguridad para la formación de los estudiantes de media técnica especializada del colegio OEA I E D basado en el marco NIST SP800-181

Vista previa del material en texto

I 
 
 
 
 
TRABAJO DE GRADO 
PROPUESTA DE ORIENTACIÓN EN CIBERSEGURIDAD PARA LA 
FORMACIÓN DE LOS ESTUDIANTES DE MEDIA TÉCNICA ESPECIALIZADA 
DEL COLEGIO OEA I.E.D BASADO EN EL MARCO NIST SP800-181 
 
 
 
 
 
 
 
ESTEVEN ANDRES GUAYARA MURILLO 
EDWIN FERNANDO MOYANO MURCIA 
 
 
 
 
 
 
 
 
 
UNIVERSIDAD CATÓLICA DE COLOMBIA 
FACULTAD DE INGENIERÍA 
PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN 
BOGOTÁ D.C 
2022 
II 
 
TRABAJO DE GRADO 
PROPUESTA DE ORIENTACIÓN EN CIBERSEGURIDAD PARA LA 
FORMACIÓN DE LOS ESTUDIANTES DE MEDIA TÉCNICA ESPECIALIZADA 
DEL COLEGIO OEA I.E.D BASADO EN EL MARCO NIST SP800-181 
 
 
 
 
ESTEVEN ANDRES GUAYARA MURILLO 
EDWIN FERNANDO MOYANO MURCIA 
 
Trabajo de grado presentado para optar al título de Especialista en Seguridad de 
la Información 
 
 
 
 
Docente 
DIEGO OSORIO REINA 
Magister en Seguridad de las Tecnologías de la Información y las Comunicaciones 
 
 
 
 
 
 
 
UNIVERSIDAD CATÓLICA DE COLOMBIA 
FACULTAD DE INGENIERÍA 
PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN 
BOGOTÁ D.C 
2022 
III 
 
 
 
 
IV 
 
CONTENIDO 
Pág. 
1. Introducción 1 
2. Generalidades 2 
2.1. Línea de investigación 2 
2.2. Planteamiento del problema 2 
2.2.1. Antecedentes del problema 4 
2.2.2. Pregunta de investigación 8 
2.2.3. Variables del problema 8 
2.3. Justificación 8 
3. Objetivos 10 
3.1. Objetivo general 10 
3.2. Objetivos específicos 10 
4. Marcos de referencia 11 
4.1. Marco conceptual 11 
4.2. Marco teórico 15 
4.3. Marco jurídico 20 
5. Metodología 22 
5.1. Fases del trabajo de grado 22 
5.2. Instrumentos o herramientas utilizadas 23 
5.3. Población y muestra 23 
5.4. Alcances y limitaciones 23 
6. Productos a entregar 24 
7. Entrega de resultados e impactos 25 
7.1. Caracterización de la institución 25 
7.2. Presentación sobre ciberseguridad a los estudiantes 27 
7.3. Estado del mercado laboral 31 
7.4. Análisis del marco de referencia y encaminamiento dentro del mismo 34 
7.5. Articulación y socialización de la propuesta 40 
8. Nuevas áreas de estudio 42 
9. Conclusiones 43 
10. Bibliografía 44 
11. Apéndices 49 
11.1. Documento entregado a la institución 49 
11.2. Formato de entrega y acuerdos 63 
11.3. Diapositivas 64 
11.4. Formato cuestionario 70 
V 
 
LISTA DE TABLAS 
 
Pág. 
Tabla 1 Definición Ciberataques Comunes. 13 
Tabla 2 Resumen Del Plan De Acción Conpes 3995. 16 
Tabla 3 Asignaturas Técnico En Sistemas E Informática Empresarial. 25 
Tabla 4 Descripción Y Contenido De Asignaturas Programa Técnico. 26 
Tabla 5 Planes De Carrera En Ciberseguridad En La Compañía. 32 
Tabla 6 Rol Especialista En Soporte Técnico. 35 
Tabla 7 Comparativo Entre Rol Inicial Y Roles Intermedios. 36 
Tabla 8 Rol Especialista En Operaciones De Red. 37 
Tabla 9 Rol Desarrollador De Software. 37 
Tabla 10 Comparativo Entre Roles Intermedios Y Rol Final. 38 
Tabla 11 Rol Analista De Seguridad De Sistemas. 39 
 
VI 
 
LISTA DE FIGURAS 
 
Pág. 
Figura 1 Brecha A Nivel Mundial En Profesionales De Ciberseguridad. 3 
Figura 2 Indicadores Colombia Estudio Cosi. 5 
Figura 3 Calificación Ranking National Cibersecurity Index Para Colombia. 6 
Figura 4 Calificación Ranking Global Cibersecurity Index Para Colombia. 7 
Figura 5 Visión De La Seguridad Informática Y Seguridad De La Información. 12 
Figura 6 Relación Entre Componentes Del Marco Nice. 18 
Figura 7 Metodología A Usar. Fuente: Elaboración Propia. 22 
Figura 8 Respuestas Pregunta 1 Cuestionario. 28 
Figura 9 Respuestas Pregunta 2 Cuestionario. 29 
Figura 10 Respuestas Pregunta 3 Cuestionario. 29 
Figura 11 Respuestas Pregunta 4 Cuestionario. 29 
Figura 12 Respuestas Pregunta 5 Cuestionario. 30 
Figura 13 Respuestas Pregunta 6 Cuestionario. 30 
Figura 14 Respuestas Pregunta 7 Cuestionario. 30 
Figura 15 Encaminamiento General Elegido Dentro Del Marco Nice. 35 
Figura 16 Encaminamiento De Salida Elegido Dentro Del Marco Nice. 38 
Figura 17 Roles Posteriores Sugeridos Como Profundización En Ciberseguridad Marco 
Nice. 40 
 
VII 
 
GLOSARIO 
 
 
ACLs: Lista de control de acceso, controla y filtra el tráfico en una red. 
Backup: Copia de seguridad de archivos. 
BBDD: Bases de datos. 
Blue team: Equipo encargado del rol defensivo en ciberseguridad 
CHCs: Conocimientos, habilidades y capacidades 
Ciberataque: Acciones ilegítimas dirigidas contra sistemas de información 
DNS: Sistema de nombres de dominios, resuelve dominios en direcciones. 
DHCP: Protocolo de configuración dinámica de host, brinda configuración de red. 
KSAs: Knowledges, skills and abilities (Conocimientos, habilidades y capacidades) 
Firewall: Sistema que protege de accesos o conexiones no autorizadas. 
I.E.D.: Institución de educación distrital. 
IoT: Internet de las cosas 
ISO: Organización internacional de estándares. 
MITM: Hombre en el medio, ataque donde se intercepta una comunicación. 
MTE: Media técnica especializada, eje del colegio OEA I.E.D. 
NICE: Iniciativa nacional para la educación en ciberseguridad. 
NIST: Instituto nacional de estándares y tecnología de Estados Unidos. 
Nube: Modelo de servicios TI tercerizados accesibles de forma remota por internet. 
OWASP: Proyecto abierto de seguridad de aplicaciones web. 
Red team: Equipo encargado del rol ofensivo en la ciberseguridad. 
Router: Hardware de capa 3 que interconecta redes, gestiona paquetes. 
SED: Secretaría de educación del distrito. 
SO: Sistemas operativos. 
SP: Publicación especial de la NIST. 
Switch: Hardware de capa 2 que interconecta dispositivos, gestiona tramas. 
TIC: Tecnologías de la información y las comunicaciones. 
VPN: Red privada virtual, conexión protegida a través de redes públicas inseguras. 
 
 
VIII 
 
RESUMEN 
 
 
Este trabajo presenta una hoja de ruta en formación de conocimientos, habilidades 
y capacidades en ciberseguridad a través de 4 roles actuales del mercado laboral, 
con el fin de que sea un insumo para la creación de planes de estudio y currículos. 
En este sentido, se tiene en cuenta el enfoque con el cual la institución prepara a 
los estudiantes del programa técnico y se toma como referencia la iniciativa nacional 
para la educación en ciberseguridad o marco NICE publicada por la NIST. 
 
 
 
 
 
 
 
 
 
 
 
PALABRAS CLAVE: 
 
Educación, Formación, Ciberseguridad, Conocimientos, Habilidades, Capacidades, 
Funciones Laborales, Roles, Tareas, Media Técnica, Estudiantes. 
 
 
 
 
 
 
1 
 
1. INTRODUCCIÓN 
 
 
Con la digitalización de todos los sectores económicos y la interconexión entre ellos, 
aumentan las amenazas día a día que ponen en riesgo la seguridad de la 
información. Es por ello que se ha hecho imprescindible para las organizaciones 
tener medidas técnicas, de gestión de riesgos, de recuperación de desastres, 
políticas y capacitación del personal, entre otras. 
Sin embargo, una problemática es el déficit de profesionales en ciberseguridad a 
nivel global, y que, en el país, a pesar de haberse priorizado la debilidad en la oferta-
cobertura de capacitación en ciberseguridad, adoptado un enfoque basado en la 
gestión de riesgos tanto en entidades como ciudadanos y fortalecido la legislación, 
es insuficiente para cubrir la constante brecha de personal preparado ante las 
crecientes amenazas. Además, en educación formal, la ciberseguridad y la 
seguridad de la información aún están relegadas a etapas académicas avanzadas 
con cursos optativos, certificaciones y posgrados. 
Por ello, este proyecto quiere, desde una etapa temprana en la que los adolescentes 
de grados 10° y 11° están en plena construcción de su proyecto profesional, 
aprovechar la oportunidad que tienen de estar cursando un programa técnico de TI 
en la institución para brindarles una perspectiva del mundo TI y el papel de la 
ciberseguridad, y segundo, de suministrarles a los docentes una orientación para la 
enseñanza de conocimientos pertinentes a las funciones delmercado laboral actual. 
Las herramientas usadas incluyen charlas informativas, encuestas para determinar 
conocimientos y preferencias, y el marco de referencia NICE en el que se basará la 
propuesta. 
 
2 
 
2. GENERALIDADES 
 
 
2.1. LÍNEA DE INVESTIGACIÓN 
 
La línea de investigación institucional relacionada al desarrollo de este documento 
corresponde a la de software inteligente y convergencia tecnológica. 
Lo anterior dado a: primero, convergencia tecnológica, por la naturaleza de la 
información objeto de estudio, siendo el ámbito de aplicación relacionado 
directamente a los medios tecnológicos en el almacenamiento, procesamiento y 
tratamiento de datos desde una adecuada gestión de la seguridad; y segundo, a la 
plataforma y software, usado como medio de desarrollo y divulgación de la 
investigación. 
 
2.2. PLANTEAMIENTO DEL PROBLEMA 
 
La masificación de los sistemas informáticos y del uso de internet en todos los 
sectores económicos se ha acentuado en los últimos años, y más aún con la 
pandemia. Moises Shwartz, gerente de instituciones para el desarrollo del BID, en 
el reporte de ciberseguridad publicado por esa entidad en el 2020, hace una 
precisión sobre esta dependencia de infraestructura tecnológica creciente: 
Nuestra vida diaria gira alrededor de actividades cada vez más digitalizadas y, 
por consiguiente, más sensibles a amenazas cibernéticas. Cadenas de 
suministro de alimentos, transporte, pagos y transacciones financieras, 
actividades educativas, trámites gubernamentales, servicios de emergencia, y 
el suministro de agua y energía, entre un sinnúmero de actividades, operan en 
la actualidad a través de tecnologías digitales1. 
Las consecuencias de la materialización de amenazas informáticas, en forma de 
ciberataques sobre alguna de las infraestructuras mencionadas, pueden ser 
críticas a nivel financiero y operativo. Existen distintos tipos de estos ciberataques, 
catalogados por la Oficina de seguridad del internauta España así: ataques a 
contraseñas, ataques por ingeniería social, ataques a las conexiones o ataques 
por malware2. Todos, causan un impacto en la información de su propietario en 
 
1 SHWARTZ, Moises. Reporte Ciberseguridad riesgos, avances y el camino a seguir en América 
Latina y el Caribe. [En línea]. Washington D.C: Interamerican Development Bank, 2020 [Fecha de 
consulta: 02 marzo 2022]. p.10. Disponible en: 
https://publications.iadb.org/publications/spanish/document/Reporte-Ciberseguridad-2020-riesgos-
avances-y-el-camino-a-seguir-en-America-Latina-y-el-Caribe.pdf 
2 OFICINA DE SEGURIDAD DEL INTERNAUTA. Guía de ciberataques. [En línea]. Madrid: INCIBE, 
2020 [Fecha de consulta: 03 marzo 2022]. p.2. Disponible en: 
https://publications.iadb.org/publications/spanish/document/Reporte-Ciberseguridad-2020-riesgos-avances-y-el-camino-a-seguir-en-America-Latina-y-el-Caribe.pdf
https://publications.iadb.org/publications/spanish/document/Reporte-Ciberseguridad-2020-riesgos-avances-y-el-camino-a-seguir-en-America-Latina-y-el-Caribe.pdf
3 
 
uno o más de sus tres pilares: la confidencialidad, integridad y disponibilidad. 
Sin embargo, los ciberdelincuentes no solo dirigen sus ataques directamente 
hacia los sistemas informáticos de la empresa, sino que buscan el eslabón más 
débil, las personas. “El factor humano constituye el eslabón más vulnerable de la 
cadena para iniciar un ciberataque y, por lo tanto, las compañías deberán prestar 
especial atención a este hecho, llevando a cabo medidas de concienciación y 
formación técnica”3. 
Por esta razón, es que las organizaciones se esfuerzan tanto en la concientización 
de sus empleados y clientes, para que conozcan y cumplan las políticas de 
seguridad establecidas bajo estándares tan conocidos como la ISO27001 o la 
NIST 800-50. 
Sin embargo, para el tema de formación de habilidades, el avance no es tan 
significativo. El déficit en profesionales en áreas de seguridad digital es una 
realidad a la que desde el 2019 el ICS2 hace seguimiento anualmente en el 
Cibersecurity Workforce Study. En su informe del año 2021 exponen en cifras la 
brecha existente en profesionales a nivel mundial: 
Figura 1 Brecha a nivel mundial en profesionales de ciberseguridad. Fuente: Tomada de [4]. 
 
 
 
https://www.osi.es/sites/default/files/docs/guia-ciberataques/osi-guia-ciberataques.pdf 
3 DELOITTE. Tú también puedes sufrir un ciberataque ¿Sabes cómo prevenirlo?. [En línea]. [Fecha 
de consulta: 03 marzo 2022]. Disponible en: https://www2.deloitte.com/es/es/pages/governance-risk-
and-compliance/articles/decalogo-ciberseguridad.html 
https://www.osi.es/sites/default/files/docs/guia-ciberataques/osi-guia-ciberataques.pdf
https://www2.deloitte.com/es/es/pages/governance-risk-and-compliance/articles/decalogo-ciberseguridad.html
https://www2.deloitte.com/es/es/pages/governance-risk-and-compliance/articles/decalogo-ciberseguridad.html
4 
 
Respecto al mismo estudio, pero del año 2020, resaltan la incorporación de 700mil 
nuevos profesionales a la fuerza laboral, llegando a los 4.19millones y calculando el 
déficit en 65%. “Esto indica que la necesidad de más profesionales en el campo 
nunca ha sido mayor, continúa superando la demanda y subrayando que las 
oportunidades de carrera seguirán creciendo”4. 
 
2.2.1. ANTECEDENTES DEL PROBLEMA 
 
En Latinoamérica Kaspersky en el año 2020 bloqueó más de 30 millones de ataques 
dirigidos hacia empresas y más 20.5 millones hacia particulares5. En su informe la 
cámara colombiana de informática y telecomunicaciones CCIT, presentó para 2021-
2022 un incremento general en las denuncias realizadas respecto al 2020 en los 
ciberdelitos de violación de datos personales 45%, el acceso abusivo a sistemas 
informáticos 18% y el hurto por medios informáticos 3%6. Tales delitos son 
cometidos por medio de ataques como suplantación de sitios por phishing, smishing, 
sim swapping, infecciones por malware, entre otros; lo que quiere decir que son 
conductas punibles en la ley de delitos informáticos 1273 de 2009 y trascender en 
otras fuera del mundo digital como hurto, acoso, injurias y explotación sexual. 
A nivel internacional, en Estados Unidos existen algunos programas dirigidos a los 
jóvenes; por ejemplo, CyberPatriot, un Programa Nacional de Educación 
Cibernética creado por la Air Force Association para inspirar a los estudiantes K-12 
(modelo de educación de grados 0 a 12) hacia carreras en seguridad cibernética u 
otras disciplinas de ciencia, tecnología, ingeniería y matemáticas (STEM); también 
en Estados Unidos, otra iniciativa de la CISA (Cybersecurity and Infrastructure 
Studies)7, brinda recursos para la enseñanza en ciberseguridad con currículos para 
los profesores K-12 y herramientas útiles para el uso del marco en educación NICE 
(National Initiative for Cybersecurity Education) desarrollado por la NIST (National 
Institute of Standards and Technology). 
 
4 INTERNATIONAL INFORMATION SYSTEMS SECURITY CERTIFICATION CONSORTIUM. 
Cybersecurity Workforce Study: A Resilient Cybersecurity Profession Charts the Path Forward. [En 
línea]. ICS2, 2021 [Fecha de consulta: 10 marzo 2022]. p.25. Disponible en: https://www.isc2.org//-
/media/ISC2/Research/2021/ISC2-Cybersecurity-Workforce-Study-2021.ashx 
5 DIEZGRANADOS, Hernan. Empresas, principal objetivo de ciberataques en América Latina. [En 
línea]. Kapesrsky daily, 2020 [Fecha de consulta: 13 marzo 2022]. Disponible en: 
https://latam.kaspersky.com/blog/empresas-principal-objetivo-de-ciberataques-en-america-
latina/20209/ 
6 CAMARA COLOMBIANA DE INFORMÁTICA Y TELECOMUNICACIONES. Tendencias del 
cibercrimen 2021-2022. [En línea]. Bogotá: TicTac, 2021 [Fecha de consulta: 13 marzo 2022]. p.20. 
Disponible en: https://www.ccit.org.co/wp-content/uploads/informe-safe-tendencias-del-cibercrimen-
2021-2022.pdf 
7 NATIONAL INITIATIVE FOR CYBERSECURITY CAREERS AND STUDIES. Cybersecurity in the 
Classroom. [En línea]. CISA, 2021 [Fecha de consulta: 15 marzo 2022]. Disponible en: 
https://niccs.cisa.gov/formal-education/integrating-cybersecurity-classroomhttps://www.isc2.org/-/media/ISC2/Research/2021/ISC2-Cybersecurity-Workforce-Study-2021.ashx
https://www.isc2.org/-/media/ISC2/Research/2021/ISC2-Cybersecurity-Workforce-Study-2021.ashx
https://latam.kaspersky.com/blog/empresas-principal-objetivo-de-ciberataques-en-america-latina/20209/
https://latam.kaspersky.com/blog/empresas-principal-objetivo-de-ciberataques-en-america-latina/20209/
https://www.ccit.org.co/wp-content/uploads/informe-safe-tendencias-del-cibercrimen-2021-2022.pdf
https://www.ccit.org.co/wp-content/uploads/informe-safe-tendencias-del-cibercrimen-2021-2022.pdf
https://niccs.cisa.gov/formal-education/integrating-cybersecurity-classroom
5 
 
Es en el caso de los adolescentes que hay que dirigir estos esfuerzos, a los 16 años 
estos pasan en promedio 5 horas al día en internet de acuerdo con un estudio de 
TIGO-EAFIT, tiempo en el cual realizan actividades como: Trabajos del colegio, 
escuchar música, jugar, ver videos o películas, usar redes sociales y pasar tiempo 
en un mundo virtual8. En todo ese tiempo están expuestos a diferentes tipos de 
riesgos digitales, como riesgos de conducta, de contacto, técnicos y de contenido9. 
De acuerdo con que tan preparados están los NNA en el país, un estudio realizado 
por el instituto DQ en 2020, basado en un marco COSI (child online safety index) en 
32 países, se visualiza el siguiente panorama. En el ítem de exposición ante riesgos 
digitales relacionados a conducta y a ciber amenazas, Colombia ocupa la casilla de 
22 y 18 respectivamente; contrastando con el ítem de educación y guía parental, en 
donde se posiciona en el 14 y 5 respectivamente10. 
Figura 2 Indicadores Colombia estudio COSI. Fuente: Tomada de [10] p. 20. 
 
 
De este modo, se puede deducir que existe una adecuada orientación mediante 
políticas públicas e iniciativa privadas como teprotejo, charlas de la policía nacional, 
material didáctico en plataformas como enTICconfio del MinTIC o página del ICBF 
y recomendaciones divulgadas en medios de comunicación, por sus padres o 
 
8 TIGO, EAFIT. Encuesta uso y acceso, actividades y habilidades, riesgos, oportunidades y 
mediación. [En línea]. [Fecha de consulta: 22 marzo 2022]. p.14. Disponible en: 
https://contigoconectados.com/resultados/ 
9 SURA. Principales riesgos digitales y como prevenirlos. [En línea]. Seguros SURA, 2021 [Fecha 
de consulta: 21 marzo 2022]. Disponible en: https://www.segurossura.com.co/documentos/centro-
proteccion-digital/principales-riesgos-y-como-prevenirlos.pdf 
10 DQ INSTITUTE. Child Online Safety Index. [En línea]. 2020 [Fecha de consulta: 18 marzo 2022]. 
Disponible en: https://live.dqinstitute.org/impact-measure/ 
https://contigoconectados.com/resultados/
https://www.segurossura.com.co/documentos/centro-proteccion-digital/principales-riesgos-y-como-prevenirlos.pdf
https://www.segurossura.com.co/documentos/centro-proteccion-digital/principales-riesgos-y-como-prevenirlos.pdf
https://live.dqinstitute.org/impact-measure/
6 
 
educadores. 
Sin embargo, se quedan un poco justas, ya que, si bien cumplen con su papel 
informativo, de concientización y de denuncia, no son un mecanismo adecuado para 
la contextualización y formación en los adolescentes, que son la futura fuerza laboral 
del país y están definiendo su proyecto de vida profesional. 
Allí es donde cobra relevancia programas como las convocatorias de certificaciones 
impulsados por la SED, programas de capacitación por parte del SENA o programas 
académicos de universidades a nivel de tecnológico, pregrado y de posgrado. 
El National CiberSecurity Index, en el 2022, posiciona a Colombia en el puesto 74 
a nivel mundial11, de acuerdo con los siguientes ítems, entre los que se encuentra 
el tema de educación en ciberseguridad: 
Figura 3 Calificación ranking National Cibersecurity Index para Colombia. Fuente: Tomada de [11] 
 
 
Otro índice de referencia, el Global Cibersecurity Index publicado por la ITU Unión 
Internacional de Telecomunicaciones en el 2020, posicionó a Colombia en el puesto 
81 a nivel mundial12, teniendo en cuenta medidas legales, técnicas, 
organizacionales, capacidades de desarrollo y de cooperación: 
 
 
11 E-GOVERNANCE ACADEMY. National Cibersecurity Index. [En línea]. Tallinn, 2022 [Fecha de 
consulta: 28 marzo 2022]. p.1. Disponible en: https://ncsi.ega.ee/country/co/?pdfReport=1 
12 INTERNATIONAL TELECOMUNICATIONS UNION. Global Cibersecurity Index. [En línea]. 
Geneva, 2022 [Fecha de consulta: 01 abril 2022]. p.58. Disponible en: 
https://www.itu.int/epublications/publication/D-STR-GCI.01-2021-HTM-E 
https://ncsi.ega.ee/country/co/?pdfReport=1
https://www.itu.int/epublications/publication/D-STR-GCI.01-2021-HTM-E
7 
 
Figura 4 Calificación ranking Global Cibersecurity Index para Colombia. Fuente: Tomada de [12] 
 
 
Con base en la anterior información, se llega a la siguiente conclusión, apoyada en 
el diagnóstico del Conpes 3995 Política nacional de confianza y seguridad digital 
del año 2020: 
En conclusión, se evidencia que en Colombia hay deficiencias en todo el 
conjunto de las capacidades relacionadas con la seguridad digital, por parte de 
los ciudadanos, del sector público y del sector privado. Esto causa que el país 
presente bajos niveles de preparación y de avance en la materia, lo que a su 
vez incrementa la vulnerabilidad del país ante ataques y amenazas 
cibernéticas, deteriorando la confianza y el normal desarrollo de nuestro entorno 
digital13. 
Como el más reciente precedente de iniciativas en el país, en marzo de 2022, 
Microsoft en alianza con la OCDE Organización para la Cooperación y Desarrollo 
Económico, extendió su programa de capacitación a 23 países para cerrar la brecha 
de mano de obra con habilidades en ciberseguridad. El programa espera capacitar 
a 65 mil colombianos, entre ellos 20 mil mujeres, de la mano del SENA y la 
Universidad de los Andes14. 
 
13 COLOMBIA. CONSEJO NACIONAL DE POLÍTICA ECONÓMICA Y SOCIAL. CONPES 3995. 01 
julio 2020. [En línea]. [Fecha de consulta: 08 abril 2022]. p.23. Disponible en: 
https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3995.pdf 
14 MICROSOFT. Para cerrar la brecha de habilidades en ciberseguridad, Microsoft expande sus 
esfuerzos a veintitrés nuevos mercados, incluida Colombia. [En línea]. News Center Microsoft 
Latinoamérica, 2022 [Fecha de consulta: 08 abril 2022]. Disponible en: 
https://news.microsoft.com/es-xl/para-cerrar-la-brecha-de-habilidades-en-ciberseguridad-microsoft-
expande-sus-esfuerzos-a-veintitres-nuevos-mercados-incluida-colombia-2/ 
https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3995.pdf
https://news.microsoft.com/es-xl/para-cerrar-la-brecha-de-habilidades-en-ciberseguridad-microsoft-expande-sus-esfuerzos-a-veintitres-nuevos-mercados-incluida-colombia-2/
https://news.microsoft.com/es-xl/para-cerrar-la-brecha-de-habilidades-en-ciberseguridad-microsoft-expande-sus-esfuerzos-a-veintitres-nuevos-mercados-incluida-colombia-2/
8 
 
2.2.2. PREGUNTA DE INVESTIGACIÓN 
 
¿Cómo incluir la disciplina de la ciberseguridad la formación técnica en “sistemas e 
informática empresarial” actualmente recibida por los estudiantes de 10° y 11° en 
sintonía con los conocimientos, habilidades y capacidades requeridos en las tareas 
del mercado laboral actual? 
 
2.2.3. VARIABLES DEL PROBLEMA 
• Formación 
• Roles de trabajo 
• Tareas y funciones 
• Conocimientos, habilidades y capacidades (KSAs) 
• Ciberseguridad 
• Seguridad de la información 
• Estudiantes de grados 10° y 11° 
 
2.3. JUSTIFICACIÓN 
 
El interés propio que motiva el adelanto de este proyecto surge desde la 
observación en el circulo personal y experiencia en el sector TI a largo de los años. 
Como escenarios se destacan: intentos de estafa con previa información personal 
en manos de los delincuentes; correos phishing suplantando entidades y sitios web 
para robar datos sensibles; observación de prácticas poco seguras en internet; 
ataques de ransomware a empresas materializados y vulnerabilidadesque 
conocidos realizan con su información en internet, y que cualquiera puede 
aprovechar. 
Surge entonces, la necesidad de contribuir a la formación temprana en temas de 
ciberseguridad y seguridad de la información para que los estudiantes de 10° y 11° 
las apliquen en su vida personal, brinden una perspectiva a su futuro profesional, o 
sean útiles para su cercana incorporación al mundo laboral. 
De esta forma, se ha definido a la población adolescente como grupo objetivo, en 
especial a los estudiantes de educación media de 10° y 11°, dado que, “la falta de 
conocimiento y buena práctica de los menores de edad genera la ocasión ideal para 
obtener información privada y a su vez impulsa el hecho delictivo”15. Como 
consecuencia de lo anterior, es alta la oportunidad para que se configuren múltiples 
 
15 ORTIZ, Hamilton. Estudio de ciberseguridad de los últimos 5 años en el tema de delitos 
informáticos dirigido a los niños, niñas y adolescentes en 
el departamento del Huila. [En línea]. Neiva: UNAD, 2020 [Fecha de consulta: 09 abril 2022]. p.17. 
Disponible en: https://repository.unad.edu.co/jspui/bitstream/10596/40457/1/handradeo.pdf 
https://repository.unad.edu.co/jspui/bitstream/10596/40457/1/handradeo.pdf
9 
 
delitos tipificados en la ley colombiana, que trascienden de ser simplemente 
informáticos a conductas que los pueden perjudicar a nivel económico, reputacional 
o que incluso ponen en peligro su integridad y la de su círculo laboral o familiar. 
El colegio OEA I.E.D fue elegido como escenario, ya que propiamente certifica a los 
estudiantes en un programa técnico que facilita su transición a la educación superior 
y sean acompañados en ese proceso. Otra razón, es porque el eje MTE media 
técnica especializada tiene la autonomía de definir y mejorar sus asignaturas y 
contenidos, que los docentes propios del área de tecnología e informática de la 
institución impartirán; esto es muy importante ya que, en un caso diferente, por 
ejemplo, de articulación con el SENA, los lineamientos son más restrictivos, tienen 
sus propios contenidos, horarios, instructores y un poco menos flexibles. 
Finalmente, para intereses del posgrado, se quiere promover un uso responsable 
de las TIC en los adolescentes, atacando el tema de la capacitación del factor 
humano desde otra arista, la formación temprana de habilidades; rompiendo un 
poco, la tendencia de intentar blindar a las organizaciones desde la protección de la 
actividad económica, sin contextualizar a las personas sobre la importancia de su 
rol y de la información. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
10 
 
3. OBJETIVOS 
 
 
3.1. OBJETIVO GENERAL 
 
Generar un documento que enumere los conocimientos, habilidades, capacidades 
y tareas de roles del marco NICE NIST SP800-181 correlacionados con la oferta 
académica de la MTE del colegio OEA IED con el fin de facilitar a los educadores la 
estructuración y planeación de sus contenidos. 
 
3.2. OBJETIVOS ESPECÍFICOS 
 
➢ Realizar la caracterización de la institución a partir de su proyecto educativo 
institucional, currículo y plan de estudios del eje de MTE media técnica 
especializada. 
➢ Definir el número de roles iniciales, de transición y final dentro del universo 
de roles de NICE NIST SP800-181 aplicables a la oferta académica del 
programa técnico, los cuales conformarán la ruta de formación orientada a la 
ciberseguridad. 
➢ Comprobar las expectativas y conocimiento de la temática en los estudiantes 
de 10° y 11° y brindarles un panorama del mundo TI y el papel de la 
ciberseguridad. 
➢ Elaborar un análisis dentro del marco NICE con base en la información 
recopilada, categorizando los elementos de los roles y áreas de especialidad 
equivalentes sintetizándolos en un documento entregable a la institución. 
➢ Socializar la propuesta validando con los docentes y directivas de la 
institución opciones para su futura aplicabilidad. 
 
 
 
 
 
 
 
 
 
11 
 
4. MARCOS DE REFERENCIA 
 
 
4.1. MARCO CONCEPTUAL 
 
A continuación, se desglosa el amplio espectro de términos relevantes y como estos 
se relacionan. Para empezar, la seguridad de la información se define como “la 
disciplina que se encarga de proporcionar la evaluación de riesgos y amenazas, 
trazar el plan de acción y adecuación para minimizar los riesgos, bajo la normativa 
o las buenas prácticas”16, con la intención de proteger los 3 pilares de la 
información: la confidencialidad, que “consiste en garantizar que los datos, objetos 
y recursos solamente pueden ser leídos por sus destinatarios legítimos”; la 
integridad, “garantizar que los datos, objetos y recursos no han sido alterados, 
permanecen completos y son fiables”; y la disponibilidad,” los datos permanecen 
accesibles sin interrupciones cuando y donde se los necesita”17. 
En el caso de la confidencialidad de la información, cada organización puede 
establecer los niveles que considere apropiados para su actividad, por ejemplo: 
confidencial, restringido, de uso interno y público18. Pero, para el caso de los datos 
personales, entendidos como “cualquier información vinculada o que pueda 
asociarse a una o varias personas naturales determinadas o determinables”19, 
están clasificado de acuerdo con la ley 1266 de 2008 como públicos, semiprivados 
o privados; e incluyen con la ley 1581 de 2012 una categoría especial de datos 
sensibles y estableciendo el tratamiento para los menores de edad como proscrito 
o prohibido salvo que sean datos de naturaleza pública20. 
Otras definiciones oportunas relacionadas a la seguridad de la información son 
vulnerabilidad, amenaza y riesgo. Una amenaza es “cualquier circunstancia o 
evento con el potencial de afectar negativamente las operaciones de la 
organización, los activos de la organización o las personas a través de un sistema 
de información”21. Una vulnerabilidad es una “debilidad en un sistema de 
 
16 SGSI ISOTOOLS. ¿Seguridad informática o seguridad de la información?. [En línea]. 2017 [Fecha 
de consulta: 12 abril 2022]. Disponible en: https://www.pmg-ssi.com/2017/01/seguridad-de-la-
informacion/ 
17 SIGUARD. Seguridad Informática vs. Seguridad de la Información: Datos indispensables. [En 
línea]. Bogotá, 2019 [Fecha de consulta: 13 abril 2022]. Disponible en: 
https://seguridadinformatica.com.co/seguridad-informatica/seguridad-de-la-informacion/ 
18 ISOTOOLS EXCELLENCE. Cómo clasificar la información según ISO 27001. [En línea]. [Fecha 
de consulta: 13 abril 2022]. Disponible en: https://www.isotools.com.co/clasificar-la-informacion-
segun-iso-27001/ 
19 COLOMBIA. CONGRESO DE LA REPUBLICA. LEY ESTATUTARIA 1581. 18 octubre 2012. [En 
línea]. [Fecha de consulta: 14 abril 2022]. Artículo 3o. Disponible en: 
http://www.secretariasenado.gov.co/senado/basedoc/ley_1581_2012.html 
20 Ibid., Artículo 7º 
21 NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Glossary: Threat. [En línea]. 
https://www.pmg-ssi.com/2017/01/seguridad-de-la-informacion/
https://www.pmg-ssi.com/2017/01/seguridad-de-la-informacion/
https://seguridadinformatica.com.co/seguridad-informatica/seguridad-de-la-informacion/
https://www.isotools.com.co/clasificar-la-informacion-segun-iso-27001/
https://www.isotools.com.co/clasificar-la-informacion-segun-iso-27001/
http://www.secretariasenado.gov.co/senado/basedoc/ley_1581_2012.html
12 
 
información, procedimientos de seguridad del sistema, controles internos o 
implementación que podría ser explotada o provocada por una fuente de 
amenaza”22. Y un riesgo, calculado como la probabilidad por el impacto, es el 
“potencial de que una amenaza determinada explote las vulnerabilidades de los 
activos o grupos de activos causando así daño a la organización”23. 
De una forma cercana, existe una disciplina con otro enfoque, la seguridad 
informática o ciberseguridad, la cual se encarga de “la protección de los sistemas 
de información, ordenadores, las redes e infraestructura tecnológica. Además, 
asocia temas en un contexto menor tales como: ataquesinformáticos, virus, Spam, 
análisis de vulnerabilidad, Firewall, contraseñas, etc.”24. La seguridad informática 
dista de la seguridad de la información en cuanto esta última, presenta una visión 
desde un nivel de gestión más estratégico y no táctico/operacional. 
Figura 5 Visión de la seguridad informática y seguridad de la información. Fuente: Tomada de [17] 
 
“Los ciberataques son intentos no deseados de robar, exponer, alterar, deshabilitar 
o destruir información mediante el acceso no autorizado a los sistemas 
informáticos”25. NordVPN destaca cuatro tipos de ciberataques, los ataques 
 
Computer Security Resource Center [Fecha de consulta: 14 abril 2022]. Disponible en: 
https://csrc.nist.gov/glossary/term/threat 
22 NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Glossary: Vulnerability. [En 
línea]. Computer Security Resource Center [Fecha de consulta: 14 abril 2022]. Disponible en: 
https://csrc.nist.gov/glossary/term/vulnerability 
23 ICONTEC. Gestión de riesgos en seguridad de la información. [En línea]. Bogotá, NTC-ISO 
27005, [Fecha de consulta: 15 abril 2022]. p.2. Disponible en: 
https://gmas2.envigado.gov.co/gmas/downloadFile.public?repositorioArchivo=000000001071&ruta=
/documentacion/0000001359/0000000107 
24 UNIVERSIDAD COOPERATIVA DE COLOMBIA. Seguridad de la información y seguridad 
informática, conceptos que debemos conocer y diferenciar. [En línea]. Bogotá: Sala de conocimiento, 
2014 [Fecha de consulta: 17 abril 2022]. Disponible en: 
https://www.ucc.edu.co/prensa/2014/Paginas/seguridad-de-la-informacion-y-seguridad-
informatica.aspx 
25 IBM.¿Que es un ataque cibernético?. [En línea]. Topics. [Fecha de consulta: 19 abril 2022]. 
Disponible en: https://www.ibm.com/co-es/topics/cyber-attack 
https://csrc.nist.gov/glossary/term/threat
https://gmas2.envigado.gov.co/gmas/downloadFile.public?repositorioArchivo=000000001071&ruta=/documentacion/0000001359/0000000107
https://gmas2.envigado.gov.co/gmas/downloadFile.public?repositorioArchivo=000000001071&ruta=/documentacion/0000001359/0000000107
https://www.ucc.edu.co/prensa/2014/Paginas/seguridad-de-la-informacion-y-seguridad-informatica.aspx
https://www.ucc.edu.co/prensa/2014/Paginas/seguridad-de-la-informacion-y-seguridad-informatica.aspx
https://www.ibm.com/co-es/topics/cyber-attack
13 
 
pasivos, activos, internos y externos. Los ataques pasivos son “operaciones no-
disruptivas, donde quienes realizan el ataque tratan de que su víctima nunca sepa 
qué ha ocurrido”; los activos, son “ofensivas agresivas que tratan de perturbar o 
destruir dispositivos personales, redes, o infraestructuras completas”; los internos, 
son realizados por alguien que ya tiene acceso autorizado a los sistemas afectados; 
y los externos son realizados por alguien que se encuentra fuera de la organización 
o el perímetro de su víctima26. A continuación, se definen algunos de los 
ciberataques más comunes según Cisco27: 
Tabla 1 Definición ciberataques comunes. Fuente: Elaboración propia con información de [27] 
 
 
Por otro lado, dado el ámbito de aplicación del proyecto, es importante precisar 
 
26 MATTHEWS, Ruth. ¿Qué es un ciberataque?. [En línea]. NordVPN, 2021 [Fecha de consulta: 19 
abril 2022]. Disponible en: https://nordvpn.com/es/blog/ciberataque/ 
27 CISCO. ¿Cuáles son los ciberataques más comunes?. [En línea]. [Fecha de consulta: 20 abril 
2022]. Disponible en: https://www.cisco.com/c/es_mx/products/security/common-cyberattacks.html
 
https://nordvpn.com/es/blog/ciberataque/
https://www.cisco.com/c/es_mx/products/security/common-cyberattacks.html
https://www.cisco.com/c/es_mx/products/security/common-cyberattacks.html
14 
 
conceptos importantes del sector educativo. Uno de los conceptos más importantes 
en un colegio es el PEI Proyecto Educativo Institucional, en el específica “los 
principios y fines del establecimiento, los recursos docentes y didácticos disponibles 
y necesarios, la estrategia pedagógica, el reglamento para docentes y estudiantes 
y el sistema de gestión”28. Debe responder a situaciones y necesidades de los 
educandos, de la comunidad local, de la región y del país, ser concreto, factible y 
evaluable. 
Otro concepto vital es el currículo que ayuda a concretar y materializar el PEI. El 
currículo es un “conjunto de criterios, planes de estudio, programas, metodologías, 
y procesos que contribuyen a la formación integral y a la construcción de la identidad 
cultural nacional, regional y local, incluyendo también los recursos humanos, 
académicos y físicos para poner en práctica las políticas y llevar a cabo el proyecto 
educativo institucional”29. 
En ese orden de ideas, aparece el plan de estudios, “es el esquema estructurado 
de las áreas obligatorias y fundamentales y de áreas optativas con sus respectivas 
asignaturas que forman parte del currículo de los establecimientos educativos”30. 
Incorpora los objetivos por niveles, grados y áreas, metodología, distribución de 
tiempo y criterios de evaluación y administración, de acuerdo con el PEI y con las 
disposiciones legales vigentes. 
Pasando ahora a cuáles son las áreas fundamentales y obligatorias que deben 
formar parte de un plan de estudios, en el artículo de la Ley 115 de 1994 o Ley 
General de Educación, establece que comprenderán un mínimo del 80% del plan 
de estudios31, siendo las siguientes: 
1. Ciencias naturales y educación ambiental. 
2. Ciencias sociales, historia, geografía, constitución política y democracia. 
3. Educación artística. 
4. Educación ética y en valores humanos. 
5. Educación física, recreación y deportes. 
6. Educación religiosa. 
7. Humanidades, lengua castellana e idiomas extranjeros. 
8. Matemáticas. 
9. Tecnología e informática 
 
28 MINISTERIO DE EDUCACIÓN NACIONAL. Proyecto educativo institucional. [En línea]. [Fecha 
de consulta: 21 abril 2022]. Disponible en: https://www.mineducacion.gov.co/1621/article-79361.html
 
29 MINISTERIO DE EDUCACIÓN NACIONAL. Currículo. [En línea]. [Fecha de consulta: 21 abril 
2022]. Disponible en: https://www.mineducacion.gov.co/1621/article-79413.html 
30 MINISTERIO DE EDUCACIÓN NACIONAL. Plan de estudios. [En línea]. [Fecha de consulta: 21 
abril 2022]. Disponible en: https://www.mineducacion.gov.co/1621/article-79419.html 
https://www.mineducacion.gov.co/1621/article-79361.html 
31 COLOMBIA. CONGRESO DE LA REPUBLICA. LEY 115. 8 febrero 1994. [En línea]. [Fecha de 
consulta: 23 abril 2022]. Artículo 23. Disponible en: https://www.mineducacion.gov.co/1621/articles-
85906_archivo_pdf.pdf 
https://www.mineducacion.gov.co/1621/article-79361.html
https://www.mineducacion.gov.co/1621/article-79361.html
https://www.mineducacion.gov.co/1621/article-79413.html
https://www.mineducacion.gov.co/1621/article-79361.html
https://www.mineducacion.gov.co/1621/articles-85906_archivo_pdf.pdf
https://www.mineducacion.gov.co/1621/articles-85906_archivo_pdf.pdf
15 
 
Por último, en la sección cuarta de la misma Ley General de Educación, instituye la 
educación media en los grados 10° y 11°, con carácter tanto académica como 
técnica: 
La educación media académica de acuerdo con el Artículo 29: “permitirá al 
estudiante, según sus intereses y capacidades, profundizar en un campo específico 
de las ciencias, las artes o las humanidades y acceder a la educación superior”32. 
En el Artículo 31 establece las mismas áreas fundamentales enumeradas 
anteriormente en un nivel más avanzado, además de las ciencias económica, 
políticas y filosofía33. 
La educación media técnica según el Artículo 32: “prepara a los estudiantes para el 
desempeño laboral en uno de los sectores de la producción y de los servicios, y 
para la continuación en la educación superior”34. Puede inclinarse a especialidades 
tales como: agropecuaria, comercio, finanzas, administración, ecología, medio 
ambiente, industria, informática, minería, salud, recreación, turismo, deporte y las 
demás que requiera el sector productivo y de servicios. 
 
4.2. MARCO TEÓRICO 
 
La debilidad en la oferta y cobertura de capacitaciónespecializada en 
ciberseguridad y Ciberdefensa35, es uno de los ejes diagnosticado en el 2011 por 
el CONPES 3701, documento emitido por el Consejo Nacional de Política 
Económica y Social, organismo asesor del gobierno colombiano en lo que respecta 
al desarrollo económico y social del país. Para ese entonces, se evidenciaba una 
oferta limitada en la formación de ciberseguridad y ciberdefensa en el sector público 
y privado, así como en la capacitación para las entidades que realizan labores de 
policía judicial. En consecuencia, el plan de acción solicitaba ejecutar estrategias de 
sensibilización y capacitación, desde entidades como el ministerio de defensa, el 
MinTIC y la Fiscalía36. 
Sin embargo, la anterior política estaba volcada a desarrollar las capacidades en 
ciberdefensa por parte de la nación, pero faltó por tener en cuenta su abordaje 
desde los ciudadanos y distintos sectores económicos. Unos años más adelante, 
en el 2016, se publica un nuevo CONPES, el 3854 titulado “Política Nacional de 
Seguridad Digital”, que adopta un enfoque basado en la gestión de riesgos como 
uno de sus 4 principios, así como 5 dimensiones estratégicas37, entre las que se 
 
32 Ibid., Artículo 29. 
33 Ibid., Artículo 31. 
34 Ibid., Artículo 35. 
35 COLOMBIA. CONSEJO NACIONAL DE POLÍTICA ECONÓMICA Y SOCIAL. CONPES 3701. 14 
julio 2011. [En línea]. [Fecha de consulta: 30 abril 2022]. p.18. Disponible en: 
https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3701.pdf 
36 Ibid., p.30. 
37 COLOMBIA. CONSEJO NACIONAL DE POLÍTICA ECONÓMICA Y SOCIAL. CONPES 3854. 11 
https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3701.pdf
16 
 
destaca “Cultura ciudadana para la seguridad digital” (DE4) y “Capacidades para la 
gestión del riesgo de seguridad digital” (DE5). 
El último documento guía de nivel nacional que se desea resaltar es el CONPES 
3995 de 2020, el cual una vez más diagnostica debilidades en las capacidades en 
seguridad digital de los ciudadanos, del sector público y del sector privado. Dentro 
del plan de acción trazado enlista 19 estrategias38, entre las que destacan: 
Tabla 2 Resumen del plan de acción CONPES 3995. Fuente: Elaboración propia basada en [38] 
 
 
abril 2016. [En línea]. [Fecha de consulta: 02 mayo 2022]. p.49-65. Disponible en: 
https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3854.pdf 
38 COLOMBIA. CONSEJO NACIONAL DE POLÍTICA ECONÓMICA Y SOCIAL. CONPES 3995. Op. 
Cit., p.27-34. 
https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3854.pdf
17 
 
En materia educativa, el Plan Nacional Decenal de Educación 2016-2026 presenta 
10 lineamientos para 10 desafíos estratégicos. El tercero de ellos refiere al 
establecimiento de lineamientos curriculares generales, pertinentes y flexibles39. 
Estos lineamientos curriculares son orientaciones epistemológicas, pedagógicas y 
curriculares que define el MEN con el apoyo de la comunidad académica educativa 
para apoyar el proceso de fundamentación y planeación de las áreas obligatorias y 
fundamentales definidas por la Ley General de Educación en su artículo 2340. Sin 
embargo, a la fecha hay solamente disponibles unos pocos lineamientos 
desarrollados, como el de Ciencias sociales, Catedra Estudios Afrocolombianos, 
Educación Artística, Educación física, Idiomas Extranjeros, Ciencias Naturales, 
Constitución Política, Ética, Lengua Castellana y Matemáticas. En consecuencia, al 
no existir uno para el área de Tecnología e Informática, no hay un estándar sobre 
qué se debe enseñar y cuáles son los DBA (Derechos Básicos de Aprendizaje) con 
los que los estudiantes son medidos en las pruebas de estado en esta materia. De 
esta forma, los docentes hacen uso de su libertad de catedra en sus diseños 
curriculares, amparados por el artículo 27 de la constitución política de Colombia41 
y el artículo 77 de la ley general de educación. 
Retomando desde el plan nacional decenal de educación, en el sexto desafío 
estratégico llamado “Impulsar el uso pertinente, pedagógico y generalizado de las 
nuevas y diversas tecnologías para apoyar la enseñanza, la construcción de 
conocimiento, el aprendizaje, la investigación y la innovación, fortaleciendo el 
desarrollo para la vida”, se promueve desde la enseñanza, en el numeral 3 lo 
siguiente: 
El proceso de incorporación de las TIC en la educación básica, media y 
superior, tendrá en cuenta no solo el uso de las mismas como herramienta 
pedagógica, sino la actualización de los contenidos curriculares pertinentes que 
permitan a los estudiantes afrontar los retos de la sociedad digital y la economía 
digital, tales como: seguridad e integridad personal en la red, derechos y 
deberes en internet, comercio electrónico, riesgos en internet, entre otros42. 
Para el aporte a la construcción de los planes de estudio y currículos, este 
proyecto acoge como marco de referencia la publicación especial SP 800-181 de 
la NIST, o marco NICE (National initiative for cibersecurity education). Tal marco, 
es de suma utilidad para los profesionales, empresas y educadores. Para las 
organizaciones, “proporciona un léxico común y uniforme que clasifica y describe 
 
39 COLOMBIA. MINISTERIO DE EDUCACIÓN NACIONAL Plan Nacional Decenal de Educación 
2016-2026. Noviembre 2017. [En línea]. [Fecha de consulta: 05 mayo 2022]. p.43. Disponible en: 
https://www.mineducacion.gov.co/1780/articles-392871_recurso_1.pdf 
40 MINISTERIO DE EDUCACIÓN NACIONAL. Lineamientos curriculares. [En línea]. [Fecha de 
consulta: 06 mayo 2022]. Disponible en: https://www.mineducacion.gov.co/1621/article-80860.html 
41 COLOMBIA. Constitución política de Colombia. 20 julio 1991. [En línea]. [Fecha de consulta: 06 
mayo 2022]. Artículo 27. Disponible en: 
http://www.secretariasenado.gov.co/senado/basedoc/constitucion_politica_1991.html 
42 COLOMBIA. MINISTERIO DE EDUCACIÓN NACIONAL Plan Nacional Decenal de Educación 
2016-2026. Op. Cit., p.54. 
https://www.mineducacion.gov.co/1780/articles-392871_recurso_1.pdf
https://www.mineducacion.gov.co/1621/article-80860.html
http://www.secretariasenado.gov.co/senado/basedoc/constitucion_politica_1991.html
18 
 
el trabajo en materia de ciberseguridad”43 necesario para la contratación de 
personal; y para los educadores, “también proporciona un léxico común que las 
instituciones académicas pueden utilizar en la creación de planes de estudios de 
ciberseguridad que preparen mejor a los estudiantes para las necesidades 
actuales y previstas del personal de ciberseguridad”44. La siguiente imagen 
muestra los componentes que conforman el marco NICE y como se relacionan 
entre sí: 
Figura 6 Relación entre componentes del marco NICE. Fuente: Tomada de [45]. 
 
 
Todo lo anterior, en consecuencia, les concierne a los colegios que además de tener 
media académica tienen media técnica, por ser parte activa de la formación de la 
futura fuerza laboral y aspirante a programas de educación superior. En el caso 
particular del colegio OEA IED, la institución inició en el 2008 un proyecto como 
parte de un programa experimental de la SED bajo la resolución 480 del mismo año, 
con el objetivo de ofrecer oportunidades de acceso y permanencia en la educación 
superior a los bachilleres egresados de los colegios distritales, mediante diferentes 
estrategias como la reforma y articulación de la educación media con la educación 
superior46. 
 
43 NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Iniciativa nacional para la 
educación en ciberseguridad (NICE) Marco para el personal de ciberseguridad. [En línea]. 2020 
[Fecha de consulta: 20 marzo 2022]. p.6. Disponible en: 
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-181es.pdf 
44 Ibid., p.6. 
45 Ibid., p.11. 
46 SECRETARÍA DE EDUCACIÓN DISTRITAL. Resolución 480. Febrero 20 2008. [En línea]. [Fecha 
19 
 
En el periodo de tiempo de 2006-2012 tal proyecto se centró en la homologación de 
modalidades concretas de estudio que se desarrolladas en cada institución 
dependiendo de los acuerdos que se establecidosentre el Colegio y la IES 
acompañante47. La articulación abordó las ocho áreas optativas de la Ley 115 
(administrativas, agropecuarias, ambientales, salud, ingenierías, turismo, 
comerciales e informática). En cuanto a la intensidad horaria, contempló que cada 
estudiante cursara entre 10 y 16 horas semanales adicionales a su jornada 
tradicional de 30 horas48. 
Para el Proyecto 891 (2012 en adelante) en el marco del plan de desarrollo del 
Bogotá Humana, continuaba alineado con el objetivo de “transformar y fortalecer la 
educación media distrital, mediante la consolidación de una oferta diversa, electiva 
y homologable con la educación superior que promueva la continuidad de los 
estudiantes en este nivel educativo, para generar en los estudiantes mayores 
oportunidades en el mundo socio – productivo”49. Tal proyecto toma como punto de 
partida un proyecto que finalizaba en el 2012, el 290 de “Mejor Educación Media y 
Mayores Oportunidades en Educación Superior” y lo avanzado en el item de: 
Educación Media Especializada, desarrollada mediante convenios realizados 
con la I.E.S., tuvo como propósito la profundización en áreas del conocimiento 
a través del fortalecimiento y actualización de los P.E. I. y el apoyo al diseño de 
plan de estudios especializado para la media de los colegios participes, lo 
anterior con una intensidad horaria de 40 horas semanales que permitía que los 
estudiantes tomaran cursos específicos, atendiendo a un diagnóstico de sus 
intereses y los propósitos de la I.E.D50. 
 
 
 
de consulta 09 mayo 2022]. Artículo 1º. Disponible en: 
https://repository.usta.edu.co/jspui/bitstream/11634/3068/35/RESOLUCI%C3%93N%20480%20DE
%202008%20%20Proyecto%20de%20Articulacion.pdf 
47 GONZALEZ, Carlos. Análisis concomitante del proyecto de articulación de la educación media 
con la superior, implementado por la SED en los Colegios Distritales OEA y Kennedy durante el 
periodo 2008-2013 desde un enfoque cualitativo-interpretativo. [En línea]. Bogotá: Universidad Santo 
Tomas, 2016. [Fecha de consulta 10 mayo 2022]. p.72. Disponible en: 
https://repository.usta.edu.co/jspui/bitstream/11634/3068/1/Gonzalezcarlos2016.pdf 
48 SECRETARÍA DE EDUCACIÓN. Dirección de educación media y superior. [En línea]. Bogotá, 
2012. [Fecha de consulta 12 mayo 2022]. p.2. Disponible en: 
https://repositoriosed.educacionbogota.edu.co/bitstream/handle/001/1179/Media%20Fortalecida.pdf
;jsessionid=8ED2934766EA17A792085393342C50A1?sequence=2 
49 SECRETARÍA DE EDUCACIÓN DISTRITAL. Proyecto 891. 2012. [En línea]. [Fecha de consulta 
12 mayo 2022]. p.1. Disponible en: 
https://repository.usta.edu.co/bitstream/handle/11634/3068/Proyecto%20891_resumen%20ejecutiv
o.pdf?sequence=31&isAllowed=y 
50 Ibid., p.3. 
https://repository.usta.edu.co/jspui/bitstream/11634/3068/35/RESOLUCI%C3%93N%20480%20DE%202008%20%20Proyecto%20de%20Articulacion.pdf
https://repository.usta.edu.co/jspui/bitstream/11634/3068/35/RESOLUCI%C3%93N%20480%20DE%202008%20%20Proyecto%20de%20Articulacion.pdf
https://repository.usta.edu.co/jspui/bitstream/11634/3068/1/Gonzalezcarlos2016.pdf
https://repositoriosed.educacionbogota.edu.co/bitstream/handle/001/1179/Media%20Fortalecida.pdf;jsessionid=8ED2934766EA17A792085393342C50A1?sequence=2
https://repositoriosed.educacionbogota.edu.co/bitstream/handle/001/1179/Media%20Fortalecida.pdf;jsessionid=8ED2934766EA17A792085393342C50A1?sequence=2
https://repository.usta.edu.co/bitstream/handle/11634/3068/Proyecto%20891_resumen%20ejecutivo.pdf?sequence=31&isAllowed=y
https://repository.usta.edu.co/bitstream/handle/11634/3068/Proyecto%20891_resumen%20ejecutivo.pdf?sequence=31&isAllowed=y
20 
 
4.3. MARCO JURÍDICO 
 
La legislación concerniente a la temática tratada y que fundamentan o argumentan 
algunas de las secciones a lo largo de este documento son las siguientes: 
La ley estatutaria 1581 de 2012, por la cual se dictan disposiciones generales para 
la protección de datos personales, es tomada en cuenta ya que allí se define la 
categoría especial de datos y los derechos del tratamiento de los mismos en niños, 
niñas y adolescentes. 
A raíz de que la población con la que se trabajará es en su mayoría menores de 
edad de grados 10° y 11°, se da conformidad al Articulo 7 de la ley: “Queda proscrito 
el tratamiento de sus datos, salvo que sean de naturaleza pública”51. De esta forma, 
al realizar recopilación de información para el proyecto, se evitará solicitar datos 
personales de los estudiantes, ya que no son pertinentes para el fin del análisis de 
las respuestas. 
En cuanto a los delitos informáticos, el uso de la Ley 1273 de 2009 será apropiado 
para la explicación de los ataques informáticos, relacionándolos con los delitos 
presentados en la ley que modifican el código penal, y crea el bien jurídico tutelado: 
De la protección de la información y los datos52. Esas adiciones al código penal, 
presentadas a continuación, son un recurso imprescindible en cuanto al tema de la 
normatividad vigente53: 
• Artículo 269A: Acceso abusivo a un sistema informático 
• Artículo 269B: Obstaculización ilegítima de sistema informático o red de 
telecomunicación. 
• Artículo 269C: Interceptación de datos informáticos. 
• Artículo 269D: Daño Informático. 
• Artículo 269E: Uso de software malicioso. 
• Artículo 269F: Violación de datos personales. 
• Artículo 269G: Suplantación de sitios web para capturar datos personales. 
• Artículo 269H: Circunstancias de agravación punitiva. 
• Artículo 269J: Transferencia no consentida de activos. 
 
Al mismo tiempo, la Ley 115 de 1994 Ley General de Educación rige para algunos 
aspectos del trabajo como el marco conceptual, teórico o alcance. 
Para empezar, en su sección cuarta del capítulo 1 del título II, reglamenta la 
educación media determinando la duración y finalidad comprendiendo dos grados; 
 
51 COLOMBIA. CONGRESO DE LA REPUBLICA. LEY ESTATUTARIA 1581. Op. Cit., Artículo 7º 
52 COLOMBIA. CONGRESO DE LA REPUBLICA. LEY 1273. 5 enero 2009. [En línea]. [Fecha de 
consulta 15 mayo 2022]. Art 1º. Disponible en: 
http://www.secretariasenado.gov.co/senado/basedoc/ley_1273_2009.html 
53 Ibid., Capítulo I. 
http://www.secretariasenado.gov.co/senado/basedoc/ley_1273_2009.html
21 
 
decimo y undécimo en el artículo 27. A continuación, en el artículo 28 indica que la 
educación media puede ser de carácter académica, estableciendo sus definiciones, 
objetivos y áreas en los art. 29, 30 y 31; o técnica, estableciendo su definición, 
objetivos, establecimientos y articulación con la educación superior en los artículos 
32, 33, 34 y 35 respectivamente54. 
Luego, como clave para aterrizar el contexto de la organización educativa, el Titulo 
IV de la Ley, especifica la correlación e incidencia de conceptos como el Proyecto 
Educativo Institucional (Art. 73); el Currículo, autonomía escolar y modificación al 
mismo (Art. 76, 77 y 78); y el Plan de Estudios (Art. 79)55. 
Finalmente, el Titulo VI, de los educadores, es preciso en el artículo 116 en cuanto 
a la formación para su ejercicio: “Para ejercer la docencia en el servicio educativo 
estatal se requiere título de licenciado en educación o de posgrado en educación, 
además de estar inscrito en el Escalafón Nacional Docente”. No obstante, en el 
artículo 108 y 118 se contemplan excepciones, como por ejemplo en las áreas de 
educación media donde hay una carencia de personas licenciadas o con 
experiencia en el área, siempre y cuando se cumplan requisitos de inscripción al 
sistema de escalafonamiento y acrediten estudios pedagógicos con una duración 
no menor a un año56. 
 
54 COLOMBIA. CONGRESO DE LA REPUBLICA. LEY 115. Op. Cit., Titulo II, Capítulo 1, Sección 
Cuarta. 
55 Ibid., Titulo IV, Capítulo 1 y Capítulo 2. 
56 Ibid., Título VI, Artículo 108, 116 y 118. 
22 
 
5. METODOLOGÍA 
 
 
5.1. FASES DEL TRABAJO DE GRADO 
 
Se definen las siguientes fases con sus correspondientes actividades para el 
desarrollo del proyecto: 
Planeación 
• A.1. Caracterización de la institución y levantamientode información. 
• A.2. Preparación de presentación y charlas para los grupos 
• A.3. Elaboración de preguntas para la encuesta inicial a los estudiantes 
Ejecución 
• B.1 Encuesta de conocimientos y expectativas previas. 
• B.2 Charlas hacia los grupos de estudiantes. 
• B.3 Análisis basado en el marco NICE SP800-181 para el planteamiento de 
tareas, conocimientos, habilidades y capacidades según los posibles roles 
de interés. 
Evaluación 
• C.1 Socialización de la propuesta y acuerdos. 
 
Figura 7 Metodología a usar. Fuente: Elaboración propia. 
 
 
23 
 
5.2. INSTRUMENTOS O HERRAMIENTAS UTILIZADAS 
 
En el transcurso del proyecto se utilizaron herramientas ofimáticas de Microsoft: El 
procesador de textos Word para la elaboración del presente trabajo y del documento 
entregable y PowerPoint para la creación de las diapositivas para la presentación 
en las fases A.2 y B.2. 
Las encuestas en formato físico, fueron un instrumento sencillo a la hora de formular 
y analizar las incógnitas insumo de las fases A.3 y B.3. 
Por último, las herramientas web puestas a disposición por NICCS (National 
Initiative for Cybersecurity Careers and Studies) se utilizaron como recurso para 
visualizar y presentar de una forma dinámica lo planteado en el documento del 
marco NICE SP200-181 del 2017 y 2021 revisión 1. 
 
5.3. POBLACIÓN Y MUESTRA 
 
La población con la que se trabajó son estudiantes en su mayoría adolescentes 
entre los 14 y 18 años pertenecientes a los cursos 10º y 11º del colegio distrital OEA 
de la localidad de Kennedy. 
Están divididos en 8 grupos, de ## estudiantes, de los cuales se tomó una muestra 
de 4 grupos para las charlas. A su vez, hay 6 docentes para las diferentes 
asignaturas de la MTE y una coordinación a quienes se involucra en mayor medida. 
 
5.4. ALCANCES Y LIMITACIONES 
 
El alcance de este proyecto es únicamente el planteamiento, como se puede 
observar en la figura 6 con sus respectivas fases y actividades. 
No se llegará a implementar, puesto que el producto final estará sujeto a los criterios 
que considere la institución para su aplicabilidad. Para ello, se tendrían que realizar 
modificaciones de fondo a la oferta académica, en cuanto al plan de estudios, 
currículo e incluso proyecto educativo institucional, que implica un visto favorable 
por parte de la alta dirección y de la Secretaría de Educación. Además, lo anterior 
demanda un tiempo mayor al que se dispone para el desarrollo del proyecto, ya que 
para el presente año lectivo está en progreso una planeación académica y pretender 
cambiarla resultaría impositivo. 
Como otra limitante, la impartición personalmente de lo propuesto tiene algunas 
restricciones que se relacionan con el ejercicio de la docencia en la ley, tal como se 
revisó anteriormente en el marco jurídico. Por lo tanto, se tratará de una guía, que 
oriente a los docentes de áreas afines como abordar e instruir sobre la temática. 
24 
 
6. PRODUCTOS A ENTREGAR 
 
 
El principal entregable de este proyecto de investigación, tal como lo planteaba el 
objetivo es un documento con la descripción de roles aplicables, a que categoría y 
área de especialización pertenecen y su respectiva correlación en forma de tablas 
entre lo imparto por el programa actualmente y los ítems CHCs o KSAs 
(conocimientos, habilidades, y capacidades) del marco de referencia SP800-181. 
Sin embargo, también se entregarán los siguientes productos una vez finalizado el 
cronograma planteado en forma de anexos: 
➢ Presentación usada para las charlas con las fuentes de información y guion 
o discurso. Con las charlas suministradas a los grupos de estudiantes de 10° 
y 11° se espera generar conciencia de su actividad en la red, conozcan la 
importancia de la ciberseguridad y dimensionen las diferentes carreras en el 
campo y su interrelación. 
➢ Análisis de la encuesta a realizar con las preguntas, opciones de respuesta 
y graficas de los resultados. En el ejercicio de las encuestas, realizadas a la 
par de las charlas, se pretende analizar las respuestas de los alumnos, para 
determinar cuáles son las categorías y áreas de especialidad que captan su 
interés y elegir adecuadamente los roles dentro del marco NICE. 
➢ Documento de los acuerdos llegados con la institución luego de evaluar la 
viabilidad y forma de aplicación del o presentado. Con el documento final se 
espera proporcionar una referencia que ayude a los docentes y directivas a 
estructurar fácilmente su malla curricular y los planes de estudio de cada 
asignatura de la MTE; y por el lado de los estudiantes, que eventualmente 
adquieran competencias laborales consecuentes al mercado y estudios 
futuros. 
 
 
 
 
25 
 
7. ENTREGA DE RESULTADOS E IMPACTOS 
 
 
7.1. CARACTERIZACIÓN DE LA INSTITUCIÓN 
 
Esta primera fase corresponde a los acercamientos iniciales a la institución con el 
fin de levantar la información que se requiere posteriormente en la fase 7.2 de 
charlas a los estudiantes y la fase 7.4 de análisis sobre el marco de referencia NICE 
para la selección del rol de partida o inicial. 
El colegio distrital OEA IED es una institución de carácter público ubicada en la 
localidad de Kennedy en la dirección. Cuenta con 215 estudiantes de educación 
media, distribuidos en ocho grupos, de los cuales cuatro son de grado 10° y cuatro 
de 11°. 
El programa de formación técnica en sistemas e informática empresarial ofrecido 
por la institución consta de un total de doce asignaturas en su plan de estudios 
distribuidas de la siguiente manera: 
 
Tabla 3 Asignaturas técnico en sistemas e informática empresarial. Fuente: Colegio OEA. 
ASIGNATURAS CURSO 
Algoritmos y Programación Semestre I – Grado 10° 
Ensamble y Mantenimiento 
Fundamentos de redes 
Matemática Básica Semestre II – Grado 10° 
Programación Estructurada 
Bases de Datos 
Cableado Estructurado Semestre III – Grado 11° 
Calculo Diferencial 
Programación Orientada a Objetos 
Programación WEB Semestre IV – Grado 11° 
Estructura de Datos 
Circuitos Digitales 
 
Para cada asignatura, a modo general se describen las temáticas abordadas y los 
conocimientos adquiridos de la siguiente forma: 
26 
 
Tabla 4 Descripción y contenido de asignaturas programa técnico. Fuente: Colegio OEA 
Algoritmos y 
Programación 
Asignatura que presenta los principios de programación a los estudiantes mediante la 
construcción y elaboración de mentefactos algorítmicos que representan procesos de 
trabajo, se induce el trabajo de programas como DFD, Scratch, para luego ver la 
implementación de código fuente en lenguajes de C. 
Ensamble y 
Mantenimiento 
Asignatura basada en el reconocimiento de las partes del computador, su 
funcionamiento y análisis de reparación del equipo de cómputo, se instruye también 
sobre los sistemas operativos y su instalación. 
Fundamentos 
de redes 
Asignatura que pretende complementar el reconocimiento del hardware del 
computador, analiza los principios para la estructuración de redes informáticas tanto 
en su composición lógica y física, estudia los tipos de redes, medios de distribución y 
configuración de redes informáticas. 
Matemática 
Básica 
Asignatura fundamentada en reforzar los conocimientos básicos de la matemática en 
donde se profundizan temas como potenciación, radicación, polinomios, algebra básica 
para permitir consolidar los conocimientos de estos temas y propiciar elementos de 
análisis que usaran en la construcción de programas. 
Programación 
Estructurada 
Esta asignatura profundiza en los elementos de programación haciendo hincapié en el 
reconocimiento, trabajo y desarrollo de las diferentes estructuras de programación bajo 
diferentes lenguajes de programación en especial C. 
Bases de 
Datos 
Asignatura que presenta los principales medios de estructuración, manejo y desarrollo 
de bases de datos basados en el lenguaje de SQL y activando herramientas de trabajo 
Web que enlazan las bases de datos basado en programas como PHP myAdmin. 
CableadoEstructurado 
Asignatura que complementa y cierra el reconocimiento del hardware del computador 
brindando las normas y tecnologías que se usan para la implementación de las 
estructuras de redes cableadas en las diferentes estructuras, se basa en el 
reconocimiento de elementos arquitectónicos y funcionales de montaje y desarrollo de 
las redes cableadas. 
Calculo 
Diferencial 
Asignatura de cierre del área matemática, se presentan elementos de cálculo en 
relación a definición de funciones y solución de problemas prácticos en donde estos 
principios son puestos en marcha desde el campo de vista de las ingenierías. 
Programación 
Orientada a 
Objetos 
Asignatura que presenta un paradigma de programación desde la elaboración de 
bloques de funcionamiento aprovechando las herramientas de programación que 
ofrecen los diferentes programas que se basan en este medio de programación, en 
especial JAVA Script, del mismo modo se indican y se dan nociones de programación 
para dispositivos móviles desde la herramienta de App Inventor y Android Studio. 
Programación 
WEB 
Asignatura que presenta un paradigma de programación desde la elaboración de 
bloques de funcionamiento aprovechando las herramientas de programación que 
ofrecen los diferentes programas que se basan en este medio de programación, en 
especial JAVA Script, del mismo modo se indican y se dan nociones de programación 
para dispositivos móviles desde la herramienta de App Inventor y Android Studio. 
Estructura de 
Datos 
Asignatura basada en el análisis de las bases de datos la estructuración de las mismas 
y parámetros que permiten reconocer e identificar los elementos básicos de las bases 
de datos, así como la implementación para la organización de la información. 
Circuitos 
Digitales 
Asignatura que permite reconocer los elementos básicos de la lógica combinacional 
haciendo énfasis en el montaje de las estructuras lógicas basadas en las compuertas 
lógicas, su principio de funcionamiento e importancia en el mundo de la electrónica 
digital. 
 
27 
 
7.2. PRESENTACIÓN SOBRE CIBERSEGURIDAD A LOS ESTUDIANTES 
 
Lo que se desea aquí, es compartir un panorama de todo el ámbito TI y la 
importancia de la ciberseguridad dentro de este; con el objetivo de introducir a los 
estudiantes en estos temas y que sea una guía de como orientar su futuro 
profesional. 
La presentación estuvo dirigida a cuatro de los ocho grupos (uno de 35 estudiantes, 
uno de 30, otro de 38 y otro de 33), con una duración de 25 minutos cada uno. Las 
diapositivas preparadas se encuentran en el apéndice 11.3 y los temas tratados en 
ellas son los siguientes: 
• Donde estamos – El mundo TI 
o Elegir carrera profesional – Pequeña reflexión de que tan importante 
es esa decisión. 
o Evolución de los cargos en sistemas, tecnología e informática. 
o Tendencias y cifras de vacantes – Déficit de profesionales en 
ciberseguridad. 
o Áreas en las empresas de desempeño (SO, Virtualización, Apps, 
BBDD, redes, seguridad, gestión y monitoreo). 
• La seguridad de la información y la ciberseguridad 
o La información como el activo más valioso para una organización. 
o Los pilares de la seguridad (Confidencialidad, Integridad y 
Disponibilidad). 
o Clasificación de la información. (Publica, privada y sensible). 
o Definiciones de gestión de riesgos (activo, amenaza, vulnerabilidad y 
riesgo) y legislación existente. 
o Diferencia entre el enfoque de la seguridad de la información y la 
ciberseguridad. 
• Casos de ciberataques reales 
o Noticias: Ataque al colonial pipeline, Intento de ataque al suministro 
de agua de Oldsmar Florida, caso de ciberataque al DANE, caso de 
ataques a la registraduría en días de elecciones. 
o Video: Como se planea y produce un ataque – Nombre del video: 
Anatomía de un ciberataque. 
o Video: No solo las empresas son blanco sino las personas también – 
Nombre del video: El adivino de la redes sociales. 
• Relación con los enseñado: 
o Desde el desarrollo web o móvil – Metodologías como OWASP 
(Inyección SQL, fallas de autenticación, exposición de información 
sensible, componentes vulnerables y desactualizados). 
o Desde el tráfico de red – Configuración segura en Switches, Routers, 
Firewalls, IPS, IDS entre otros (Port security, DHCP spoofing, MiTM, 
ACLs, reglas) 
o Desde los SO – (Hardening, políticas, permisos, algoritmos de cifrado, 
28 
 
antivirus y EDP). 
o Desde las amenazas – Malware y otros vectores de ataque (Virus 
gusanos y troyanos, Ransomware, ingeniería social, phishing). 
• El marco de referencia NICE: 
o Lo que busca el marco. 
o Como está compuesto. 
o Como se planea presentar a la institución. 
o Por qué se desea usar un marco enfocado desde los roles de trabajo, 
conocimientos, habilidades y capacidades y no desde los títulos 
académicos. 
• Hacia donde ir – Nuevas tecnologías y retos 
o Nube. 
o IoT. 
o Tendencias y certificaciones. 
 
Luego de cada charla, se procedió a realizar una pequeña encuesta con 7 
enunciados, cuyo formato se encuentra en el apéndice 11.4, con una muestra de 
136 cuestionarios, cuyos resultados se detallan en seguida. 
Las primeras preguntas tuvieron como propósito conocer la inclinación, 
predisposición e interés en la temática por parte de los jóvenes. 
En la pregunta 1, el 63% le dio bastante importancia a la ciberseguridad, parte 
debido a la charla previa que tenía esa intención de resaltarla. 
Figura 8 Respuestas pregunta 1 cuestionario. Fuente: Elaboración propia. 
 
De esa presentación, con la pregunta 2 se dedujo que cerca del 87% había 
escuchado poco o nada de los temas tratados, lo cual aporta también a la hipótesis 
de una falta de conocimientos en la materia, reforzada más adelante con las 
preguntas 5, 6 y 7. 
 
29 
 
Figura 9 Respuestas pregunta 2 cuestionario. Fuente: Elaboración propia. 
 
La pregunta 3 tenía como objetivo servir de insumo para la fase 7.4 en donde se 
definirían los roles intermedios, obteniendo que las especialidades que más les 
llama la atención son desarrollo con un 31% y redes con un 27%. 
Figura 10 Respuestas pregunta 3 cuestionario. Fuente: Elaboración propia. 
 
Con la pregunta 4 se pretendía saber si era viable incorporar la disciplina de la 
ciberseguridad en la formación planteándoles un escenario hipotético donde 
pudieran escoger estudiarla a algún nivel, encontrando que el 31% afirmó que sí y 
otro 43% tal vez lo consideraría. 
Figura 11 Respuestas pregunta 4 cuestionario. Fuente: Elaboración propia. 
 
Las últimas preguntas fueron útiles para censar algunas fortalezas básicas en 
ciberseguridad. En la pregunta 5 se indagaba sobre las arquitecturas de nube 
30 
 
plataforma como servicio, infraestructura como servicio y software como servicio; 
conceptos tratados en la presentación cuando se mencionó los retos a futuro y la 
responsabilidad compartida de la seguridad al contratar algún servicio cloud. 
Figura 12 Respuestas pregunta 5 cuestionario. Fuente: Elaboración propia. 
 
La pregunta 6 se trataba de unir 5 términos básicos de amenazas con sus 
respectivas definiciones. Tan solo 8 estudiantes acertaron las 5 veces y 12 
acertaron 4 veces lo que corresponde a cerca del 15% que tenía claridad de estos 
conceptos. 
Figura 13 Respuestas pregunta 6 cuestionario. Fuente: Elaboración propia. 
 
En la última pregunta se muestra una imagen de un correo phishing con 4 
indicadores sospechosos, una falta de ortografía, el correo que reemplazaba una 
vocal i con l, una URL con un dominio diferente de la entidad y un archivo adjunto 
con una extensión .bat. Solamente el 8% encontró 3 indicadores. 
Figura 14 Respuestas pregunta 7 cuestionario. Fuente: Elaboración propia. 
 
31 
 
7.3. ESTADO DEL MERCADO LABORAL 
 
Esta fase es importante para hacerse a una idea de las necesidades del mercado 
laboral en materia de ciberseguridad. Para ello en primera instancia se realizó una 
investigación de fuentes y estudios como el ICS2, la ITU, el National Cibersecurity 
Index y el CONPES 3995;que hacían referencia la brecha de profesionales en 
distintas categorías de ciberseguridad y a la puntuación del país en algunos 
aspectos como se muestra en las figuras 1, 2, 3 y 4 de este documento. 
Una vez identificado el problema de déficit en la oferta de profesionales y de 
formación, en segunda instancia se recurre a identificar la demanda específica de 
que cargos se están necesitando actualmente en el país. Para ello, se busca en las 
plataformas de empleo más populares como CompuTrabajo y ElEmpleo la cantidad, 
requisitos y generalidades de los trabajos ofertados por las empresas. 
• En la plataforma ElEmpleo se filtra de un total de 40296 ofertas la categoría 
de “sistemas e informática” arrojando 6428 resultados, es decir que, de todas 
las ofertas laborales, el 15.9% son de TI. Filtrando ahora por “seguridad” se 
encontraron 780 ofertas relacionadas siendo el 12.13% de las vacantes de 
sistemas e informática (https://www.elempleo.com/co/ofertas-
empleo/sistemas-tecnologia?trabajo=seguridad). 
• Para el caso de la página de CompuTrabajo, en la categoría 
“informática/Telecomunicaciones” de las 5891 ofertas, 661 son relacionadas 
a seguridad informática (https://co.computrabajo.com/trabajo-de-seguridad-
informatica). 
En ambas plataformas los roles más recurrentes son los siguientes: 
o Analista de seguridad informática. 
o Analista de ciberseguridad. 
o Analista de seguridad de la información. 
o Especialista en ciberseguridad. 
o Profesional de seguridad de la información. 
o Operador SOC. 
o Oficial de seguridad de la información. 
o Ingeniero de redes y seguridad. 
o Líder/jefe de ciberseguridad. 
o Administrador de seguridad. 
Partiendo de los anteriores roles, se visualiza que los conocimientos más requeridos 
en las ofertas son: 
✓ Conocimiento en equipos de red. 
32 
 
✓ Conocimiento en configuración e instalación de consolas de antivirus. 
✓ Conocimiento en administración de políticas de firewall. 
✓ Conocimiento en listas de control de acceso. 
✓ Conocimiento en configuración de VPNs. 
✓ Conocimiento en buenas prácticas en atención de incidentes. 
✓ Conocimiento en implementación de controles de SGSI. 
✓ Conocimiento en gestión de riesgos. 
✓ Conocimientos en directorio activo, DNS y DHCP. 
✓ Conocimiento en gestión de backups. 
✓ Conocimientos en identificación y remediación de vulnerabilidades. 
✓ Conocimientos en administración de usuarios y permisos. 
✓ Conocimientos en gestión e implementación de proyectos. 
✓ Conocimiento en manejo de elementos en la nube. 
Por último, para hacer más específico el perfilamiento de este tipo de funciones y 
roles, se toma como guía una matriz de planes carrera internos, obtenida de una 
importante compañía líder en el sector y presente en varios países. En ella, 
especifica los cursos que deben cumplir los empleados dentro de las líneas de 
ciberseguridad de blue team, red team y vulnerabilidades, en los roles de analista 
nivel I, analista nivel II, consultor analista senior y consultor especialista junior. 
 
Tabla 5 Planes de carrera en ciberseguridad en la compañía. Fuente:Elaboración propia basada en 
documento interno de la compañia. 
C
o
m
p
e
te
n
c
ia
 
Nombre del curso o certificación 
Blue Team Red Team Vulnerabilities 
A
n
a
li
s
ta
 N
iv
e
l 
I 
y
 I
I 
C
o
n
s
u
lt
o
r 
A
n
a
li
s
ta
 S
r 
C
o
n
s
u
lt
o
r 
E
s
p
e
c
ia
li
s
ta
 J
r 
A
n
a
li
s
ta
 N
iv
e
l 
I 
y
 I
I 
C
o
n
s
u
lt
o
r 
A
n
a
li
s
ta
 S
r 
C
o
n
s
u
lt
o
r 
E
s
p
e
c
ia
li
s
ta
 J
r 
A
n
a
li
s
ta
 N
iv
e
l 
I 
y
 I
I 
C
o
n
s
u
lt
o
r 
A
n
a
li
s
ta
 S
r 
C
o
n
s
u
lt
o
r 
E
s
p
e
c
ia
li
s
ta
 J
r 
H
a
b
il
id
a
d
e
s
 
p
e
rs
o
n
a
le
s
 
Aprende a escribir los 20 tipos de textos básicos 
Escucha activa, empatía y asertividad 
Excel Completo: De principiante a avanzado 
Scrum Master/ Owner 
Inteligencia Emocional en Relaciones Personales y 
Laborales 
 
G
e
s
ti
ó
n
 y
 
G
o
b
ie
rn
o
 
Introducción a la Gestión de Servicios ITIL V4 
ITIL® Foundation Certificate (V3 o V4) 
ISO/IEC 27001 
ISO/IEC 27001 
 
Internal Auditor 
ISO/IEC 27001 
33 
 
Lead Auditor 
Gestión de incidentes 
Cyber security Incident handling and response 
PCI DSS 
ISO/IEC 31000 
CISSP Certified Information Systems Security Professional 
V
u
ln
e
ra
b
il
i-
d
a
d
e
s
 
Burpsuite: The basics 
Burpsuite: Intruder, repeater y extender 
Burpsuite: Other modules 
Tenable Certificate Introducction 
Tenable Certificate Sales Learning Path VM ò OT 
N
e
tw
o
rk
in
g
 
Aprende Redes desde Cero 
Curso de direccionamiento IP y Subnetting 
Fundamentos Networking 
Networking - OSI/TCP Model 
Nmap 
Wireshak & Tshark 
Protocolos y Puertos 
Cisco CCNA 200-301 
S
is
te
m
a
s
 
o
p
e
ra
ti
v
o
s
 
Linux básico 
Comandos linux 
Comandos Powershell 
Kali linux: Beginners 
S
e
g
u
ri
d
a
d
 T
I,
 S
IE
M
 y
 a
n
á
li
s
is
 f
o
re
n
s
e
 
Análisis de Malware 
Ataques Web 
Introducción a Ciberamenazas actuales 
Análisis Forense 
Splunk Fundamentals 1 
Splunk Fundamentals 2 
Qradar 
Exabean 
Network Security Expert - NSE1 
Network Security Expert - NSE2 
Network Security Expert - NSE3 
Network Security Expert - NSE4 
Network Security Expert - NSE5 
Network Security Expert - NSE6 
Network Security Architect 
Training FortiAnalyzer 
Palo Alto Firewall PCNSE Training 
Ethical Hacking Essentials (EHE) 
Seguridad informática 
IHE:Certified Incident Handling Engineer 
Splunk Certified Power User 
Splunk Enterprise Certified Admin 
CSA: Certified Cyber Security Analyst 
Computer Hacking Forensic Investigator (CHFI) 
PTE: Certified Penetration Testing Engineer 
Certified Ethical Hacking (CEH) 
D
a
rk
t
ra c
e
 
Threat Visualizer Part 1 - Familiarization 
34 
 
Threat Visualizer Part 2 - Investigation 
Threat visualizer Administration 
Cyber Analyst Part 1 Advanced Analysis 
Cyber Analyst Part 2 Model Optimization 
Antigena Network 
Cyber Engineer 
C
lo
u
d
 S
e
c
u
ri
ty
 
Amazon Web Services 
AWS Technical Professional Accreditation 
AWS Cloud Economics Accreditation 
AWS Partner: Foundations 
AWS Partner: Migrating to AWS 
AWS Partner: Advanced Migrating to AWS (Technical) 
AWS Partner: Security Governance at Scale 
AWS Partner: Well-Architected Best Practices 
AWS PSO: Security Best Practices 
AWS PSO: Cloud Adoption Framework 
Security Engineering on AWS 
AWS Certified Security - Specialty 
AWS Certified Cloud Practitioner - (CLF-C01) 
AWS Certified Solutions Architect – Associate (SAA-C02)