Primera entrega de proyecto
A lo largo del semestre construirás un informe de análisis de seguridad que crece entrega a entrega. Cada bloque de clases añade nuevas secciones al mismo documento; al finalizar el curso tendrás un análisis de seguridad completo de tu proyecto.
Esta primera entrega establece los cimientos del informe a partir de los conceptos del Bloque 1.
Qué entregas
Un documento PDF con los tres primeros capítulos del informe, más portada y referencias.
Estructura del documento
Portada con nombre del proyecto, integrantes del equipo y fecha.
Capítulo 1: Descripción del proyecto
- ¿Qué hace el sistema? Explícalo en términos funcionales, no técnicos.
- ¿Quiénes son sus usuarios? ¿Qué datos maneja sobre ellos?
- ¿En qué contexto opera? (educativo, comercial, de salud, etc.)
- ¿Qué valor tiene el sistema — para sus usuarios y para quienes lo operan?
Este capítulo no requiere conocimiento de seguridad: es la base que todos los capítulos posteriores usarán como referencia. Debe poder leerse de forma independiente.
Capítulo 2: Contexto de ciberseguridad
Aplica los conceptos de las clases 01, 02 y 03.
- ¿Cuáles son los activos digitales del proyecto? (datos, cuentas, código, infraestructura) ¿Qué valor tiene cada uno y qué pasaría si se comprometiera?
- ¿Qué amenazas son relevantes para tu sistema? Sé específico: no “alguien podría hackear el sistema”, sino qué tipo de ataque, contra qué componente.
- ¿Qué actores maliciosos podrían estar interesados en atacarlo y cuáles serían sus motivaciones?
- Para cada uno de los cinco principios CIAAN, analiza: ¿cómo aplica a tu sistema? ¿Cómo podría comprometerse? ¿Qué medida concreta lo protegería?
Capítulo 3: Riesgos identificados y consecuencias
Aplica los conceptos de la clase 04.
- Identifica al menos cinco riesgos de seguridad específicos para tu proyecto.
- Para cada riesgo, describe las consecuencias concretas si se materializa: ¿qué pasa con los datos? ¿con los usuarios? ¿con la operación del sistema?
- Prioriza los riesgos: ¿cuáles son los más urgentes de atender? Justifica el orden.
- Propón al menos una medida de seguridad preliminar para los riesgos más críticos. Estas propuestas se desarrollarán en profundidad en la segunda entrega.
Referencias
Cita cualquier fuente que hayas consultado: estándares, noticias de incidentes similares, documentación técnica.
Criterios de evaluación
1. Identificación del contexto de ciberseguridad (35 puntos)
| Nivel | Descripción | Puntos |
|---|---|---|
| Excelente | Activos identificados con su valor, múltiples amenazas relevantes y actores con motivaciones claras y específicas para el proyecto | 32–35 |
| Bueno | Activos principales identificados, algunas amenazas relevantes, actores mencionados sin mucha profundidad | 25–31 |
| Suficiente | Identificación general sin contextualizar al proyecto específico | 18–24 |
| Insuficiente | Identificación superficial o no relacionada con el proyecto | 0–17 |
2. Aplicación de los principios CIAAN (40 puntos)
| Nivel | Descripción | Puntos |
|---|---|---|
| Excelente | Los 5 principios analizados con ejemplos específicos del proyecto, descripción de cómo cada uno podría comprometerse y medidas concretas para protegerlo | 36–40 |
| Bueno | 4–5 principios analizados adecuadamente; medidas pertinentes pero podrían ser más específicas | 28–35 |
| Suficiente | 3–4 principios mencionados con ejemplos básicos y medidas genéricas | 20–27 |
| Insuficiente | Menos de 3 principios o análisis incorrecto, sin medidas concretas | 0–19 |
3. Análisis de riesgos y consecuencias (25 puntos)
| Nivel | Descripción | Puntos |
|---|---|---|
| Excelente | Al menos 5 riesgos identificados, priorizados con justificación, consecuencias concretas (técnicas, para usuarios, para la operación) y medidas preliminares para los más críticos | 23–25 |
| Bueno | Varios riesgos con consecuencias identificadas, priorización razonable aunque podría profundizar | 17–22 |
| Suficiente | Riesgos básicos con consecuencias generales, sin priorización clara | 12–16 |
| Insuficiente | Riesgos irrelevantes, consecuencias incoherentes o sin análisis real | 0–11 |
Checklist antes de entregar
- El capítulo 1 describe el proyecto sin dar por sentado conocimiento técnico
- El capítulo 2 identifica al menos 3 activos digitales con su valor
- El capítulo 2 identifica al menos 3 amenazas específicas (no genéricas)
- El capítulo 2 analiza los 5 principios CIAAN con ejemplos del proyecto
- Cada principio CIAAN tiene al menos una medida concreta asociada
- El capítulo 3 lista al menos 5 riesgos con consecuencias concretas
- Los riesgos están priorizados con una justificación
- Todos los ejemplos y análisis son específicos del proyecto, no genéricos
Errores comunes a evitar
-
Amenazas genéricas: “Alguien podría hackear el sistema” no es una amenaza analizable. Especifica: “Un actor externo podría intentar inyección SQL en el formulario de login para acceder a la base de datos de usuarios.”
-
Principios CIAAN como definiciones: No basta con copiar la definición de cada principio. Debes analizarlo en el contexto de tu sistema: ¿cómo aplica? ¿qué lo amenaza? ¿qué lo protege?
-
Riesgos sin consecuencias: Un riesgo sin consecuencias articuladas no tiene peso. ¿Qué pasa realmente si ese riesgo se materializa? ¿Quiénes se ven afectados y cómo?
-
Medidas vagas: “Mejorar la seguridad” no es una medida. “Implementar autenticación de dos factores para el acceso de administradores” sí lo es.
Extensión recomendada
5–8 páginas (sin contar portada y referencias).
Recursos útiles
- 01-que-es-la-ciberseguridad — Activos digitales y campo de la ciberseguridad
- 02-actores-y-amenazas — Actores, motivaciones y vectores de ataque
- 03-principios-ciaan — Los cinco principios y sus controles
- 04-modelado-de-amenazas — Metodología de análisis de riesgos
- glosario — Terminología técnica
Navegación: Inicio | Siguiente: Seguridad en aplicaciones →