Análisis de Riesgos y Vulnerabilidades en la Seguridad Informática en la Comunidad Universitaria de las UTS: Concienciación y Relación con la Norma ISO/IEC 27001

Abstract

Este proyecto de investigación llevó a cabo un análisis exhaustivo de los riesgos y vulnerabilidades en la seguridad informática que afectan a la comunidad universitaria de las Unidades Tecnológicas de Santander (UTS). El objetivo fue proponer estrategias de concienciación que estén alineadas con los lineamientos de la norma ISO/IEC 27001:2022. La investigación se estructuró utilizando una metodología cuantitativa con un enfoque descriptivo y exploratorio, aplicando la metodología MAGERIT para el análisis de riesgos. Se recopiló información primaria a través de encuestas realizadas a 40 docentes de ambas facultades (Ciencias Naturales e Ingenierías, y Ciencias Socioeconómicas y Empresariales), complementando esto con un análisis documental de las políticas institucionales existentes. Los hallazgos revelan una cultura de ciberseguridad bastante débil entre los docentes, marcada por prácticas inseguras como el uso de contraseñas repetidas en varias plataformas (70% de los encuestados), la falta de autenticación multifactor (92.5%), y un conocimiento limitado sobre los protocolos de seguridad institucional. Además, el 77.5% de los docentes indicó que no ha recibido formación en seguridad informática en el último año, y el 60% siente que la institución no les proporciona las herramientas necesarias para mejorar sus prácticas de ciberseguridad. A través de la metodología MAGERIT, se identificaron 18 activos críticos organizados en seis categorías: servicios de internet, información, software, hardware, infraestructura y recursos humanos. Se catalogaron 13 amenazas principales, siendo las más críticas el phishing dirigido a docentes, accesos no autorizados a sistemas académicos (Academusoft, Atena), malware, y el robo o extravío de dispositivos portátiles.