Modelo MMCC-IES — Madurez de Capacidades de Ciberseguridad

¿QUÉ ES EL MMCC-IES?

Un modelo construido desde
la evidencia empírica colombiana

El MMCC-IES no es una adaptación de marcos internacionales: es una construcción original que integra los hallazgos de un diagnóstico multifuente con 129 actores del ecosistema de ciberseguridad en IES colombianas, articulados con los referentes normativos más actualizados: NIST CSF 2.0, ISO 42001:2023, NICE Framework y ECSF/ENISA.

MMCC-IES

Madurez de Capacidades de Ciberseguridad
para IES Colombianas

¿Para qué sirve?

Permite a cualquier IES colombiana diagnosticar su nivel actual de madurez, identificar brechas específicas por dimensión frente a estándares internacionales y obtener una ruta de mejora concreta con horizontes de corto, mediano y largo plazo — sin necesidad de consultor externo.

¿Cómo está estructurado?

5 dimensiones de capacidad evaluadas en 5 niveles progresivos (Reactivo → Emergente → Estructurado → Gestionado → Resiliente), con la Cultura Organizacional como variable moderadora transversal. 83 indicadores observables y verificables con código único.

¿Qué lo diferencia?

Es el único modelo que incorpora la Seguridad de IA como dimensión estructural autónoma con los 4 ejes de la ISO/IEC 42001:2023: transparencia algorítmica (XAI), control de sesgos, gobernanza del ecosistema IA y auditoría integral del AIMS. Primer modelo con validación empírica en contexto colombiano.

Fundamento teórico

La Teoría de Capacidades Dinámicas (Teece et al., 1997) fundamenta el modelo epistemológicamente. Los niveles describen trayectorias de evolución adaptativa: sensing (detección de cambios), seizing (captura de respuestas) y transforming (reconfiguración de capacidades). El Nivel 5 — Resiliente — corresponde a organizaciones con capacidad de transforming ante entornos en cambio permanente.

Caso piloto: UNAD

La UNAD es el caso piloto del modelo. El diagnóstico empírico (n=14, personal TI, 2026) la posiciona entre los Niveles 3 y 4: equipo técnico bien evaluado (85,7% nivel alto/muy alto) con brechas en gobernanza de IA (93% sin lineamientos), formación continua (42,9% solo ocasional) e integración estratégica plena. Esta paradoja técnico-gobernanza es la contribución diagnóstica más original de la investigación.

MATRIZ COMPLETA

5 dimensiones × 5 niveles de madurez

Haz clic en cualquier celda o en el nombre de la dimensión para ir al detalle completo con todos sus indicadores.

Reactivo

Emergente

Estructurado

Gestionado

Resiliente

DIMENSIÓN	Reactivo	Emergente	Estructurado	Gestionado	Resiliente
Gobernanza	Sin política formal. Sin CISO. Sin presupuesto propio.	Política básica aprobada. Responsable TI sin mandato.	CISO formal con KPIs. Comité directivo activo.	Alineación estratégica plena en el PDI.	Gobernanza ética IA. Vigilancia regulatoria activa.
Talento Humano	Sin roles formales. Sin plan de formación.	Roles básicos. Formación esporádica.	Equipos NICE/ECSF. Articulación académica.	Certificaciones medidas. Brechas K-S-A evaluadas.	Especialistas IA. Red Team sistemático.
Gestión de Riesgos	Sin inventario. Sin evaluaciones formales.	Inventario básico. Análisis ad hoc.	Metodología formal periódica. Plan de tratamiento.	Riesgos en decisiones TI. Tiempos REDSIIUNAD.	Threat intelligence. Modelos predictivos de amenazas.
Cap. Técnicas	Controles básicos aislados. Sin IR plan.	Firewall, AV, backups básicos.	SIEM operativo. MFA. IR probado.	SOC 24/7. Zero Trust. BCP/DRP verificado.	XDR/MDR con ML. Threat hunting proactivo.
Seguridad IA ★	Sin política IA. Shadow AI libre. Opacidad total.	Política básica. Inventario IA. Transparencia inicial.	AIIA. Control de sesgos. Ecosistema IA controlado.	AIMS auditado. XAI plena. Cadena suministro IA.	ISO 42001 certificado. EU AI Act. Gestión total.
Cultura Organizacional de Seguridad — Variable moderadora transversal presente en todos los niveles como condición de sostenibilidad

Posicionamiento UNAD: Niveles 3–4 — Diagnóstico piloto Instrumento 2 (n=14, marzo–mayo 2026)

DIMENSIÓN 1 — MAYOR CONSENSO TRANSVERSAL (63,5%–92,3%)

Gobernanza Institucional de Ciberseguridad

La gobernanza es la dimensión con mayor consenso transversal en el diagnóstico empírico: entre el 63,5% y el 92,3% de los actores consultados la identifica como dimensión prioritaria. En las IES colombianas presenta tres desafíos estructurales documentados: fragmentación de responsabilidades entre TI, vicerrectorías y comités de riesgo; ausencia de roles formalizados de CISO; y desalineación presupuestal que convierte la ciberseguridad en gasto contingente. Su fundamento normativo es la función Govern del NIST CSF 2.0 (2024), que la reconoce como el eje estructural que condiciona todas las demás funciones de ciberseguridad.

NIST CSF 2.0 Función Govern · CMM/GCSCC Dimensión 1 · ISO 27001:2022 Cláusula 5 · Cheng & Wang (2022) · Owino et al. (2025) · Teece et al. (1997)

NIVEL 1

Reactivo

Sin gobernanza formal

La ciberseguridad no está en la agenda directiva. Todas las decisiones son ad hoc ante incidentes. No existe presupuesto propio ni responsable formal con mandato institucional.

I1.G.1Sin política institucional de ciberseguridad aprobada por la dirección.

I1.G.2Sin rol formal de responsable de seguridad con mandato institucional reconocido.

I1.G.3Sin línea presupuestal propia; gasto contingente a incidentes ocurridos.

OE2: 92,3% señala integración escasa en estrategia institucional. CMM/GCSCC Nivel Inicial.

NIVEL 2

Emergente

Política básica sin seguimiento

Existe una política aprobada pero sin revisión periódica. La responsabilidad recae en TI sin mandato directivo formal ni acceso al nivel estratégico.

I2.G.1Política aprobada formalmente, no revisada en los últimos 24 meses.

I2.G.2Responsable TI asume seguridad sin mandato formal ni acceso al nivel directivo.

I2.G.3Asignación presupuestal básica dentro del presupuesto general de TI.

NIST CSF 2.0 Tier 1→2. CMM/GCSCC Nivel Formativo.

NIVEL 3

Estructurado

CISO formal + Comité

Roles formalizados, política revisada anualmente y línea presupuestal propia. La UNAD se posiciona en este nivel (78,6% apoyo directivo).

I3.G.1CISO formal con KPIs y acceso al comité directivo al menos trimestral.

I3.G.2Política revisada anualmente, alineada con ISO 27001:2022 o NIST CSF 2.0.

I3.G.3Línea presupuestal independiente con plan de inversión anual documentado.

Posicionamiento UNAD. ISO 27001:2022 Cláusula 5.

UNAD aquí

NIVEL 4

Gestionado

Integración estratégica plena

La ciberseguridad está en el Plan de Desarrollo Institucional con metas e indicadores cuantitativos. Reportes al Consejo Superior.

I4.G.1Ciberseguridad en el PDI con metas, indicadores y responsables formalizados.

I4.G.2Tablero de control con KPIs revisados mensualmente por el comité directivo.

I4.G.3Riesgos reportados al Consejo Superior/Académico con periodicidad semestral mínima.

NIST CSF 2.0 Tier 3. Cheng & Wang (2022) — gobernanza como predictor primario de madurez.

NIVEL 5

Resiliente

Gobernanza adaptativa IA

Gobernanza de IA integrada con política de ciberseguridad. Vigilancia regulatoria activa ante EU AI Act y PQC. Capacidad de transforming organizacional.

I5.G.1Política de gobernanza de IA integrada con política de ciberseguridad (NIST AI RMF v1.0 + ISO 42001:2023).

I5.G.2Mecanismos de vigilancia tecnológica que anticipan cambios regulatorios (EU AI Act, PQC) con plan de adaptación documentado.

Teece et al. (1997) — Capacidades Dinámicas: Transforming. NIST CSF 2.0 Tier 4 Adaptativo.

DIMENSIÓN 2 — MAYOR BRECHA DOCUMENTADA (98,1% señala déficit)

Talento Humano y Competencias K-S-A

El talento humano es la dimensión con la brecha más contundente: el 98,1% de los expertos señala insuficiencia de talento especializado y el 63,2% evalúa la formación actual como limitada o deficiente. Su construcción integra la triada Conocimientos–Habilidades–Capacidades (K-S-A) del NICE Framework, el ECSF/ENISA y los perfiles reales de la REDSIIUNAD (2025). El perfil más demandado —con cuádruple convergencia transversal en cuatro instrumentos— es el especialista en IA y ciberseguridad (84,6%–92,9% según grupo consultado). El indicador diferenciador del modelo es I3.T.1: la estructura dual analítico-estratégico/operativo, ningún modelo previo la especifica para IES.

NICE/NIST SP 800-181r1 · ECSF/ENISA (2022) · REDSIIUNAD (2025) · Murphy et al. (2023) · ISC2 Workforce Study (2024) · OECD (2023)

NIVEL 1

Reactivo

Sin roles definidos

No existen roles formales de ciberseguridad. El personal de TI asume funciones de seguridad sin formación específica ni mandato institucional.

I1.T.1Sin descripción de cargo con funciones específicas de ciberseguridad en ningún rol.

I1.T.2Personal TI sin formación formal en ciberseguridad en los últimos 24 meses.

I1.T.3Sin plan de desarrollo de competencias ni criterios de contratación por perfil de seguridad.

OE2: 98,1% expertos señala déficit. 63,2% evalúa formación como limitada o deficiente.

NIVEL 2

Emergente

Roles básicos informales

Roles básicos asignados informalmente. Formación esporádica sin plan estructurado ni evaluación de impacto sobre las competencias.

I2.T.1Al menos un integrante con certificación básica (CompTIA Sec+, CCNA Security o equivalente).

I2.T.2Actividades de capacitación en ciberseguridad al menos una vez por año, sin evaluación de impacto.

I2.T.3Funciones básicas de seguridad identificadas sin mapeo formal a perfiles de cargo.

NICE Framework Categoría SP — Securely Provision.

NIVEL 3

Estructurado

Equipos duales REDSIIUNAD

Dos equipos diferenciados con perfiles formalizados. Articulación con programas académicos. La UNAD ya tiene esta estructura (REDSIIUNAD, 2025) — indicador diferenciador del modelo.

I3.T.1Dos equipos diferenciados: analítico-estratégico y operativo, con perfiles formalizados (REDSIIUNAD, 2025).

I3.T.2Perfiles alineados con NICE/NIST o ECSF/ENISA, con K-S-A documentadas por rol.

I3.T.3Articulación formal entre equipo de ciberseguridad y programas académicos (ECBTI–CSIRT UNAD).

Posicionamiento UNAD. Diferenciador: única IES colombiana con estructura dual documentada.

UNAD aquí

NIVEL 4

Gestionado

Formación continua medida

Plan de certificación anual con presupuesto. Evaluación sistemática de brechas K-S-A por rol. El Gestor de Cualificación mide la madurez de toda la comunidad.

I4.T.1Plan de formación y certificación anual por perfil, con presupuesto asignado y seguimiento documentado.

I4.T.2Evaluación de brechas K-S-A anual por rol con plan de cierre documentado.

I4.T.3Gestor de Cualificación en Ciberseguridad mide madurez en prácticas seguras con métricas (REDSIIUNAD, 2025).

NICE Framework Categoría OG — Oversight & Governance.

NIVEL 5

Resiliente

Especialistas IA

Perfil formal de especialista en IA y ciberseguridad. Redes internacionales de CSIRT universitario. Red Team y simulaciones sistemáticas anuales.

I5.T.1Perfil formal de especialista en IA y ciberseguridad con competencias en amenazas ML y gobernanza ética de IA.

I5.T.2Participación en redes nacionales/internacionales de CSIRT universitario con aporte de threat intelligence.

I5.T.3Ejercicios de Red Team y simulaciones al menos una vez por año con informe de hallazgos y plan de mejora.

OE2: cuádruple convergencia — especialista IA el perfil más demandado (84,6%–92,9% según grupo).

DIMENSIÓN 3 — MAYOR RESPALDO CUANTITATIVO (65,4% en OE2)

Gestión de Riesgos de Ciberseguridad

La gestión de riesgos es la dimensión con mayor respaldo cuantitativo en el Instrumento 1 del OE2 (65,4% de expertos). Su progresión sigue el ciclo Plan-Do-Check-Act de la ISO 27001:2022 y la función Identify del NIST CSF 2.0. El indicador diferenciador de la transición Nivel 3→4 son los tiempos de validación operativa reales tomados directamente de la REDSIIUNAD (2025): 7 días para servidores, 10 días para aplicaciones, 3 días para integraciones. El Nivel 5 incorpora la gestión predictiva mediante threat intelligence trimestral.

ISO 27001:2022 Cláusula 6 · NIST CSF 2.0 Función Identify · MSPI MinTIC Colombia · REDSIIUNAD (2025) Tabla de Validaciones

NIVEL 1

Reactivo

Sin inventario de activos

No existe inventario ni metodología. Las vulnerabilidades se atienden únicamente cuando se materializan como incidentes. Sin registro de riesgos aceptados.

I1.R.1Sin inventario documentado y clasificado de activos de información crítica.

I1.R.2Sin evaluaciones de riesgo formales; vulnerabilidades atendidas reactivamente.

I1.R.3Sin plan de tratamiento de riesgos ni registro de riesgos aceptados institucionalmente.

ISO 27001:2022 Cláusula 6.1. NIST CSF 2.0 ID.RA.

NIVEL 2

Emergente

Inventario básico

Inventario básico de activos y evaluaciones informales de vulnerabilidades al menos anuales. Los riesgos no están integrados en las decisiones de inversión.

I2.R.1Inventario de activos documentado, sin clasificación formal por criticidad ni propietario asignado.

I2.R.2Evaluaciones de vulnerabilidades al menos una vez por año, sin metodología estandarizada.

I2.R.3Registro básico de incidentes sin análisis de causa raíz ni lecciones aprendidas sistematizadas.

NIST CSF 2.0 ID.AM. ISO 27001:2022 A.5.24.

NIVEL 3

Estructurado

Metodología formal

Metodología formal de evaluación de riesgos con ciclo anual. Inventario clasificado con propietarios. Plan de tratamiento con seguimiento trimestral documentado.

I3.R.1Inventario clasificado por criticidad con propietario formal asignado y revisión semestral.

I3.R.2Metodología formal (Magerit, OCTAVE, ISO 31000) con ciclo anual aprobado institucionalmente.

I3.R.3Plan de tratamiento con acciones, responsables, plazos y seguimiento trimestral por CSIRT.

Posicionamiento UNAD (en proceso). MSPI MinTIC Colombia.

UNAD en transición

NIVEL 4

Gestionado

Riesgos en decisiones TI

Los riesgos son condición formal para proyectos TI. Tiempos de validación REDSIIUNAD: 7 días (servidores), 10 días (apps), 3 días (usuarios/integraciones).

I4.R.1Análisis de riesgos condición formal para aprobación de proyectos tecnológicos y sistemas de terceros.

I4.R.2Gestión de riesgo en terceros con cláusulas contractuales verificadas antes de puesta en producción.

I4.R.3Tiempos de validación cumplidos: 7 días (servidores), 10 días (apps), 3 días (usuarios/integraciones) — REDSIIUNAD (2025).

ISO 27001:2022 A.5.19. REDSIIUNAD (2025) Tabla de Validaciones de Seguridad.

NIVEL 5

Resiliente

Predictivo + Threat intel

Gestión predictiva mediante threat intelligence trimestral. Modelos de amenazas actualizados ante IA y PQC. Red Team integrado al ciclo de riesgos.

I5.R.1Analista de Inteligencia de Ciberamenazas produce informes trimestrales integrados al ciclo de evaluación de riesgos.

I5.R.2Modelos de amenazas actualizados tras incidentes y ante cambios del entorno tecnológico (IA, criptografía PQC).

I5.R.3Hallazgos de Red Team integrados al registro de riesgos con plan de remediación verificable.

Teece et al. (1997) — Sensing. REDSIIUNAD Analista de Inteligencia de Ciberamenazas.

DIMENSIÓN 4 — PARADOJA TÉCNICO-GOBERNANZA UNAD

Capacidades Técnicas de Ciberseguridad

Las capacidades técnicas se mapean sobre las funciones Protect, Detect, Respond y Recover del NIST CSF 2.0 (2024), complementadas por los CIS Controls v8. El diagnóstico de la UNAD revela la paradoja más significativa: equipo técnico bien evaluado (85,7% nivel alto/muy alto) pero preparación solo moderada para incidentes complejos (78,6%), por ausencia de gobernanza consolidada. Esta paradoja define la distinción Nivel 3 → Nivel 4: la integración estratégica, no la sofisticación técnica, marca la diferencia. La progresión N4→N5 requiere pasar del SOC al XDR/MDR con ML y al Zero Trust pleno.

NIST CSF 2.0 (Protect · Detect · Respond · Recover) · CIS Controls v8 (2021) · REDSIIUNAD (2025) · Yerlan et al. (2026) — ZTA en IES

NIVEL 1

Reactivo

Controles aislados

Sin plan de respuesta a incidentes ni controles de acceso formalizados. Los privilegios de administrador no están diferenciados por rol. Sin gestión de parches.

I1.C.1Sin plan de respuesta a incidentes documentado ni equipo designado para gestionarlos.

I1.C.2Sin controles de acceso formalizados; privilegios de administrador no diferenciados por rol.

I1.C.3Sin proceso formal de gestión de parches ni actualización periódica de sistemas críticos.

CIS Controls v8 — Control 5 (Gestión de cuentas) y Control 7 (Vulnerabilidades).

NIVEL 2

Emergente

Controles básicos

Firewall perimetral, antivirus, backups con periodicidad definida y control básico de accesos. Plan de respuesta documentado pero no probado formalmente.

I2.C.1Firewall perimetral, antivirus y backups con periodicidad definida y verificación básica de restauración.

I2.C.2Control de acceso básico con diferenciación de usuarios administradores (mínimo privilegio).

I2.C.3Plan básico de respuesta a incidentes documentado con rutas de escalamiento, no probado formalmente.

CIS Controls v8 — Control 11 (Recuperación). NIST CSF 2.0 RS.CO.

NIVEL 3

Estructurado

SIEM + MFA activos

SIEM operativo con alertas configuradas, MFA en sistemas críticos, plan probado. La UNAD tiene SIEM en el 50% de los casos y continuidad como fortaleza (50%).

I3.C.1SIEM operativo con correlación de eventos y alertas configuradas para sistemas críticos.

I3.C.2MFA implementado en todos los sistemas críticos y accesos privilegiados de administrador.

I3.C.3Plan de respuesta probado mediante simulacro o tabletop exercise en los últimos 12 meses.

Posicionamiento UNAD (SIEM 50%, continuidad 50%). NIST CSF 2.0 RS.MA-4.

UNAD aquí

NIVEL 4

Gestionado

SOC 24/7 + BCP/DRP

SOC con monitoreo continuo. BCP y DRP probados con RTO/RPO definidos. Hardening sistemático conforme a CIS Benchmarks verificado semestralmente.

I4.C.1SOC propio o contratado con monitoreo 24/7, escalamiento documentado y métricas de tiempo detección/respuesta.

I4.C.2BCP y DRP documentados, probados al menos una vez por año con RTO y RPO definidos y verificados.

I4.C.3Hardening conforme a CIS Benchmarks en servidores, BD y endpoints, verificado semestralmente.

NIST CSF 2.0 DE.CM. REDSIIUNAD (2025) Gestor de Seguridad en Servidores/BD.

NIVEL 5

Resiliente

XDR + Zero Trust pleno

Plataforma XDR/MDR con análisis de comportamiento basado en ML. Zero Trust en infraestructura crítica. Threat hunting proactivo trimestral independiente del SIEM.

I5.C.1Plataforma XDR o MDR con análisis de comportamiento basado en ML integrada al ciclo del CSIRT.

I5.C.2Arquitectura Zero Trust en infraestructura crítica: verificación continua de identidad, dispositivo y contexto.

I5.C.3Threat hunting proactivo trimestral con hipótesis basadas en threat intelligence, independiente del SIEM.

Yerlan et al. (2026) — Adopción ZTA en IES. REDSIIUNAD Arquitecto de Ciberseguridad e Innovación.

DIMENSIÓN 5 ★ — DIFERENCIADORA DEL MODELO · UNANIMIDAD 100% EN OE2

Seguridad de Inteligencia Artificial — ISO 42001:2023

La Seguridad de IA es la dimensión que diferencia al MMCC-IES de todos los modelos de referencia existentes. Ningún modelo previo la incorpora como dimensión autónoma con indicadores por nivel. La justificación empírica es la más contundente: el 100% de docentes la identifica como área curricular más urgente y el 100% del personal TI de la UNAD evalúa negativamente la preparación ante amenazas de IA. Integra los cuatro ejes de la ISO/IEC 42001:2023 — primer estándar internacional de Sistemas de Gestión de IA (AIMS).

NIST AI RMF v1.0 (Tabassi, 2023) · ISO/IEC 42001:2023 Cláusulas 6–10 + Anexo A · EU AI Act (2024) · NIST FIPS 203/204/205 (2024)

Los 4 ejes de la ISO/IEC 42001:2023 en el MMCC-IES

La ISO/IEC 42001:2023 es el primer estándar internacional de AIMS. Su Anexo A contiene controles específicos operacionalizados en el modelo por nivel de madurez:

Eje 1 — Transparencia y Explicabilidad Algorítmica (XAI)

Referente: Anexo A.7 + A.8.4. Los algoritmos que apoyan decisiones de calificación, admisión o evaluación docente deben ser documentados y explicables. Presente desde el Nivel 2 (descripción básica A.8.2) y completo en el Nivel 4 con XAI verificable para todos los sistemas de alto riesgo.

Eje 2 — Control de Sesgos

Referente: Anexo A.6.2 + A.8.5. Evaluación de sesgos con métricas de equidad por grupos protegidos: género, etnia, condición socioeconómica. Incorporado en el Nivel 3. Crítico para IES colombianas donde los algoritmos de calificación pueden reproducir desigualdades estructurales.

Eje 3 — Gobernanza del Ecosistema IA

Referente: Anexo A.9 + A.9.2. Contratos con proveedores IA con cláusulas de auditoría (N3), inventario de cadena de suministro IA (N4) y control total del ecosistema auditado anualmente (N5). Crítico para IES que usan LMS externos, APIs de IA generativa y modelos preentrenados de terceros.

Eje 4 — Auditoría AIMS y Mejora Continua

Referente: ISO 42001 Cláusula 9.2 + Cláusula 10. Auditoría interna anual del AIMS (N4), certificación formal con Statement of Applicability (N5) y ciclos de mejora continua semestrales con revisión de dirección. El N5 incorpora vigilancia sobre criptografía post-cuántica (NIST FIPS 203/204/205).

NIVEL 1

Reactivo

Sin política IA · Opaco

Sin AIMS. Shadow AI completamente libre. Los algoritmos que toman decisiones institucionales no están documentados ni son explicables. Opacidad total del ecosistema IA.

I1.IA.1Sin política de uso aceptable de IA ni alcance del AIMS definido (ISO 42001 Cláusula 4.3).

I1.IA.2Sin inventario de sistemas IA; Shadow AI libre y sin controles institucionales.

I1.IA.3Algoritmos que apoyan decisiones institucionales (calificación, admisión) no documentados ni explicables.

OE2 I2 UNAD: 93% sin lineamientos de IA. 100% evaluación negativa de preparación ante amenazas IA.

UNAD aquí (N1→N2)

NIVEL 2

Emergente

Política básica + Inventario

Política aprobada con herramientas autorizadas. Shadow AI identificado. Transparencia inicial para algoritmos de alto impacto (ISO 42001 Anexo A.8.2).

I2.IA.1Política básica de uso aceptable de IA aprobada con lista de herramientas autorizadas y criterios de clasificación de datos (ISO 42001 Cláusula 5.2 + Anexo A.2).

I2.IA.2Inventario básico de sistemas IA con Shadow AI identificado y propietario asignado.

I2.IA.3Sistemas IA de alto impacto con descripción básica del algoritmo y sus limitaciones documentadas — Transparencia inicial (Anexo A.8.2).

NIST AI RMF Govern GV.1. ISO 42001 Anexo A.8.2 — Eje 1: Transparencia inicial.

NIVEL 3

Estructurado

AIIA + Sesgos + Ecosistema

AI Impact Assessment previo a adopción. Evaluación de sesgos por grupos protegidos. Contratos IA con cláusulas de auditoría. Supervisión humana para decisiones automatizadas de alto impacto.

I3.IA.1Todo sistema IA nuevo requiere AI Impact Assessment (AIIA) documentado antes de adopción (ISO 42001 Cláusula 6.1.2 + Anexo A.5).

I3.IA.2Evaluación de sesgos con métricas de equidad por grupos protegidos: género, etnia, condición socioeconómica (Anexo A.6.2 + A.8.5).

I3.IA.3Contratos con proveedores IA con cláusulas de transparencia y derecho de auditoría técnica (Anexo A.9).

I3.IA.4Mecanismo formal de supervisión humana (human-in-the-loop) para decisiones automatizadas de alto impacto (ISO 42001 Cláusula 8.6).

ISO 42001:2023 Cláusula 6.1.2 + Anexo A.5, A.6.2, A.8.5, A.9. Ejes 1, 2 y 3 activos.

NIVEL 4

Gestionado

AIMS auditado · XAI plena

AIMS con auditoría interna anual. XAI completa verificable para sistemas de alto riesgo. Gobernanza de datos de entrenamiento. Cadena de suministro IA controlada.

I4.IA.1AIMS con auditoría interna anual documentada y plan de no conformidades reportado a la alta dirección (ISO 42001 Cláusula 9.2).

I4.IA.2Documentación XAI completa para sistemas IA de alto riesgo: datos usados, lógica de decisión y limitaciones verificables (Anexo A.7 + A.8.4).

I4.IA.3Registro de datos de entrenamiento con control de calidad, procedencia y actualización documentada — Gobernanza de datos (Anexo A.6.1).

I4.IA.4Cadena de suministro IA (modelos preentrenados, APIs externas, datos de terceros) inventariada y evaluada con criterios de riesgo (Anexo A.9.2).

ISO 42001 Cláusula 9.2. Islam et al. (2025) — Explainability en IA defensiva. Ejes 1, 3 y 4 activos.

NIVEL 5

Resiliente

ISO 42001 certificado

AIMS certificable ISO 42001. Alineación EU AI Act. Ciclos de mejora continua semestrales. Vigilancia criptografía post-cuántica. Ecosistema IA completamente auditado.

I5.IA.1AIMS certificado o en proceso formal ISO 42001:2023, con Statement of Applicability (SoA) del Anexo A auditado.

I5.IA.2Política de gobernanza ética de IA alineada con EU AI Act para sistemas de alto riesgo en entorno universitario.

I5.IA.3Ciclos de mejora continua del AIMS con revisiones semestrales de dirección y métricas de rendimiento IA (ISO 42001 Cláusula 10).

I5.IA.4Plan activo de vigilancia sobre criptografía post-cuántica (NIST FIPS 203/204/205) con evaluación de impacto en infraestructura IA.

I5.IA.5Ecosistema IA completo (modelos, APIs, datos, proveedores, cadena de suministro) inventariado, controlado y auditado anualmente.

ISO/IEC 42001:2023 — primera norma AIMS. EU AI Act (2024). NIST PQC FIPS 203/204/205 (2024). 4 ejes completos.

RUTAS EVOLUTIVAS — OE3 COMPONENTE 4

Cómo avanza una IES entre niveles

Las rutas describen la transición entre cada par de niveles con acciones prioritarias, horizonte temporal y criterio verificable. Son escalables: aplican a cualquier IES colombiana independientemente de tamaño o modelo de operación.

RUTA 1 → 2 · HORIZONTE: 0–12 MESES

De Reactivo a Emergente

Acciones para IES sin ninguna estructura formal de ciberseguridad que buscan establecer los primeros cimientos de gobernanza, protección básica y control inicial de IA.

Elaborar y aprobar formalmente una política de ciberseguridad y una política de uso aceptable de IA por la máxima autoridad institucional.
Designar un responsable de ciberseguridad con mandato documentado (aunque sea en rol compartido con TI).
Construir inventario básico de activos de información e inventario inicial de sistemas IA, incluyendo Shadow AI identificado.
Implementar controles básicos: firewall, antivirus, backups con periodicidad definida y control básico de accesos con principio de mínimo privilegio.
Proveer descripción básica de algoritmos IA de alto impacto — transparencia inicial (ISO 42001 Anexo A.8.2).

CRITERIO VERIFICABLE DE AVANCEPolítica de ciberseguridad aprobada · Responsable designado · Inventario de activos e inventario IA documentados · Controles perimetrales operativos · Descripción básica de algoritmos de alto impacto.

RUTA 2 → 3 · HORIZONTE: 6–18 MESES

De Emergente a Estructurado

Acciones para IES con políticas básicas que buscan formalizar roles, implementar herramientas de monitoreo y establecer gestión formal de riesgos y del ecosistema IA.

Formalizar el CISO o equivalente con acceso al comité directivo y KPIs documentados.
Estructurar los dos equipos diferenciados (analítico-estratégico y operativo) con perfiles alineados al NICE Framework.
Implementar SIEM y MFA en todos los sistemas críticos.
Aplicar metodología formal de evaluación de riesgos (Magerit, OCTAVE o ISO 31000) con ciclo anual.
Activar las cuatro funciones del NIST AI RMF. Realizar primer AI Impact Assessment (AIIA) y primera evaluación de sesgos para sistemas IA de alto riesgo.
Incluir cláusulas de transparencia y derecho de auditoría en contratos con proveedores de sistemas IA (ISO 42001 Anexo A.9).

CRITERIO VERIFICABLE DE AVANCESIEM operativo · MFA activo · Metodología de riesgos aprobada · AIIA documentado · Evaluación de sesgos realizada · Contratos IA con cláusulas de auditoría · Dos equipos con perfiles formalizados.

RUTA 3 → 4 · HORIZONTE: 12–24 MESES

De Estructurado a Gestionado

Acciones para IES estructuradas (como la UNAD) que buscan integrar la ciberseguridad en la planeación estratégica y alcanzar gestión cuantitativa del AIMS.

Integrar la ciberseguridad en el Plan de Desarrollo Institucional con metas medibles y presupuesto propio.
Establecer SOC con monitoreo continuo y métricas de tiempo de detección/respuesta.
Documentar, aprobar y probar el BCP y el DRP con RTO y RPO definidos.
Implementar hardening sistemático conforme a CIS Benchmarks con verificación semestral.
Establecer auditoría interna anual del AIMS (ISO 42001 Cláusula 9.2) con plan de no conformidades.
Documentar XAI completa para todos los sistemas IA de alto riesgo (Anexo A.7 + A.8.4).
Inventariar y evaluar la cadena de suministro IA completa: modelos preentrenados, APIs externas y datos de terceros (Anexo A.9.2).

CRITERIO VERIFICABLE DE AVANCECiberseguridad en PDI con presupuesto propio · SOC con métricas · BCP/DRP probado · Auditoría AIMS anual documentada · XAI completa para sistemas críticos · Cadena suministro IA evaluada.

RUTA 4 → 5 · HORIZONTE: 18–36 MESES

De Gestionado a Resiliente

Acciones para IES con gobernanza consolidada que buscan resiliencia adaptativa con gestión total de IA, Zero Trust pleno y preparación ante amenazas del horizonte 2027–2029.

Implementar plataforma XDR o MDR con análisis de comportamiento basado en ML integrada al ciclo del CSIRT.
Desplegar arquitectura Zero Trust en toda la infraestructura crítica con verificación continua de identidad, dispositivo y contexto.
Iniciar proceso formal de certificación ISO 42001:2023 con Statement of Applicability del Anexo A documentado.
Alinear la política de gobernanza ética de IA con el EU AI Act para sistemas de alto riesgo universitarios (calificación automatizada, verificación de identidad, monitoreo estudiantil).
Establecer programa trimestral de threat hunting proactivo con hipótesis basadas en threat intelligence.
Activar plan de vigilancia sobre criptografía post-cuántica (NIST FIPS 203/204/205) con evaluación de impacto en infraestructura IA.
Formalizar ciclos semestrales de mejora continua del AIMS con revisión de dirección (ISO 42001 Cláusula 10).

CRITERIO VERIFICABLE DE AVANCEXDR/MDR operativo con ML · Zero Trust en segmentos críticos · Proceso ISO 42001 iniciado · Gobernanza ética IA con EU AI Act · Threat hunting trimestral con informes · Plan PQC documentado · AIMS con ciclos semestrales de mejora continua.

CRÉDITOS Y RECONOCIMIENTOS

Soporte académico, validación experta
y participación institucional

Esta investigación doctoral se sustenta en un proceso colaborativo con participación de expertos, actores institucionales, docentes, estudiantes y representantes del sector público. Sus aportes hicieron posible la validación conceptual e instrumental del modelo y el diagnóstico de capacidades de ciberseguridad en las IES colombianas.

Investigación Doctoral

Instituciones

Universidad Americana de Europa — UNADE

Universidad Nacional Abierta y a Distancia — UNAD

Doctorado en Informática

Doctorando

Luis Fernando Zambrano Hernández

Candidato a Doctor en Informática

Directora de Tesis

Dra. Rosa Gabriela Camero

Directora del Doctorado en Informática

Panel de Validación — Coeficiente V de Aiken

De acuerdo con el documento base de la investigación, la validación de contenido de los instrumentos contó con la participación de expertos que valoraron pertinencia, relevancia y claridad de los ítems mediante el coeficiente V de Aiken. Este panel respaldó la consistencia metodológica del proceso de construcción y ajuste de los instrumentos empleados en el diagnóstico empírico.