Evidencia:

Manual. Diseñar un manual de

seguridad informática para una empresa

Características de la empresa:

 Nombre de la empresa: Ferretería “CONSTRUYA PARA SIEMPRE”

 Descripción Operativa: La Ferretería CONSTRUYA PARA SIEMPRE es una empresa
dedicada a la comercialización de materiales y herramientas para la construcción,
cuenta con cuatro empleados fijos y un staff en el área de contabilidad, su mercado
es la ciudad de Villavicencio y los municipios de Restrepo, Cumaral, Acacias y Puerto
Gaitán, entre otras. marcas
 Productos y/o servicios que comercializa: Cuenta con una amplia gama de
artículos de ferretería para la construcción y mantenimiento de obras en general,
con vasta experiencia asesora sus proyectos suministrando productos de alta
calidad. El reconocimiento de clientes, profesionales de la construcción,
mantenimiento, hierro, aluminio, madera, construcción, etc., ha logrado establecer
una relación equitativa y cuantitativa entre la calidad de sus productos, al contar
con marcas de primera calidad reconocidas internacionalmente, a un precio
competitivo, agilidad en el servicio y atención especializada.
 Necesidades de manejo y almacenamiento de información: Se destaca la necesidad
de sistematizar la Gestión de Inventario para optimizar su manejo y actualización
ágil; controlar los inventarios de manera adecuada con el fin de cubrir la demanda
y mantener un stock suficiente que dé respuesta oportuna a las necesidades de los
clientes.
 Determinación las aplicaciones de las bases de datos en la empresa: Las
aplicaciones de base de datos como un software para la Gestión de Inventario, se
diseña para recoger, gestionar y difundir información de manera eficiente. Esta
aplicación de base de datos software para la Gestión de Inventario, permite crear
bases de datos simples, con la información contacto de los clientes y listas de correo
con software fácil de usar como Microsoft "Access" y "FileMaker Pro". "Oracle", "SQL
Server"y "FoxPro" son ejemplos de aplicaciones de bases de datos avanzadas, con
los lenguajes de programación que se puede utilizar para crear soluciones de
negocios personalizadas en entornos de red.

 Equipos de informática que manejan por área:

Sede Principal
RECURSO DEL
Permisos
SISTEMA Riesgo Tipo de Acceso
Otorgados
Número Nombre
Grupo de
1 Servidor Local Lectura y escritura
Mantenimiento
Software Grupo de
2 Local Lectura
contable Contadores
Grupo de Recursos
3 Archivo Local Lectura y Escritura
Humanos
Base de
Grupo de Ventas y
4 datos Local y Remoto Lectura y Escritura
Cobros
Clientes
Sucursales
RECURSO DEL SISTEMA Permisos
Riesgo Tipo de Acceso
Número Nombre Otorgados
Bases de
Grupo de Cobro
1 datos clientes Remoto Lectura
Jurídico
en mora
Aplicación de Grupo de Lectura y
2 Remoto
inventarios Gerentes Escritura

 Necesidades de manejo y almacenamiento de información:

En principio no se ha requerido guardar imágenes en la base de datos (ni de empleados, ni
de productos, por ejemplo) estos son importante a la hora de hacer una previsión del
espacio de almacenamiento necesario.
No se contemplan ni formación en la herramienta, ni la elaboración de manuales de usuario.
Aunque si se entregarán instrucciones de cómo poner la aplicación en funcionamiento.
Se crearán tres tablespaces, para datos, índices y data warehouse, que actuarán de unidades
lógicas de almacenamiento. Las tablas con datos de se almacenarán en el tablespace de
datos, excepto las de estadísticas que irán al de DWH. Todos los índices serán almacenados
en el trablespace de índices. Esto nos permitirá una mejor gestión del espacio y al estar
independientes uno no interfiere con el otro, además de proporcionar algunas mejoras en
el rendimiento. De antemano sabemos que el espacio para la data warehouse no crecerá
demasiado.

 Tipo de red que debería manejar la empresa:

La Metropolitan Area Network (MAN) o red de área metropolitana es una red de
telecomunicaciones de banda ancha que comunica varias redes LAN en una zona
geográficamente cercana. Por lo general, se trata de cada una de las sedes de una empresa
que se agrupan en una MAN por medio de líneas arrendadas. Para ello, entran en acción
routers de alto rendimiento basados en fibra de vidrio, los cuales permiten un rendimiento
mayor al de Internet y la velocidad de transmisión entre dos puntos de unión distantes es
comparable a la comunicación que tiene lugar en una red LAN.
Luego de estructurar el tipo de red a usar en la compañía y hacer su plan para hablar a la
gerencia sobre las razones para instaurar políticas de seguridad informáticas (PSI), es su
objetivo actual crear un manual de procedimientos para su empresa, a través del cual la
proteja todo tipo de vulnerabilidades; sin embargo, para llegar a este manual de
procedimientos, se deben llevar a cabo diversas actividades previas, y se debe entender la
forma en la que se hacen los procedimientos del manual.

 Protocolo con diez estrategias para proteger la información de la empresa:

1. Regular la velocidad de almacenamiento: Una óptima velocidad de
almacenamiento de la información reduce el riesgo de pérdida de datos. Si
la red de su empresa tiene un número de usuarios mayor a 10 lo ideal es utilizar
un sistema de protección automático.
2. Fiabilidad de la copia de seguridad: Es importante crear instructivos y/o
protocolos sobre cómo está estructurada la información en la copia de seguridad
para poder restaurarla rápidamente. La copia de seguridad de su empresa debe
ser fácil de manejar y/o administrar.
3. Seguridad: Los datos almacenados deben estar encriptados bajo las normativas
más recientes, sobre todo si se trata de una copia de seguridad con respaldo en
línea que permitirán proteger la información.
 4. Compatibilidad: Su información debe cumplir con unas normas básicas de
compatibilidad que le permita ser restaurada desde diferentes plataformas
digitales y/o sistemas operativos.
5. Sensibilidad física del soporte: El soporte físico de la copia de seguridad debe
cumplir con estándares que le permitan disminuir los riesgos propios del
desgaste y de factores ambientales como el calor, el polvo, unos golpes, etc.
Los cursos de formación a los empleados se les debería dar en el onboarding, es decir,
cuando entran a trabajar en la empresa. Solo el curso del onboarding no es suficiente, es
necesario recordar las normas con charlas a los empleados cada cierto tiempo y, si hay un
cambio de legislación para que se respeten las leyes. Si no se hiciera así, los usuarios
podrían olvidarse o desconocer cómo realizar su trabajo de forma segura. Ciertas malas
praxis que suelen cometer los usuarios son:
6. Poner sus contraseñas a la vista en post-its y no cambiarla cada cierto tiempo.
Dependiendo del nivel de seguridad que necesite la empresa puede ser que se
necesite cambiar la contraseña cada 15 días o cada 6 meses;
7. Acceder con un sistema que recuerde las contraseñas, por lo que ya no se tengan
que escribir para entrar. Si cualquiera accediera al computador, tendría acceso
a todos los archivos de la empresa a los que pueda acceder el usuario al que está
suplantando;
8. Abrir el e-mail no siguiendo el protocolo de seguridad de la empresa, creando
así duplicados y una posible fuga de información;
9. Usar un USB propio en el computador de la empresa, ya que cabe la posibilidad
de que esté infectado y se pase el virus al hardware de la empresa;
10. Llevarse archivos del trabajo a casa, provocando fugas y duplicaciones; Permitir
que otros vean la pantalla del computador. Por ejemplo, un empleado de un
banco le enseña la pantalla a un cliente con sus datos. Este cliente puede ser un
buen hacker que, con solo ver la pantalla, ya puede hacerse una idea de cómo
colarse en el sistema.
11. Además de las políticas de seguridad propias de la empresa, los empleados
también tienen que acatar las normas regionales, nacionales o, incluso, en
estándares internacionales para garantizar la seguridad de sus datos. Algunas de
estas reglas pueden ser obligatorias, como en el caso del reglamento general de
protección de datos (General Data Protection Regulation, GDPR). La GDPR
clasifica las empresas y sus datos según su nivel de tratamiento de datos: básico,
medio o alto. Si los usuarios de una empresa están concienciados y saben cómo
tratar los datos personales con los que trabajan, evitará que la empresa sufra
peligros de fuga de información y multas indeseadas.

Mapa de red. Esta entidad posee una red cableada con un solo switch detrás de un firewall,
en el cual están conectados 3 servidores, además hay un router para la red inalámbrica del
área administrativa. Los equipos de la red están identificados por una dirección IP local del
rango 192.168.0.0/48, mientras que para la salida a internet se utiliza una dirección IP
pública.

Los riesgos tecnológicos han empezado a ser más visibles en los últimos años en el marco
de la gestión del riesgo de desastres, entendiendo que los mismos están asociados a la
actividad humana y su desarrollo, se perciben como riesgos controlables por el hombre y
se incrementan por la intensificación de las actividades y procesos en los territorios;
además estos riesgos no son del resorte exclusivo de la actividad industrial o al sector
privado; todas las personas en el desarrollo de diferentes actividades podemos tener
relación con el mismo, y por tanto, conocerlo adecuadamente permitirá a la sociedad y a
los diferentes actores reducirlo y facilitar el manejo de desastres.
Accidente tecnológico: eventos generados por el uso y acceso a la tecnología, originados
por eventos antrópicos, naturales, socio-naturales y propios de la operación. Comprende
fugas, derrames, incendios y explosiones asociados a la liberación súbita de sustancias y/o
energías con características de peligrosidad. Usualmente, se suele asociar los accidentes
tecnológicos exclusivamente con las instalaciones industriales o equipamientos de alta
tecnología. No obstante, la experiencia de accidentabilidad, deja entrever muchos eventos
en el sector residencial y a nivel de obras civiles Amenaza tecnológica: Amenaza
relacionada con accidentes tecnológicos o industriales, procedimientos peligrosos, fallos
de infraestructura o de ciertas actividades humanas, que pueden causar muerte o lesiones,
daños materiales, interrupción de la actividad social y económica o degradación ambiental.
Algunas veces llamadas amenazas antropogénicas. Ejemplos incluyen contaminación
industrial, descargas nucleares y radioactividad, desechos tóxicos, ruptura de presas,
explosiones e incendio
Riesgo tecnológico: Daños o pérdidas potenciales que pueden presentarse debido a los
eventos generados por el uso y acceso a la tecnología, originados en sucesos antrópicos,
naturales, socio-naturales y propios de la operación
La tecnología responde al deseo y la voluntad de las personas de transformar el entorno,
buscando nuevas y mejores formas de satisfacer sus necesidades. La motivación es la
satisfacción de necesidades o deseos, la actividad es el desarrollo, el diseño y la ejecución
y el producto resultante son los bienes y servicios, o los métodos y procesos. En el lenguaje
coloquial, se vincula la tecnología con la tecnología informática, que es aquella que
posibilita el procesamiento de información a través de medios artificiales como
computadores