Evidencia Protocolo.

Desarrollar Procesos de Seguridad Informática

Características de la empresa:

 Nombre de la empresa: Ferretería “CONSTRUYA PARA SIEMPRE”

 Descripción Operativa: La Ferretería CONSTRUYA PARA SIEMPRE es una empresa dedicada a
la comercialización de materiales y herramientas para la construcción, cuenta con cuatro empleados
fijos y un staff en el área de contabilidad, su mercado es la ciudad de Villavicencio y los municipios
de Restrepo, Cumaral, Acacias y Puerto Gaitán, entre otras. marcas
 Productos y/o servicios que comercializa: Cuenta con una amplia gama de artículos de ferretería
para la construcción y mantenimiento de obras en general, con vasta experiencia asesora sus
proyectos suministrando productos de alta calidad. El reconocimiento de clientes, profesionales de la
construcción, mantenimiento, hierro, aluminio, madera, construcción, etc., ha logrado establecer una
relación equitativa y cuantitativa entre la calidad de sus productos, al contar con marcas de primera
calidad reconocidas internacionalmente, a un precio competitivo, agilidad en el servicio y atención
especializada.
 Necesidades de manejo y almacenamiento de información: Se destaca la necesidad de
sistematizar la Gestión de Inventario para optimizar su manejo y actualización ágil; controlar los
inventarios de manera adecuada con el fin de cubrir la demanda y mantener un stock suficiente que
dé respuesta oportuna a las necesidades de los clientes.
 Determinación las aplicaciones de las bases de datos en la empresa: Las aplicaciones de base de
datos como un software para la Gestión de Inventario, se diseña para recoger, gestionar y difundir
información de manera eficiente. Esta aplicación de base de datos software para la Gestión de
Inventario, permite crear bases de datos simples, con la información contacto de los clientes y listas
de correo con software fácil de usar como Microsoft "Access" y "FileMaker Pro". "Oracle", "SQL
Server"y "FoxPro" son ejemplos de aplicaciones de bases de datos avanzadas, con los lenguajes de
programación que se puede utilizar para crear soluciones de negocios personalizadas en entornos de
red.

 Equipos de informática que manejan por área:

Sede Principal
RECURSO DEL
SISTEMA Riesgo Tipo de Acceso Permisos Otorgados
Número Nombre
Grupo de
1 Servidor Local Lectura y escritura
Mantenimiento
Software
2 Grupo de Contadores Local Lectura
contable
Grupo de Recursos
3 Archivo Local Lectura y Escritura
Humanos
Base de
Grupo de Ventas y
4 datos Local y Remoto Lectura y Escritura
Cobros
Clientes

Sucursales
RECURSO DEL SISTEMA
Riesgo Tipo de Acceso Permisos Otorgados
Número Nombre
Bases de datos Grupo de Cobro
1 Remoto Lectura
clientes en mora Jurídico
Aplicación de
2 Grupo de Gerentes Remoto Lectura y Escritura
inventarios
  Necesidades de manejo y almacenamiento de información:
En principio no se ha requerido guardar imágenes en la base de datos (ni de empleados, ni de productos, por
ejemplo) estos son importante a la hora de hacer una previsión del espacio de almacenamiento necesario.
No se contemplan ni formación en la herramienta, ni la elaboración de manuales de usuario. Aunque si se
entregarán instrucciones de cómo poner la aplicación en funcionamiento.
Se crearán tres tablespaces, para datos, índices y data warehouse, que actuarán de unidades lógicas de
almacenamiento. Las tablas con datos de se almacenarán en el tablespace de datos, excepto las de
estadísticas que irán al de DWH. Todos los índices serán almacenados en el trablespace de índices. Esto nos
permitirá una mejor gestión del espacio y al estar independientes uno no interfiere con el otro, además de
proporcionar algunas mejoras en el rendimiento. De antemano sabemos que el espacio para la data
warehouse no crecerá demasiado.

 Tipo de red que debería manejar la empresa:

La Metropolitan Area Network (MAN) o red de área metropolitana es una red de telecomunicaciones de
banda ancha que comunica varias redes LAN en una zona geográficamente cercana. Por lo general, se trata
de cada una de las sedes de una empresa que se agrupan en una MAN por medio de líneas arrendadas. Para
ello, entran en acción routers de alto rendimiento basados en fibra de vidrio, los cuales permiten un
rendimiento mayor al de Internet y la velocidad de transmisión entre dos puntos de unión distantes es
comparable a la comunicación que tiene lugar en una red LAN.
Luego de estructurar el tipo de red a usar en la compañía y hacer su plan para hablar a la gerencia sobre las
razones para instaurar políticas de seguridad informáticas (PSI), es su objetivo actual crear un manual de
procedimientos para su empresa, a través del cual la proteja todo tipo de vulnerabilidades; sin embargo, para
llegar a este manual de procedimientos, se deben llevar a cabo diversas actividades previas, y se debe
entender la forma en la que se hacen los procedimientos del manual.

 Protocolo con diez estrategias para proteger la información de la empresa:

1. Regular la velocidad de almacenamiento: Una óptima velocidad de almacenamiento de
la información reduce el riesgo de pérdida de datos. Si la red de su empresa tiene un número de
usuarios mayor a 10 lo ideal es utilizar un sistema de protección automático.
2. Fiabilidad de la copia de seguridad: Es importante crear instructivos y/o protocolos
sobre cómo está estructurada la información en la copia de seguridad para poder restaurarla
rápidamente. La copia de seguridad de su empresa debe ser fácil de manejar y/o administrar.
3. Seguridad: Los datos almacenados deben estar encriptados bajo las normativas más recientes,
sobre todo si se trata de una copia de seguridad con respaldo en línea que permitirán proteger la
información.
4. Compatibilidad: Su información debe cumplir con unas normas básicas de compatibilidad que
le permita ser restaurada desde diferentes plataformas digitales y/o sistemas operativos.
5. Sensibilidad física del soporte: El soporte físico de la copia de seguridad debe cumplir con
estándares que le permitan disminuir los riesgos propios del desgaste y de factores ambientales
como el calor, el polvo, unos golpes, etc.
Los cursos de formación a los empleados se les debería dar en el onboarding, es decir, cuando entran a
trabajar en la empresa. Solo el curso del onboarding no es suficiente, es necesario recordar las normas con
charlas a los empleados cada cierto tiempo y, si hay un cambio de legislación para que se respeten las leyes.
Si no se hiciera así, los usuarios podrían olvidarse o desconocer cómo realizar su trabajo de forma segura.
Ciertas malas praxis que suelen cometer los usuarios son:
6. Poner sus contraseñas a la vista en post-its y no cambiarla cada cierto tiempo. Dependiendo del
nivel de seguridad que necesite la empresa puede ser que se necesite cambiar la contraseña cada
15 días o cada 6 meses;
7. Acceder con un sistema que recuerde las contraseñas, por lo que ya no se tengan que escribir
para entrar. Si cualquiera accediera al computador, tendría acceso a todos los archivos de la
empresa a los que pueda acceder el usuario al que está suplantando;
8. Abrir el e-mail no siguiendo el protocolo de seguridad de la empresa, creando así duplicados y
una posible fuga de información;
9. Usar un USB propio en el computador de la empresa, ya que cabe la posibilidad de que esté
infectado y se pase el virus al hardware de la empresa;
10. Llevarse archivos del trabajo a casa, provocando fugas y duplicaciones; Permitir que otros
vean la pantalla del computador. Por ejemplo, un empleado de un banco le enseña la pantalla a
un cliente con sus datos. Este cliente puede ser un buen hacker que, con solo ver la pantalla, ya
puede hacerse una idea de cómo colarse en el sistema.
11. Además de las políticas de seguridad propias de la empresa, los empleados también tienen que
acatar las normas regionales, nacionales o, incluso, en estándares internacionales para garantizar
la seguridad de sus datos. Algunas de estas reglas pueden ser obligatorias, como en el caso del
reglamento general de protección de datos (General Data Protection Regulation, GDPR). La
GDPR clasifica las empresas y sus datos según su nivel de tratamiento de datos: básico, medio o
alto. Si los usuarios de una empresa están concienciados y saben cómo tratar los datos personales
con los que trabajan, evitará que la empresa sufra peligros de fuga de información y multas
indeseadas.