ACTIVIDAD DE APRENDIZAJE 1: PROTOCOLO.

DESARROLLAR PROCESOS DE
SEGURIDAD INFORMÁTICA.
NOMBRE: CRISTIAN ANDRES ESCOBEDO PEREIRA
CURSO: REDES Y SEGURIDAD

• Nombre de la empresa: IDRD DISTRITAL DE RECREACION Y DEPORTE

• Productos o servicios que comercializa:
Prestación de servicios de apoyo y formación al deporte mediante talento humano
(técnicos de diferentes disciplinas deportivas), programas de integración social
(Recrea paz, Escuelas formativas entre otras) e infraestructura de escenarios
deportivos en los diferentes municipio de Bogotá
• Equipos de informática que manejan por área:
IDRD DISTRITAL DE RECREACION Y DEPORTE está compuesto por 4 áreas o
subgerencias las cuales son: Subgerencia administrativa y financiera, subgerencia
de competición y subgerencia de fomento y masificación. Cada área maneja
computadores de escritorio perteneciente a la entidad y portátiles de los
funcionarios de IDRD DISTRITAL DE RECREACION Y DEPORTE , se manejan
impresoras, escáneres y routers.
• Necesidades de manejo y almacenamiento de información:
La necesidad de manejo y almacenamiento de información en IDRD DISTRITAL
DE RECREACION Y DEPORTE es de los procesos de contratación que se
realizan para prestar los servicios que brinda, entre los cuales tenemos los
prestadores de servicio que son personas naturales contratadas por IDRD
DISTRITAL DE RECREACION Y DEPORTE para cumplir una o varias funciones
específicas para la planeación, desarrollo y ejecución de programas, servicios u
obras de infraestructura adelantas por la entidad; Licitaciones Públicas, Mínimas
Cuantías, Selecciones Abreviadas o el apoyo a las ligas de las diferentes
disciplinas deportivas del Valle del cauca. La información que se necesita manejar
y almacenar es la utilizada para el proceso de rendición en plataformas virtuales
como SECOP 1, RCL entre otras. Las cuales con plataformas que la nación usa
para hacer seguimiento a los diferentes procesos ejecutados por entidades
públicas.
• Elija el tipo de red que según su criterio debería manejar la empresa descrita.
De acuerdo a mi criterio IDRD DISTRITAL DE RECREACION Y DEPORTE
debería manejar una red LAN para su conexión debido a la seguridad que brinda
el medio cableado y al ser un edificio que tiene toda su parte administrativa
centralizada; adicionalmente se podría configurar en una topología tipo estrella
para restringir el acceso a internet y mejorar el desempeño laboral de sus
funcionarios, como también proteger la red de amenazas externas (malware,
spyware y virus informáticos entre otros).
• Desarrolle un protocolo en el cual se contemplen mínimo diez estrategias para
proteger la información de la empresa.
Una forma de proteger la información de la empresa es la implementación de un
sistema de gestión de seguridad de la información o mejor conocido como SGSI,
el cual es una herramienta de gestión basada en la norma ISO 27001, para así
identificar, atender y minimizar los riesgos a los que se enfrenta la empresa como
poner en riesgo la integridad, confidencialidad y disponibilidad.
Para implementar un protocolo de protección de la información de la empresa
primero tenemos que implementar un ciclo de mejora continua PHVA. El cual se
dividida en: Planear, hacer, verificar y hacer:

1. Planear.

• Definir alcance, los objetivos e identificar los riesgos de seguridad de la

información.
El alcance del protocolo que se pretende desarrollar debe cubrir y asegurar que la
información confidencial y no confidencial manejada por la entidad (IDRD
DISTRITAL DE RECREACION Y DEPORTE); asegurando que esté disponible en
todo momento por las posibles auditorías internas o externas. Como es la
documentación del proceso de rendición y pagos de los procesos de contratación
vigentes en la entidad.
Los objetivos del protocolo son:

• asegurar un BACKUP de la información de la empresa.

• establecer una topología de red segura y eficiente.
• Definir el tipo de alcance de la red manejada por la empresa.
• creación de usuarios y contraseñas seguros.
• definir una conexión a internet de confianza.
• el uso de antivirus actualizados y certificados.
• implantar filtros de SPAM para el correo corporativo.
• obtener un certificado SSL.
• implantar un encriptado de datos.
Los riesgos de seguridad de la información son:

• Errores humanos, robos o fallos informáticos.

2. Hacer.
Se establecen planes de tratamiento de los riesgos identificados y se aplican
controles de mitigación

• Para evitar que un fallo informatico en uno de los equipos de la entidad que
maneja informacion sensible o vital para la entidad, es necesario entonces
realizar un BACKUP de la información de la empresa. Una forma de lograr esto
es contratar un servicio de BACKUP ONLINE el cual permitirá tener una copia
de toda la informacion que puede llegar a necesitar la entidad (bases de datos,
aplicaciones que maneja, tener replicada la información de los ordenadores,
etc.), que esté disponible en cualquier momento y que puedas acceder desde
cualquier lugar con la tecnología Cloud.

Infraestructura cloud para realizar tus copias de seguridad. La novedosa

tecnología cloud te permitirá realizar copias de archivos y carpetas de los
servidores que tenga desplegados la entidad. Es necesario que el servicio que
contrates te permita configurar la periodicidad de la copia de seguridad.
Contratar un servicio de internet de confianza y seguro. Realizar un proceso de
compra de antivirus certificaos y actualizados que ayuden en las tareas de
escaneo y seguridad de los equipos de la empresa, implantar fltros de SPAM
en el correo electrónico corporativo de la entidad

• Para evitar los robos de información y errores humanos afecten negativamente

la empresa se debe establecer una topología de red segura y el tipo de red a
usar. Para este caso en particular se buscara implementar una red LAN en el
edificio de la entidad de topología estrella; para así controlar y monitorear el
tráfico de red que se tenga dentro de la empresa, Adicionalmente crear
usuarios y contraseñas seguros para los equipos de la entidad, obtener un
certificado y ser identificada como una web segura por los navegadores,
porque los datos que introduzcan en formularios se transmiten como cifrados,
de forma que no pueden ser interceptados y por ultimo un encriptado de los
datos para ayudar a proteger la información confidencial en el caso de que
alguien robe o se pierda un teléfono móvil o un ordenador de la empresa.

3. Verificar.
Se evalúa la eficacia de las medidas implementadas mediante el análisis de
indicadores realización de auditorías y revisión de la dirección.

4. Actuar.
Se toman acciones tanto preventivas como correctivas y se aplican las mejoras
identificadas. El seguimiento del proyecto es una actividad transversal que se
realiza a través de las reuniones mensuales de CDSI, comité que monitorea el
avance de las actividades y resuelve las posibles reuniones que dificulten la
ejecución de las medidas propuestas.