LORENA VIANNEY CARDENAS LOPEZ
EVIDENCIA: MANUAL.
DISEÑAR UN MANUAL DE SEGURIDAD INFORMÁTICA PARA UNA
EMPRESA
Papeleria “JL”Ferretería
La Papelería “JL” es una empresa dedicada a la comercialización de materiales y elementos
de papelería, cuenta con cuatro empleados fijos y un staff en el área de contabilidad, su
mercado es la ciudad de Tunja y los municipios aledaños.
Productos y/o servicios que comercializa: Cuenta con una amplia gama de artículos de:
Artículos de Oficina.
Útiles Escolares.
Regalos.
Impresión a color y B/N.
Fotocopiadora.
Libros.
Confitería.
Anillado.
Memorias USB
Necesidades de manejo y almacenamiento de información: Se destaca la necesidad de
sistematizar la Gestión de Inventario para optimizar su manejo y actualización ágil; controlar
los inventarios de manera adecuada con el fin de cubrir la demanda y mantener un stock
suficiente que dé respuesta oportuna a las necesidades de los clientes.
Determinación las aplicaciones de las bases de datos en la empresa: Las aplicaciones de base
de datos como un software para la Gestión de Inventario, se diseña para recoger, gestionar y
difundir información de manera eficiente. Esta aplicación de base de datos software para la
Gestión de Inventario, permite crear bases de datos simples, con la información contacto de
los clientes y listas de correo con software fácil de usar como Microsoft "Access", con los
lenguajes de programación que se puede utilizar para crear soluciones de negocios
personalizadas en entornos de red.
Equipos de informática que manejan por área:
AREA CANTIDAD
VENTAS 1
BODEGA 1
CONTADOR 1
� Necesidades de manejo y almacenamiento de información: En principio no se ha requerido
guardar imágenes en la base de datos (ni de empleados, ni de productos, por ejemplo) estos
son importante a la hora de hacer una previsión del espacio de almacenamiento necesario.
No se contemplan ni formación en la herramienta, ni la elaboración de manuales de usuario.
Aunque si se entregarán instrucciones de cómo poner la aplicación en funcionamiento. Se
crearán tres tablespaces, para datos, índices y data warehouse, que actuarán de unidades
lógicas de almacenamiento. Las tablas con datos de se almacenarán en el tablespace de
datos, excepto las de estadísticas que irán al de DWH.
Todos los índices serán almacenados en el trablespace de índices. Esto nos permitirá una
mejor gestión del espacio y al estar independientes uno no interfiere con el otro, además de
proporcionar algunas mejoras en el rendimiento. De antemano sabemos que el espacio para la
data warehouse no crecerá demasiado.
Tipo de red que debería manejar la empresa: La Metropolitan Area Network (MAN) o red de
área metropolitana es una red de telecomunicaciones de banda ancha que comunica varias
redes LAN en una zona geográficamente cercana. Por lo general, se trata de cada una de las
sedes de una empresa que se agrupan en una MAN por medio de líneas arrendadas. Para
ello, entran en acción routers de alto rendimiento basados en fibra de vidrio, los cuales
permiten un rendimiento mayor al de Internet y la velocidad de transmisión entre dos puntos de
unión distantes es comparable a la comunicación que tiene lugar en una red LAN. Luego de
estructurar el tipo de red a usar en la compañía y hacer su plan para hablar a la gerencia sobre
las razones para instaurar políticas de seguridad informáticas (PSI), es su objetivo actual crear
un manual de procedimientos para su empresa, a través del cual la proteja todo tipo de
vulnerabilidades; sin embargo, para llegar a este manual de procedimientos, se deben llevar a
cabo diversas actividades previas, y se debe entender la forma en la que se hacen los
procedimientos del manual.
Protocolo con diez estrategias para proteger la información de la empresa:
1. Regular la velocidad de almacenamiento: Una óptima velocidad de almacenamiento de
la información reduce el riesgo de pérdida de datos. Si la red de su empresa tiene un
número de usuarios mayor a 10 lo ideal es utilizar un sistema de protección automático.
2. Fiabilidad de la copia de seguridad: Es importante crear instructivos y/o protocolos
sobre cómo está estructurada la información en la copia de seguridad para poder
restaurarla rápidamente. La copia de seguridad de su empresa debe ser fácil de
manejar y/o administrar.
3. Seguridad: Los datos almacenados deben estar encriptados bajo las normativas más
recientes, sobre todo si se trata de una copia de seguridad con respaldo en línea que
permitirán proteger la información.
4. Compatibilidad: Su información debe cumplir con unas normas básicas de
compatibilidad que le permita ser restaurada desde diferentes plataformas digitales y/o
sistemas operativos.
Página 2
� 5. Sensibilidad física del soporte: El soporte físico de la copia de seguridad debe cumplir
con estándares que le permitan disminuir los riesgos propios del desgaste y de factores
ambientales como el calor, el polvo, unos golpes, etc. Los cursos de formación a los
empleados se les deberían dar en el onboarding, es decir, cuando entran a trabajar en
la empresa. Solo el curso del onboarding no es suficiente, es necesario recordar las
normas con charlas a los empleados cada cierto tiempo y, si hay un cambio de
legislación para que se respeten las leyes. Si no se hiciera así, los usuarios podrían
olvidarse o desconocer cómo realizar su trabajo de forma segura. Ciertas malas praxis
que suelen cometer los usuarios son:
6. Poner sus contraseñas a la vista en post-its y no cambiarla cada cierto tiempo.
Dependiendo del nivel de seguridad que necesite la empresa puede ser que se necesite
cambiar la contraseña cada 15 días o cada 6 meses;
7. Acceder con un sistema que recuerde las contraseñas, por lo que ya no se tengan que
escribir para entrar. Si cualquiera accediera al computador, tendría acceso a todos los
archivos de la empresa a los que pueda acceder el usuario al que está suplantando; 8.
Abrir el e-mail no siguiendo el protocolo de seguridad de la empresa, creando así
duplicados y una posible fuga de información;
8. Usar un USB propio en el computador de la empresa, ya que cabe la posibilidad de que
esté infectado y se pase el virus al hardware de la empresa;
9. Llevarse archivos del trabajo a casa, provocando fugas y duplicaciones; Permitir que
otros vean la pantalla del computador. Por ejemplo, un empleado de un banco le
enseña la pantalla a un cliente con sus datos. Este cliente puede ser un buen hacker
que, con solo ver la pantalla, ya puede hacerse una idea de cómo colarse en el sistema.
10. Además de las políticas de seguridad propias de la empresa, los empleados también
tienen que acatar las normas regionales, nacionales o, incluso, en estándares
internacionales para garantizar la seguridad de sus datos. Algunas de estas reglas
pueden ser obligatorias, como en el caso del reglamento general de protección de datos
(General Data Protection Regulation, GDPR). La GDPR clasifica las empresas y sus
datos según su nivel de tratamiento de datos: básico, medio o alto. Si los usuarios de
una empresa están concienciados y saben cómo tratar los datos personales con los que
trabajan, evitará que la empresa sufra peligros de fuga de información y multas
indeseadas.
Mapa de red. Esta entidad posee una red cableada con un solo switch detrás de un firewall, en
el cual están conectados 3 servidores, además hay un router para la red inalámbrica del área
administrativa. Los equipos de la red están identificados por una dirección IP local del rango
192.168.0.0/48, mientras que para la salida a internet se utiliza una dirección IP pública.
Los riesgos tecnológicos han empezado a ser más visibles en los últimos años en el marco de
la gestión del riesgo de desastres, entendiendo que los mismos están asociados a la actividad
humana y su desarrollo, se perciben como riesgos controlables por el hombre y se
incrementan por la intensificación de las actividades y procesos en los territorios; además
estos riesgos no son del resorte exclusivo de la actividad industrial o al sector privado; todas
Página 3
� las personas en el desarrollo de diferentes actividades podemos tener relación con el mismo, y
por tanto, conocerlo adecuadamente permitirá a la sociedad y a los diferentes actores reducirlo
y facilitar el manejo de desastres.
Accidente tecnológico: eventos generados por el uso y acceso a la tecnología, originados por
eventos antrópicos, naturales, socio-naturales y propios de la operación. Comprende fugas,
derrames, incendios y explosiones asociados a la liberación súbita de sustancias y/o energías
con características de peligrosidad. Usualmente, se suele asociar los accidentes tecnológicos
exclusivamente con las instalaciones industriales o equipamientos de alta tecnología. No
obstante, la experiencia de accidentabilidad, deja entrever muchos eventos en el sector
residencial y a nivel de obras civiles Amenaza tecnológica: Amenaza relacionada con
accidentes tecnológicos o industriales, procedimientos peligrosos, fallos de infraestructura o de
ciertas actividades humanas, que pueden causar muerte o lesiones, daños materiales,
interrupción de la actividad social y económica o degradación ambiental. Algunas veces
llamadas amenazas antropogénicas. Ejemplos incluyen contaminación industrial, descargas
nucleares y radioactividad, desechos tóxicos, ruptura de presas, explosiones e incendio.
Riesgo tecnológico: Daños o pérdidas potenciales que pueden presentarse debido a los
eventos generados por el uso y acceso a la tecnología, originados en sucesos antrópicos,
naturales, socio-naturales y propios de la operación La tecnología responde al deseo y la
voluntad de las personas de transformar el entorno, buscando nuevas y mejores formas de
satisfacer sus necesidades. La motivación es la satisfacción de necesidades o deseos, la
actividad es el desarrollo, el diseño y la ejecución y el producto resultante son los bienes y
servicios, o los métodos y procesos. En el lenguaje coloquial, se vincula la tecnología con la
tecnología informática, que es aquella que posibilita el procesamiento de información a través
de medios artificiales como computadores
Página 4
�Página 5
�Página 6
