-Evidencia-Protocolo-Desarrollar-Procesos-de-Seguridad-Informatica

Vista previa del material en texto

Nombre: RAY DANIEL FLOREZ RUBIO 
 
CURSO: REDES Y SEGURIDAD 
 
TUTOR VIRTUAL: Melisa Osorio Barragán 
 
Actividad de aprendizaje 1: Reconocer las redes informáticas según las 
necesidades de sus requerimientos de seguridad 
 
 Nombre de la empresa: INDERVALLE 
 Productos o servicios que comercializa: 
Prestación de servicios de apoyo y formación al deporte mediante talento humano (técnicos de 
diferentes disciplinas deportivas), programas de integración social (Recrea paz, Escuelas formativas 
entre otras) e infraestructura de escenarios deportivos en los diferentes municipios del Valle del 
Cauca 
 Equipos de informática que manejan por área: 
INDERVALLE está compuesto por 3 áreas o subgerencias las cuales son: Subgerencia administrativa 
y financiera, subgerencia de competición y subgerencia de fomento y masificación. Cada área 
maneja computadores de escritorio perteneciente a la entidad y portátiles de los funcionarios de 
INDERVALLE, se manejan impresoras, escáneres y routers. 
  Necesidades de manejo y almacenamiento de información: 
La necesidad de manejo y almacenamiento de información en INDERVALLE es de los procesos de 
contratación que se realizan para prestar los servicios que brinda, entre los cuales tenemos los 
prestadores de servicio que son personas naturales contratadas por INDERVALLE para cumplir una 
o varias funciones específicas para la planeación, desarrollo y ejecución de programas, servicios u 
obras de infraestructura adelantas por la entidad; Licitaciones Públicas, Mínimas Cuantías, 
Selecciones Abreviadas o el apoyo a las ligas de las diferentes disciplinas deportivas del Valle del 
cauca. La información que se necesita manejar y almacenar es la utilizada para el proceso de 
rendición en plataformas virtuales como SECOP 1, RCL entre otras. Las cuales con plataformas que 
la nación usa para hacer seguimiento a los diferentes procesos ejecutados por entidades públicas. 
  Elija el tipo de red que según su criterio debería manejar la empresa descrita. 
De acuerdo a mi criterio INDERVALLE debería manejar una red LAN para su conexión debido a la 
seguridad que brinda el medio cableado y al ser un edificio que tiene toda su parte administrativa 
centralizada; adicionalmente se podría configurar en una topología tipo estrella para restringir el 
acceso a internet y mejorar el desempeño laboral de sus funcionarios, como también proteger la 
red de amenazas externas (malware, spyware y virus informáticos entre otros). 
 Desarrolle un protocolo en el cual se contemplen mínimo diez estrategias para proteger la 
información de la empresa. 
Una forma de proteger la información de la empresa es la implementación de un sistema de gestión 
de seguridad de la información o mejor conocido como SGSI, el cual es una herramienta de gestión 
basada en la norma ISO 27001, para así identificar, atender y minimizar los riesgos a los que se 
enfrenta la empresa como poner en riesgo la integridad, confidencialidad y disponibilidad. 
Para implementar un protocolo de protección de la información de la empresa primero tenemos 
que implementar un ciclo de mejora continua PHVA. El cual se dibidide en: Planear, hacer, verificar 
y hacer: 
1. Planear. 
 
 Definir alcance, los objetivos e identificar los riesgos de seguridad de la información. 
El alcance del protocolo que se pretende desarrollar debe cubrir y asegurar que la información 
confidencial y no confidencial manejada por la entidad (INDERVALLE); asegurando que esté 
disponible en todo momento por las posibles auditorías internas o externas. Como es la 
documentación del proceso de rendición y pagos de los procesos de contratación vigentes en la 
entidad. 
Los objetivos del protocolo son: 
 asegurar un BACKUP de la información de la empresa. 
 establecer una topología de red segura y eficiente. 
 Definir el tipo de alcance de la red manejada por la empresa. 
 creación de usuarios y contraseñas seguros. 
 definir una conexión a internet de confianza. 
 el uso de antivirus actualizados y certificados. 
 implantar filtros de SPAM para el correo corporativo. 
 obtener un certificado SSL. 
 implantar un encriptado de datos. 
Los riesgos de seguridad de la información son: 
 Errores humanos, robos o fallos informáticos. 
 
2. Hacer. 
Se establecen planes de tratamiento de los riesgos identificados y se aplican controles de mitigación 
 Para evitar que un fallo informatico en uno de los equipos de la entidad que maneja informacion 
sensible o vital para la entidad, es necesario entonces realizar un BACKUP de la información de 
la empresa. Una forma de lograr esto es contratar un servicio de BACKUP ONLINE el cual 
permitirá tener una copia de toda la informacion que puede llegar a necesitar la entidad (bases 
de datos, aplicaciones que maneja, tener replicada la información de los ordenadores, etc.), que 
esté disponible en cualquier momento y que puedas acceder desde cualquier lugar con la 
tecnología Cloud. 
 
Infraestructura cloud para realizar tus copias de seguridad. La novedosa tecnología cloud te 
permitirá realizar copias de archivos y carpetas de los servidores que tenga desplegados la 
entidad. Es necesario que el servicio que contrates te permita configurar la periodicidad de la 
copia de seguridad. Contratar un servicio de internet de confianza y seguro. Realizar un proceso 
de compra de antivirus certificaos y actualizados que ayuden en las tareas de escaneo y 
seguridad de los equipos de la empresa, implantar fltros de SPAM en el correo electrónico 
corporativo de la entidad 
 
 Para evitar los robos de información y errores humanos afecten negativamente la empresa se 
debe establecer una topología de red segura y el tipo de red a usar. Para este caso en particular 
se buscara implementar una red LAN en el edificio de la entidad de topología estrella; para así 
controlar y monitorear el tráfico de red que se tenga dentro de la empresa, Adicionalmente 
crear usuarios y contraseñas seguros para los equipos de la entidad, obtener un certificado y 
ser identificada como una web segura por los navegadores, porque los datos que introduzcan 
en formularios se transmiten como cifrados, de forma que no pueden ser interceptados y por 
ultimo un encriptado de los datos para ayudar a proteger la información confidencial en el caso 
de que alguien robe o se pierda un teléfono móvil o un ordenador de la empresa. 
 
3. Verificar. 
Se evalúa la eficacia de las medidas implementadas mediante el análisis de indicadores 
realización de auditorías y revisión de la dirección. 
 
4. Actuar. 
Se toman acciones tanto preventivas como correctivas y se aplican las mejoras identificadas. El 
seguimiento del proyecto es una actividad transversal que se realiza a través de las reuniones 
mensuales de CDSI, comité que monitorea el avance de las actividades y resuelve las posibles 
reuniones que dificulten la ejecución de las medidas propuestas. 
 
https://www.arsys.es/blog/emprendedor/seguridad-web-confianza-clientes