Actividad AP01 – AA01 – EV5

Luis Miguel Chávez Ramírez

Aprendiz

Tutor: Ing. Cesar Manuel Castillo Rodriguez

Especialización en Gestión y Seguridad de Bases de Datos

Servicio Nacional de Aprendizaje – SENA
2019
Para este ejercicio utilizaré información real de una empresa donde trabajé previamente llamada
Hotel Campestre el Campanario, allí son 80 empleados y toda la administración de la base de
datos de sus clientes

 Política de seguridad

La empresa actualmente no cuenta con un manual de políticas de seguridad de la información

 Organización interna

Todo el tema relacionado con la organización interna se pueden evidenciar diferentes hallazgos
entre los cuales encontramos

 Se tienen acceso a diferentes niveles de las bases de datos, dependiendo del cargo que se
tiene al interior de la organización, esto se hace a través de los softwares, y allí se realiza
la asignación de los perfiles

 Todo el sistema de seguridad de información está a cargo del ingeniero de sistemas de la

empresa, él es quien realiza la asignación de roles en los diferentes softwares.

 Terceras partes

La empresa no brinda acceso de su información a terceros

 Responsabilidad de los activos

Todos los activos son de propiedad de la empresa ya que la empresa no cuenta con pasivos y son
utilizados en su totalidad

 Antes, Durante y Terminación del Empleo

Se realiza la contratación de una forma adecuada, se especifican los roles, pero no se implementa
un programa de capacitaciones en temas relacionados con administración y seguridad de la
información

 Seguridad de los equipos

La empresa cuenta con un esquema de seguridad física tanto en personal como en tecnología,
solo le hace falta implementar sistema de guayas para computadores portátiles.
  Gestión de comunicaciones y operaciones

La empresa maneja de forma correcta su información, aunque actualmente se manejan 3 copias

de seguridad a la semana, se recomendó hacer esas copias de seguridad día de por medio o diario,
ya que esto evitaría en un caso fortuito la perdida de información.

 Control de accesos

Se recomienda exista un segundo administrador para los aplicativos, ya que se pudo evidenciar
que su único manejador es el ingeniero de sistemas, entre los cuales esta tarea puede ser
delegable a alguien del departamento de auditoria, aunque el ingeniero de sistemas sea una
persona de confianza, conociendo el sistema puede llegar a modificar o acceder a el de una forma
abusiva, y se podría dar un caso en el que elimine los usuarios de auditoria, para evitar ser
detectado en alguna fuga de información

 Gestión de incidentes de seguridad

La empresa no cuenta con un plan de respaldo para continuidad del negocio, en caso tal de una
eventual caída de sistema, se ven obligados a elaborar facturas y registros hechos a mano,
generando así un riesgo en una posible perdida de documentos, se vería afectada la realidad de
los hechos económicos.

Otro caso que se puede dar es en una caída de sistema, no cuentan como verificar las facturas ya
generadas en el sistema, afectando el servicio ya que no le permiten retirarse a sus clientes sin
antes pagar las cuentas que aun no tienen acceso en el sistema, por lo cual se recomienda crear un
sistema de respaldo donde se pueda acceder en la ocurrencia de uno de estos casos.