Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1
INTRODUCCIÓN
En este proyecto quisimos trabajar con la empresa Zebra planta Monterrey, productora
de diferentes plumas, marcadores y lápices con diferentes presentaciones, ya que
teníamos contacto cercano con miembros de esta empresa que nos podía proporcionar
la información que ocupábamos. Además, fue una gran decisión trabajar con esta
compañía ya que nos percatamos de que les hacían falta estándares y formatos de
seguridad del equipo de IT.
2
CARTA DE AUTORIZACIÓN
3
ALCANCE
4
ANALISIS Y GESTIÓN DE RIESGOS DE UN SISTEMA INFORMATICO
• Recursos de Hardware
• Recursos de Software
• Recursos humanos
Por recursos de hardware nos referimos a todo
componente tangible, como computadoras,
impresoras, escáneres, memorias, lectores de
código de barras, estructura física de una red de
computadoras, periféricos de entrada y salida,
etc.
De la misma manera, los recursos lógicos o de software son los manuales de uso,
sistema operativo, archivos, documentos, aplicaciones, firmware, bases de datos,
información de una red de computadoras, etc.
Por último, los recursos humanos son todas las personas que forman parte del sistema,
como los técnicos de sistemas, los administradores de sistemas, operadores de sistemas
y usuarios finales.
5
b) Amenazas
Se considera una amenaza a cualquier evento accidental o intencionado que pueda
ocasionar algún daño en el sistema informático. Provocando pérdidas materiales,
financieras o de otro tipo a la organización.
6
b) Vulnerabilidades
Falta de copias de seguridad. Hacer copias de resguardo debe ser una práctica
habitual en la empresa. Cada empleado debería estar acostumbrado a hacer una copia
de seguridad como parte de sus tareas diarias. Esto evitará la pérdida total de los datos
en caso de incidentes informáticos.
Uso de dispositivos externos sin control: Usb o discos duros externos que estén
contaminados por algún tipo de virus y se conecten en alguna maquina conectada a la
red.
7
c) Incidentes de seguridad
• Ataques internos
• Fallos y errores humanos involuntarios
• El robo de información.
• El borrado de información de terceros.
• La alteración de la información de terceros.
• El abuso y/o mal uso de los servicios informáticos internos o externos de una
organización.
d) Riegos
Es muy común que las empresas se encuentren envueltas en algunos riesgos que
pueden perjudicar estas paren su producción o la ejecución de sus procesos.
Es muy importante que estemos conscientes de los riesgos que se puedan llegar a
presentar para tener un conocimiento de las posibles soluciones que se les pueden dar
a los mismos.
En Zebra Pen no es la excepción en esta empresa como en las otras existe la posibilidad
de que puedan ocurrir demasiados riesgos que afecten sus procesos.
e) Impacto
El impacto de los riesgos y de las amenazas puede afectar a todas las áreas de la
empresa, al suceder alguno de estos, puede ocasionar que se pare toda la producción,
o que no se pueda cumplir con los propósitos establecidos diariamente por lo que puede
generar perdida en términos monetarios.
8
DEFINICIÓN E IMPLEMENTACIÓN DE LAS POLITICAS DE SEGURIDAD
9
8. Todos los equipos deben contar con antivirus.
9. El software utilizado por ZEBRA PEN MEXICO debe contar con licencia de uso
otorgada o cedida a ZEBRA PEN MEXICO.
10. Las conexiones de las redes de ZEBRA PEN MEXICO a Internet se deben realizar
por medio de mecanismos de seguridad de acuerdo con los estándares definidos
por las áreas de T. I.
11. Se deben mantener actualizados los bienes de T. I. (hardware y software) así
como dar de baja todos aquellos que se consideren tecnológicamente obsoletos,
de acuerdo con estándares de tecnología vigentes en ZEBRA PEN MEXICO.
12. En situaciones de emergencia contra ataques de virus informáticos u otros
eventos de seguridad que pongan en riesgo la información de ZEBRA PEN
MEXICO, se deben interrumpir servicios y/o desconectar equipos y/o usuarios, sin
previo aviso, según lo consideren pertinente para la defensa contra dichos
ataques las áreas de T. I. correspondientes
10
11
INVENTARIO DE LOS RECURSOS Y DEFINICIÓN DE LOS SERVICIOS
OFRECIDOS
12
SEGURIDAD FRENTE AL PERSONAL
a) Funciones, obligaciones y derechos de los usuarios
Es muy importante estar consciente acerca de como se lleva el control del personal dentro de
una organización, para esto es necesario el establecimiento de formatos que no ayuden a
registrar cada uno de los cambios que puedan suceder dentro de las distintas áreas y del
personal de estas. Para el propósito de esto, se establecieron distintos formatos que nos
ayudaran a especificar los distintos tipos de movimientos a ejecutar como lo es el alta de
empleados y la baja de empleados.
Alta de empleados
13
Baja de empleados
Es importante este formato ya que nos dira los usuarios que ya no laboraran en la empresa y los
cuales de ahí se procede a eliminar todas las cuentas del usuario, así como de los servicios y la
recolección del dispositivo que utiliza
14
SEGURIDAD FISICA DE LAS INSTALACIONES
15
PROTECCIÓN EN EL ACCESO Y CONFIGURACIÓN DE SERVIDORES
Para Zebra es muy importante la protección de servidores ya que ahí se almacena toda
la información importante que ayuda a la toma de decisiones y a generar valor a la
organización por eso nosotros en nuestro plan de seguridad proporcionamos una serie
de medidas para cuidar esa información, de virus, accesos no autorizados entre otros,
para ello se consideraron los siguientes puntos a implementar a nuestros servidores.
Para mejorar la seguridad servidor, esta es una de las mejores soluciones en el ámbito
corporativo. Los certificados SSL o TLS permiten autenticar diferentes entidades entre
sí. Una vez la autentificación se ha realizado, también se pueden utilizar para establecer
comunicaciones encriptadas y seguras.
Hardening
Se puede traducir como “endurecimiento”. Son una serie de prácticas que minimizan
vulnerabilidades en el servidor. También permite impedir que salga root como usuario en
el proceso de autentificación o limitar el acceso a determinados usuarios.
Las redes privadas son redes que solamente están disponibles para ciertos usuarios o
servidores. Por ejemplo, Nuestra organización puede tener servidores en distintas
regiones de todo el mundo y por medio de una red privada estos servidores pueden
comunicarse entre sí sin importar su ubicación real. Es una manera de crear conexiones
seguras entre computadoras remotas y presentan la conexión como si se estuviera
trabajando en una red local privada.
Firewall actualizado
16
SEGURIDAD EN LOS DISPOSITIVOS DE ALMACENAMIENTOS
Este punto lo vemos muy fuerte en ZEBRA, ya que utiliza un buen nivel de RAID de
acuerdo al tamaño de la empresa y la información que poseen.
En Zebra la razón fundamental por la que usan este tipo de RAID es por el hecho de que
si falla uno de los discos duros, cualquiera de ellos, se puede reemplazar y recuperar
todos los datos, de manera instantánea. Así que los datos siempre estarán seguros.
17
CONTROL DE LOS EQUIPOS QUE PUEDEN SALIR DE LA ORGANIZACIÓN
En una organización la seguridad debería ser primordial ya que los equipos que salen de
la empresa deberían ser sacados con la correspondiente autorización de los dueños de
la institución. Además, conviene establecer medidas y control de seguridad para que no
existan inconvenientes futuros. Los usuarios de estos equipos deben ser conscientes de
sus obligaciones y responsabilidades en relación con la seguridad de los datos y
programas o aplicaciones instaladas.
Asimismo, los empleados que saquen los equipos de las organizaciones deben
responsabilizarse y no dejar desatendidos estos equipos en cualquier sitio público ya que
están expuestos a robos o cualquier imprevisto que le podrían causar grandes pérdidas
económicas a las empresas.
Para poder sacar algún equipo de la compañía, la empresa ya contaba con un formato
que se debe de llenar. Se hicieron las modificaciones correctas y este debe de estar
firmado por el jefe directo de la persona interesada en sacar el pc, así como también
debe de tener la firma del encargado de IT.
18
19
COPIAS DE SEGURIDAD
No es ninguna novedad el valor que tiene la información y los datos para nuestros
negocios . Los que resulta increíble de esto es la falta de precauciones que solemos
tener al confiar al núcleo de nuestros negocios al sistema de almacenamiento de lo que
en la mayoría de los casos resulta ser una computadora pobremente armada tanto del
punto de vista de hardware como de software.
Se crearon y mejoraron los siguientes formatos para registrar las copias de seguridad
que se vayan realizando en la empresa.
20
ZEBRA PEN
MÉXICO
DEPARTAMENTO DE TECNOLOGÍAS DE INFORMACIÓN
QUIEN SOLICITA
Nombres y Apellidos: PALOMA ESQUIVEL ESQUIVEL
No. Empleado 3712260
Cargo: Encargada de Compensaciones ÁREA: Recursos Humanos
Correo Electrónico Corporativo: paloma.esquivel@zebrapenmex.com
RESPONSABLE DE ALMACENAMIENTO
Nombres y Apellidos: RICARDO ALEJANDRO NEVARES SANCHEZ
No. Empleado 3712178
Cargo: Encargado de Operaciones de IT ÁREA: IT
Correo Electrónico Corporativo: ricardo.nevares@zebrapenmx.com
¿Qué se desea resguardar?
INFORMACIÓN DE LOS DATOS A RESPALDAR (BACKUP)
Tipo/Fuente de datos: (Ej: Carpetas, archivos Word,
Excel Power Point, Base de datos SQL, Logs,
Exchange, Archivos de sistema) Archivos EXCEL
Backup de información alojada en unidades
compartidas: Especifique la ruta (Ej. C:\Users\3712260\Documents\PAGOS\EMPLEADOS2019
Nombre de los archivos que se les deberá realizar
backup: (liste todos y cada uno de los archivos que PAGOS_EMPLEADOS_2019, FONDOAHORRO_EMPLEADOS_2019
requiera sean respaldados)
Tamaño de los archivos a resguardar: (GB) 167MB
INFORMACION DEL SERVIDOR A RESPALDAR
Nombre del Servidor: Dirección IP del Servidor:
Sistema Operativo:
Tipo de Backup: (ONLINE, OFFLINE)
Observaciones:
Total GB a respaldar (Tamaño):
Total GB de crecimiento anual probable (Tamaño):
Horario:
23:00
Lugar de almacenamiento:
NUBE Y SITE CENTRAL
Retención de datos en días: 30 dias
FIRMAS
________________________________________ ________________________________________
Solicitante Sello Responsable
21
CONTROL DE SEGURIDAD DE IMPRESORAS Y OTROS DISPOSITIVOS
PERIFERICOS
Los usuarios deben Zebra tener en cuenta las siguientes consideraciones cuando
impriman documentos a través de los equipos multifuncionales e impresoras que se
encuentran dentro de las instalaciones de Zebra , o que son propiedad de este:
Asegurarse que tienen el documento original antes de retirarse del equipo multifuncional
o de la impresora.
Recoger inmediatamente todos los faxes, impresiones y/o fotocopias que contengan
información confidencial para evitar su revelación.
22
23
IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIOS
En nuestra empresa es muy importante que cada usuario tenga su propia cuenta de
usuario, para que pueda cumplir con sus actividades laborales teniendo su propia cuenta
para el resguardo de su información, así como de las distintas actividades que realizan,
para esto, es muy importancia contar con una política de autenticación para que cada
uno de los usuarios establezcan una contraseña con un alto grado de dificultad así como
tener establecida una identificación de los usuarios que laboran en la empresa.
primeraletranombreapellido@zebrapen.com
Contraseñas
Todas las contraseñas a nivel de usuario (es decir, correo electrónico, Web, computadora
de escritorio, etc.) se deben cambiar por lo menos cada 90 días.
Todas las contraseñas de cuenta de usuario y a nivel del sistema deben ser
confidenciales para el usuario y no ser reveladas a ninguna otra persona, indistintamente
de la necesidad aparente.
24
a. Los siguientes tipos de contraseña están prohibidos:
ii. Palabras de uso común, tales como: nombres de miembros de la familia, mascotas,
amigos, compañeros de trabajo, personajes de cuentos, etc.
vi. Patrones de letras o números, tales como aaabbb, qwerty, zyxwvuts, 123321, etc.
b. Además, se requiere que todos los usuarios usen contraseñas que cumplan con las
siguientes reglas:
3.- Las contraseñas nunca se deben escribir anotar o almacenar en línea. Cree
contraseñas que pueda recordar fácilmente. Una manera de hacerlo es creando una
contraseña basada en el título de una canción, afirmación o frase similar. Por ejemplo, la
frase podría ser "This Must Be One Way To Remember" y la contraseña podría ser:
"TmB1w2R" .
25
AUTORIZACIÓN Y CONTROL DE ACCESO LÓGICO
Ejemplo:
Número de Empleado:
Nombre:
Número de credencial:
Área:
Accesos Requeridos:
Motivo:
Autoriza
Número de Empleado:
Nombre:
26
PROTECCIÓN DE DATOS Y DOCUMENTOS SENSIBLES
A los documentos sensibles les brindan una categoría alta en el archivo donde se
encuentren estos, para entrar a dicho archivo la persona debe notificar su presencia a
través del acceso lógico que es el chip de la credencial.
También para que los datos estén seguros y protegidos en el equipo se recomienda el
uso de una contraseña segura:
1. Todas las contraseñas a nivel de usuario (es decir, correo electrónico, Web,
computadora de escritorio, etc.) se deben cambiar por lo menos cada 90 días.
2. Todas las contraseñas de cuenta de usuario y a nivel del sistema deben ser
confidenciales para el usuario y no ser reveladas a ninguna otra persona,
indistintamente de la necesidad aparente.
3. Además, las contraseñas simples están prohibidas, se debe tener un mínimo de
6 caracteres, y una combinación de letras y números.
27
DETECCIÓN Y RESPUESTAS DE INCIDENTE DE SEGURIDAD
DETECCIÓN DE INCIDENTES
Buenas prácticas
28
CONCLUSIÓN
Finalmente queda decir que pudimos aprender algo sobre las políticas de seguridad de
una empresa, como lo fue ZEBRA que en la mayoría de los casos presento una manera
correcta de realizar las cosas, a lo mucho lo que fue modificado fueron algunos formatos
o la creación de algunos con los que no contaban, además tuvimos la oportunidad de
conocer cómo opera su servidor a través del RAID NIVEL 5, antes de esto no conocíamos
bien el termino y tampoco lo relacionábamos de una manera tan grafica.
En si este plan de seguridad presenta una manera de como poder hacer mejor las cosas,
ya que la mayoría de las cosas ya tienen un proceso bien formado solo modificamos
ciertas acciones para que fuera mejor los resultados que tuviera el proceso.
Al crear formatos nos dimos una idea más clara de todo lo que se necesita para poder
sacar un equipo, al hacer una copia de seguridad, lo importante que son las fechas, las
marcas y otras cosas ya que al no tener registro no se sabe si estamos haciendo de
buenas maneras las cosas.
29
CARTA DE APROBACIÓN
30