PRODUCTO INTEGRADOR DE APRENDIZAJE

Nombre de la Unidad de Aprendizaje: Tecnologías de Información 7

Nombre del proyecto: Producto Integrador de Aprendizaje
Programa educativo: Licenciado en Tecnologías de la Información
Semestre: 7mo Grupo: 78
Nombre del maestro: García Sánchez América

Nombre de los integrantes del equipo:

•
• Casas Sierra Hilda Galilea - 1737805
• Esquivel Esquivel Paloma - 1722038
• Juárez García Adriana Patricia - 1744918
• Nevares Sánchez Ricardo Alejandro - 1753499

Contenido mínimo a evaluar Cumplimiento

Índice
Introducción.- incluye valores
UANL aplicados
Análisis y emisión de juicio
Conclusiones individuales
Conclusión del equipo
Calificación PIA:

Firma del maestro

San Nicolás de los Garza, ciudad universitaria a 04 de noviembre del 2019

Contenido
INTRODUCCIÓN .................................................................................................................................. 2
CARTA DE AUTORIZACIÓN ............................................................................................................. 3
ALCANCE ............................................................................................................................................. 4
ANALISIS Y GESTIÓN DE RIESGOS DE UN SISTEMA INFORMATICO .................................... 5
a) Recursos del Sistema ............................................................................................................ 5
b) Vulnerabilidades ..................................................................................................................... 7
c) Incidentes de seguridad ........................................................................................................ 8
d) Riegos ....................................................................................................................................... 8
e) Impacto ..................................................................................................................................... 8
DEFINICIÓN E IMPLEMENTACIÓN DE LAS POLITICAS DE SEGURIDAD ............................... 9
INVENTARIO DE LOS RECURSOS Y DEFINICIÓN DE LOS SERVICIOS OFRECIDOS ........ 12
SEGURIDAD FRENTE AL PERSONAL .......................................................................................... 13
a) Funciones, obligaciones y derechos de los usuarios ................................................... 13
SEGURIDAD FISICA DE LAS INSTALACIONES .......................................................................... 15
SEGURIDAD EN LOS DISPOSITIVOS DE ALMACENAMIENTOS ............................................. 17
CONTROL DE SEGURIDAD DE IMPRESORAS Y OTROS DISPOSITIVOS PERIFERICOS .. 22
IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIOS ............................................................... 24
AUTORIZACIÓN Y CONTROL DE ACCESO LÓGICO ................................................................. 26
PROTECCIÓN DE DATOS Y DOCUMENTOS SENSIBLES ........................................................ 27
DETECCIÓN Y RESPUESTAS DE INCIDENTE DE SEGURIDAD .............................................. 28
CONCLUSIÓN .................................................................................................................................... 29

1
INTRODUCCIÓN

En las empresas la información es un elemento muy importante para la toma de

decisiones y por ende para generar valor económico, por ello, las empresas se
encuentran expuestas a sufrir diferentes amenazas a la seguridad de sus datos, entre
los riesgos más comunes podemos encontrar el robo de información, destrucción
voluntaria e involuntaria de la información, robo de identidad, exposición de datos
personales, programas maliciosos en equipos de la organización, etc.

Como lo hemos visto a lo largo del curso la seguridad se encarga de la protección de la

información almacenada en un sistema informático, esta abarca el aspecto físico, es
decir, la protección de la infraestructura donde se encuentra dicha información y el
aspecto lógico donde se utilizan software para proteger los datos y los accesos a usuarios
a esa información. Las organizaciones deben tener conocimiento y contar con soluciones
para saber actuar ante cualquier tipo de amenaza que pueda afectarles por esta razón,
es indispensable que las empresas cuenten con un plan de seguridad que nos apoya
con las políticas, procedimientos, cursos de acción y medios para lograr una seguridad
óptima en todos los departamentos de la organización donde se maneja información.

En este proyecto quisimos trabajar con la empresa Zebra planta Monterrey, productora
de diferentes plumas, marcadores y lápices con diferentes presentaciones, ya que
teníamos contacto cercano con miembros de esta empresa que nos podía proporcionar
la información que ocupábamos. Además, fue una gran decisión trabajar con esta
compañía ya que nos percatamos de que les hacían falta estándares y formatos de
seguridad del equipo de IT.

2
CARTA DE AUTORIZACIÓN

3
ALCANCE

Tener un plan de seguridad adecuado al nivel organizacional de la empresa,

presentando soluciones que presenten una mejora a los procesos actuales que
se tienen…

4
ANALISIS Y GESTIÓN DE RIESGOS DE UN SISTEMA INFORMATICO

a) Recursos del Sistema

Los recursos son los activos para proteger del
sistema informático de la organización, como, por
ejemplo:

• Recursos de Hardware
• Recursos de Software
• Recursos humanos
Por recursos de hardware nos referimos a todo
componente tangible, como computadoras,
impresoras, escáneres, memorias, lectores de
código de barras, estructura física de una red de
computadoras, periféricos de entrada y salida,
etc.

De la misma manera, los recursos lógicos o de software son los manuales de uso,
sistema operativo, archivos, documentos, aplicaciones, firmware, bases de datos,
información de una red de computadoras, etc.

Por último, los recursos humanos son todas las personas que forman parte del sistema,
como los técnicos de sistemas, los administradores de sistemas, operadores de sistemas
y usuarios finales.

5
b) Amenazas
Se considera una amenaza a cualquier evento accidental o intencionado que pueda
ocasionar algún daño en el sistema informático. Provocando pérdidas materiales,
financieras o de otro tipo a la organización.

Una amenaza que detectamos en la empresa Zebra

es que tienen el clima en el techo es algo que no es
tan bueno, ya que puede presentar filtraciones de
agua o crear humedad y puede ser peligroso para el
servidor, más si está cerca de este, o de los equipos.

Otra amenaza detectada es que el acceso al site y al

área de IT, junto con las bodegas en donde se encuentra
el equipo está controlado por una llave, lo cual es algo
peligroso, en varios casos y más a un cuarto que es
sumamente importante, ya que la llave puede perderse
o caer en manos de personas equivocadas con facilidad.

De igual manera, detectamos que las computadoras

estaban acomodadas de manera amontonada en un
solo rack, y unas sobre otras, lo que puede ocasionar
descuido y daño del equipo.

6
 b) Vulnerabilidades

Las vulnerabilidades a la seguridad

informática más comunes detectadas en
Zebra fueron las siguientes:

Dejar los equipos sin bloquear o sin

cerrar sesión.

Mala gestión de contraseñas y de

permisos. Aquí la responsabilidad es
compartida entre empresa y
trabajadores. Los permisos de acceso a
determinada información corporativa no
pueden estar al alcance de todos.

Falta de copias de seguridad. Hacer copias de resguardo debe ser una práctica
habitual en la empresa. Cada empleado debería estar acostumbrado a hacer una copia
de seguridad como parte de sus tareas diarias. Esto evitará la pérdida total de los datos
en caso de incidentes informáticos.

Control de acceso físico o lógico a los Datos de la empresa. El espacio físico en el

que está instalado el centro de datos necesita estar protegido, con acceso solamente de
personal autorizado.

Uso de dispositivos externos sin control: Usb o discos duros externos que estén
contaminados por algún tipo de virus y se conecten en alguna maquina conectada a la
red.

7
 c) Incidentes de seguridad
• Ataques internos
• Fallos y errores humanos involuntarios
• El robo de información.
• El borrado de información de terceros.
• La alteración de la información de terceros.
• El abuso y/o mal uso de los servicios informáticos internos o externos de una
organización.

d) Riegos
Es muy común que las empresas se encuentren envueltas en algunos riesgos que
pueden perjudicar estas paren su producción o la ejecución de sus procesos.

Es muy importante que estemos conscientes de los riesgos que se puedan llegar a
presentar para tener un conocimiento de las posibles soluciones que se les pueden dar
a los mismos.

En Zebra Pen no es la excepción en esta empresa como en las otras existe la posibilidad
de que puedan ocurrir demasiados riesgos que afecten sus procesos.

Algunos de los riesgos son:

• Inundación de la planta afectando dispositivos electrónicos.

• Robo de dispositivos móviles.
• Perdida de información de información.
• Daño de equipo.

e) Impacto

El impacto de los riesgos y de las amenazas puede afectar a todas las áreas de la
empresa, al suceder alguno de estos, puede ocasionar que se pare toda la producción,
o que no se pueda cumplir con los propósitos establecidos diariamente por lo que puede
generar perdida en términos monetarios.

8
DEFINICIÓN E IMPLEMENTACIÓN DE LAS POLITICAS DE SEGURIDAD

ZEBRA PEN MÉXICO

DEPARTAMENTO DE TECNOLOGÍAS DE INFORMACIÓN

Es política de ZEBRA PEN MÉXICO contar con los estándares y mecanismos de

seguridad de T. I. necesarios para proteger la confidencialidad, integridad y disponibilidad
de la información que se transmite, almacena o se procesa en los equipos de cómputo
y/o comunicaciones administrados por las áreas de T. I. de ZEBRA PEN MEXICO, así
como para mitigar y administrar los riesgos de seguridad la T. I. en dichos equipos.

1. La información y datos contenidos en el hardware, software y redes de ZEBRA

PEN MEXICO, incluyendo documentos electrónicos, directorios, catálogos y
bases de datos, relativa a personal, clientes, proveedores, accionistas y negocios
de ZEBRA PEN MEXICO, deben ser considerados como activos y propiedad
intelectual de ZEBRA PEN MEXICO.
2. Se debe clasificar toda la información que se almacena o se procesa en los
equipos de cómputo y/o comunicaciones por parte de los dueños de la
información, considerando la criticidad y sensibilidad de la información.
3. La confidencialidad, integridad y disponibilidad de la información debe ser
protegida cuando sea almacenada, transmitida o procesada, sin importar el medio
de almacenamiento o modo de transmisión de esta.
4. La creación y operación de bases de datos con información estratégica, realizada
por personal interno o externo, debe ejecutarse a través de las áreas de T. I.
correspondientes, con su asesoría y/o el apoyo de éstas.
5. La información y datos contenidos en equipo de cómputo asignado deben ser
respaldados al menos mensualmente con el procedimiento establecido en el.
6. Los respaldos a la información y datos deben ser almacenados en medios, lugares
y/o equipos que sean propiedad de ZEBRA PEN MEXICO, o deben ser diarios,
semanales y mensuales.
7. La infraestructura y la protección del SITE debe ser vital.

9
8. Todos los equipos deben contar con antivirus.
9. El software utilizado por ZEBRA PEN MEXICO debe contar con licencia de uso
otorgada o cedida a ZEBRA PEN MEXICO.
10. Las conexiones de las redes de ZEBRA PEN MEXICO a Internet se deben realizar
por medio de mecanismos de seguridad de acuerdo con los estándares definidos
por las áreas de T. I.
11. Se deben mantener actualizados los bienes de T. I. (hardware y software) así
como dar de baja todos aquellos que se consideren tecnológicamente obsoletos,
de acuerdo con estándares de tecnología vigentes en ZEBRA PEN MEXICO.
12. En situaciones de emergencia contra ataques de virus informáticos u otros
eventos de seguridad que pongan en riesgo la información de ZEBRA PEN
MEXICO, se deben interrumpir servicios y/o desconectar equipos y/o usuarios, sin
previo aviso, según lo consideren pertinente para la defensa contra dichos
ataques las áreas de T. I. correspondientes

EJEMPLOS DE POLITICAS, CON SUS PROCEDIMIENTOS Y TAREAS.

10
11
INVENTARIO DE LOS RECURSOS Y DEFINICIÓN DE LOS SERVICIOS
OFRECIDOS

Es importante primero que nada saber la definición del concepto de

inventario el cual se puede detallar como una relación detallada,
ordenada y valorada de los elementos que componen el patrimonio de
una empresa o persona en un momento determinado.

Es importante contar con un inventario de los recursos para saber con

los que se cuentan, los que puedan ocupar algún tipo de cambio, o los que ya cumplieron con su
grado de obsolescencia. Es muy importante este aspecto ya que se tendrá un conocimiento de
cada uno de los recursos y su utilización en el transcurso del tiempo.

Nuestra empresa maneja un archivo en electrónico de Excel en el cual se encuentra el inventario

de cada uno de los recursos, ya sean inmuebles, maquinaria, equipo de cómputo, etc,. y con
esto es como tienen el conocimiento de sus recursos en este caso son considerados como
activos fijos. Este archivo se encuentra actualizándose constantemente, nosotros quisimos
añadir algunos campos para hacer el formato con una mayor visualización y entendible hacia los
usuarios.

12
SEGURIDAD FRENTE AL PERSONAL
a) Funciones, obligaciones y derechos de los usuarios

Es muy importante estar consciente acerca de como se lleva el control del personal dentro de
una organización, para esto es necesario el establecimiento de formatos que no ayuden a
registrar cada uno de los cambios que puedan suceder dentro de las distintas áreas y del
personal de estas. Para el propósito de esto, se establecieron distintos formatos que nos
ayudaran a especificar los distintos tipos de movimientos a ejecutar como lo es el alta de
empleados y la baja de empleados.

Alta de empleados

13
 Baja de empleados

Es importante este formato ya que nos dira los usuarios que ya no laboraran en la empresa y los
cuales de ahí se procede a eliminar todas las cuentas del usuario, así como de los servicios y la
recolección del dispositivo que utiliza

14
SEGURIDAD FISICA DE LAS INSTALACIONES

El site se encuentra ubicado en el piso administrativo de la compañía: es grande, cuenta

con climas que están a una temperatura de 19° grados, ubicados en el techo arriba de
algunos servidores, tiene puertas y ventanas de vidrio con el fin de presentar una visión
completa del lugar por dentro y por fuera, presenta señalamientos como salidas de
emergencia y de tener cuidado con los cables, no tiene cámaras de seguridad en el
interior del mismo, solo en las oficinas exteriores, los cables se encuentran estructurados
de buena manera, no están enredados ni nada por el estilo; se tiene también reguladores
que afinan de una forma adecuada el voltaje de los servidores. Para entrar al site se debe
contar con una llave que solo la tienen ciertos elementos de TI.

La solución de cambiar la forma de entrar al site, a un

lector de huellas digitales sería una gran alternativa para
este punto puesto que estaría mucho mejor controlado el
saber quién entra ya que la llave la pudiera tener
cualquiera o puede ser extraviada por accidente, trayendo
consigo que una persona mal intencionada quiera robar
información importante que se encuentre en el site.

Instalar cámaras de seguridad también es muy importante

ya que tendríamos una mayor visibilidad de quien entra, y
para qué entra en caso de que se presentara alguna falla
en los servidores o que falte algún equipo.

De la misma manera, proponemos que el área y bodega de IT tenga acceso restringido

solo para seguridad y empleados de Sistemas, por el
delicado equipo que se encuentra en el área. La
propuesta sería implementar una puerta magnética, que
solo se pueda abrir mediante acceso dado en el gafete.

15
PROTECCIÓN EN EL ACCESO Y CONFIGURACIÓN DE SERVIDORES
Para Zebra es muy importante la protección de servidores ya que ahí se almacena toda
la información importante que ayuda a la toma de decisiones y a generar valor a la
organización por eso nosotros en nuestro plan de seguridad proporcionamos una serie
de medidas para cuidar esa información, de virus, accesos no autorizados entre otros,
para ello se consideraron los siguientes puntos a implementar a nuestros servidores.

Encriptación SSL / TLS

Para mejorar la seguridad servidor, esta es una de las mejores soluciones en el ámbito
corporativo. Los certificados SSL o TLS permiten autenticar diferentes entidades entre
sí. Una vez la autentificación se ha realizado, también se pueden utilizar para establecer
comunicaciones encriptadas y seguras.

Hardening

Se puede traducir como “endurecimiento”. Son una serie de prácticas que minimizan
vulnerabilidades en el servidor. También permite impedir que salga root como usuario en
el proceso de autentificación o limitar el acceso a determinados usuarios.

El uso de VPNs y Redes Privadas

Las redes privadas son redes que solamente están disponibles para ciertos usuarios o
servidores. Por ejemplo, Nuestra organización puede tener servidores en distintas
regiones de todo el mundo y por medio de una red privada estos servidores pueden
comunicarse entre sí sin importar su ubicación real. Es una manera de crear conexiones
seguras entre computadoras remotas y presentan la conexión como si se estuviera
trabajando en una red local privada.

Firewall actualizado

El firewall se encarga de bloquear el acceso a todos los puertos a excepción de aquellos

habilitados para el público. Es muy importante la revisión en Zebra de las constantes
actualizaciones de firewall.

16
SEGURIDAD EN LOS DISPOSITIVOS DE ALMACENAMIENTOS

Este punto lo vemos muy fuerte en ZEBRA, ya que utiliza un buen nivel de RAID de
acuerdo al tamaño de la empresa y la información que poseen.

En zebra utilizan el nivel de RAID 5.

RAID 5 – “Acceso independiente con paridad distribuida”: Es un sistema en eln que se

utiliza de forma independiente cada disco, y en el que se consigue mejorar la tolerancia
a fallos recurriendo al registro de la información de paridad que permita detectar y corregir
errores.

El RAID 5 es visto por muchos como la combinación ideal de buen funcionamiento, de

buena tolerancia de avería y de alta capacidad y de eficacia del almacenaje. Es más
adecuado para el procesamiento de transacciones y se utiliza a menudo para el servicio
de "propósito general", así como para aplicaciones de bases de datos relacionales,
planificación de recursos empresariales y otros sistemas empresariales

En Zebra la razón fundamental por la que usan este tipo de RAID es por el hecho de que
si falla uno de los discos duros, cualquiera de ellos, se puede reemplazar y recuperar
todos los datos, de manera instantánea. Así que los datos siempre estarán seguros.

Todo es guardado directamente al servidor en base a este nivel de RAID.

17
CONTROL DE LOS EQUIPOS QUE PUEDEN SALIR DE LA ORGANIZACIÓN

En una organización la seguridad debería ser primordial ya que los equipos que salen de
la empresa deberían ser sacados con la correspondiente autorización de los dueños de
la institución. Además, conviene establecer medidas y control de seguridad para que no
existan inconvenientes futuros. Los usuarios de estos equipos deben ser conscientes de
sus obligaciones y responsabilidades en relación con la seguridad de los datos y
programas o aplicaciones instaladas.
Asimismo, los empleados que saquen los equipos de las organizaciones deben
responsabilizarse y no dejar desatendidos estos equipos en cualquier sitio público ya que
están expuestos a robos o cualquier imprevisto que le podrían causar grandes pérdidas
económicas a las empresas.
Para poder sacar algún equipo de la compañía, la empresa ya contaba con un formato
que se debe de llenar. Se hicieron las modificaciones correctas y este debe de estar
firmado por el jefe directo de la persona interesada en sacar el pc, así como también
debe de tener la firma del encargado de IT.

18
19
COPIAS DE SEGURIDAD

No es ninguna novedad el valor que tiene la información y los datos para nuestros
negocios . Los que resulta increíble de esto es la falta de precauciones que solemos
tener al confiar al núcleo de nuestros negocios al sistema de almacenamiento de lo que
en la mayoría de los casos resulta ser una computadora pobremente armada tanto del
punto de vista de hardware como de software.

Si el monitor, la memoria e incluso la CPU de nuestro computador dejan de funcionar,

simplemente lo reemplazamos, y no hay mayores dificultades. Pero si falla el disco duro,
el daño puede ser irreversible, puede significar la pérdida total de nuestra información.
Es principalmente por esta razón, por la que debemos respaldar la información
importante. Imaginémonos ahora lo que pasaría si esto le sucediera a una empresa, las
pérdidas económicas podrían ser cuantiosas.

La empresa cuenta con almacenamiento en la nube, de tal forma que la información se

sincroniza automáticamente en OneDrive; de esta misma manera, cuenta con el respaldo
de documentos en caso de cualquier incidente.

Se crearon y mejoraron los siguientes formatos para registrar las copias de seguridad
que se vayan realizando en la empresa.

20
 ZEBRA PEN
MÉXICO
DEPARTAMENTO DE TECNOLOGÍAS DE INFORMACIÓN

REGISTROS DE COPIAS DE SEGURIDAD

FECHA DE SOLICITUD 7 10 2019 Número de Ticket : 250899

DD MM AAAA

QUIEN SOLICITA
Nombres y Apellidos: PALOMA ESQUIVEL ESQUIVEL
No. Empleado 3712260
Cargo: Encargada de Compensaciones ÁREA: Recursos Humanos
Correo Electrónico Corporativo: paloma.esquivel@zebrapenmex.com
RESPONSABLE DE ALMACENAMIENTO
Nombres y Apellidos: RICARDO ALEJANDRO NEVARES SANCHEZ
No. Empleado 3712178
Cargo: Encargado de Operaciones de IT ÁREA: IT
Correo Electrónico Corporativo: ricardo.nevares@zebrapenmx.com
¿Qué se desea resguardar?
INFORMACIÓN DE LOS DATOS A RESPALDAR (BACKUP)
Tipo/Fuente de datos: (Ej: Carpetas, archivos Word,
Excel Power Point, Base de datos SQL, Logs,
Exchange, Archivos de sistema) Archivos EXCEL
Backup de información alojada en unidades
compartidas: Especifique la ruta (Ej. C:\Users\3712260\Documents\PAGOS\EMPLEADOS2019
Nombre de los archivos que se les deberá realizar
backup: (liste todos y cada uno de los archivos que PAGOS_EMPLEADOS_2019, FONDOAHORRO_EMPLEADOS_2019
requiera sean respaldados)
Tamaño de los archivos a resguardar: (GB) 167MB
INFORMACION DEL SERVIDOR A RESPALDAR
Nombre del Servidor: Dirección IP del Servidor:
Sistema Operativo:
Tipo de Backup: (ONLINE, OFFLINE)
Observaciones:
Total GB a respaldar (Tamaño):
Total GB de crecimiento anual probable (Tamaño):

Detalle Diario Semanal Mensual Anual

Nivel de Backup (Full, Incremental, Diferencial) seleccionar Incremental

Agenda (Ej: Diario: Lunes a Viernes, Mensual: último

domingo de cada mes, Semanal: Sábados, Anual: último Último día del mes
domingo del año, Eventual: Fecha específica)

Fecha de almacenamiento: 31-oct-19

Horario:
23:00
Lugar de almacenamiento:
NUBE Y SITE CENTRAL
Retención de datos en días: 30 dias
FIRMAS

________________________________________ ________________________________________
Solicitante Sello Responsable

21
CONTROL DE SEGURIDAD DE IMPRESORAS Y OTROS DISPOSITIVOS
PERIFERICOS

Los usuarios deben Zebra tener en cuenta las siguientes consideraciones cuando
impriman documentos a través de los equipos multifuncionales e impresoras que se
encuentran dentro de las instalaciones de Zebra , o que son propiedad de este:

Se debe imprimir solo lo que es estrictamente necesario.

Para la impresión de documentos confidenciales utilice la opción de confidencialidad, la

cual permite que el documento no se imprima hasta que no se digite la clave para ello en
el equipo multifuncional.

Verificar el equipo multifuncional o impresora y las áreas adyacentes para asegurarse de

que no queden copias adicionales. Si encuentra copias adicionales destrúyalas.

Asegurarse que tienen el documento original antes de retirarse del equipo multifuncional
o de la impresora.

Si el equipo multifuncional o la impresora no está funcionando, borre el archivo de la fila

de impresión.

Recoger inmediatamente todos los faxes, impresiones y/o fotocopias que contengan
información confidencial para evitar su revelación.

Uso de periféricos en los computadores de escritorio, computadores portátiles y

demás recursos informáticos (escáner, impresora, mouse, teclado, medios de
almacenamiento removibles)

El uso de periféricos y medios de almacenamiento en los computadores de escritorio,

computadores portátiles, y demás recursos informáticos de Zebra, debe ser restringido
acorde con las funciones realizadas por los empleados de la empresa.

22
23
IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIOS

En nuestra empresa es muy importante que cada usuario tenga su propia cuenta de
usuario, para que pueda cumplir con sus actividades laborales teniendo su propia cuenta
para el resguardo de su información, así como de las distintas actividades que realizan,
para esto, es muy importancia contar con una política de autenticación para que cada
uno de los usuarios establezcan una contraseña con un alto grado de dificultad así como
tener establecida una identificación de los usuarios que laboran en la empresa.

Primero que nada, la identificación de usuario siempre está establecido

1. Primera letra del primer nombre

2. Apellido
En caso, de que exista un usuario con la misma identificación

1. Primera letra de primero o segundo nombre.

2. Segundo Apellido
Después de el establecimiento de esta, en caso de la identificación de los usuarios en el
caso del correo electrónico se añade el dominio de la empresa en este caso:

primeraletranombreapellido@zebrapen.com

Contamos con una política de contraseñas para la correcta autenticación de nuestros

usuarios y la seguridad de su información.

Contraseñas

Esta Política tiene el propósito de definir la norma para la creación de contraseñas

fuertes, la protección de esas contraseñas y la frecuencia del cambio de las contraseñas.

Todas las contraseñas a nivel de usuario (es decir, correo electrónico, Web, computadora
de escritorio, etc.) se deben cambiar por lo menos cada 90 días.

Todas las contraseñas de cuenta de usuario y a nivel del sistema deben ser
confidenciales para el usuario y no ser reveladas a ninguna otra persona, indistintamente
de la necesidad aparente.

24
a. Los siguientes tipos de contraseña están prohibidos:

i. Contraseñas con menos de seis caracteres.

ii. Palabras de uso común, tales como: nombres de miembros de la familia, mascotas,
amigos, compañeros de trabajo, personajes de cuentos, etc.

iii. Términos y nombres de computación, comandos, sitios Web, compañías, hardware y

software

iv. Las palabras "Zebra", "Zebra pluma" o cualquier derivación

v. Cumpleaños y otra información personal, tales como direcciones y números

telefónicos

vi. Patrones de letras o números, tales como aaabbb, qwerty, zyxwvuts, 123321, etc.

b. Además, se requiere que todos los usuarios usen contraseñas que cumplan con las
siguientes reglas:

i. Contener caracteres en mayúsculas y minúsculas (es decir, a-z, A-Z).

ii. Incluir números , así como letras (es decir, 0-9).

ii. Contener por lo menos 6 caracteres.

3.- Las contraseñas nunca se deben escribir anotar o almacenar en línea. Cree
contraseñas que pueda recordar fácilmente. Una manera de hacerlo es creando una
contraseña basada en el título de una canción, afirmación o frase similar. Por ejemplo, la
frase podría ser "This Must Be One Way To Remember" y la contraseña podría ser:
"TmB1w2R" .

25
AUTORIZACIÓN Y CONTROL DE ACCESO LÓGICO

Los controles de acceso lógico permitirán únicamente el ingreso a los usuarios

autorizados por la dependencia correspondiente, y en el nivel asignado, sobre los datos
o sistemas necesarios para desempeñar sus tareas habituales.
Aquí en ZEBRA manejan accesos por medio de badge (credenciales), que son
entregadas a los empleados por medio de RH, y que RH solicita al departamento de
credencialización.
Dicha credencial, cuenta con un número de identificación la cual se carga al sistema y
permite el ingreso a distintas áreas de la empresa, dependiendo a las cuales tenga
acceso.
Hay áreas que son ingresadas por default a los accesos que puede tener la credencial,
pero hay accesos especiales como los de estacionamiento o de bodegas, archivos, etc,
donde se debe tener un control de los empleados que ingresan a estos sitios, y para eso
el jefe directo del empleado debe enviar un correo al área de credencialización donde
confirme los accesos especiales que requiere dicho empleado.

Ejemplo:

Número de Empleado:
Nombre:
Número de credencial:
Área:
Accesos Requeridos:
Motivo:

Autoriza
Número de Empleado:
Nombre:

26
PROTECCIÓN DE DATOS Y DOCUMENTOS SENSIBLES

En Zebra la protección de datos es de carácter fundamental ya que no permiten que los

empleados, compartan está información por ningún medio.

A los documentos sensibles les brindan una categoría alta en el archivo donde se
encuentren estos, para entrar a dicho archivo la persona debe notificar su presencia a
través del acceso lógico que es el chip de la credencial.

También para que los datos estén seguros y protegidos en el equipo se recomienda el
uso de una contraseña segura:

Está Política tiene el propósito de definir la norma para la creación de contraseñas

fuertes, la protección de esas contraseñas y la frecuencia del cambio de las contraseñas.

1. Todas las contraseñas a nivel de usuario (es decir, correo electrónico, Web,
computadora de escritorio, etc.) se deben cambiar por lo menos cada 90 días.
2. Todas las contraseñas de cuenta de usuario y a nivel del sistema deben ser
confidenciales para el usuario y no ser reveladas a ninguna otra persona,
indistintamente de la necesidad aparente.
3. Además, las contraseñas simples están prohibidas, se debe tener un mínimo de
6 caracteres, y una combinación de letras y números.

No obstante, también proponemos que los documentos

más importantes cuenten con cifrado de datos, ya que
es la mayor protección con la que pudieran contar los
datos. Ya que si los datos no están cifrados son más
vulnerables a daño o robo de estos.

27
DETECCIÓN Y RESPUESTAS DE INCIDENTE DE SEGURIDAD

En Zebra la prevención y reacción ante incidentes de seguridad es muy importante ya

que implica una interrupción en la operación que puede afectar el valor económico. A
continuación, mostraremos cómo podemos evitar que se produzcan incidentes de
seguridad y siempre que no esté en nuestras manos y se produzcan saber cómo
identificarlos y conocer la manera de proceder para su mitigación inmediata y su posterior
resolución.

DETECCIÓN DE INCIDENTES

Consideramos la implementación de un IDS que controle la red y pueda activar una

alarma cuando una solicitud resulta sospechosa o no cumple con la política de seguridad.

CONEXIONES SOSPECHOSAS AL EQUIPO: sospechosas ya sean de entrada hacia

el equipo o de salida, esto se produce cuando el equipo tiene algún tipo de infección
malware y como medida preventiva se le ha cortado el servicio de red para que no se
produzca fuga de información involuntaria y/o infección de otros equipos, en resumen se
pone el equipo en “cuarentena”.

Algunos de los incidentes de seguridad más comunes en zebra fueron

SPAM: Cuando nos llegue un correo no esperado, normalmente de alguna empresa,

banco… es necesario reportar al servicio de correo el remitente para que procedan a
cortarlo.

Buenas prácticas

• No responder a correos en los que se pida su contraseña. Ni bancos o cajas de

ahorros le pedirán su contraseña.
• No enviar información sensible o confidencial a través del correo electrónico, sino
es estrictamente necesario.
• No utilizar el correo electrónico para el envío o recepción de datos personales.
• Servicios que no estén relacionados con la actividad laboral.
• No confiar en correos electrónicos de dudosa procedencia.

28
CONCLUSIÓN

Finalmente queda decir que pudimos aprender algo sobre las políticas de seguridad de
una empresa, como lo fue ZEBRA que en la mayoría de los casos presento una manera
correcta de realizar las cosas, a lo mucho lo que fue modificado fueron algunos formatos
o la creación de algunos con los que no contaban, además tuvimos la oportunidad de
conocer cómo opera su servidor a través del RAID NIVEL 5, antes de esto no conocíamos
bien el termino y tampoco lo relacionábamos de una manera tan grafica.

En si este plan de seguridad presenta una manera de como poder hacer mejor las cosas,
ya que la mayoría de las cosas ya tienen un proceso bien formado solo modificamos
ciertas acciones para que fuera mejor los resultados que tuviera el proceso.

Al crear formatos nos dimos una idea más clara de todo lo que se necesita para poder
sacar un equipo, al hacer una copia de seguridad, lo importante que son las fechas, las
marcas y otras cosas ya que al no tener registro no se sabe si estamos haciendo de
buenas maneras las cosas.

Siempre es mejor tener formatos y estar respaldados a través de vobos de confirmación,

para cualquier amenaza que pudiera pasar.

Agradecemos a ZEBRA por la información brindada dejando en claro que toda la

información será protegida de divulgación exterior.

29
CARTA DE APROBACIÓN

30