UNIVERSIDAD TECNOLÓGICA DE QUERÉTARO

Transcripción

1 UNIVERSIDAD TECNOLÓGICA DE QUERÉTARO Nombre del Proyecto RE IMPLEMENTACIÓN DEL SISTEMA ERP Empresa CROWN, INDUSTRIAS MONTACARGAS S. DE R. L. DE C. V. Memoria que como parte de los requisitos para obtener el título de INGENIERO EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN Presenta Eduardo Emmanuel Trejo Cisneros Asesor de la UTEQ MTA. Araceli Soto Hernández Asesor de la Organización Ing. Eduardo R. López Martínez Santiago de Querétaro, Qro. Mayo del 2014

2 RESUMEN En toda organización, la información es la columna vertebral de la que ésta depende, ya sea impresa o escrita en papel, se almacena, envía y transmite en medios electrónicos y redes de comunicaciones. Y situados en un ambiente tan competitivo es un activo muy valioso y constantemente expuesta a distintas amenazas, tanto internas como externas, accidentales o deliberadas. Y al utilizar cada vez más tecnología, se expone más en tipo y numero de amenazas. En este documento se tratará en específico el sistema ERP Visual Manufacturing, en el cual está por subir de versión, dando pauta a realizar una limpieza extensa en todos aspectos, bases de datos, procesos del negocio, reportes y la seguridad de la información que en el sistema se maneja. Por tanto, se requiere una Re-Implementación en la Seguridad de la Información del sistema ERP, que permita asegurar la confidencialidad, disponibilidad e integridad de la información Corporativa utilizando el ciclo PHCA del ISO 27001:

3 SUMMARY I took part of Team Re-Loaded Management Update of ERP System in the field of information security, using cycle Information Security Management System (ISMS). Additionally, a pilot test was applied on April with Excellent results, end users and staff participated and validated, implying that the phase came to an end earlier than expected. Working there formed links with other areas such as Manufacturing, Finance and IT unit in New Bremen Ohio. Thanks to the synergy of these areas the goals were achieved better than expected. Finally, with excellent results in the project, the implementation of an elearning system emerged that will allow the staff to be trained or updated. And so, with the support of the system we can keep track of the users and keep the system updated. Finally, I reaffirmed the knowledge acquired in the certification of ISO/IEC 27001:2005 that would ensure confidentiality, availability and integrity of corporate information through the standardization of user profiles. 3

4 DEDICATORIAS A mis padres y hermana, por ser el pilar fundamental en todo lo que soy, en toda mi educación, tanto académica, como de la vida, por su incondicional apoyo perfectamente mantenido a través del tiempo. A mi sobrina, para que veas en mí un ejemplo a seguir. A mis amigos, que nos apoyamos mutuamente en nuestra formación profesional y que hasta ahora, seguimos siendo amigos. Finalmente pero no menos importante, agradezco a los maestros y asesores, aquellos que marcaron cada etapa de nuestro camino universitario, y que me ayudaron en asesorías y dudas presentadas en la elaboración de este proyecto. Todo este trabajo ha sido posible gracias a ustedes. Eduardo Emmanuel Trejo Cisneros 4

5 I N D I C E Página Resumen 2 Summary 3 Dedicatorias 4 Índice 5 I. INTRODUCCIÓN 6 II. ANTECEDENTES 7 III. JUSTIFICACIÓN 8 IV. OBJETIVOS 9 V. ALCANCE 10 VI. ANÁLISIS DE RIESGOS 11 VII. FUNDAMENTACIÓN TEÓRICA 13 VIII. PLAN DE ACTIVIDADES 17 IX. RECURSOS MATERIALES Y HUMANOS 19 X. DESARROLLO DEL PROYECTO 34 XI. RESULTADOS OBTENIDOS 36 XII. CONCLUSIONES Y RECOMENDACIONES 38 XIII. BIBLIOGRÁFIA 5

6 I. INTRODUCCIÓN La competencia y dinámica existente en los negocios ha convertido el conocimiento y empleo efectivo de la información, en una ventaja competitiva de las organizaciones, por lo tanto el manejo de los dispositivos que la contienen deben preservar la confiabilidad, integridad, velocidad, consistencia y valor de la información. Este documento describe algunos de los motivos por los cuales puede ser necesario aplicar una Estructura y Estandarización de la seguridad en la información del Sistema ERP (Enterprise Resource Planning) en el proceso de su Re-Implementación. Adicionalmente describe el proceso de migración de los datos, desde su planeación, hasta la entrega de reportes finales. La realización de este proceso implica enfrentar muchos retos, por lo que es importante que los responsables de llevarlo a cabo tomen en cuenta una serie de factores que los pueden ayudar a finalizarlo bajo los resultados planeados, los cuales se presentan en este documento. Actualmente la información se ha convertido en un activo importante para las organizaciones tanto privadas como públicas; dicha información se obtiene mediante la extracción e interpretación de los datos que posee la organización, sobre todo la información que se genera en el sistema ERP, por contener información de inventarios, costos, compras, ventas, etc. incluso en los equipos de cada usuario, transformándose en un recurso invaluable para el desarrollo profesional y personal. Existen diversos motivos para hacer uso de una Re-implementación en la Seguridad de la Información del Sistema ERP, tales como: mejorar el desempeño, cumplir con los requerimientos de usuario o políticas de seguridad, la actualización de los perfiles, reducción de costos que se pueden generar por errores en el manejo de información, nuevos procesos de negocio, mejoras en la seguridad y/o el control de la información. 6

7 II. ANTECEDENTES En Mayo del 2012 se comenzó la Implementación de una Estructura y Estandarización de la Información en la empresa Industrias Montacargas Crown situada en la ciudad de Querétaro. Basados en el ISO/IEC 27001:2005, específicamente en el apartado de Sistema de Gestión de la Información (SGSI). El cual, hace recomendaciones y buenas prácticas para el manejo de la Seguridad de la Información. Así, SGSI consiste en que la Información debe ser: Confidencial, Integral y siempre Disponible llevando a cabo un ciclo de 5 pasos que son: Seleccionar, Ordenar, Limpiar, Estandarizar y Seguir. En el proyecto de Estructura y Estandarización de Almacenamiento de la Información, durante el seguimiento, se detectó como área de oportunidad aplicar un proceso similar a la Re-implementación en la Seguridad de la Información del Sistema ERP. 7

8 III. JUSTIFICACIÓN En toda organización la información es la columna vertebral de la que esta depende, ya sea impresa o escrita en papel; se almacena, envía y transmite en medios electrónicos y redes de comunicación. Y situados en un ambiente tan competitivo es un activo muy valioso y constantemente expuesta a distintas amenazas, tanto internas como externas, accidentales o deliberadas. Y al utilizar cada vez más tecnología, se expone más en tipo y numero de amenazas. Y si a esto le sumamos el pobre control desde un principio en los Perfiles de usuario, el riesgo es aún mayúsculo. Por tanto, se requiere Diseñar e implementar una estructura y estandarización de Perfiles, Usuarios y Grupos de trabajo, que permita asegurar la confidencialidad, disponibilidad e integridad de la información Corporativa. 8

9 IV.OBJETIVOS Establecer un mecanismo que defina el orden y condiciones de cada Perfil de Usuario, aunado el manejo de grupos y control de usuarios con el objetivo de facilitar el control y administración de los mismos. 9

10 V. ALCANCE Establecer una norma para la preservación de la confidencialidad, integridad y disponibilidad de la información. Estas propiedades de la información se pueden definir de la siguiente manera: Confidencialidad: Acceden a la información únicamente quienes están autorizados, trátese de personas, entidades o procesos. Integridad: La información es precisa, confiable y completa. Disponibilidad: La información está disponible cuando se necesita. Logrando así, un Sistema de Gestión de Riesgos (SGSI), como parte crucial y fundamental. 10

11 VI. ANÁLISIS DE RIESGO El análisis funcional de los requerimientos de un nuevo sistema de la información ERP nos permite identificar los factores clave y de riesgo que se citan a continuación: Factores clave y/o beneficios esperados. Estandarización de procesos operativos que involucran a más de un área. Unificación de sistemas de información y aplicaciones de soporte funcional y operativo de la organización. Reducción de los tiempos de desarrollo, producción, gestión del suministro y entrega. Mejora en la gestión de la información con un sistema en tiempo real. Mejora en la atención personalizada al cliente final de forma conjunta desde cada una de las áreas de la organización. Implantación de la Normativa ISO 9001 para asegurar la calidad de procesos. Reducción de costes operativos derivados de los procesos de operación y mantenimiento. Incrementar el control sobre presupuestos y gastos de forma eficiente. Control del gasto de desarrollo en aplicaciones software por terceros mediante una solución homogénea e integrada como SAP. Estandarización de los sistemas de información e introducción de las mejores prácticas. Escalabilidad de los sistemas que posibiliten el crecimiento de Broadband Comunications. Factores de riesgos Establecer una norma para la preservación de la confidencialidad, integridad y disponibilidad de la información. El impacto cultural que puede suponer para la organización la integración de un nuevo sistema de información que reemplace los sistemas actuales. La adaptación de los procesos al nuevo sistema en busca de una operativa más eficiente. Posibles incidencias técnicas como consecuencia de la integración del sistema con algunas de las aplicaciones y plataformas actuales. 11

12 La captura incorrecta insuficiente de requerimientos que puedan llegar a generar una demanda adicional de actualizaciones posteriores a la integración. Desviaciones en el presupuesto como consecuencia de incidencias o ineficiencias en la planificación, gestión y despliegue del sistema a lo largo del proyecto de integración. 12

13 VII. FUNDAMENTACIÓN TEÓRICA La información es la columna vertebral de la que dependen las organizaciones y existe en muchas formas y medios. Está impresa o escrita en papel, se almacena, envía y transmite en medios electrónicos y redes de comunicaciones (como internet), se tiene en video o audio y se maneja en nuestras conversaciones diarias. En un ambiente tan competido es un activo muy valioso y está expuesta constantemente a distintas amenazas, las cuales pueden ser internas, externas, accidentales o deliberadas. Al utilizar cada vez más tecnología, se han abierto las puertas al número y tipos de amenazas. La creciente exposición a violaciones de seguridad y el valor creciente de la información para la organización, determinan la necesidad de que las empresas protejan de manera sistemática su activo más importante: La Información. Un Sistema de Gestión de la Seguridad de la Información es una forma sistemática de manejar y administrar la información sensible de una compañía para reducir los riesgos de acceso no autorizado, alteración y pérdida de la información. Abarca a las personas, los procesos, las tecnologías de la información y toda la información de la empresa sin importar en qué forma se encuentre. Se recomienda que una organización establezca un Sistema de Gestión de la Seguridad de la Información, el cual le permita asegurar la confidencialidad, disponibilidad e integridad de la información Corporativa, de sus Clientes, Proveedores y en general de las Partes Interesadas. La norma ISO/IEC 27001:2005 provee un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información. En esta norma se define la seguridad de la información como la preservación de la confidencialidad, integridad y disponibilidad de la información. La norma ISO/IEC 27001:2005 parte de una adecuada Gestión de Riesgos, podemos decir entonces que se trata de un Sistema de Gestión de la Seguridad de la información que contiene dentro de él, y como parte principal y fundamental, a un Sistema de Gestión de Riesgos. 13

14 La Gestión de Riesgos de la Seguridad de la Información parte de una adecuada valoración de los riesgos, la cual incluye la definición de una metodología para llevarla a cabo, la definición del criterio de aceptación de riesgos, la adecuada identificación de: activos, amenazas, vulnerabilidades, impactos (por la pérdida de confidencialidad, integridad y disponibilidad) y la evaluación del riesgo, para de esta forma identificar las opciones de tratamiento de riesgos, seleccionar controles cuando sea aplicable (utilizando como base el Anexo A de la norma, en primera instancia, más los controles adicionales que se consideren necesarios), determinar los riesgos residuales, documentar todo el proceso (en particular el Documento de Aplicabilidad) y una vez obtenida la aprobación de la alta dirección estaremos en condiciones de formular el Plan de Tratamiento de Riesgos e implementarlo. Por supuesto debemos implementar, mantener, monitorear, revisar y mejorar, para completar el ciclo de la Gestión de Riesgos. La norma cuenta con un Anexo A el cual identifica 37 objetivos de control y 133 controles, la norma no pide que todos sean implementados, pero solicita que aquellos que no lo sean, se documente la justificación de su exclusión. También del porque deben ser incluidos. La norma ISO/IEC 27001:2005 ha sido objeto de una gran atención y trabajo, de tal forma que se cuenta con una cantidad muy importante de documentos, ya publicados o bien que se planea sean publicados, de los cuales incluimos a continuación algunos de ellos: Puntos contenidos en la Norma ISO/IEC ISO/IEC : 2009 Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary ISO/IEC : 2005 Information technology -- Security techniques -- Information security management systems -- Requirements (Certificable) (BS7799-2) 14

15 ISO/IEC : 2005 Information technology -- Security techniques -- Code of practice for information security management (ISO/IEC 17799:2005 BS7799-1:2005) ISO/IEC : 2010 Information technology -- Security techniques -- Information security management system implementation guidance ISO/IEC : 2009 Information technology -- Security techniques -- Information security management -- Measurement ISO/IEC : 2011 Information technology -- Security techniques -- Information security risk management (ISO/IEC 27005: 2008, BS7799-3:2006) ISO/IEC : 2007 Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems ISO/IEC : 2008 Information technology -- Security techniques -- Information security management guidelines for telecommunications organizations based on ISO/IEC Para este proyecto nos enfocaremos específicamente en el ciclo PHCA resume el contenido de la Norma ISO/IEC 27001:2005: Seleccionar: Hacer el análisis de lo que es necesario y lo que no lo es, y poder detectar las áreas de oportunidad. Ordenar: Establecer el SGSI: Establecer la política, objetivos, procesos y procedimientos relevantes del SGSI para gestionar el riesgo y mejorar la seguridad de la información, para entregar resultados de acuerdo con las políticas y objetivos de la organización. Limpiar: Implementar y operar el SGSI: Implementar y operar la política, controles, procesos y procedimientos. Estandarizar: Monitorear y revisar el SGSI: Evaluar y, donde aplique, medir el rendimiento de los procesos en relación a la política del SGSI, objetivos y experiencia práctica, y reportar los resultados a la dirección para su revisión. 15

16 Sostener: Mantener y mejorar el SGSI: Tomar acciones correctivas y preventivas basadas en los resultados de auditorías internas al SGSI, revisiones de la dirección o alguna otra información relevante, para lograr la mejora continua del SGSI. 16

17 VIII.PLAN DE ACTIVIDADES Aplicación de 5 s ERP (Denominado como 5 Soles en la empresa donde se aplica el ciclo PHCA del ISO/IEC 27001:2005 que significa: Seleccionar, Ordenar, Limpiar, Estandarizar y Seguir). O bien, Sistema de Gestión de la Seguridad SGSI del ISO/IEC 27001:2005. (Fig s ERP). En la figura 1, se muestra de manera general las actividades que contiene cada etapa del ciclo que se llevará a cabo durante el proyecto. Fig 1. 5 s ERP - Plan General SGSI Para la realización de cada etapa descrita en la figura 1, daremos seguimiento a las actividades específicas descritas a continuación en la Tabla 1. Para estas actividades se mencionan solo las actividades más importantes y relevantes, para ver con mayor detalle cada actividad con sus sub actividades, ver el diagrama de Gantt que se anexa al documento. En el diagrama de Gantt se describen todas las actividades y la asignación de responsabilidades a cada integrante del proyecto, además de los porcentajes de avances o tareas terminadas al momento de entrega de este documento. 17

18 Re implementación VM 5s ERP (Seguridad de la Información) 1 Preparación del Proyecto 1.1 Análisis de Migración o Re implementación 2 Gestión del Proyecto 2.1 Alcance y Objeto 2.2 Análisis de la Organización 2.3 Definición de Requerimientos 2.4 Obtener Catálogos de Programas Actuales 2.5 Filtrar Programas por Unidades de Negocio 2.6 Verificar Programas por Procedimiento de Negocio 2.7 Validación con Líderes de Negocio 2.8 Crear Perfiles 3 Implementación en el Entorno de Prueba 3.1 Creación de los Perfiles 3.2 Crear Manuales por Perfil 3.3 Validar Perfiles en el Sistema 4 Paso a Producción 4.1 Pruebas Unitarias y Validación 4.2 Pruebas de Stress 4.3 Documentación de QA 5 Formación de los Usuarios 5.1 Entrega de Documentación 5.2 Cursos de Formación 6 Puesta en Producción 6.1 Migración masiva de Datos 7 Final del Proyecto Tabla 1. Plan de actividades 18

19 IX. RECURSOS MATERIALES Y HUMANOS Para facilitar la gestión y el uso del nuevo sistema de información ERP integrado se han definido una serie de usuarios clave dentro de cada una de las áreas que conforman tal y como se detalla en la siguiente tabla. Área Unidad Rol Líder General Miguel Aguilar Autorizar implementación final del proyecto. Líder TI Eduardo López Proporcionar las facilidades tecnológicas y garantizar la correcta y completa migración del sistema. Responsable del SGSI. Calidad José Pérez Realizar métricos de calidad para evaluación de los procesos del negocio afectados. Comunicaciones Ricardo Rodríguez Mantener informada a toda la organización de los cambios que se realizaron. Finanzas Hilmar Noriega Evaluar el impacto financiero. Líderes de Unidad Líderes o Usuarios Clave Responsables de validar y autorizar los cambios y procedimientos de su proceso de negocio. Master Data Daniel Martínez Responsable de todos los cambios que se realicen en los procesos del negocio. Líder ERP Mario Minero Líder del proyecto. Analista TI Eduardo Trejo Responsable de aplicar los cambios en el sistema. Tabla 1. Recursos Humanos Para la planeación, desarrollo, pruebas e implementación del proyecto es indispensable un equipo de cómputo, el cual cuente con sistema operativo MS Windows 7 o superior con Administrador de Bases de Datos MS SQL Server 2008 o superior y conexión remota para realizar pruebas antes de aplicar los cambios en el sistema; Lotus Notes (correo electrónico) indispensable para mantener comunicación en todo momento. También es necesario un administrador de proyectos para poder llevar un control de cambios en los avances que se van generando en el proyecto. 19

20 Marca Modelo Descripción Características Equipo HP Probook 440 Laptop Intel Core i3, 8GB RAM, 1TB HD MS Win 2008 R2 Sistema Servidor de MS Server x64 Operativo Windows de 64 bits. Lotus Notes v7.0 Software DameWare v7.5 Software Control remoto MS SQL SERVER 2008 R2 x64 Software Administrador de Bases de Datos MS Project 2010 x64 Software Admin. Proyectos Tabla 2. Recursos Materiales 20

21 X. DESARROLLO DEL PROYECTO Antes de pasar al desarrollo del proyecto, recordemos que para el mismo, se utilizará la Norma ISO/IEC 27001:2005 Gestión de Riesgos de la Seguridad de la Información (SGSI). Que en resumen, es la preservación de la confidencialidad, integridad y disponibilidad de la información. A través de Seleccionar, Ordenar, Limpiar, Estandarizar y Sostener siendo esto, el ciclo PHCA contenido en el Anexo A de dicha norma. 1. SELECCIONAR Comenzamos seleccionando los perfiles de los líderes de unidad o de negocio para conocer el Hacer esto se refiere a que es lo que se hace en las actividades diarias actualmente, y posteriormente verificarlo con el organigrama y el proceso de negocio que es el debe Ser de cada proceso. Para lo mencionado anteriormente se realizó un listado del catálogo completo de vistas/programas que cuenta el sistema ERP y en color rojo se marcaron las ventanas a las que se tienen acceso por líder de unidad, haciendo referencia de su correspondiente permiso actual (Acceso Total o Solo Lectura). Fig. 2 Lista del catálogo completo de programas. Una vez que se tuvo el listado completo, se realizó un filtro de cada líder para obtener un sub-catálogo de programas, este sub-catálogo representa los programas que se usan para todos los miembros de la unidad ya que en la práctica se copiaban los permisos del líder o de alguna posición similar y de usuario deseado. 21

22 Fig 3. Catálogo de programas por unidad de negocio. 2. PLANEAR Definir las políticas, objetivos, procesos y responsabilidades, para la estandarización en el manejo de los perfiles y permisos de acuerdo al rol del usuario. Dentro de los objetivos como se describió, es hacer la definición clara de las posiciones y roles de los usuarios dentro de la organización, a través de seguir puntualmente los procesos del negocio y el organigrama, para posteriormente desarrollar un perfil de usuario en el sistema ERP (Fig 4. Perfiles de acceso al sistema). 22

23 Fig 4. Perfiles de acceso al sistema. Generar la nomenclatura para el user_name, siguiendo las políticas organizacionales de mantener la personalidad de los usuarios. Para la nomenclatura, se manejaba la primer letra del nombre seguido del primer apellido del usuario justificado por la política de la empresa en la que se tiene que mantener la personalidad del usuario, ya que no son un activo más del inventario, por lo que manejar un numero está totalmente descartado a menos de que sea seguido por el nombre como se hace en la relación de nóminas ejemplo: Aguiñaga Arreguin José Ángel, sin embargo esto era prácticamente imposible de realizar en el sistema ERP, y por lo tanto, la nomenclatura de la inicial más el apellido, en un periodo muy corto de tiempo dejo de funcionar. Por lo tanto se estudiaron opciones en conjunto del corporativo y se llegó al acuerdo de utilizar una nomenclatura 3-2-2, Las tres primeras letras del primer nombre, las dos primeras letras del apellido paterno y las 2 primeras letras del apellido materno. Y se ligaran con el número de empleados en la tabla Employes. Usuario Tradicional Numero Empleado Rol Nueva Nomenclatura Nombre Fig 5. Composición de la nomenclatura de usuarios. 23

24 Fig 6. Ejemplo de la nomenclatura Ahora bien, de acuerdo con el SGSI, debemos estandarizar y definir la política para el manejo de contraseñas, abarcando la longitud, caracteres permitidos y el ciclo de vida de la misma. La formación de la contraseña consta de la siguiente estructura: Donde: [palabra_en_minusculas][símbolo][palabra_en_mayusculas][cifra_numerica] [palabra_en_minusculas]: Puede ser una palabra que signifique algo importante para nosotros o puede ser un acrónimo. La longitud de esta palabra debe ser mayor o igual a 3 caracteres. [Símbolo]: Es cualquier símbolo como: #, $, _. La longitud es 1. [palabra_en_mayusculas]: Se utiliza el mismo criterio que en las minúsculas pero con la obviedad de escribir la letra en mayúscula. La longitud es 1. [cifra_numerica]: Una cifra numérica que sea importante para nosotros. Puede ser una fecha (25/3 -> 253), el año de nacimiento (1980) o la matrícula de nuestro coche (547). La longitud también debe ser mayor o igual a 3 dígitos. [ciclo_de_vida_de_la_contraseña]: El periodo de la contraseña activa es de 90 días (3 meses) y no se puede reutilizar la misma contraseña hasta que hayan pasado 3 ciclos. Por ejemplo, una contraseña podría ser kaov911 para una persona cuyo nombre sea (Ka)rina Naranj(o), contraseña que pertenece a (V)isual y su fecha de nacimiento sea (9) de noviembre (11). El orden de los campos de la estructura podría ser el que uno desee y queda a criterio de cada usuario. La ubicación del símbolo, entre las dos palabras se utiliza como separador y puede recordar la dirección de [usuario]@[dominio]. El objetivo es que cada contraseña generada con este simple método contenga al menos 8 caracteres y cuente con caracteres alfanuméricos y símbolos. 24

25 Utilizando esta estructura de generación de contraseñas se obtienen buenos resultados de fortaleza de contraseña, con puntuaciones que van del 89 al 98% (Muy Fuertes) y además son fáciles de recordar. Y para terminar la parte de Planeación, se deben delegar las responsabilidades de los involucrados no solo en el proyecto, sino también en la continuación del mismo, estableciendo un estándar que pueda ser seguido en todo momento, siendo que la empresa está en continuo crecimiento y esta no se vea truncada debido a cualquier tipo de cambios. Fig 7. Organigrama de la Unidad de Materiales. La delegación de responsabilidades, se basó en el nivel jerárquico de la organización y por lo tanto en cada líder de unidad recae la validación de la matriz de roles y permisos de su unidad, y una vez validado el esquema pasar al sistema y generar los perfiles. Para continuar con el propósito de estandarizar el procedimiento, el líder se hará cargo de aprobar nuevos ingresos de los colaboradores que ingresen a su unidad ayudándose de la plataforma, usuarios clave y guía de alineación, que se tratara más adelante en la última etapa del SGSI denominada SEGUIMIENTO. 25

26 3. LIMPIAR Ya dentro del sistema, comenzamos a eliminar los datos basura para evitar confusiones o que afecten la estructura definida. Fig 8. Eliminar datos basura del sistema. Una vez terminada la limpieza procedimos a la creación de los perfiles en el sistema que ya fueron validados y liberados por los líderes de unidad. Fig 9. Roles y Permisos de la Unidad de Materiales. 26

27 En la creación del perfil, debemos contemplar 3 niveles de permisos principales, el primer Nivel es para definir qué capacidad se tiene para hacer modificaciones en los Status de: Purchase Orders, Customer Order, Work Orders, Packlists, Quotes y Requisition. Estos Status, solo son usados por el Líder de la organización, Finanzas, Materiales y Líderes de Planta. Fig 10. Creación del perfil Lider de Finanzas. La pestaña ECN Status, esta pestaña no es relevante para la organización, por lo tanto se desmarcan todos los campos, ya que el sistema los activa por default automáticamente al crear un perfil o usuario (Fig. 11). 27

28 Fig 11. ECN Status. El segundo Nivel es el Menú Security (Fig. 12), en este menú se pueden bloquear o permitir los distintos menús, por ejemplo: Para los usuarios administrativos, se les quitan funciones de manufactura, ya que en sus funciones ellos no tienen ningún tipo de relación directa y lo mismo pasa para los usuarios de manufactura, ya que no tienen ni deben poder hacer cambios en cuestiones financieras. 28

29 Fig 12. Menú Security. Fig 13. Vista del Menú Security activado totalmente. Y por último, tenemos el tercer Nivel, este es donde se realiza el mayor trabajo de este documento, ya que es donde se modifican los permisos a cada Programa (también conocido como ventanas) ya que son cada ventana que el usuario puede abrir, por ejemplo: el programa/ventana de la Orden de Compra es VMPURENT.exe 29

30 Fig 14. Program Security. También es pertinente señalar que existe la posibilidad de negar o permitir el acceso a los componentes (components) y los campos (fields) que en cada programa, estos permisos son heredados cuando se tiene permiso de acceso a un programa, sin embargo dependiendo del perfil del usuario, estos componentes y/o campos pueden ser activados o desactivados (Fig. 14). 30

31 A continuación podemos ver los perfiles creados en el sistema (Fig.15). Fig 15. Creación de perfiles autorizados en el sistema. Como es evidente en cada perfil se hace una breve descripción para contar con un apoyo en el futuro cuando se requiera hacer algún cambio, dar seguimiento de actividades, o simplemente para cuando llega un nuevo usuario a la posición, solo se tiene que copiar el perfil a la cuenta del usuario nuevo (ver en el apartado ESTANDARIZAR del SGSI). 31

32 Finalmente pasamos a la implementación de la estructura y estandarización de contraseñas. Aplicamos lo definido con anterioridad en el apartado PLANEACIÓN en la ventana de configuración de password. Fig 16. Configuración de contraseñas. 4. ESTANDARIZAR Para este proyecto es parte medular manejar estandares de los perfiles de usuario, ya que es lo que se busca conseguir desde un principio y es por ello que desde la planeación se tomo en cuenta y se definieron los perfiles que integran la operación completa de nuestra organización, por tanto, cuando un usuario cambia de posición o llega un nuevo usuario, basta con ir al sistema buscar el perfil al que pertenece y copiar los permisos a su cuenta de usuario. Esto garantiza que los permisos sean los correctos de acuerdo a las actividades propias de sus funciones, rapidez y efectividad. Con esto tambien podemos garantizar el cumplimiento principal del SGSI que es mantener la Integridad, confidencialidad y disponibilidad de la información, que en el sistema ERP se maneja. 32

33 Fig 17. Copiar un perfil a un usuario. Para contar con un apoyo se realizo una Guía de Alineación, donde se describe el procedimiento, politicas y responsabilidades de cada parte, asi como las generalidades del proyecto Re-implementación en la Seguridad de la Información del Sistema ERP. Con esta guía lo que se busca es informar a la organización de esta implementación, así como documentación del mismo para futuras consultas. Aunado a la guía de alineación, se generan los procedimientos para solicitud de cuentas, actualizaciones y permisos. Que deberan ser validados y autorizados por el Líder de la unidad, Desarrollo Humano y el Líder de TI, firmando el formato correspondiente de dicha solicitud, llevando una bítacora de estos documentos en caso de que en auditorias del C-TPAT sean requeridos. La Unidad de Desarrollo Humano será responsable de manejar las solicitudes de altas de usuarios a la Unidad de Soporte TI. 33

34 5. SEGUIR En este punto, y, contemplando el constante crecimiento y los cambios que en la organización suceden día a día, se desarrollo una plataforma de elearning, donde se podran colocar manuales, video tutoriales, y auto evaluaciones, estos documentos seran desarrollados por los usuarios clave (Key_User) quienes son colaboradores con amplio conocimiento de su area, sin embargo, al ser usuarios clave muchas veces esta etapa de transmitir el conocimiento se ve truncada por las actividades diarias y de gran importancia que desempeñan; es por ello que se implementa esta plataforma en apoyo de ambas partes. Fig 18. Plataforma elearning. 34

35 Con esta plataforma, se busca poder contar con una biblioteca digital, donde se podrá encontrar información que sirva en el entrenamiento de nuevos usuarios o cambio de posiciones, en las capacitaciones que se requieran Re-Implementación y cambio de version del sistema ERP Visual Manufacturing 7.2 y no solo eso, se busca que esta misma plataforma apoye a la organización entera para compartir este tipo de informacion digital, y dar un plus en el servicio por parte de TI apoyando a las demás áreas convirtiendo una empresa que este a la vanguardia tecnologicamente hablando. 35

36 XI. RESULTADOS OBTENIDOS Al tiempo de entrega de este documento, los resultados son: 1. Detección de problemas con el user_name. No se listan los nuevos usuarios, este es un bug que se encontró en la nueva versión del sistema, la acción inmediata que se realizó fue, generar un usuario/perfil similar al original, ejemplo: HILNOSA (usuario principal) y HILNOS (usuario similar) el sistema tiene un límite de 8 caracteres para el user_name, razón por la que se planeó utilizar una nomenclatura (7 caracteres), ya que automáticamente se le agrega un pseudo-usuario que se relaciona con el usuarios principal, a este pseudo-usuario se le agrega un símbolo #, al ser agregado este símbolo, cumplíamos con la limitante de 8 caracteres. Sin embargo, por algún bug que trae esta nueva versión, no se estaba generando el pseudo-usuario, pero al generar otro usuario principal similar se corrige el bug y mostraba a los usuarios nuevos en el listado. El proveedor ya fue informado de esta inconformidad y estamos a la espera de la solución permanente. 2. Cuando se generan por ejemplo, Órdenes de Compra y se quieren asignar a otro usuario, con la nueva nomenclatura los usuarios presentaban inconformidades o dudas acerca del usuario al que le asignaban la orden, por lo tanto tuvimos que usar una tabla llamada Employee que el sistema ya tenía pero que no se estaba utilizando, en esta tabla se ingresaron los nombres de usuarios y su número de empleado. Y con la modificación del archivo browser.ini, integrando una consulta a la base de datos que contiene la tabla Employee, se realizó una relación con el número de empleado y el user_name del sistema, al mismo tiempo en este archivo browser.ini se le dieron valores para que mostrara los datos del usuarios que se relacionaron, en cada ventana donde el sistema por default mostraba el user_name, esta solución funciono perfectamente y así los usuarios podían tener la certeza de a quien pertenecía la orden de compra o cualquier otra operación. 36

37 3. Reducción de los tiempos para generar nuevos usuarios o cambios de permisos. Anteriormente se creaba al usuario y se asignaban permisos 1 a 1, lo cual se exponía ampliamente a cometer errores durante el proceso. Con la creación de los perfiles, ahora solo se crea el usuario y se copia el perfil correspondiente reduciendo ampliamente el tiempo del proceso de creación de cuentas a menos de 5 minutos, tomando en cuenta que el mayor tiempo se lleva en aplicar los cambios. Fig 19. Plataforma elearning. 37