INSTITUTO POLITECNICO NACIONAL TESINA

Tamaño: px
Comenzar la demostración a partir de la página:

Download "INSTITUTO POLITECNICO NACIONAL TESINA"

Transcripción

1 INSTITUTO POLITECNICO NACIONAL ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA UNIDAD CULHUACAN AUDITORÍA AL MÓDULO CRM DE SAP DE CORPORACIÓN HRC TESINA QUE PARA OBTENER EL TITULO DE: LICENCIADO EN CIENCIAS DE LA INFORMÁTICA INGENIERO EN COMPUTACION INGENIERO EN INFORMÁTICA INGENIERO EN COMUNICACIONES Y ELECTRÓNICA P R E S E N T A N: ALEJANDRA IZQUIERDO GARCÍA DANIEL TLACAELEL PARRA VIVAR DAVID ALEJANDRO NEGRETE VÁZQUEZ JOSÉ ALFREDO VILLEGAS RAMÍREZ ASESOR: M. EN C. RAYMUNDO SANTANA ALQUICIRA MEXICO D. F. 2010

2 IPN ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA UNIDAD CULHUACAN TESINA QUE PARA OBTENER EL TITULO DE: INGENIERO EN COMPUTACION INGENIERO EN INFORMÁTICA LICENCIADO EN CIENCIAS DE LA INFORMÁTICA INGENIERO EN COMUNICACIONES Y ELECTRÓNICA NOMBRE DEL SEMINARIO: AUDITORIA DE LAS TECNOLOGIAS DE LA INFORMACION Y COMUNICACIONES VIGENCIA DES/ESIME-CUL-2009/38/10 DEBERA DESARROLLAR: Alejandra Izquierdo García Daniel Tlacaelel Parra Vivar David Alejandro Negrete Vázquez José Alfredo Villegas Ramírez NOMBRE DEL TEMA AUDITORÍA AL MÓDULO CRM DE SAP DE CORPORACIÓN HRC CAPITULADO I. INTRODUCCION A LA AUDITORIA EN TI II. ERP III. COBIT IV. DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS V. AUDITORIA AL MODULO CRM DE SAP DE CORPORACIÓN HRC México D.F. Agosto de 2010 M. EN C. RAYMUNDO SANTANA ALQUICIRA ING. MIGUEL ANGEL MIRANDA HERNANDEZ Coordinador del Seminario Instructor del Seminario M. EN C. LUIS CARLOS CASTRO MADRID Jefe de la carrera de I.C.

3 ÍNDICE Objetivo... 6 Problemática... 6 Justificación... 6 Alcance... 6 CAPÍTULO I. Introducción a la Auditoría en TI Antecedentes Auditoría en Tecnologías de Información... 9 CAPITULO II. ERP La evolución de los sistemas ERP Definición Características Módulos de un ERP MPR (Material Requirement Planning) SCM (Supply Chain Management) CRM (Customer Relationship Management) HRM (Human Resource Management) FRM (Finance Resource Management) Implantación Ventajas Desventajas Enfoques del ERP Conductores del negocio Las ganancias que genera Adquisición de un ERP CRM - SAP Customer Relationship Management Funcionalidad específica de cada industria CAPÍTULO III. COBIT Definición Misión La necesidad de un marco de trabajo para el gobierno de TI Por qué Quién

4 3.3.3 Qué Orientado al negocio Criterios de Información de COBIT Metas de negocio y de TI Recursos de TI Orientado a Procesos Planear y Organizar (PO) Adquirir e Implementar (AI) Entregar y Dar Soporte (DS) Monitorear y Evaluar (ME) Basado en controles Controles Controles del Negocio y de TI Controles generales de TI y Controles de Aplicación Impulsado por la medición Modelos de Madurez Modelo Genérico de Madurez Aceptabilidad General de COBIT CAPÍTULO IV. DS5 Garantizar la Seguridad de los Sistemas Objetivos de Control DS5.1 Administración de la Seguridad de TI DS5.2 Plan de Seguridad de TI DS5.3 Administración de Identidad DS5.4 Administración de cuentas de usuario DS5.5 Pruebas, vigilancia y monitoreo de la seguridad DS5.6 Definición de incidentes de seguridad DS5.7 Protección de la tecnología de seguridad DS5.8 Administración de llaves criptográficas DS5.9 Prevención, detección y corrección de software malicioso DS5.10 Seguridad de la red DS5.11 Intercambio de datos sensitivos CAPÍTULO V. Auditoria al Modulo CRM de SAP de Corporación HRC Introducción a HRC

5 5.2 Definición del Proyecto Planeación Realización de un plan de trabajo Reunión con el CEO de Corporación HRC Elaboración y Aceptación de Carta de Asignación de Auditoría Junta de Inicio Generación del Programa de Auditoría Ejecución Realización de entrevistas Solicitud y Recepción del requerimiento de información Revisión y validación de la información solicitada Ejecución de Pruebas Aclaración de dudas Validación de Hallazgos Cierre del Proyecto de Auditoría Elaboración de mapa de riesgos Benchmarking COBIT Elaboración de Entregables Entrega de Resultados Presentación de cierre Conclusiones Anexos Anexo I Anexo II Anexo III Anexo IV Anexo V Anexo VI Anexo VII Índice de Tablas y Figuras Glosario Bibliografía

6 Introducción Objetivo Evaluar los controles generales de seguridad del módulo CRM dentro del ERP SAP para emitir recomendaciones a Corporación HRC con base a las buenas prácticas de la industria. Problemática Se han registrado diversos incidentes de accesos no autorizados a la aplicación, de los cuales no se tiene suficiente información para deslindar responsabilidades. Se tiene el conocimiento que hay información de clientes que ha sido revelada sin autorización. Justificación El realizar una auditoría en TI a Corporación HRC apoyada en COBIT se favorece a la detección de los riesgos y vulnerabilidades que asegura una entrega del servicio siguiendo las buenas prácticas de la industria. Alcance Se revisarán los controles generales del módulo SAP CRM siguiendo las buenas prácticas de COBIT tomando como referencia el proceso DS5 Garantizar la Seguridad de los Sistemas. 6

7 CAPÍTULO I. Introducción a la Auditoría en TI 1.1 Antecedentes Durante la historia de las sociedades, el concepto de seguridad ha incrementado su importancia, ya que día con día abarca diferentes aspectos de las actividades cotidianas y sin duda alguna, su influencia en las instituciones es de suma importancia debido a los altos índices de vulnerabilidad y daños ocasionados por la falta de una cultura al tema de la seguridad, lo que provoca un aumento en los niveles de riesgo. Se puede destacar que la seguridad impacta como problemática en aspectos organizacionales, de diseño y tecnológicos, entre otros. En el ámbito organizacional, las instituciones con frecuencia olvidan considerar la función de seguridad de manera formal, desde su misma estructura orgánica, lo cual genera la ausencia de funciones y responsabilidades relacionadas con la misma; los canales de comunicación se tornan oscuros y discrecionales para atender los incidentes de seguridad, por lo que generalmente se basan en medios informales y poco comprobables. Por lo anterior, se ha identificado que los esquemas de seguridad carecen de consistencia, ya que no se encuentran alineados a la organización, lo que implica que dichas actividades no están definidas en el respectivo marco de referencia que regula el funcionamiento de la organización, tales como manuales de organización, políticas, procedimientos, etc, y de forma natural, nadie asume la responsabilidad de los riesgos, ni la implantación de medidas de seguridad, ya que generalmente se adoptan de manera parcial, una vez que el riesgo se ha materializado. Sin embargo, la ausencia de una cultura preventiva, ocasiona que no se valoricen los beneficios inmediatos de realizar inversiones razonables en el tema de seguridad, lo que se traduce en algún momento de la existencia de la institución, en pérdidas no sólo económicas, sino de imagen. En este orden de ideas, la situación real suele ser que en las empresas se implementan soluciones de seguridad de acuerdo a aspectos específicos, que no contemplan una adecuada definición de estrategias, normas, procedimientos, etc., que fortalezcan los sistemas de control enfocados a asumir determinado nivel de riesgo y así fortalecer la toma de decisiones correspondientes. 7

8 Actualmente, y dados los avances tecnológicos que han venido surgiendo, se constata que cada vez es más prioritario para los proveedores, legisladores, auditores, usuarios y accionistas el contar elementos que permitan controlar y evaluar los diferentes aspectos de la tecnológica de la información, principalmente lo relacionado con la seguridad, ya que se reconoce como factor crítico para el éxito y la supervivencia de las organizaciones, que su infraestructura en tecnologías de información sea administrada efectivamente. Lo anterior, debido a que la disposición de la información sin restricciones de tiempo, distancia y velocidad, hacen que se genere una creciente dependencia en información en los sistemas que proporcionan la misma; que exista una gran vulnerabilidad, amenazas y ataques que están dirigidos a bloquear la información que se produce y una gran escala y el costo de las inversiones actuales para la generación y seguridad de la información. En todo el mundo y principalmente para la mayoría de la empresas, la información y la tecnología que la soporta, representan los activos más valiosos de la misma, ya que verdaderamente la información y sus sistemas se encuentran incrustados en las mismas, desde los usuarios finales, hasta su infraestructura tecnológica. En este sentido, las empresas tanto del sector público como del privado, han venido reconociendo los beneficios potenciales que la tecnología puede brindar, y se ha creado una carrera desenfrenada en la que el éxito de las organizaciones, depende de cómo se comprenden, administren, regulen y se controlen los riesgos asociados con la implementación de recursos de tecnología y su vinculación con los procesos de negocios de las organizaciones. Con el fin de contar con elementos que permitan mantener la relación de riesgos e inversiones controladas y en equilibrio, el concepto de control y regulación ha generado en la actualidad conceptos confusos en la tarea ardua de implementar buenos controles en tecnologías de información, los cuales soporten exitosamente la cadena de valor de cada una de las organizaciones. Para lograr determinar una evaluación adecuada con respecto a los controles en tecnologías de información, de manera sustancial, los auditores han tenido que tomar el liderazgo en estos esfuerzos, ya que se enfrentan cotidianamente a la necesidad de soportar y sustentar sus opiniones frente a la administración, acerca de los controles internos que garantizan razonablemente la confiabilidad de la información que en ellos que se genera y por ende el cumplimiento de sus metas y objetivos. 8

9 En este sentido, la auditoría en TI deberá valorar aspectos relacionados con los sistemas operativos, software comercial, de comunicaciones, de bases de datos, de proceso, de aplicaciones e indudablemente las instalaciones y aspectos físicos. A continuación se describen algunos puntos que deben contemplarse al realizar una auditoría de seguridad y determinar si existen controles adecuados para proteger la integridad y confiabilidad de los equipos, software e información, contra usos y modificaciones no autorizados, por daño y/o pérdida. 1.2 Auditoría en Tecnologías de Información La auditoría puede definirse como un proceso sistemático por el cual un equipo o una persona calificada competente e independiente obtienen y evalúa objetivamente la evidencia respecto a las afirmaciones acerca de un proceso con el fin de formarse una opinión sobre el particular e informar sobre el grado de cumplimiento en que se implementa dicha afirmación. La auditoría Sistemas de Información puede definirse como cualquier auditoría que abarca la revisión y evaluación (parcial o total) de los sistemas automatizados de procesamiento de información, procesos relacionados no automatizados y las interfaces entre ellos. Fases de la Auditoría Fase Descripción Sujeto de la Auditoría Identificar el área que será auditada. Objeto de la Auditoría Identificar el propósito de la auditoría. Alcance de la Auditoría Identificar los sistemas, funciones o unidades específicos de la organización que serán incluidos en la revisión. Planeación de la preauditoría Identificar habilidades y recursos técnicos necesarios. Identificar las fuentes de información para prueba o revisión tales como flujogramas, políticas, estándares, procedimientos y papeles de trabajo de auditorías anteriores. Identificar las localidades o instalaciones que serán auditadas. 9

10 Procedimientos de auditoría y pasos para la recolección de datos Identificar y seleccionar el enfoque de auditoría para verificar y comprobar los controles. Identificar una lista de individuos que serán entrevistados. Identificar y obtener las políticas estándares y directrices departamentales para realizar la revisión. Desarrollar herramientas y metodología para probar y verificar el control. Procedimientos para evaluar los resultados de la prueba o la revisión Procedimientos para las comunicaciones con la gerencia Preparación del reporte de auditoría Específico de la Organización Específico de la Organización Identificar los procedimientos de seguimiento de la revisión. Identificar los procedimientos para evaluar / probar la eficiencia y efectividad operacional. Identificar los procedimientos para probar los controles. Revisar y evaluar la calidad de los documentos, políticas y procedimientos. Tabla 1.1 Fases de la Auditoria 10

11 CAPITULO II. ERP Los sistemas de planificación de recursos empresariales (ERP) son sistemas de información gerenciales que integran y manejan muchos de los negocios asociados con las operaciones de producción y de los aspectos de distribución de una compañía comprometida en la producción de bienes o servicios. La Planificación de Recursos Empresariales es un término derivado de la Planificación de Recursos de Manufactura (MRPII) y seguido de la Planificación de Requerimientos de Material (MRP). Los sistemas ERP normalmente manejan la producción, logística, distribución, inventario, envíos, facturas y una contabilidad para la compañía de la Planificación de Recursos Empresariales o el software ERP puede intervenir en el control de muchas actividades de negocios como ventas, entregas, pagos, producción, administración de inventarios, calidad de administración y la administración de recursos humanos. Los ERP están funcionando ampliamente en todo tipo de empresas modernas. Todos los departamentos funcionales que están involucrados en la operación o producción están integrados en un solo sistema. Además de la manufactura o producción, almacenamiento, logística e información tecnológica, incluyen además la contabilidad, y suelen incluir recursos humanos, y herramientas de mercadotecnia y administración estratégica. 2.1 La evolución de los sistemas ERP La evolución de los sistemas de planificación de recursos empresariales (ERP) se remonta a la década de los 70, cuando se comienza a utilizar un software llamado MRP (Material Requirement Planning), cuyo objetivo era planificar las operaciones de producción dentro de las compañías. Sin embargo, en la actualidad dentro de los sistemas de planificación de recursos empresariales (ERP) surgen productos que son enfocados específicamente de acuerdo a los negocios de cada compañía comprometidas ya sean en la producción de bienes o servicios (Fig. 2.1). Por lo que un sistema de planificación de recursos empresariales constituye la base del desarrollo de los sistemas especializados de gestión. 11

12 2.2 Definición Fig. 2.1 Los sistemas de planificación de recursos empresariales (ERP) Los sistemas de planificación de recursos de la empresa (en inglés ERP, Enterprise Resource Planning) son sistemas de gestión de información que integran y automatizan muchas de las prácticas de negocio asociadas con los aspectos operativos o productivos de una empresa. Los sistemas ERP son sistemas integrales de gestión para la empresa. Se caracterizan por estar compuestos por diferentes partes integradas en una única aplicación. Estas partes son de diferente uso, por ejemplo: producción, ventas, compras, logística, contabilidad (de varios tipos), gestión de proyectos, GIS (sistema de información geográfica), inventarios y control de almacenes, pedidos, nóminas, etc. Sólo podemos definir un ERP como la integración de todas estas partes. Lo contrario sería como considerar un simple programa de facturación como un ERP por el simple hecho de que una empresa integre únicamente esa parte. Ésta es la diferencia fundamental entre un ERP y otra aplicación de gestión. El ERP integra todo lo necesario para el funcionamiento de los procesos de negocio de la empresa. No podemos hablar de ERP en el momento que tan sólo se integra uno o una pequeña parte de los procesos de negocio. La propia definición de ERP indica la necesidad de "Disponibilidad de toda la información para todo el mundo todo el tiempo". 12

13 Los objetivos principales de los sistemas ERP son: Optimización de los procesos empresariales. Acceso a toda la información de forma confiable, precisa y oportuna (integridad de datos). La posibilidad de compartir información entre todos los componentes de la organización. Eliminación de datos y operaciones innecesarias de reingeniería. El propósito fundamental de un ERP es otorgar apoyo a los clientes del negocio, tiempos rápidos de respuesta a sus problemas, así como un eficiente manejo de información que permita la toma oportuna de decisiones y disminución de los costos totales de operación. 2.3 Características Las características que distinguen a un ERP de cualquier otro software empresarial, es que deben de ser sistemas integrales, con modularidad y adaptables: Integrales, porque permiten controlar los diferentes procesos de la compañía entendiendo que todos los departamentos de una empresa se relacionan entre sí, es decir, que el resultado de un proceso es punto de inicio del siguiente. Por ejemplo, en una compañía, el que un cliente haga un pedido representa que se cree una orden de venta que desencadena el proceso de producción, de control de inventarios, de planificación de distribución del producto, cobranza, y por supuesto sus respectivos movimientos contables. Si la empresa no usa un ERP, necesitará tener varios programas que controlen todos los procesos mencionados, con la desventaja de que al no estar integrados, la información se duplica, crece el margen de contaminación en la información (sobre todo por errores de captura) y se crea un escenario favorable para malversaciones. Con un ERP, el operador simplemente captura el pedido y el sistema se encarga de todo lo demás, por lo que la información no se manipula y se encuentra protegida. Modulares, los ERP entienden que una empresa es un conjunto de departamentos que se encuentran interrelacionados por la información que comparten y que se genera a partir de sus procesos. Una ventaja de los ERP, tanto económica como técnica es que la funcionalidad se encuentra dividida en módulos, los cuales pueden instalarse de acuerdo con los 13

14 requerimientos del cliente. Ejemplo: ventas, materiales, finanzas, control de almacén, recursos humanos, etc. Adaptables, los ERP están creados para adaptarse a la idiosincrasia de cada empresa. Esto se logra por medio de la configuración o parametrización de los procesos de acuerdo con las salidas que se necesiten de cada uno. Por ejemplo, para controlar inventarios, es posible que una empresa necesite manejar la partición de lotes pero otra empresa no. Los ERP más avanzados suelen incorporar herramientas de programación de 4ª Generación para el desarrollo rápido de nuevos procesos. La parametrización es el valor añadido fundamental que debe contar cualquier ERP para adaptarlo a las necesidades concretas de cada empresa. 2.4 Módulos de un ERP MPR (Material Requirement Planning) Los sistemas de planeación de los requerimientos de material (MPR), son sistemas que surgen de la necesidad de integrar la cantidad de artículos a fabricar con un correcto almacenaje de inventario, ya sea de producto terminado, producto en proceso, materia prima o componentes. Puede decirse que el MRP es un Sistema de Control de Inventario y Programación que responde a las interrogantes: Qué orden fabricar o comprar? Cuánta cantidad de la orden? Cuándo hacer la orden? Su objetivo es disminuir el volumen de existencia a partir de lanzar la orden de compra o fabricación en el momento adecuado según los resultados del Programa Maestro de Producción. Su aplicación es útil donde existan algunas de las condiciones siguientes: El producto final es complejo y requiere de varios niveles de subensamble y ensamble. El producto final es costoso. El tiempo de procesamiento de la materia prima y componentes, sea grande. El ciclo de producción del producto final sea largo. Se desee consolidar los requerimientos para diversos productos. El proceso se caracteriza por ítems con demandas dependientes fundamentalmente y la fabricación sea intermitente (por lotes). 14

15 2.4.2 SCM (Supply Chain Management) Los sistemas de gestión de la configuración de software (SCM,) es el término utilizado para describir el conjunto de operaciones de producción y logística cuyo objetivo final es la entrega de un producto a un cliente. Esto quiere decir, que la gestión de la configuración de software (SCM) incluye las actividades asociadas desde la obtención de materiales para la transformación del producto, hasta su colocación en el mercado. Los sistemas de gestión de la configuración de software (SCM) utilizan los conceptos de e-business y tecnologías Web para coordinar y optimizar los procesos de ámbito empresarial en todas y cada una de las áreas de su empresa: desde el proveedor hasta el cliente. Los sistemas de gestión de la configuración de software (SCM) no dejan de tener sus inconvenientes. Así, los mercados electrónicos, que habían sido considerados como los benefactores de la eficiencia de la gestión de la configuración de software (SCM), han resultado menos que productivos. Asimismo, las incompatibilidades entre empresas vendedoras complican la búsqueda de una combinación de soluciones adecuada para integrar de extremo-a-extremo la configuración de software. Sin embargo, una compañía puede utilizar una solución SCM para alcanzar una ventaja competitiva y mejorar su margen de beneficio: ofreciendo una mayor visibilidad en la totalidad de la cadena de suministro, las empresas pueden reducir los gastos, mejorar la eficiencia operacional y responder con mayor rapidez a la demanda del cliente CRM (Customer Relationship Management) Los sistemas de administración de la relación con los clientes (CRM), es parte de una estrategia de negocio centrada en el cliente. Una parte fundamental de su idea es, precisamente, la de recopilar la mayor cantidad de información posible sobre los clientes, para poder dar valor a la oferta. La empresa debe trabajar para conocer las necesidades de los mismos y así poder adelantar una oferta y mejorar la calidad en la atención. Cuando hablamos de mejorar la oferta nos referimos a poder brindarles soluciones a los clientes que se adecuen perfectamente a sus necesidades. Por lo tanto, el nombre CRM hace referencia a una estrategia de negocio basada principalmente en la satisfacción de los clientes, pero también a los sistemas informáticos que dan soporte a esta estrategia. 15

16 2.4.4 HRM (Human Resource Management) Los sistemas de administración de recursos humanos (HRM), son parte de una estrategia entre la gestión de recursos humanos y la tecnología de información. Esto combina los recursos Humanos y en particular sus actividades administrativas con los medios puestos a su disposición por la informática, y se refieren en particular a las actividades de planificación y tratamiento de datos para integrarlos en un único sistema de gestión. En general, la función de los recursos humanos incluye siempre una parte importante de tareas administrativas y repetitivas en la mayoría de las organizaciones. Éstas tienen integradas, de forma más o menos importante, las operaciones de establecimiento y pago de remuneraciones, asistencia de los trabajadores, evaluaciones, contratación, ascensos... Una gestión eficaz del capital humano se convierte en una operación necesaria para los profesionales de los recursos humanos. Su función consiste primero en recoger los datos para cada trabajador relativos a su historial y características personales, sus competencias y capacidades, hasta los datos más accesibles tales como sus remuneraciones y sus labores en la empresa. La cuantificación de estos datos y la sistematización para su tratamiento permite su manejo posterior por sistemas de administración de recursos humanos (HRM), reduciendo el tratamiento manual de las operaciones, costosa fuente de errores FRM (Finance Resource Management) Los sistemas de administración de recursos financieros (FRM), son sistemas que surgen de la necesidad de integrar todo tipo de datos contables como son las proyección de ventas, el ingreso y los activos tomando como base estrategias alternativas de producción y mercadotecnia así como la determinación de los recursos que se necesitan para lograr estas proyecciones. 16

17 2.5 Implantación Las metodologías de implantación de los ERP en la empresa no siempre son todo lo simples que se desearía, dado que entran en juego múltiples facetas. No hay recetas mágicas ni guiones explícitos para implantaciones exitosas; solamente trabajo bien realizado, una correcta metodología y aspectos que deben cuidarse antes y durante el proceso de implantación, e inclusive cuando el sistema entra en función. Por ello, antes, durante y después de la implantación de un ERP es conveniente efectuar lo siguiente: Definición de resultados a obtener con la implantación de un ERP. Definición del modelo de negocio. Definición del modelo de gestión. Definición de la estrategia de implantación. Evaluación de oportunidades para software complementario al producto ERP. Alineamiento de la estructura y plataformas tecnológicas. Análisis del cambio organizativo. Entrega de una visión completa de la solución a implantar. Implantación del sistema. Controles de calidad. Auditoría del entorno técnico y del entorno de desarrollo. Benchmarking de la implantación. Con la implementación de los sistemas ERP, las compañías muchas veces buscan la ayuda de un proveedor o vendedor de ERP o de compañías consultoras. Consultar en el ERP incluye dos niveles, que son consulta de negocios y consulta técnica. Una consulta de negocios estudia los procesos de negocios actuales de las compañías y muchos de estos corresponden a los procesos del sistema ERP, a través de la configuración de los sistemas ERP para las necesidades de las organizaciones. La consulta técnica muchas veces implica programación. La mayoría de los vendedores de ERP permiten modificar su software para las necesidades de los negocios de sus clientes. 2.6 Ventajas Un fabricante que no disponga de un ERP, en función de sus necesidades, puede encontrarse con muchas aplicaciones de software cerradas, que no se pueden personalizar, y no se optimizan para su negocio. Diseño de ingeniería para mejorar el producto, seguimiento del cliente desde la aceptación hasta la satisfacción completa, una compleja administración de interdependencias de los 17

18 recibos de materiales, de los productos estructurados en el mundo real, de los cambios de la ingeniería y de la revisión y la mejora, y la necesidad de elaborar materiales substitutos, etc. La ventaja de tener un ERP es que todo esto, y más, está integrado. El cambio como un producto está hecho en los detalles de ingeniería, y es como ahora será hecho. La efectividad de datos puede usarse para el control cuando el cambio ocurra desde una versión anterior a la nueva, en ambos productos los datos van encaminados hacia la efectividad y algunos van a la suspensión del mismo. Parte del cambio puede incluir la etiqueta para identificar el número de la versión (código de barras). La seguridad de las computadoras está incluida dentro del ERP, para proteger en contra de crímenes externos, tal como el espionaje industrial y crimen interno, tal como malversación. Una falsificación en el escenario de los datos puede involucrar terrorismo alterando el recibo de materiales como por ejemplo poner veneno en los productos alimenticios, u otro sabotaje. La seguridad del ERP ayuda a prevenir el abuso. Hay conceptos de mercadeo y ventas (los que incluyen CRM o la relación administrativa con los consumidores, back end (el trabajo interno de la compañía para satisfacer las necesidades de los consumidores) que incluye control de calidad, para asegurarse que no hay problemas no arreglados, en los productos finales; cadena de abastecimiento (interacción con los proveedores y la infraestructura). Todo esto puede ser integrado a través de la ERP, aunque algunos sistemas tengan espacios de menos comprensibilidad y efectividad. Sin un ERP que integre todo esto, puede ser complicado para la administración de la manufactura. 2.7 Desventajas Muchos de los problemas que tienen las compañías con el ERP son debido a la inversión inadecuada para la educación continua del personal relevante, incluyendo los cambios de implementación y de prueba, y una falta de políticas corporativas que afectan a cómo se obtienen los datos del ERP y como se mantienen actualizados. 18

19 Limitaciones y obstáculos del ERP incluyen: El éxito depende en las habilidades y la experiencia de la fuerza de trabajo, incluyendo la educación y como hacer que el sistema trabaje correctamente. Muchas compañías reducen costos reduciendo entrenamientos. Los propietarios de pequeñas empresas están menos capacitados, lo que significa que el manejo del sistema ERP es operado por personal que no está capacitado para el manejo del mismo. Cambio de personal, las compañías pueden emplear administradores que no están capacitados para el manejo del sistema ERP de la compañía empleadora, proponiendo cambios en las prácticas de los negocios que no están sincronizados con el sistema. La instalación del sistema ERP es muy costosa. Los vendedores del ERP pueden cargar sumas de dinero para la renovación de sus licencias anuales, que no está relacionado con el tamaño del ERP de la compañía o sus ganancias. El personal de soporte técnico en ocasiones contesta a las llamadas inapropiadas de la estructura corporativa. Los ERP son vistos como sistemas muy rígidos, y difíciles de adaptarse al flujo específico de los trabajadores y el proceso de negocios de algunas compañías, este punto se cita como una de las principales causas de falla. Los sistemas pueden ser difíciles de usarse. Los sistemas pueden sufrir problemas de "el eslabón más débil": la ineficiencia en uno de los departamentos o en uno de los empleados puede afectar a otros participantes. Muchos de los eslabones integrados necesitan exactitud en otras aplicaciones para trabajar efectivamente. Una compañía puede lograr estándares mínimos, y luego de un tiempo los "datos sucios" (datos inexactos o no verificados) reducirán la confiabilidad de algunas aplicaciones. Una vez que el sistema esté establecido, los costos de los cambios son muy altos (reduciendo la flexibilidad y las estrategias de control). La mala imagen de unión de la compañía puede causar problemas en su contabilidad, la moral de sus empleados y las líneas de responsabilidad. La resistencia en compartir la información interna entre departamentos puede reducir la eficiencia del software. Hay problemas frecuentes de compatibilidad con algunos de los sistemas legales de los socios. 19

20 Los sistemas pueden tener excesiva ingeniería respecto a las necesidades reales del consumidor. 2.8 Enfoques del ERP Un sistema de planificación de recursos empresariales mejora claramente el "tono muscular" de una compañía, proporcionándole el potencial de reaccionar a mercados cambiantes, a la dinámica de los negocios, y a las necesidades de los clientes. Para comprender el potencial en la economía digital, la empresa necesita una infraestructura -un sistema nervioso- que una entre sí sus diferentes partes, una infraestructura que le permita actuar, reaccionar, y adaptarse más rápidamente que la competencia Conductores del negocio Los principales factores que dirigen el mercado en orden descendente son: Aumento en la necesidad de modernizar los procesos de negocios. Expansión de las estrategias de globalización por parte de las compañías. Generación de acciones organizacionales para una mayor flexibilidad y agilidad. Extensión de los procesos de administración de la cadena de suministros. Creciente énfasis en un servicio al cliente más eficiente. Mayor acceso a la información, requisito cada vez mayor. Limitación de la funcionalidad de los sistemas heredados en un ambiente cambiante. Preparación para la Unidad Monetaria Europea. La implementación de un sistema de ERP. Por lo general es largo y complejo ya que implica rediseñar los esquemas de trabajo. Su implementación es de alto riesgo, ya que envuelve complejidad, tamaño, altos costos, un equipo considerable de desarrollo, además de inversión de tiempo. En la mayoría de las empresas, se requiere remplazar la infraestructura existente, lo que implica inversión de capital adicional, especialización y hasta la posibilidad de parar el negocio temporalmente para la implementación: por otra parte es importante señalar que el grado de experiencia de los proveedores es un factor importante para el buen funcionamiento del sistema. Después de la implementación es importante asegurarse de la calidad y en la mejora del desempeño, para que así el sistema funcione correctamente a largo 20

21 plazo. También se debe analizar constantemente el retorno de inversión y aspectos clave como la optimización (El proceso de la optimización es una herramienta para mostrar los beneficios de la implementación del sistema de ERP y alcanzar la esperada eficiencia organizacional), la cual proporciona ideas que no fueron consideradas durante la implementación como por ejemplo la expansión del software implementado; es importante ver a la optimización como un proceso de mejora continua. El éxito de la implementación del sistema depende de la habilidad de la empresa para integrar y consolidar la funcionalidad del sistema de ERP. Si una empresa tiene bien estructurada y con una metodología bien definida la implementación de un sistema de ERP, y logra progresar desde la etapa de selección hasta la etapa de operación, puede reducir el grado de riesgo y mejorar la probabilidad de que dicha implementación sea un éxito Las ganancias que genera Cuando los administradores de una compañía se deciden a invertir una gran cantidad de capital en una implementación de un sistema de planificación de recursos empresariales (ERP) hay un cambio total de cómo opera la compañía, comparado con la manera tradicional. Las organizaciones que pueden adaptarse armoniosamente a un sistema de planificación de recursos empresariales (ERP) pueden aprovechar al 100% las ventajas y colocarse delante de las demás, creando una ventaja competitiva. Un problema de empresas que han ido creciendo con el paso de los años, es que éstas han ido adquiriendo diversas compañías, las cuales manejan sistemas transaccionales más pequeños unidos por otro sistema de planificación de recursos empresariales (ERP), y en muchos casos diseñado especialmente a las necesidades de cada compañía, por lo que se tiene que hacer una gran inversión para la adaptación de éstos sistemas. En una economía global, muchas veces el éxito de una compañía depende de las inversiones que ésta haga en tecnología. La implementación de un sistema de planificación de recursos empresariales (ERP) es un reto actual para las compañías; y si se logra su buena implementación y mejora continua puede significar el éxito en la misma. 21

22 2.8.3 Adquisición de un ERP Las empresas proveedoras de los sistemas de planificación de recursos empresariales (ERP), están reduciendo sus precios e incluso, algunas están ofreciendo soluciones accesibles, mediante financiamiento. Además, ya están enfocados en la renta de herramientas, lo que hace que la implementación sea casi inmediata con una inversión mínima y con resultados visibles en muy poco tiempo. A pesar de esto, dichas aplicaciones suelen ser todavía muy costosas para algunos empresarios, y al mismo tiempo sienten la implementación muy dolorosa e infinita. Existen varias alternativas en la dirección de conseguir que la adopción de un sistema de planificación de recursos empresariales (ERP) por una compañía sea económicamente viable: La adquisición a crédito de un sistema planificación de recursos empresariales (ERP) pre configurado. La utilización de soluciones soportadas en Open Software. La subcontratación del servicio de ERP a través de un ASP (Application Server Provider). En este caso nos enfocamos a el PSA o ASP (Proveedor de Servicio de Aplicaciones), quien adquiere las licencias del ERP y además cuenta con la infraestructura de servidores, sistema operativo, DBMS e incluso personal para la administración de la infraestructura y el soporte técnico. La PYME no requiere adquirir toda esta infraestructura para realizar la implantación y en general sólo requiere invertir en PC s habilitadas con un browser y una conexión rápida a Internet. Además, por el hecho de rentar la aplicación, no se ocupa capacitar por tanto tiempo a los trabajadores. De esta manera, la empresa puede utilizar sus recursos, en otros aspectos débiles de la empresa. 2.9 CRM - SAP Customer Relationship Management A medida que el mercado se orienta cada vez más hacia el cliente, el desarrollo de los sistemas de servicio al cliente en los últimos años ha cobrado mayor importancia. El sistema de Customer Relationship Management (servicio de atención al cliente o servicio al cliente), le permite analizar y automatizar los procesos de servicios, ventas y marketing. Un buen sistema de control de clientes CRM le ayudará a 22

23 identificar a sus clientes más valiosos, comprender sus necesidades y hábitos de compra, personalizar la interacción de su organización con ellos y crear campañas de marketing dirigidas a targets específicos. Gracias a esta solución CRM, también podrá medir y administrar la rentabilidad de las campañas de marketing, mejorar los procesos de proyección y venta, incrementar la productividad de las interacciones de los centros de atención telefónica y ofrecer a sus socios y clientes autoservicios de crucial importancia. Todo esto es posible con el mejor software CRM de México que le otorga mayor control de clientes al facilitar una visión amplia de su negocio Funcionalidad específica de cada industria Sólo SAP CRM le proporciona una visibilidad de principio a fin de sus clientes y los medios para administrar procesos de negocio específicos de su industria y mayor control de clientes. Estos procesos integrados de CRM proporcionan insights en todos los puntos de contacto con el cliente para las funciones de marketing, ventas y servicio. Gracias a ello, usted puede tomar decisiones con una repercusión real en los negocios, a través de un control de clientes. 23

24 CAPÍTULO III. COBIT 3.1 Definición Los Objetivos de Control para la Información y la Tecnología relacionada (COBIT) brindan buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica. Las buenas prácticas de COBIT representan el consenso de los expertos. Están enfocadas fuertemente en el control y menos en la ejecución. Estas prácticas ayudarán a optimizar las inversiones habilitadas por TI, asegurarán la entrega del servicio y brindarán una medida contra la cual juzgar cuando las cosas no vayan bien. Para que TI tenga éxito en satisfacer los requerimientos del negocio, la dirección debe implementar un sistema de control interno o un marco de trabajo. El marco de trabajo de control COBIT contribuye a estas necesidades de la siguiente manera: Estableciendo un vínculo con los requerimientos del negocio Organizando las actividades de TI en un modelo de procesos generalmente aceptado Identificando los principales recursos de TI a ser utilizados Definiendo los objetivos de control gerenciales a ser considerados La orientación al negocio que enfoca COBIT consiste en alinear las metas de negocio con las metas de TI, brindando métricas y modelos de madurez para medir sus logros, e identificando las responsabilidades asociadas de los dueños de los procesos de negocio y de TI. El enfoque hacia procesos de COBIT se ilustra con un modelo de procesos, el cual subdivide TI en 34 procesos de acuerdo a las áreas de responsabilidad de planear, construir, ejecutar y monitorear, ofreciendo una visión de punta a punta de la TI. Los conceptos de arquitectura empresarial ayudan a identificar aquellos recursos esenciales para el éxito de los procesos, es decir, aplicaciones, información, infraestructura y personas. En resumen, para proporcionar la información que la empresa necesita para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos agrupados de forma natural. Una respuesta a los requerimientos de determinar y monitorear el nivel apropiado de control y desempeño de TI son las definiciones específicas de COBIT de los siguientes conceptos: 24

25 Benchmarking de la capacidad de los procesos de TI, expresada como modelos de madurez, derivados del Modelo de Madurez de la Capacidad del Instituto de Ingeniería de Software. Metas y métricas de los procesos de TI para definir y medir sus resultados y su desempeño, basados en los principios de Balanced Scorecard de Negocio de Robert Kaplan y David Norton. Metas de actividades para controlar estos procesos, con base en los objetivos de control detallados de COBIT La evaluación de la capacidad de los procesos basada en los modelos de madurez de COBIT es una parte clave de la implementación del gobierno de TI. Después de identificar los procesos y controles críticos de TI, el modelo de madurez permite identificar y demostrar a la dirección las brechas en la capacidad. Entonces se pueden crear planes de acción para llevar estos procesos hasta el nivel objetivo de capacidad deseado. COBIT da soporte al gobierno de TI al brindar un marco de trabajo que garantiza que: TI está alineada con el negocio TI habilita al negocio y maximiza los beneficios Los recursos de TI se usan de manera responsable Los riesgos de TI se administran apropiadamente, (Fig. 3.1) Fig. 3.1 Marco de Trabajo de COBIT La medición del desempeño es esencial para el gobierno de TI. COBIT le da soporte e incluye el establecimiento y el monitoreo de objetivos que se puedan medir, referentes a lo que los procesos de TI requieren generar (resultado del proceso) y cómo lo generan (capacidad y desempeño del proceso). Muchos estudios han identificado que la falta de transparencia en los costos, valor y riesgos de TI, es uno de los más importantes impulsores para el gobierno de TI. 25

26 Mientras las otras áreas consideradas contribuyen, la transparencia se logra de forma principal por medio de la medición del desempeño. 3.2 Misión Investigar, desarrollar, hacer público y promover un marco de control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopción por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento. 3.3 La necesidad de un marco de trabajo para el gobierno de TI Un marco de control para el Gobierno TI define las razones de por qué se necesita el Gobierno de TI, los interesados y que se necesita cumplir en el gobierno de TI Por qué Cada vez más, la alta dirección se está dando cuenta del impacto significativo que la información puede tener en el éxito de una empresa. La dirección espera un alto entendimiento de la manera en que la tecnología de información (TI) es operada y de la posibilidad de que sea aprovechada con éxito para tener una ventaja competitiva. En particular, la alta dirección necesita saber si con la información administrada en la empresa es posible que: Garantice el logro de sus objetivos Tenga suficiente flexibilidad para aprender y adaptarse Cuente con un manejo juicioso de los riesgos que enfrenta Reconozca de forma apropiada las oportunidades y actúe de acuerdo a ellas. Las empresas exitosas entienden los riesgos y aprovechan los beneficios de TI, y encuentran maneras para: Alinear la estrategia de TI con la estrategia del negocio Asegurar que los inversionistas y accionistas logran un debido cuidado estandarizado para la mitigación de los riesgos de TI Lograr que toda la estrategia de TI, así como las metas fluyan de forma gradual a toda la empresa Proporcionar estructuras organizacionales que faciliten la implementación de estrategias y metas Crear relaciones constructivas y comunicaciones efectivas entre el negocio y TI, y con socios externos Medir el desempeño de TI 26

27 Las empresas no pueden responder de forma efectiva a estos requerimientos de negocio y de gobierno sin adoptar e implementar un marco de Referencia de gobierno y de control para TI, de tal manera que: Se forme un vínculo con los requerimientos del negocio El desempeño real con respecto a estos requerimientos sea transparente Se organicen sus actividades en un modelo de procesos generalmente aceptado Se identifiquen los principales recursos a ser apalancados Se definan los objetivos de control Gerenciales a ser considerados Además, el gobierno y los marcos de trabajo de control están siendo parte de las mejores prácticas de la administración de TI y sirven como facilitadores para establecer el gobierno de TI y cumplir con el constante incremento de requerimientos regulatorios. Las mejores prácticas de TI se han vuelto significativas debido a varios factores: Directores de negocio y consejos directivos que demandan un mayor retorno de la inversión sobre TI, es decir, que TI genere lo que el negocio necesita para mejorar el valor de los Interesados (Stakeholders) Preocupación por el creciente nivel de gasto en TI La necesidad de satisfacer requerimientos regulatorios para controles de TI en áreas como privacidad y reportes financieros (por ejemplo, Sarbanes- Oxley Act, Base l II) y en sectores específicos como el financiero, farmacéutico y de atención a la salud La selección de proveedores de servicio y el manejo de Outsourcing y de Adquisición de servicios Riesgos crecientemente complejos de TI como la seguridad de redes Iniciativas de gobierno de TI que incluyen la adopción de marcos de referencia de control y de mejores prácticas para ayudar a monitorear y mejorar las actividades críticas de TI, aumentar el valor del negocio y reducir los riesgos de éste La necesidad de optimizar costos siguiendo, siempre que sea posible, un enfoque estandarizado en lugar de enfoques desarrollados en forma especial. La madurez creciente y la consecuente aceptación de marcos de trabajo respetados tales como COBIT, ITIL, ISO 17799, ISO 9001, CMM y PRINCE2 La necesidad de las empresas de valorar su desempeño en comparación con estándares generalmente aceptados y con respecto a su competencia (Benchmarking) 27

28 3.3.2 Quién Un marco de referencia de gobierno y de control requiere servir a una variedad de interesados internos y externos, cada uno de los cuales tiene necesidades específicas: Interesados dentro de la empresa que tienen interés en generar valor de las inversiones en TI: o Aquellos que toman decisiones de inversiones o Aquellos que deciden respecto a los requerimientos o Aquellos que utilizan los servicios de TI Interesados internos y externos que proporcionan servicios de TI: o Aquellos que administran la organización y los procesos de TI o Aquellos que desarrollan capacidades o Aquellos que operan los servicios Interesados internos y externos con responsabilidades de control/riesgo: o Aquellos con responsabilidades de seguridad, privacidad y/o riesgo o Aquellos que realizan funciones de cumplimiento o Aquellos que requieren o proporcionan servicios de aseguramiento Qué Para satisfacer los requerimientos previos, un marco de referencia para el gobierno y el control de TI, debe satisfacer las siguientes especificaciones generales: Brindar un enfoque de negocios que permita la alineación entre las metas de negocio y de TI. Establecer una orientación a procesos para definir el alcance y el grado de cobertura, con una estructura definida que permita una fácil navegación en el contenido. 28

29 Ser generalmente aceptable al ser consistente con las mejores prácticas y estándares de TI aceptados, y que sea independiente de tecnologías específicas. Proporcionar un lenguaje común, con un juego de términos y definiciones que sean comprensibles en general para todos los Interesados. Ayudar a satisfacer requerimientos regulatorios, al ser consistente con estándares de gobierno corporativo generalmente aceptados (COSO) y con controles de TI esperados por reguladores y auditores externos. 3.4 Orientado al negocio La orientación a negocios es el tema principal de COBIT. Está diseñado para ser utilizado no sólo por proveedores de servicios, usuarios y auditores de TI, sino también y principalmente, como guía integral para la gerencia y para los dueños de los procesos de negocio. El marco de trabajo COBIT se basa en el siguiente principio: Para proporcionar la información que la empresa requiere para lograr sus objetivos, la empresa necesita invertir en, y administrar y controlar los recursos de TI usando un conjunto estructurado de procesos que provean los servicios que entregan la información empresarial requerida. El marco de trabajo COBIT ofrece herramientas para garantizar la alineación con los requerimientos del negocio. 3.5 Criterios de Información de COBIT Para satisfacer los objetivos del negocio, la información necesita adaptarse a ciertos criterios de control, los cuales son referidos en COBIT como requerimientos de información del negocio. Con base en los requerimientos más amplios de calidad, fiduciarios y de seguridad, se definieron los siguientes siete criterios de información: La efectividad tiene que ver con que la información sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable. 29

30 La eficiencia consiste en que la información sea generada con el óptimo (más productivo y económico) uso de los recursos. La confidencialidad se refiere a la protección de información sensitiva contra revelación no autorizada. La integridad está relacionada con la precisión y completitud de la información, así como con su validez de acuerdo a los valores y expectativas del negocio. La disponibilidad se refiere a que la información esté disponible cuando sea requerida por los procesos del negocio en cualquier momento. También concierne a la protección de los recursos y las capacidades necesarias asociadas. El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así como políticas internas. La confiabilidad se refiere a proporcionar la información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno. 3.6 Metas de negocio y de TI Mientras que los criterios de información proporcionan un método genérico para definir los requerimientos del negocio, la definición de un conjunto de metas genéricas de negocio y de TI ofrece una base más refinada y relacionada con el negocio para el establecimiento de requerimientos de negocio y para el desarrollo de métricas que permitan la medición con respecto a estas metas. Toda empresa usa TI para habilitar iniciativas del negocio y estas pueden ser representadas como metas del negocio para TI. El Apéndice I proporciona una matriz de metas genéricas de negocios y metas de TI y como se asocian con los criterios de la información. Estos ejemplos genéricos se pueden utilizar como guía para determinar los requerimientos, metas y métricas específicas del negocio para la empresa. 3.7 Recursos de TI La organización de TI se desempeña con respecto a estas metas como un conjunto de procesos definidos con claridad que utiliza las habilidades de las personas, y la infraestructura de tecnología para ejecutar aplicaciones automatizadas de negocio, mientras que al mismo tiempo toma ventaja de la información del negocio. Estos recursos, junto con los procesos, constituyen una arquitectura empresarial para TI. 30

31 Para responder a los requerimientos que el negocio tiene hacia TI, la empresa debe invertir en los recursos requeridos para crear una capacidad técnica adecuada (Ej., un sistema de planeación de recursos empresariales [ERP]) para dar soporte a la capacidad del negocio (Ej., implementando una cadena de suministro) que genere el resultado deseado (Ej., mayores ventas y beneficios financieros). Los recursos de TI identificados en COBIT se pueden definir como sigue: Las aplicaciones incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan información. La información son los datos en todas sus formas, de entrada, procesados y generados por los sistemas de información, en cualquier forma en que sean utilizados por el negocio. La infraestructura es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones. Las personas son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran. 3.8 Orientado a Procesos COBIT define las actividades de TI en un modelo genérico de procesos organizado en cuatro dominios. Estos dominios son Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte y Monitorear y Evaluar. Los dominios se equiparan a las áreas tradicionales de TI de planear, construir, ejecutar y monitorear. El marco de trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje común para que todos en la empresa visualicen y administren las actividades de TI. La incorporación de un modelo operativo y un lenguaje común para todas las parte de un negocio involucradas en TI es uno de los pasos iniciales más importantes hacia un buen gobierno. También brinda un marco de trabajo para la medición y monitoreo del desempeño de TI, comunicándose con los proveedores de servicios e integrando las mejores prácticas de administración. Un modelo de procesos fomenta la propiedad de los procesos, permitiendo que se definan las responsabilidades. Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. Normalmente se ordenan dentro de 31

32 dominios de responsabilidad de plan, construir, ejecutar y Monitorear. Dentro del marco de COBIT, estos dominios, como se muestra en la Figura 8, se llaman: Planear y Organizar (PO) Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS). Adquirir e Implementar (AI) Proporciona las soluciones y las pasa para convertirlas en servicios. Entregar y Dar Soporte (DS) Recibe las soluciones y las hace utilizables por los usuarios finales. Monitorear y Evaluar (ME) -Monitorear todos los procesos para asegurar que se sigue la dirección provista Planear y Organizar (PO) Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la realización de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnológica apropiada. Este dominio cubre los siguientes cuestionamientos típicos de la gerencia: Están alineadas las estrategias de TI y del negocio? La empresa está alcanzando un uso óptimo de sus recursos? Entienden todas las personas dentro de la organización los objetivos de TI? Se entienden y administran los riesgos de TI? Es apropiada la calidad de los sistemas de TI para las necesidades del negocio? Adquirir e Implementar (AI) Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como implementadas e integradas en los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas existentes está cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio. Este dominio, por lo general, cubre los siguientes cuestionamientos de la gerencia: Es probable que los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? Es probable que los nuevos proyectos sean entregados a tiempo y dentro del presupuesto? Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? 32

33 Los cambios no afectarán a las operaciones actuales del negocio? Entregar y Dar Soporte (DS) Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativos. Por lo general cubre las siguientes preguntas de la gerencia: Se están entregando los servicios de TI de acuerdo con las prioridades del negocio? Están optimizados los costos de TI? Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad? Monitorear y Evaluar (ME) Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno. Por lo general abarca las siguientes preguntas de la gerencia: Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? La Gerencia garantiza que los controles internos son efectivos y eficientes? Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño? A lo largo de estos cuatro dominios, COBIT ha identificado 34 procesos de TI generalmente usados (ver figura 22 para la lista completa). Mientras la mayoría de las empresas ha definido las responsabilidades de planear, construir, ejecutar y monitorear para TI, y la mayoría tienen los mismos procesos clave, pocas tienen la misma estructura de procesos o le aplicaran todos los 34 procesos de COBIT. COBIT proporciona una lista completa de procesos que puede ser utilizada para verificar que se completan las actividades y responsabilidades; sin embargo, no es necesario que apliquen todas, y, aun más, se pueden combinar como se necesite por cada empresa. 33

34 Para cada uno de estos 34 procesos, tiene un enlace a las metas de negocio y TI que soporta. Información de cómo se pueden medir las metas, también se proporcionan cuáles son sus actividades clave y entregables principales, y quién es el responsable de ellas. 3.9 Basado en controles COBIT define objetivos de control para los 34 procesos, así como para el proceso general y los controles de aplicación Controles Control se define como las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una seguridad razonable que los objetivos de negocio se alcanzarán, y los eventos no deseados serán prevenidos o detectados y corregidos. Los objetivos de control de TI proporcionan un conjunto completo de requerimientos de alto nivel a considerar por la gerencia para un control efectivo de cada proceso de TI. Ellos: Son sentencias de acciones de gerencia para aumentar el valor o reducir el riesgo Consisten en políticas, procedimientos, prácticas y estructuras organizacionales. Están diseñadas para proporcionar un aseguramiento razonable de que los objetivos de negocio se conseguirán y que los eventos no deseables se prevendrán, detectarán y corregirán. La gerencia de la empresa necesita tomar decisiones relativas a estos objetivos de control: Seleccionando aquellos aplicables. Decidir aquellos que deben implementarse. Elegir como implementarlos (frecuencia, extensión, automatización, etc.) Aceptar el riesgo de no implementar aquellos que podrían aplicar. 34

35 3.9.2 Controles del Negocio y de TI El sistema de control interno de la empresa impacta en TI a tres niveles: Al nivel de dirección ejecutiva, se fijan los objetivos de negocio, se establecen políticas y se toman decisiones de cómo aplicar y administrar los recursos empresariales para ejecutar la estrategia de la compañía. El enfoque genérico hacia el gobierno y el control se establece por parte del consejo y se comunica a todo lo largo de la empresa. El ambiente de control de TI es guiado por este conjunto de objetivos y políticas de alto nivel. Al nivel de procesos de negocio, se aplican controles para actividades específicas del negocio. La mayoría de los procesos de negocio están automatizados e integrados con los sistemas aplicativos de TI, dando como resultado que muchos de los controles a este nivel estén automatizados. Estos se conocen como controles de las aplicaciones. Sin embargo, algunos controles dentro del proceso de negocios permanecen como procedimientos manuales, como la autorización de transacciones, la separación de funciones y las conciliaciones manuales. Los controles al nivel de procesos de negocio son, por lo tanto, una combinación de controles manuales operados por el negocio, controles de negocio y controles de aplicación automatizados. Ambos son responsabilidad del negocio en cuanto a su definición y administración aunque los controles de aplicación requieren que la función de TI dé soporte a su diseño y desarrollo. Para soportar los procesos de negocio, TI proporciona servicios, por lo general de forma compartida, por varios procesos de negocio, así como procesos operativos y de desarrollo de TI que se proporcionan a toda la empresa, y mucha de la infraestructura de TI provee un servicio común (es decir, redes, bases de datos, sistemas operativos y almacenamiento). Los controles aplicados a todas las actividades de servicio de TI se conocen como controles generales de TI. La operación formal de estos controles generales es necesaria para que dé confiabilidad a los controles en aplicación. Por ejemplo, una deficiente administración de cambios podría poner en riesgo (por accidente o de forma deliberada) la confiabilidad de los chequeos automáticos de integridad. 35

36 3.9.3 Controles generales de TI y Controles de Aplicación Los controles generales son aquellos que están inmersos en los procesos y servicios de TI. Algunos ejemplos son: Desarrollo de sistemas Administración de cambios Seguridad Operaciones de cómputo Los controles incluidos en las aplicaciones de los procesos del negocio se conocen por lo general como controles de aplicación. Ejemplos: Integridad (Completitud) Precisión Validez Autorización Segregación de funciones COBIT asume que el diseño e implementación de los controles de aplicación automatizados son responsabilidad de TI, y están cubiertos en el dominio de Adquirir e Implementar, con base en los requerimientos de negocio definidos, usando los criterios de información de COBIT. La responsabilidad operativa de administrar y controlar los controles de aplicación no es de TI, sino del dueño del proceso de negocio. Por lo tanto, la responsabilidad de los controles de aplicación es una responsabilidad conjunta, fin a fin, entre el negocio y TI, pero la naturaleza de la responsabilidad cambia de la siguiente manera: La empresa es responsable de: o Definir apropiadamente los requisitos funcionales y de control o Uso adecuadamente los servicios automatizados TI es responsable de: o Automatizar e implementar los requisitos de las funciones de negocio y de control o Establecer controles para mantener la integridad de controles de aplicación. Por lo tanto, los procesos de TI de COBIT abarcan a los controles generales de TI, pero sólo los aspectos de desarrollo de los controles de aplicación; la responsabilidad de definir y el uso operativo es de la empresa. 36

37 3.10 Impulsado por la medición Una necesidad básica de toda empresa es entender el estado de sus propios sistemas de TI y decidir qué nivel de administración y control debe proporcionar. Para decidir el nivel correcto, la gerencia debe preguntarse: Hasta dónde debemos ir?, y está el costo justificado por el beneficio? La obtención de una visión objetiva del nivel de desempeño propio de una empresa no es sencilla. Qué se debe medir y cómo? Las empresas deben medir dónde se encuentran y dónde se requieren mejoras, e implementar un juego de herramientas gerenciales para monitorear esta mejora. COBIT atiende estos temas a través de: Modelos de madurez que facilitan la evaluación por medio de Benchmarking y la identificación de las mejoras necesarias en la capacidad Metas y mediciones de desempeño para los procesos de TI, que demuestran cómo los procesos satisfacen las necesidades del negocio y de TI, y cómo se usan para medir el desempeño de los procesos internos basados en los principios de un marcador de puntuación balanceado (balanced scorecard) Metas de actividades para facilitar el desempeño efectivo de los procesos Modelos de Madurez Cada vez con más frecuencia, se les pide a los directivos de empresas corporativas y públicas que consideren qué tan bien se está administrando TI. Como respuesta a esto, se debe desarrollar un plan de negocio para mejorar y alcanzar el nivel apropiado de administración y control sobre la infraestructura de información. Aunque pocos argumentarían que esto no es algo bueno, se debe considerar el equilibrio del costo beneficio y éstas preguntas relacionadas: Qué está haciendo nuestra competencia en la industria, y cómo estamos posicionados en relación a ellos? Cuáles son las mejores prácticas aceptables en la industria, y cómo estamos posicionados con respecto a estas prácticas? Con base en estas comparaciones, se puede decir que estamos haciendo lo suficiente? Cómo identificamos lo que se requiere hacer para alcanzar un nivel adecuado de administración y control sobre nuestros procesos de TI? Puede resultar difícil proporcionar respuestas significativas a estas preguntas. La gerencia de TI está buscando constantemente herramientas de evaluación para Benchmarking y herramientas de auto-evaluación como respuesta a la necesidad de saber qué hacer de manera eficiente. Comenzando con los procesos y los objetivos de control de alto nivel de COBIT, el dueño del proceso se debe poder 37

38 evaluar de forma progresiva, contra los objetivos de control. Esto responde a tres necesidades: 1. Una medición relativa de dónde se encuentra la empresa 2. Una manera de decidir hacia dónde ir de forma eficiente 3. Una herramienta para medir el avance contra la meta El modelo de madurez para la administración y el control de los procesos de TI se basa en un método de evaluación de la organización, de tal forma que se pueda evaluar a sí misma desde un nivel de no-existente (0) hasta un nivel de optimizado (5). Este enfoque se deriva del modelo de madurez que el Software Engineering Institute definió para la madurez de la capacidad del desarrollo de software. Cualquiera que sea el modelo, las escalas no deben ser demasiado granulares, ya que eso haría que el sistema fuera difícil de usar y sugeriría una precisión que no es justificable debido a que en general, el fin es identificar dónde se encuentran los problemas y cómo fijar prioridades para las mejoras. El propósito no es avaluar el nivel de adherencia a los objetivos de control. Los niveles de madurez están diseñados como perfiles de procesos de TI que una empresa reconocería como descripciones de estados posibles actuales y futuros. No están diseñados para ser usados como un modelo limitante, donde no se puede pasar al siguiente nivel superior sin haber cumplido todas las condiciones del nivel inferior. Con los modelos de madurez de COBIT, a diferencia de la aproximación del CMM original de SEI, no hay intención de medir los niveles de forma precisa o probar a certificar que un nivel se ha conseguido con exactitud. Una evaluación de la madurez de COBIT resultara en un perfil donde las condiciones relevantes a diferentes niveles de madurez se han conseguido. COBIT es un marco de referencia desarrollado para la administración de procesos de TI con un fuerte enfoque en el control. Estas escalas deben ser prácticas en su aplicación y razonablemente fáciles de entender. El tema de procesos de TI es esencialmente complejo y subjetivo, por lo tanto, es más fácil abordarlo por medio de evaluaciones fáciles que aumenten la conciencia, que logren un consenso amplio y que motiven la mejora. Estas evaluaciones se pueden realizar ya sea contra las descripciones del modelo de madurez como un todo o con mayor rigor, en cada una de las afirmaciones individuales de las descripciones. De cualquier manera, se requiere experiencia en el proceso de la empresa que se está revisando. La ventaja de un modelo de madurez es que es relativamente fácil para la dirección ubicarse a sí misma en la escala y evaluar qué se debe hacer si se requiere desarrollar una mejora. La escala incluye al 0 ya que es muy posible que no existan procesos en lo absoluto. La escala del 0-5 se basa en una escala de madurez simple que muestra como un proceso evoluciona desde una capacidad no existente hasta una capacidad optimizada. 38

39 Modelo Genérico de Madurez 0 No Existente- Carencia completa de cualquier proceso reconocible. La empresa no ha reconocido siquiera que existe un problema a resolver. 1 Inicial- Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo, no existen procesos estándar en su lugar existen enfoques ad hoc que tienen que ser aplicados de forma individual o caso por caso. El enfoque general hacia la administración es desorganizado. 2. Repetible. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o comunicación formal de los procedimientos estándar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables. 3. Definido. Los procedimientos se han estandarizado y documentado, y se han difundido a través de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en sí no son sofisticados pero formalizan las prácticas existentes. 4. Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estén trabajando de forma efectiva. Los procesos están bajo constante mejora y proporcionan buenas prácticas. Se usa la automatización y herramientas de una manera limitada o fragmentada. 5. Optimizado. Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de una manera rápida. Los recursos de TI son manejados por procesos de TI para lograr metas de TI que respondan a los requerimientos del negocio. Este es el principio básico del marco de trabajo COBIT, como se ilustra en el cubo COBIT (Fig. 3.2). 39

40 Fig. 3.2 Cubo COBIT 3.11 Aceptabilidad General de COBIT COBIT se basa en el análisis y armonización de estándares y mejores prácticas de TI existentes y se adapta a principios de gobierno generalmente aceptados. Está posicionado a un nivel alto, impulsado por los requerimientos del negocio, cubre el rango completo de actividades de TI, y se concentra en lo que se debe lograr en lugar de cómo lograr un gobierno, administración y control efectivos. Por lo tanto, funciona como un integrador de prácticas de gobierno de TI y es de interés para la dirección ejecutiva; para la gerencia del negocio, para la gerencia y gobierno de TI; para los profesionales de aseguramiento y seguridad; así como para los profesionales de auditoría y control de TI. Está diseñado para ser complementario y para ser usado junto con otros estándares y mejores prácticas. La implantación de las mejores prácticas debe ser consistente con el gobierno y el marco de control de la empresa, debe ser apropiada para la organización, y debe estar integrada con otros métodos y prácticas que se utilicen. Los estándares y las mejores prácticas no son una panacea y su efectividad depende de cómo hayan sido implementados en realidad y de cómo se mantengan actualizados. Son más útiles cuando se aplican como un conjunto de principios y como un punto de partida para adaptar procedimientos específicos. La gerencia y el equipo deben entender qué hacer, cómo hacerlo y porqué es importante hacerlo para garantizar que se utilicen las prácticas. 40

41 Para lograr la alineación de las mejores prácticas con los requerimientos del negocio, se recomienda que COBIT se utilice al más alto nivel, brindando así un marco de control general basado en un modelo de procesos de TI que debe ser aplicable en general a toda empresa. Las prácticas y los estándares específicos que cubren áreas discretas, se pueden equiparar con el marco de trabajo de COBIT, brindando así una jerarquía de materiales guía. COBIT resulta de interés a distintos usuarios: Dirección ejecutiva Para obtener valor de las inversiones y para balancear las inversiones en riesgo y control en un ambiente de TI con frecuencia impredecible Gerencia del negocio Para obtener certidumbre sobre la administración y control de los servicios de TI, proporcionados internamente o por terceros Gerencia de TI Para proporcionar los servicios de TI que el negocio requiere para dar soporte a la estrategia del negocio de una forma controlada y administrada Auditores Para respaldar sus opiniones y/o para proporcionar asesoría a la gerencia sobre controles internos COBIT ha sido desarrollado y es mantenido por un instituto de investigación sin ánimo de lucro, tomando la experiencia de los miembros de sus asociaciones afiliadas, de los expertos de la industria, y de los profesionales de control y seguridad. Su contenido se basa en una investigación continua sobre las mejores prácticas de TI y se le da un mantenimiento continuo, proporcionando así un recurso objetivo y práctico para todo tipo de usuario. COBIT está orientado a los objetivos y al alcance del gobierno de TI, asegurando que su marco de control sea integral, que esté alineado con los principios de Gobierno Corporativo y, por lo tanto, que sea aceptable para los consejos directivos, para la dirección ejecutiva, para los auditores y reguladores. En el Apéndice II, se ofrece un mapa que muestra cómo los objetivos de control detallados de COBIT se relacionan con las cinco áreas de enfoque del gobierno de TI y con las actividades de control de COSO. 41

42 CAPÍTULO IV. DS5 Garantizar la Seguridad de los Sistemas La necesidad de mantener la integridad de la Información y de proteger activos de TI, requiere de un proceso de administración de la seguridad. Este proceso incluye el establecimiento y mantenimientos de roles y responsabilidades de seguridad, políticas, estándares y procedimientos de TI. la administración de la seguridad también incluye realizar monitoreo de seguridad y pruebas periódicas así como realizar acciones correctivas sobre las debilidades o incidente de seguridad identificados. Una efectiva administración de la seguridad protege todos los activos de TI para minimizar el impacto en el negocio causado por vulnerabilidades o incidentes de seguridad. 4.1 Objetivos de Control DS5.1 Administración de la Seguridad de TI Administrar la seguridad de Ti al nivel más alto apropiado dentro de la organización, de manera que las acciones de administración de la seguridad estén en línea con los requerimientos del negocio DS5.2 Plan de Seguridad de TI Trasladar los requerimientos del negocio, riesgos y cumplimiento dentro de un plan de seguridad de TI completo, teniendo en consideración la infraestructura de TI y la cultura de seguridad. Asegurar que el plan esté implementado en las políticas y procedimientos de seguridad junto con las inversiones apropiadas en los servicios, personal, software y hardware. Comunicar las políticas y procedimientos de seguridad a los interesados y a los usuarios DS5.3 Administración de Identidad Asegurar que todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI (aplicación del negocio, entorno de TI, operación de sistemas, desarrollo y mantenimiento) deben ser identificables de manera única. Permitir que el usuario se identifique a través de mecanismos de autenticación. Confirmar que los permisos de acceso del usuario al sistema y los datos están en línea con las necesidades del negocio definidas y documentadas y que los requerimientos de trabajo están adjuntos a las identidades del usuario. Asegurar que los derechos de acceso del usuario se solicitan por la gerencia del usuario, aprobados por el responsable del sistema e implementado por la persona responsable de la 42

43 seguridad. Las identidades del usuario y los derechos de acceso se mantienen en un repositorio central. Se despliegan técnicas efectivas en coste y procedimientos rentables, y se mantienen actualizados para establecer la identificación de usuario, realizar la autenticación y habilitar los derechos de acceso DS5.4 Administración de cuentas de usuario Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por un conjunto de procedimientos de la gerencia de cuentas de usuario. Debe incluirse un procedimiento de aprobación que describa al responsable de los datos o del sistema otorgando los privilegios de acceso. Estos procedimientos deben aplicarse a todos los usuarios incluyendo administradores (usuarios privilegiados), usuarios externos e internos, para casos normales y de emergencia. Los derechos y obligaciones relativos al acceso a los sistemas e información de la empresa deben acordarse contractualmente para todos los tipos de usuarios. Realizar revisiones regulares de la gestión de todas las cuentas y privilegios asociados DS5.5 Pruebas, vigilancia y monitoreo de la seguridad. Garantizar que la implementación de la seguridad en TI sea aprobada y monitoreada de forma pro-activa. La seguridad en TI debe ser re acreditada periódicamente para garantizar que se mantiene el nivel de seguridad aprobado. Una función de ingreso al sistema (logging) y de monitoreo permite la detección oportuna de actividades inusuales y anormales que puedan requerir atención DS5.6 Definición de incidentes de seguridad. Definir claramente y comunicar las características e incidentes de seguridad potenciales para que puedan ser clasificados propiamente y tratados por el proceso de gestión de incidentes y problemas DS5.7 Protección de la tecnología de seguridad. Garantizar que la tecnología relacionada con la seguridad sea resistente al sabotaje y no revele documentación de seguridad innecesaria DS5.8 Administración de llaves criptográficas. Determinar que las políticas y procedimientos para realizar la generación, cambio, revocación, destrucción, distribución, almacenamiento, certificación, captura, uso y 43

44 archivo de llaves criptográficas estén implantadas para garantizar la protección de las llaves contra modificaciones y divulgación no autorizadas DS5.9 Prevención, detección y corrección de software malicioso. Poner medidas preventivas, detectivas y correctivas (en especial contar con parches de seguridad y control de virus actualizado) en toda la organización para proteger los sistemas de la información y a la tecnología contra malware (virus, gusanos, spyware, correo basura) DS5.10 Seguridad de la red. Uso de técnicas de seguridad y procedimientos de administración asociados (por ejemplo, firewalls, dispositivos de seguridad, segmentación de redes, detección de intrusos) para autorizar acceso y controlar los flujos de información desde y hacia las redes DS5.11 Intercambio de datos sensitivos. Transacciones de datos sensibles se intercambian sólo a través de una ruta o medio con controles para proporcionar autenticidad de contenido, prueba de envío, prueba de recepción y no repudio del origen. 44

45 CAPÍTULO V. Auditoria al Modulo CRM de SAP de Corporación HRC. 5.1 Introducción a HRC Corporación HRC es el principal distribuidor e instalador de sistemas prefabricados basados en panel de yeso, plafones acústicos y alfombras modulares en el país. El giro de la empresa es construcción, son el principal distribuidor e instalador de sistemas prefabricados basados en panel de yeso, plafones acústicos y alfombras modulares. Cuentan con una extensa línea de plafones, y de tabla roca así como complemento necesarios para su instalación. Desde hace más de 12 años promocionan, comercializan e instalan todos los productos y sistemas que USG fabrica, han llevado a cabo obras de considerable importancia en todo el territorio nacional. 5.2 Definición del Proyecto IPN Auditing Group realizó una auditoría el módulo CRM de SAP para emitir recomendaciones en base al proceso DS5 Garantizar la seguridad de los sistemas. Dicha auditoría comprendió las siguientes fases: Planeación Ejecución Cierre del Proyecto de Auditoría 5.3 Planeación Realización de un plan de trabajo El plan de trabajo comprende las actividades dentro de la auditoría y los recursos asignados para su atención. (Ver Anexo I) 45

46 5.3.2 Reunión con el CEO de Corporación HRC Se realizó una entrevista inicial con el CEO Arq. Héctor Robledo Cervantes en sus oficinas el día Lunes 28 de Junio del presente año, presentándonos a Fausto González Rivera, Gerente de Sistemas, el cual nos enseño la empresa y platicó los principales problemas, y lo que esperábamos de la auditoría a realizar en sus oficinas, nos presento a Rubén Carvajal Sánchez, responsable del CRM de SAP el cual nos iba a atender en la auditoría Elaboración y Aceptación de Carta de Asignación de Auditoría La carta de asignación explica las diferentes actividades a realizar dentro de la auditoría, responsabilidades y autorizaciones para la realización de la misma. (Ver Anexo II) Junta de Inicio Con el Gerente de Sistemas y el responsable del CRM, en donde se da inicio oficialmente a las actividades de auditoría, estableciendo las actividades que se llevarían a cabo durante la misma. Se determinaron los métodos para obtención de evidencias Generación del Programa de Auditoría En base a los puntos por revisar para verificar la seguridad del módulo CRM de SAP se generó un programa de trabajo. (Tabla 5.1) 46

47 No. Objetivo de control Actividad de Control Responsable Fecha de la Entrevista 1 DS5.3 Administración de Identidad 2 DS5.3 Administración de Identidad 3 DS5.5 Pruebas, vigilancia y monitoreo de la seguridad 4 DS5.5 Pruebas, vigilancia y monitoreo de la seguridad 5 DS5.4 Administración de cuentas de usuario 6 DS5.3 Administración de Identidad Sólo el personal autorizado tiene acceso a la Programación de Jobs y Procesos Batch. Las transacciones críticas en SAP, se encuentran restringidas al personal autorizado o se encuentran bloqueadas para su procesamiento. Las tablas y programas críticos que son desarrollados, se encuentran asegurados correctamente. La gerencia monitorea periódicamente los cambios a las tablas críticas y da seguimiento a aquellas que no son autorizadas. Los usuarios estándar de SAP(SAP*, DDIC, SAPCPIC y EARLYWATCH), se encuentran asegurados. La gerencia monitorea el uso de estos ID's y autoriza previamente su utilización. El acceso remoto a SAP Homologado se encuentra restringido al personal autorizado, y las cuentas de tipo "OSS" son autorizadas y monitoreadas por la gerencia. Responsable: Ruben Carvajal Sánchez Puesto: Responsable del Responsable: Ruben Carvajal Sánchez Puesto: Responsable del Modulo CRM de SAP. Responsable: Ruben Carvajal Sánchez Puesto: Responsable del Modulo CRM de SAP. Responsable: Ruben Carvajal Sánchez Puesto: Responsable del Modulo CRM de SAP. Responsable: Ruben Carvajal Sánchez Puesto: Responsable del Modulo CRM de SAP. Responsable: Ruben Carvajal Sánchez Puesto: Responsable del Modulo CRM de SAP. 22 y 23 de Julio de y 23 de Julio de y 23 de Julio de y 23 de Julio de y 23 de Julio de y 23 de Julio de DS5.4 Administración de cuentas de usuario 8 DS5.3 Administración de Identidad 9 DS5.5 Pruebas, vigilancia y monitoreo de la seguridad Las altas, bajas y cambios en roles y autorizaciones para SAP son previamente autorizadas por la gerencia. Los ambientes de desarrollo, calidad y productivo, se encuentran correctamente segregados. La configuración de SAP provee un esquema adecuado de seguridad Responsable: Ruben Carvajal Sánchez Puesto: Responsable del Modulo CRM de SAP. Responsable: Ruben Carvajal Sánchez Puesto: Responsable del Modulo CRM de SAP. Responsable: Ruben Carvajal Sánchez Puesto: Responsable del Modulo CRM de SAP. 22 y 23 de Julio de y 23 de Julio de y 23 de Julio de 2010 Tabla 5.1 Generación del Programa de Auditoria. 5.4 Ejecución Realización de entrevistas Se entrevistó al responsable del CRM en cuanto a la administración de la herramienta, de usuarios, accesos y privilegios a la misma. Se preguntó básicamente sobre el funcionamiento y la administración del módulo CRM Solicitud y Recepción del requerimiento de información Se le solicitó al Gerente de Sistemas por medio de una carta de requerimientos, la información que se consideró necesaria para poder comenzar la auditoría. (Ver Anexo III) 47

48 5.4.3 Revisión y validación de la información solicitada Se revisó la información entregada. Desafortunadamente muy poca documentación se pudo obtener debido a que no se tiene ningún proceso, política, procedimiento documentado Ejecución de Pruebas Se siguieron las pruebas especificadas en el Check List. Se obtuvo evidencia de las pruebas ejecutadas. (Tabla 5.2). De igual manera se obtuvieron pantallas de las pruebas realizadas (ver Anexo IV). No. Actividad de Control Pasos a realizar Documento Entregado 4 La gerencia monitorea 1. Obtener la política y procedimiento relacionado con la autorización de Pantallas y archivo periódicamente los cambios a cambios a las tablas críticas. Excel las tablas críticas y da 2. Validar si las tablas críticas están siendo monitoreadas: seguimiento a aquellas que no a. Ingresar a la transacción SA38 y ejecutar el reporte RSPARAM (consultar son autorizadas. Anexo V pag.8). Verificar que los cambios a la tablas críticas son monitoreados mediante la revisión del parámetro REC/CLIENT, el cuál debe estar activo para el mandante en revisión y/o para todos los mandantes. b. Ingresar a la transacción SE16 (Visualizar Tablas) y visualizar la tabla DD09L, verificar el campo "PROTKOLL" y si éste contiene una "X", entonces la tabla está marcada para guardar los logs de modificaciones. Verificar que para las tablas críticas (incluyendo T000, T001 y DEVACCESS), los cambios están siendo guardados en un log. c. Mediante la transacción SA38, ejecutar el reporte RSTBHIST (Análisis de 5 Los usuarios estándar de SAP se encuentran asegurados. La gerencia monitorea el uso de estos ID's y autoriza previamente su utilización. 6 El acceso remoto a SAP Homologado se encuentra restringido al personal autorizado, y las cuentas de tipo "OSS" son autorizadas y monitoreadas por la gerencia. 7 Las altas, bajas y cambios en roles y autorizaciones para SAP son previamente autorizadas por la gerencia. cambios en tablas) para las tablas críticas. Obtener un muestreo dependiendo Obtener las pólíticas y procedimientos relacionados con la Administración de la Seguridad en SAP. En ambiente Productivo: 1.- Validar que las contraseñas han sido cambiadas para todos los usuarios estándar de SAP en todos los mandantes (000,001,066,Productivo): a. Ingresar a la transacción SA38 y ejecutar el reporte RSUSR003. Validara que los usuarios en todos los mandantes tengan cambiada la contraseña y que SAP* se encuentre bloqueado en los mandantes productivo, 000 y 001. b. Revisar mediante la transacción SU1D o la transacción SU03, el usuario SAP*. Ir a la pestaña de "roles" y la de "perfiles" y validar que SAP* está asignado a un grupo SUPER y que no tiene perfiles asignados. 2. Ingresar a la transacción SA38 y ejecutar el reporte RSPARAM, verificar que el parámetro login_no_automatic_usersap* se encuentra activo en '1'. (consultar 1. Obtener las políticas y/o procedimientos rellacionados con el uso de cuentas "OSS" en ambiente productivo. 2. Mediante la transacción SUIM, obtener un historial de cambios para los usuarios de tipo "OSS" por el periodo de revisión y validar que existe documentación de su uso, monitoreo y aprobación (ver en la ruta: SUIM -> Documentos de Modificación -> Usuario -> "OSS" para el periodo de revisión). Mediante una entrevista obtener conocimiento de las políticas y procedimientos con relación a la administración de usuarios en SAP, así como el alta, baja y cambio de roles y perfiles). Altas de Usuarios: 1. Mediante la transacción SE16 (Browser de Tablas), ingresar a la tabla USR02 u obtener el reporte RSUSR002 mediante la transacción SA38. Validar que para todos los usuarios creados durante el periodo de revisión, existió una aprobación previa. 2. Ingresar a la transacción SUIM->Documentos de Modificación->Usuarios->"*" y filtrar el reporte para los usuarios que han sido creados durante el periodo de revisión. Tomar una muestra de los usuarios creados y validar que contaron con una autorización previa. (Nota: Con este punto nos damos cuenta si se dio de alta un usuario y luego fue borrado, en el caso del punto anterior, sólo nos daríamos cuenta sobre los usuarios que actualmente están creados, pero si algún usuario se borró, no lo obtendríamos). 3. Del punto anterior, también revisar la lista de usuarios, identificando aquellos que comiencen con "TEST" o su nomenclatura nos indique que son usuarios de prueba. Validar que no existan actualmente. 4. Validar que todas las cuentas tengan un responsable y que no haya cuentas genéricas. Altas y Cambios en Perfiles 1. Mediante la transacción SUIM->Documentos de Modificación->Perfiles- >"*", y filtrar el reporte para los perfiles que fueron modificados en el periodo de revisión. Obtener un historial de todos los cambios a perfiles durante el periodo, validar para una muestra, que los cambios fueron autorizados. Pantallas y archivo Excel Pantallas y archivo Excel Pantallas y archivo Excel Resultado No cumple No cumple No cumple No cumple Comentarios No existe documento sobre la autorización de cambios a tablas críticas en SAP y el parámetro REC/CLIENT no está activo. No hay documento formal en donde se muestre la administración de seguridad en SAP, aún cuando no se encontró oservación en el cambio de contraseñas de los usuarios. Se identifcó una cuenta OSS que sigue activa y sin justificación Hay 8 usuarios que pueden generar roles y perfiles. Así mismo existen cuentas genéricas que no tienen un responsable..acceso: 1. Obtener un reporte mediante la transacción RSUSR002, para los usuarios que tengan acceso a ejecutar la transacción PFCG y verificar que son los autorizados: Transaction Code: PFCG - Generador de Pefiles (consultar Anexo V pag.8 y 9) 48

49 No. Actividad de Control Pasos a realizar Documento Entregado 8 Los ambientes de desarrollo, Obtener la política y procedimientos relacionados con el Control de Pantallas y archivo calidad y productivo, se Cambios y Transportes. Excel encuentran correctamente Identificar usuarios con acceso a promover cambios a productivo: segregados. 1. En ambiente Productivo: Obtener un listado de usuarios que tengan las siguientes autorizaciones: a. Objeto de Autorización: S_DEVELOP Campo: Activity Valor(es): 01, 02 (Create or Change) Campo: Object Type Valor: DEBUG b. Objeto de Autorización: S_DEVELOP Campo: Activity Valor(es): 01, 02, 06 (Create, Change, or Delete) c. S_TCODE: SE38 (Editor ABAP) d. Revisar el historial de modificaciones de la tabla DEVACCESS en productivo (el parámetro REC/CLIENT debe estar activado y la tabla marcada para guardar log de cambios). i. Ejecutar el reporte de modificaciones de tablas para verificar si las llaves de desarrollador han sido utilizadas durante el periodo de revisión, verificar su aprobación. e. Obtener una lista de usuarios con acceso a la transacción STMS. 9 La configuración de SAP provee un esquema adecuado de seguridad 2. Identificar usuarios con acceso de Desarrollador en ambiente de Desarrollo y acceso a promover cambios de Ambiente de Desarrollo hacia Productivo: Probar en ambiente de Desarrollo: a. Obtener una lista de usuarios con las siguientes autorizaciones: Transacción: SUIM (Sistema de Información de Usuarios) D6 Activity: 01, 02, 06 (Create, Change, or Delete) for PROGRAM CHANGES OR 1. Mediante Auth. la transacción Object: S_TABU_DIS SA38, obtener el reporte RSPARAM y validar que al menos los siguientes parámetros se encuentran establecidos de acuerdo a políticas de seguridad: login/disable_cpic (0) rdisp/gui_auto_logout rec/client (ALL para todos los mandantes productivos) Auth/no_check_on_TCODE = N (if applicable) Auth/system_access_check_off = 0 login/no_automatic_user_sapstar = 1 login/failed_user_auto_unlock (0) login/fails_to_user_lock (<=6) login/min_password_diff (>=1) login/min_password_digits (>=1) login/min_password_letters (>=1) login/min_password_lng (8) login/password_expiration_time (30) login/password_history_size (>=12) 2. Mediante la transacción SA38, ejecutar el reporte RSUSR002 y obtener un listado de usuarios con perfiles SAP_ALL y SAP_NEW (consultar Anexo V pag.10), así como un listado de usuarios que tienen acceso a todas las tranascciones - ejecutar el mismo reporte con el objeto de autorización Tabla 5.2 Check List Pantallas y archivo Excel Resultado No cumple No cumple Comentarios Aún cuando el mandante no está abierto, se validó que hay 8 usuarios del departamento de TI que tienen el objeto de autorización S_DEVELOP El campo rec/client no está encendido Aclaración de dudas Para los puntos en donde el equipo tuvo alguna duda, se establecieron espacios de tiempo para validar con el responsable del CRM Validación de Hallazgos Los hallazgos encontrados se validaron con el responsable del CRM para aclarar y/o hacer de su conocimiento los resultados que serían entregados posteriormente al Gerente de Sistemas. 49

50 5.5 Cierre del Proyecto de Auditoría Elaboración de mapa de riesgos Se llevo a cabo la realización de un mapa de riesgos, utilizando una grafica donde se emplean cuatro cuadrantes y dos ejes (Importancia para el negocio vs Probabilidad de Ocurrencia), dentro de cada cuadrante se ubica el numero de la observación según su criticidad (alto o bajo) para la importancia del negocio y la probabilidad de ocurrencia, las observaciones mas criticas se sombrearon en color rojo y la menos criticas en color amarillo (Ver Anexo V) Benchmarking COBIT Se realizó un Benchmarking de COBIT, el cual consistió en tomar en cuenta el giro y tamaño de la empresa, ubicación geográfica, así como el proceso con el que realizo el Benchmarking (DS5 Garantizar la Seguridad de los Sistemas). Esta actividad se llevo a cabo utilizando el sitio web de COBIT online y con la ayuda de un experto que tiene membrecía para poder realizar Benchmarking, la información de la empresa se introdujo en este sitio y se obtuvo una comparación de la madurez en el gobierno de TI de Corporación HRC en el proceso DS5 contra la madurez que se tiene en la industria, según los niveles de madurez que ofrece COBIT (No existente 0, Inicial / Ad hoc 1, Repetible pero intuitivo 2, Proceso definido 3, Administrado y Medible 4, Optimizado 5) El resultado arrojado fue que Corporación HRC obtuvo una calificación de 1, es decir HRC no cuenta con procesos documentados y políticas. En cuanto a la Industria, se tiene un promedio de 2.3.En base a la auditoría realizada a corporación HRC se determino que el objetivo que persigue la empresa a corto plazo es alcanzar una evaluación de 3 del Modelo de Madurez de COBIT (Ver Anexo VI). 50

51 5.5.3 Elaboración de Entregables Se generó una presentación explicando las observaciones, el impacto, la causa y la recomendación (Ver Anexo VII), a continuación se presentan cada una de ellas. Observación 1 Se detecto usuarios que ya no laboran en Corporación HRC y aun siguen sus cuentas activas en SAP CRM (Tabla 5.3). Usuarios activos de personal que ya no labora en Corporación HRC Observación Impacto Causa Recomendación Identificamos cuentas activas en SAP CRM de personal que ya no labora en Corporación HRC. Existen 3 cuentas en esta situación. El detalle correspondiente puede verse en el Anexo A de SAP, CRM. Existe la posibilidad de que se realicen actividades no autorizadas en SAP CRM por personal que ya no labora en Corporación HRC. Crear y difundir el procedimiento de bajas de usuarios al personal involucrado en el proceso, a fin de que las bajas de empleados sean reportadas y sus cuentas en las aplicaciones de Corporación HRC sean bloqueadas / eliminadas de forma oportuna. Existe la posibilidad de que se ganen accesos no autorizados a las aplicaciones de Corporación HRC mediante el uso de cuentas activas del personal que ya no labora en la Institución. Existe la posibilidad de que no puedan deslindarse responsabilidades en caso de acciones inusuales efectuadas con el uso de este tipo de cuentas. El jefe inmediato y/o Recursos Humanos no reportan las bajas de personal de forma oportuna al personal responsable de la administración de usuarios en las aplicaciones de Corporación HRC. N o existe un procedimiento de desactivación de bajas de usuarios Tabla 5.3 Observación de Usuarios activos de personal que ya no labora en Corporación HRC. 51

52 Observación 2 Se identifico que no se tiene definida una matriz de privilegios de acceso que determine los privilegios a asignar a las cuentas de usuario en SAP CRM (Tabla 5.4). Falta de matriz de privilegios en SAP CRM Observación Impacto Causa Recomendación Identificamos Existe la posibilidad No se ha Definir y poner en que no se tiene de que se asignen documentado la marcha una matriz definida una privilegios de matriz de que incluya los matriz de acceso superiores a privilegios de privilegios privilegios de los requeridos a los acceso para requeridos y acceso que usuarios en SAP SAP CRM. autorizados a determine los CRM, pudiendo asignar a los privilegios a afectar la integridad, No se ha usuarios de acuerdo asignar a las confidencialidad y considerado a su puesto y cuentas de disponibilidad de la aún como una funciones a realizar. usuario en SAP CRM de acuerdo información que ahí se resguarda. Existe actividad prioritaria. Definir y poner en al mínimo la posibilidad de que marcha un privilegio y haya dependencia procedimiento de mediante la cual del personal que revisión periódica de pudieran actualmente realiza usuarios y privilegios identificarse la asignación de definidos en la conflictos de segregación de funciones. Asimismo se observó que no se ha hecho una revisión de los usuarios y privilegios definidos en las aplicaciones, a fin de asegurar que únicamente existan los autorizados con los privilegios apropiados. privilegios en las aplicaciones SAP CRM. Existe la posibilidad de que actualmente existan usuarios activos con privilegios de acceso superiores a los requeridos y autorizados de acuerdo a su puesto y funciones en Corporación HRC. aplicación, para asegurar que se encuentran activos y con los privilegios que les corresponden únicamente usuarios autorizados. Definir y poner en marcha un procedimiento de revisión y actualización periódica de la matriz de privilegios que se defina. Tabla 5.4 Falta de matriz de privilegios en SAP CRM. 52

53 Observación 3 Se observo que no existe un procedimiento definido para el bloqueo de cuentas que no han sido utilizadas por más de 90 días (Tabla 5.5). Bloqueo de cuentas inactivas en SAP CRM Observación Impacto Causa Recomendación Observamos que no existe un procedimiento definido para el bloqueo de cuentas que no han sido utilizadas por más de 90 días. Identificamos que existen usuarios de tipo diálogo en SAP CRM, que aún siguen activas y pudieran firmarse en el sistema. Existe la posibilidad de que se realicen actividades no autorizadas en las aplicaciones por personal que ya no labora en Corporación HRC. Existe la posibilidad de que se ganen accesos no autorizados a las aplicaciones de Corporación HRC mediante el uso de este tipo de cuentas. No se ha formalizado y documentado el procedimiento de bloqueo de cuentas inactivas. Existe la posibilidad de que no puedan deslindarse responsabilidades en caso de identificarse acciones inusuales mediante el uso de este tipo de cuentas si pertenecen a personal que ya no labora en la Institución. Tabla 5.5 Bloqueo de cuentas inactivas en SAP CRM. Formalizar y difundir el procedimiento de identificación y bloqueo de cuentas inactivas en las aplicaciones críticas a fin de asegurar su efectividad. Definir el listado de cuentas requeridas por las aplicaciones, a fin de no afectar su disponibilidad por la ejecución de este procedimiento. Crear y difundir el procedimiento de bajas de usuarios al personal involucrado en el proceso, a fin de que las bajas de empleados sean reportadas y sus cuentas bloqueadas / eliminadas de forma oportuna. 53

54 Observación 4 Se identifico que existen usuarios genéricos definidos en las aplicaciones SAP. (Tabla 5.6). Usuarios genéricos Observación Impacto Causa Recomendación Identificamos la existencia de usuarios genéricos definidos en las aplicaciones SAP, en los que no se tiene claramente identificada en la descripción de la cuenta a la persona responsable de su uso. Existe la posibilidad de que se realice alguna actividad no autorizada dentro de las aplicaciones en revisión, y en caso de que esto sucediera, no se pudiera identificar de manera particular al responsable. No se tiene definida una política para la creación y uso de cuentas genéricas en las aplicaciones. Así como la asignación de cuentas personalizadas. Existe la posibilidad de que se dificulte la administración apropiada de las cuentas de usuario en las aplicaciones mencionadas. No se cuenta con un procedimiento de revisión periódica de los perfiles de acceso de los usuarios. Realizar un análisis de este tipo de cuentas a fin de identificar si son realmente necesarias, para que en caso de que así sea se documenten apropiadamente y sean asignadas de manera individual. De lo contrario, evaluar la conveniencia de eliminarlas de las aplicaciones. Asimismo, definir la política de creación y uso de cuentas genéricas. Definir y poner en marcha un procedimiento de revisión periódica de usuarios y privilegios definidos en la aplicación, a fin de asegurar que se encuentran activos y con los privilegios que les corresponden únicamente usuarios autorizados. Tabla 5.6 Usuarios genéricos. 54

55 Observación 5 Se identifico que no existe un procedimiento que considere la asignación de cuentas de usuario a proveedores externos, consultores, etc. (Tabla 5.7). Cuentas asignadas a usuarios temporales y proveedores externos Observación Impacto Causa Recomendación Como parte de nuestra revisión, no identificamos un procedimiento formal que considere la asignación de cuentas de usuario a proveedores externos, consultores, etc. Existe la posibilidad de que se realicen actividades no autorizadas en los sistemas por personal que labora como proveedor externo de Corporación Falta de formalización de un procedimiento para la asignación de cuentas a terceros y el monitoreo de su uso. HRC. Como por ejemplo, la cuenta ICASES pertenece a un consultor externo Ignacio Cases y su cuenta no tiene fecha de expiración asignada ni una nomenclatura que pueda identificarlo fácilmente como proveedor. Este usuario se encuentra activo en SAP CRM. Desarrollar procedimiento para la creación, asignación de privilegios, monitoreo del uso y expiración de las cuentas de proveedores externos y personal temporal. Este procedimiento deberá considerar por lo menos: 1. Procedimiento de aprobación de la cuenta, indicando fecha de validez y expiración. 2. Nomenclatura que permita identificar fácilmente la cuenta. 3. Monitoreo de su uso 4. Revocación de privilegios y bloqueo de la cuenta. Tabla 5.7 Cuentas asignadas a usuarios temporales y proveedores externos. 55

56 Observación 6 Se identifico que no existe un procedimiento en el que se se definan las tablas criticas del sistema y del negocio así como el monitoreo de los cambios realizados a estas. (Tabla 5.8). Monitoreo de cambios en tablas críticas del sistema Observación Impacto Causa Recomendación No identificamos un procedimiento formal en el que se definan las tablas críticas del sistema y del negocio así como el monitoreo de los cambios realizados a éstas. Falta de definición de un procedimiento para el monitoreo de tablas críticas. Así mismo, no se ha activado el parámetro REC/CLIENT y activado en cada tabla crítica el log Definir cuáles son las tablas críticas que por ambas partes debieran guardarse los cambios en un log. de cambios. Adicionalmente, debido a que el parámetro REC/CLIENT no se encuentra activo en CRM, y las tablas críticas no están marcadas para log en CRM, no se pueden guardar los cambios realizados a las tablas del sistema. El monitoreo de tablas críticas es un control detectivo que permite revisar los cambios a datos que Corporación HRC considere críticos. En caso de que no se tengan activos, se pudieran realizar modificaciones a tablas por personal no autorizado y difícilmente se tendría una pista de auditoría sobre el cambio realizado. Tabla 5.8 Monitoreo de cambios en tablas criticas del sistema. Así mismo, se deberá activar el parámetro REC/CLIENT en CRM, aunado a que se deben marcar para Log las tablas definidas como críticas. El proceso de monitoreo deberá consistir en una revisión mensual por parte de los dueños de información sobre los logs de tablas obtenidos, a fin de validar que los cambios realizados fueron autorizados. 56

57 Observación 7 Se identifico que existen 8 usuarios (del área de Sistemas) que tienen acceso a las transacciones PFCG, SU01, SU10 y SU12 que pueden ser utilizadas para crear y asignar. (Tabla 5.9). Usuarios con acceso a crear y asignar roles y perfiles Observación Impacto Causa Recomendación Pudimos identificar que aún y cuando los perfiles de superusuario SAP_ALL y SAP_NEW están asignados al administrador del sistema, existen otros 8 usuarios (del área de Sistemas) que tienen acceso a las transacciones PFCG, SU01, SU10 y SU12 que pueden ser utilizadas para crear y asignar roles y perfiles en ambiente productivo. Ver anexo E. Cualquier de estos usuarios pudiera crear un rol y perfil con privilegios amplios y no autorizados y poder asignárselo sin previa autorización, incluyendo el hecho de que se pueden asignar el perfil SAP_ALL y SAP_NEW que les da acceso a ejecutar cualquier transacción del sistema CRM. Derivado de que no existe un procedimiento formal para el monitoreo del uso de perfiles con amplias autorizaciones como los antes mencionados, no habría forma de detectar una actividad atípica como ésta. Falta de definición de procedimientos para el monitoreo de cuentas de superusuarios y/o administradores del sistema, así como restricción de estas transacciones únicamente al administrador. Remover estos privilegios a los 8 usuarios, en caso de backup o emergencia, establecer un procedimiento formal. Así mismo, se deberán implementar procedimientos de revisión y controles detectivos sobre el uso y asignación de perfiles SAP_ALL y SAP_NEW, por lo menos. Tabla 5.9 Usuarios con acceso a crear y asignar roles y perfiles. 57

58 Observación 8 Se identifico que existen 8 usuarios (del área de Sistemas) con la autorización s_develop y valores 01 y 02 en CRM, utilizadas para poder modificar programas o reportes en ambiente productivo.(tabla 5.10) Usuario con autorización de desarrollador en ambiente productivo Observación Impacto Causa Recomendación Identificamos que Como se No se ha Delimitar el existen 8 usuarios mencionó restringido el perfil de los (todos del área de anteriormente, se perfil de estos integrantes de Sistemas), con la requiere que el usuarios para Sistemas para autorización mandante se que únicamente que s_develop y encuentre abierto tengan perfil de únicamente valores 01 y 02 en o desprotegido visualización y tengan acceso CRM, utilizadas para que se soporte en a para poder puedan realizar ambiente transacciones modificar cambios productivo. de programas o directamente en Visualización. reportes en productivo. Sin ambiente embargo, en caso productivo. Aún y de que esto cuando el ocurriera, los mandante requiere usuarios que estar abierto para tienen este que se realicen privilegio, modificaciones tendrían la directas sin un posibilidad de control de cambios, realizar alguna no existe una modificación a un justificación formal programa. para que todos estos usuarios tengan este privilegio asignado en ambiente productivo. Ver Anexo F. Tabla 5.10 Usuario con autorización de desarrollador en ambiente productivo. 58

59 Observación 9 Se identifico que no existe un procedimiento formal para su creación, asignación de privilegios, autorización, monitoreo y asignación de validez de cuentas tipo OSS. (Tabla 5.11) Administración de cuentas tipo OSS Observación Impacto Causa Recomendación Existen cuentas que comúnmente son utilizadas por SAP AG para poder remediar algún problema en el sistema. Estas cuentas son de tipo OSS, sin embargo, identificamos que no existe un procedimiento formal para su creación, asignación de privilegios, autorización, monitoreo y asignación de validez a este tipo de cuentas. De tal forma, identificamos que en este año se creó una cuenta OSS en CRM, que estuvo activa por dos meses y su aprobación no fue analizada o autorizada por el área de sistemas. Existe la posibilidad de que se realicen actividades no autorizadas en los sistemas por personal que labora como proveedor externo de Corporación HRC. Falta de procedimientos formales para la creación, aprobación y uso de cuentas temporales OSS. Desarrollar procedimiento para la creación, asignación de privilegios, monitoreo del uso y expiración de las cuentas de proveedores externos y personal temporal. Este procedimiento deberá considerar por lo menos: 1. Procedimiento de aprobación de la cuenta, indicando fecha de validez y expiración. 2. Nomenclatura que permita identificar fácilmente la cuenta. 3. Monitoreo de su uso 4. Revocación de privilegios y bloqueo de la cuenta. Tabla 5.11 Administración de cuentas tipo OSS. 59

60 Observación 10 Se identifico que no existe un procedimiento formal en el que se establezcan: campos mínimos y obligatorios para crear un usuario en CRM.(Tabla 5.12) Administración de Usuarios Observación Impacto Causa Recomendación Durante nuestra Al no contar con No se han En el revisión, pudimos todos los datos considerado procedimiento identificar que no requeridos en estos aspectos actual, se existe un SAP, la en los debiera incluir procedimiento información en el procedimientos los campos y formal en el que registro maestro existentes para datos mínimos se establezcan: de usuarios se la creación de para dar de alta encuentra usuarios en un usuario. Así Campos mínimos incompleta, lo cual SAP CRM. mismo, es y obligatorios dificulta la correcta recomendable para crear un administración de asignar los usuario en CRM, los usuarios al no usuarios a un como por ejemplo poder identificar grupo de Nombre de fácilmente a qué usuario, ya que Usuario, Grupo y grupo o área es más sencilla Fecha de pertenecen, así su Expiración. como usuarios identificar que administración. Tipo de Cuenta (Diálogo, Servicio, ejecutan procesos batch pero son de tipo diálogo como Comunicación, Background) cualquier usuario. otro Departamento y Función al que pertenece Nomenclatura para proveedores y temporales. Tabla 5.12 Administración de Usuarios. 60

61 Observación 11 Se identifico que no se tienen formalmente establecidos procedimientos y políticas.(tabla 5.13) Falta de Documentación de Procesos, Procedimientos y Políticas Observación Impacto Causa Recomendación Se identificó que no se tienen Al no contar La Crear y formalizar formalmente establecidos los con procesos, documentación los documentos siguientes documentos: procedimientos no se ha especificados así Procedimiento de y políticas considerado como hacer una administración de formalmente como un difusión de los usuarios establecidos, aspecto mismos. Procedimiento de provoca que prioritario en bloqueo de cuentas los usuarios Corporación inactivas HRC Matriz de privilegios Política de Seguridad. Políticas y procedimientos sobre bloqueo de cuentas críticas Políticas y procedimientos sobre la seguridad en tablas Políticas y procedimientos sobre autorizaciones de cambios a tablas críticas Políticas y procedimientos sobre la Administración en SAP Políticas y procedimientos con relación a la administración de usuarios en SAP lleven a cabo las actividades de una manera no estandarizada y sin control alguno. Tabla 5.13 Falta de Documentación de Procesos, Procedimientos y Políticas. 61

62 5.5.4 Entrega de Resultados Previo a la reunión se entregó un CD con la presentación realizada en electrónico Presentación de cierre Se realizó una presentación con el CEO, el Gerente de Sistemas y el encargado del CRM para mostrar los hallazgos y recomendaciones por parte del IPN Auditing Group. 62

63 Conclusiones El realizar el trabajo de Auditoria al Modulo CRM de SAP de Corporación HRC, nos ha llevado a concluir que la información es uno de los activos más importantes para la empresas que en su mayoría, hoy en día, hace uso de la Tecnología de Información; por lo tanto es necesario contar con mecanismos, procesos y procedimientos que ayuden a salvaguardar la integridad, confidencialidad y disponibilidad de la información que conlleven a brindar soporte y dar valor al negocio. Llevar a cabo una auditoria en TI basada en una metodología que hace referencia a las buenas prácticas como lo es COBIT, permite evaluar e identificar las vulnerabilidades y los riesgos de una empresa, proporcionando métricas y modelos de madurez las cuales orientan a emitir recomendaciones que permitan tomar acciones que minimicen dichas vulnerabilidades y riegos. Al realizar una auditoría en TI es importante contar con el apoyo que del consejo directivo y ejecutivos para lograr una mejor comunicación y transparencia en el proceso de la auditoria. El presente trabajo estuvo orientado a la realización de la auditoria en TI del Modulo CRM de SAP de corporación HRC, utilizando como marco de referencia el proceso DS5 Garantizar la seguridad de los sistemas. Esto nos permitió concluir que aunque HRC es una empresa líder en su industria requiere atención principalmente en la documentación de procesos, políticas y procedimientos, administración de usuarios y privilegios. Con el apoyo de la revisión que realizamos, Corporación HRC tiene un panorama general de las vulnerabilidades y de los posibles impactos en caso de que se materialice una amenaza. 63

64 Anexos 64

65 Anexo I Plan de trabajo en MS Project El plan de trabajo se empezó a realizar el 28 de junio y concluyo el día 11 de agosto con la presentación del cierre de la auditoría el cual incluye todas las actividades que se realizaron. 65

66 Anexo II Carta de asignación de Auditoría Héctor Robledo Cervantes CEO Corporación HRC Jesús Reyes Heroles 23, Tlalnepantla De Baz, Estado De México 1 de Julio, 2010 Estimado Héctor, Queremos agradecer la oportunidad que nos brinda HRC para presentar nuestra propuesta de servicios de auditoría, correspondiente al proyecto Auditoría al Módulo CRM de SAP de Corporación HRC. Nuestro objetivo es Evaluar los controles generales de seguridad del módulo CRM dentro del ERP SAP para emitir recomendaciones a Corporación HRC con base a las buenas prácticas de la industria. Nuestro alcance de revisión toma en cuenta los controles de seguridad que están involucrados con el módulo tomando de base las recomendaciones del marco de referencia COBIT para el proceso DS5 Garantizar la Seguridad de los Sistemas. Estamos seguros de que el trabajo en conjunto y los conocimientos adquiridos de nuestros integrantes en Auditoría de TI son elementos fundamentales que tanto HRC como nosotros podemos maximizar para obtener el mayor de los beneficios. Le solicitamos nos dé su autorización para poder realizar nuestras actividades y así mismo que tengamos la colaboración de su gente para la entrega de información requerida para nuestras actividades. Confiamos en que usted aprecie nuestro sincero interés en entregarle un trabajo de valor, así como también agradecemos la oportunidad de presentar nuestra propuesta que nos ayudará en la realización de nuestro proyecto de titulación en la ESIME Culhuacan. Atentamente. José Alfredo Villegas Ramírez. Líder del proyecto IPN Auditing Group. 66

67 Anexo III Carta de requerimientos 14 de Julio, 2010 Fausto González Gerente de Sistemas Estimado Héctor, Por medio del presente solicitamos su apoyo para la entrega de información requerida para nuestras actividades de Auditoria en la corporación HRC, derivado de la Carta de la Asignación de Auditoria con fecha 01 de Julio de 2010, requerimos a usted la siguiente información. Procedimiento de administración de usuarios Procedimiento de bloqueo de cuentas inactivas Organigrama Lista de usuarios que ya no laboran en la compañía Matriz de privilegios Política de Seguridad. Una Dirección IP para el acceso a la red interna de datos. Un acceso a Internet y el apoyo de una persona con los permisos de administración en el modulo CRM. Agradecemos el envío de la información antes descrita en archivo electrónico y/o copias fotostáticas, de no contar con la misma, indicar la causa o motivo en un plazo no mayor a tres días hábiles. Atentamente. José Alfredo Villegas Ramírez. Líder del proyecto IPN Auditing Group. 67

68 Anexo IV Se anexan todas las transacciones que se realizaron para la auditoría Transacción SM35 Administración de Jobs 68

69 Transacción SM64 Administración y Programación de Jobs Transacción SM35 Administración y Programación de Jobs 69

70 Transacción SM36 Administración y Programación de Jobs Transacción SM37 Administración y Programación de Jobs 70

71 Transacción SM36 Programación de Jobs Transacción SM37 Programación de Jobs 71

72 Transacción SM01 Bloqueo y Desbloqueo de Transacciones Transacción CSU3 Reporte Periodo de Revisión 72

73 Transacción SM31 Acceso a todas las tablas Transacción SM31 Acceso a una o más tablas 73

74 Transacción SM38 Reporte RSPARAM Transacción PFCG Generador de Perfiles 74

75 Transacción SA38 Usuarios Inactivos 75

76 Transacción SA38 Perfiles SAP_ALL y SAP_NEW 76

77 Transacción SA38 Acceso a todas las Transacciones 77

78 78

79 Anexo V Mapa de Riesgos Se identificaron 11 observaciones las cuales las clasificamos en los cuatro cuadrantes dependiendo de la importancia para el negocio y la probabilidad de ocurrencia del más bajo hasta el más alto identificando así cuales son las más críticas para el negocio. Mapa de Riesgos 79

erp.com.mx Página 1 de 13

erp.com.mx Página 1 de 13 Los sistemas de planificación de recursos empresariales (ERP) son sistemas de información gerenciales que integran y manejan muchos de los negocios asociados con las operaciones de producción y de los

Más detalles

ACP07. Que es un erp.

ACP07. Que es un erp. UNIVERSIDAD AUTONOMA DE GUADALAJARA ACP07. Que es un erp. JOSE DE JESUS CISNEROS PEREZ REG. 1996632 TECNOLOGIAS DE LA INFORMACION Los sistemas de planificación de recursos empresariales (en inglés ERP,

Más detalles

UNIDAD 3: RECURSOS DE TECNOLOGIA DE INFORMACIÓN Aplicaciones

UNIDAD 3: RECURSOS DE TECNOLOGIA DE INFORMACIÓN Aplicaciones UNIDAD 3: RECURSOS DE TECNOLOGIA DE INFORMACIÓN Aplicaciones 1. Administración de bases de datos e información: Sistemas de administración de bases de datos. 2. Administración del conocimiento. Sistemas

Más detalles

UNIVERSIDAD AUTÓNOMA DE GUADALAJARA ACP07.- RESUMEN: ENTERPRISE RESOURCE PLANNING(ERP) NOMBRE: OLGA MIREYA VASQUEZ RODRIGUEZ REGISTRO: 1996759

UNIVERSIDAD AUTÓNOMA DE GUADALAJARA ACP07.- RESUMEN: ENTERPRISE RESOURCE PLANNING(ERP) NOMBRE: OLGA MIREYA VASQUEZ RODRIGUEZ REGISTRO: 1996759 UNIVERSIDAD AUTÓNOMA DE GUADALAJARA ACP07.- RESUMEN: ENTERPRISE RESOURCE PLANNING(ERP) NOMBRE: OLGA MIREYA VASQUEZ RODRIGUEZ REGISTRO: 1996759 ESTADISTICA APLICADA INTRODUCCION Los sistemas de planificación

Más detalles

.P. TODAS LAS DEFINICIONES HACEN ALUSIÓN A LA INTEGRACION DE LOS RECURSOS EMPRESARIOS.

.P. TODAS LAS DEFINICIONES HACEN ALUSIÓN A LA INTEGRACION DE LOS RECURSOS EMPRESARIOS. SISTEMAS DE GESTIÓN INTEGRADOS - E.R.P..P. ERP (es la sigla de ENTERPRICE RESOURCE PLANNING) Traducción: PLANIFICACION DE RECURSOS EMPRESARIOS. TODAS LAS DEFINICIONES HACEN ALUSIÓN A LA INTEGRACION DE

Más detalles

ERP. Los objetivos principales de los sistemas ERP son:

ERP. Los objetivos principales de los sistemas ERP son: ERP Los sistemas de planificación de recursos de la empresa (en inglés ERP, enterprise resource planning) son sistemas de gestión de información que integran y automatizan muchas de las prácticas de negocio

Más detalles

UNIVERSIDAD TECNOLOGICA ECOTEC FACULTAD DE INGENIERIA EN SISTEMAS COMPUTACIONALES Y TELECOMUNICACIONES ING. EN SISTEMAS ORIENTADO A REDES DIGITALES

UNIVERSIDAD TECNOLOGICA ECOTEC FACULTAD DE INGENIERIA EN SISTEMAS COMPUTACIONALES Y TELECOMUNICACIONES ING. EN SISTEMAS ORIENTADO A REDES DIGITALES UNIVERSIDAD TECNOLOGICA ECOTEC FACULTAD DE INGENIERIA EN SISTEMAS COMPUTACIONALES Y TELECOMUNICACIONES ING. EN SISTEMAS ORIENTADO A REDES DIGITALES FUNDAMENTOS DE COMPUTACIÓN ERP RUFFO A. LEON GOMEZ PROFESORA:

Más detalles

4.1 Impacto de la Tecnología de la Información en La Logística

4.1 Impacto de la Tecnología de la Información en La Logística Cuarta Sesión 4. La tecnología de la Información Profesora Medina Flores Diana Objetivo Particular Conocer y aplicar la nueva tecnología para el logro de mejoras e innovar las herramientas con las que

Más detalles

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

R E S U M E N E J E C U T I V O

R E S U M E N E J E C U T I V O R E S U M E N E J E C U T I V O I T G O V E R N A N C E I N S T I T U T E 5 RESUMEN EJECUTIVO RESUMEN EJECUTIVO muchas empresas, la información y la tecnología que las soportan representan sus más valiosos

Más detalles

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 Antecedentes Ante la necesidad de crear y fortalecer el ambiente

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Software especializado en planificación de recursos empresariales. Índice temático:

Software especializado en planificación de recursos empresariales. Índice temático: Catalogo general del Software FirmaERP Software especializado en planificación de recursos empresariales. Índice temático: Páginas. Anexo 01. Presentación y definición.... ( 2 ) Anexo 02. Implementación......

Más detalles

ERP. SOLUCIÓN PARA PYMES?

ERP. SOLUCIÓN PARA PYMES? ERP. SOLUCIÓN PARA PYMES? Febrero 2011 Introducción La Planificación de Recursos Empresariales, o simplemente ERP (Enterprise Resourse Planning), es un conjunto de sistemas de información gerencial que

Más detalles

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los

Más detalles

ERP Crecimiento Planificado de Sistemas de Información

ERP Crecimiento Planificado de Sistemas de Información ERP Crecimiento Planificado de Sistemas de Información INTRODUCCIÓN En el marco de competencia actual y con los retos que implican una economía global, es necesario que las empresas vean en los sistemas

Más detalles

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do.

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do. Gobernabilidad de TI COBIT Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur 2do. Cuatrimestre 2010 T. 2 Contenido Introducción a la Gobernabilidad de TI

Más detalles

SISTEMA DE INFORMACION GERENCIAL

SISTEMA DE INFORMACION GERENCIAL CORPORACION UNIVERSITARIA NUEVA COLOMBIA SISTEMA DE INFORMACION GERENCIAL SALOMON OROZCO ALARCON Actividades Principales de los SIG Reciben datos como entrada; procesan los datos por medio de cálculos,

Más detalles

Implantación de Gobierno de TI (Tecnologías de la Información) Resumen Ejecutivo.

Implantación de Gobierno de TI (Tecnologías de la Información) Resumen Ejecutivo. Implantación de Gobierno de TI (Tecnologías de la Información) Resumen Ejecutivo. ÍNDICE 1. INTRODUCCIÓN...3 2. LA NECESIDAD DEL CAMBIO DEL ROL DE TI...5 3. NECESIDAD DE GOBIERNO DE TI...6 4. COBIT Y GOBIERNO

Más detalles

DISEÑO DE SOFTWARE INTEGRADO Unidad I: Introducción al Diseño de Software Integrado. Profesor: Cristián Chávez T

DISEÑO DE SOFTWARE INTEGRADO Unidad I: Introducción al Diseño de Software Integrado. Profesor: Cristián Chávez T DISEÑO DE SOFTWARE INTEGRADO Unidad I: Introducción al Diseño de Software Integrado Profesor: Cristián Chávez T 1. Definición y objetivos de ERP Diseño de Software Integrado es diseñar un ERP ERP: Del

Más detalles

TOMA DE DECISIONES. Unidad 10: Meta-competencias para la toma de decisiones ( II )

TOMA DE DECISIONES. Unidad 10: Meta-competencias para la toma de decisiones ( II ) TOMA DE DECISIONES Unidad 10: Meta-competencias para la toma de decisiones ( II ) Objetivo específico 10: Conocer las competencias para superar los problemas de la fragmentación en las empresas y las herramientas

Más detalles

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA 2009 UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA ESTANADRES COBIT, ITIL, ISO 27001 En este documento encontrar un artículo sobre los tres estándares mencionados. El cual contienen resumen,

Más detalles

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000 Espiñeira, Sheldon y Asociados * No. 3-2009 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección

Más detalles

CRM en la Industria de Telecomunicaciones

CRM en la Industria de Telecomunicaciones www.pwc.com/ve 4 Inicio CRM en la Industria de Telecomunicaciones Boletín de Servicios de Asesoría en Riesgos No. 3-2015 - No. 3-2015 Haga click en los enlaces para navegar a través del documento 4 Qué

Más detalles

LOS INDICADORES DE GESTIÓN

LOS INDICADORES DE GESTIÓN LOS INDICADORES DE GESTIÓN Autor: Carlos Mario Pérez Jaramillo Todas las actividades pueden medirse con parámetros que enfocados a la toma de decisiones son señales para monitorear la gestión, así se asegura

Más detalles

www.pwc.com/ve 4 Inicio

www.pwc.com/ve 4 Inicio www.pwc.com/ve 4 Inicio Supply Chain Management (SCM) Cómo alcanzar la excelencia en la planificación de las operaciones y las ventas con SIOP (Planificación de las Operaciones, Ventas e Inventario)? Boletín

Más detalles

UNIDAD III: TECNOLOGÍAS DE VANGUARDIA EN LOS NEGOCIOS

UNIDAD III: TECNOLOGÍAS DE VANGUARDIA EN LOS NEGOCIOS UNIDAD III: TECNOLOGÍAS DE VANGUARDIA EN LOS ERP: ENTERPRISE RESOURCE PLANNING. PLANEACION DE LOS RECURSOS EMPRESARIALES. ERP son las siglas en inglés de Enterprise Resource Planning (Planificación de

Más detalles

Sistemas de Información para la Gestión

Sistemas de Información para la Gestión Sistemas de Información para la Gestión UNIDAD 5_Tema 1: Procesos de TI U.N.Sa. Facultad de Cs.Económicas SIG 2013 UNIDAD 5: SERVICIOS DE TECNOLOGÍA DE INFORMACIÓN 1. Procesos de TI: Planeamiento y Organización.

Más detalles

Sistemas de Información para la Gestión Fac.de Cs. Económicas, Jurídicas y Sociales U.N.Sa.

Sistemas de Información para la Gestión Fac.de Cs. Económicas, Jurídicas y Sociales U.N.Sa. UNIDAD 1: GESTION DE SISTEMAS Y TECNOLOGÍA DE INFORMACIÓN 1. Gobierno de TI: Alineamiento estratégico. Entrega de Valor. Administración de riesgos. Administración de Recursos. de desempeño. Aseguramiento

Más detalles

LIBRO GUIA TEXTO PARA LA ASIGNATURA AUDITORÍA DE SISTEMA INFORMÁTICOS II

LIBRO GUIA TEXTO PARA LA ASIGNATURA AUDITORÍA DE SISTEMA INFORMÁTICOS II LIBRO GUIA TEXTO PARA LA ASIGNATURA AUDITORÍA DE SISTEMA INFORMÁTICOS II 1 Universidad Central del Ecuador Facultad de Ciencias Administrativas Escuela de Contabilidad y Auditaría COBIT 5 2 POR Dr. MARCO

Más detalles

UNIVERSIDAD VALLE DEL MOMBOY DECANATO DE INVESTIGACION Y POSTGRADO ESPECIALIDAD EN GERENCIA DE EMPRESAS

UNIVERSIDAD VALLE DEL MOMBOY DECANATO DE INVESTIGACION Y POSTGRADO ESPECIALIDAD EN GERENCIA DE EMPRESAS UNIVERSIDAD VALLE DEL MOMBOY DECANATO DE INVESTIGACION Y POSTGRADO ESPECIALIDAD EN GERENCIA DE EMPRESAS Planificación de las Operaciones y Planificación de Recursos AUTORES: Ing. Corina Salas Ing. Miguel

Más detalles

UNIVERSIDAD DE LA REPUBLICA FACULTAD DE CIENCIAS ECONOMICAS Y DE ADMINISTRACION TRABAJO MONOGRÁFICO PARA OBTENER EL TITULO DE CONTADOR PÚBLICO

UNIVERSIDAD DE LA REPUBLICA FACULTAD DE CIENCIAS ECONOMICAS Y DE ADMINISTRACION TRABAJO MONOGRÁFICO PARA OBTENER EL TITULO DE CONTADOR PÚBLICO UNIVERSIDAD DE LA REPUBLICA FACULTAD DE CIENCIAS ECONOMICAS Y DE ADMINISTRACION TRABAJO MONOGRÁFICO PARA OBTENER EL TITULO DE CONTADOR PÚBLICO PROPUESTA DE IMPLEMENTACION DEL MARCO DE GESTION COBIT por

Más detalles

LICENCIATURA COMERCIO INTERNACIONAL Y ADUANAS INTRODUCCIÓN A LA LOGÍSTICA SISTEMAS LOGÍSTICOS DE INFORMACIÓN. Presenta: Maximiliano Maya Licona

LICENCIATURA COMERCIO INTERNACIONAL Y ADUANAS INTRODUCCIÓN A LA LOGÍSTICA SISTEMAS LOGÍSTICOS DE INFORMACIÓN. Presenta: Maximiliano Maya Licona LICENCIATURA COMERCIO INTERNACIONAL Y ADUANAS INTRODUCCIÓN A LA LOGÍSTICA SISTEMAS LOGÍSTICOS DE INFORMACIÓN Presenta: Maximiliano Maya Licona Grupo y grado 6 A Tolcayuca, Hgo., Junio de 2015 I. INTRODUCCIÓN...

Más detalles

Boletín Advisory* En este número

Boletín Advisory* En este número Boletín Advisory* Enero 2005 Distribución exclusiva para clientes y relacionados de Espiñeira, Sheldon y Asociados En este número Evolución de los sistemas SAP mysap Business Suite: La nueva generación

Más detalles

ERP, Enterprise Resource Planning. Planeación de Recursos Empresariales

ERP, Enterprise Resource Planning. Planeación de Recursos Empresariales ERP, Enterprise Resource Planning Planeación de Recursos Empresariales Introducción Época basada en los mainframes. Primeros sistemas de control. Competencia global. Tiempos de Respuesta más rápidos. Satisfacción

Más detalles

Juan Luis Kuyeng. Sistema Global de Planificacion de Recursos empresariales ERP Enterprises Resource Planning

Juan Luis Kuyeng. Sistema Global de Planificacion de Recursos empresariales ERP Enterprises Resource Planning Comision para la Promocion de Exportaciones - PROMPEX Sistema Global de Planificacion de Recursos empresariales ERP Enterprises Resource Planning Juan Luis Kuyeng www.prompex.gob.pe www.perumarketplaces.com

Más detalles

Sesión No. 11. Contextualización: Nombre de la sesión: SAP PAQUETERÍA CONTABLE

Sesión No. 11. Contextualización: Nombre de la sesión: SAP PAQUETERÍA CONTABLE Paquetería contable 1 Sesión No. 11 Nombre de la sesión: SAP Contextualización: Hasta la sesión anterior conocimos sobre distintas paqueterías contables, principalmente para pequeñas y medianas empresas

Más detalles

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA Implementando COBIT Por: Víctor Julio Zúñiga.MBA 1 LOS MODELOS DE MEJORES PRÁCTICAS Y LAS METAS DE TI tiempo 2 Alineado Soporte al Negocio Controlados Mejor seguros Calidad del Servicio Riesgos De TI tiempo

Más detalles

NUEVAS FORMAS DE NEGOCIO A PARTIR DE LA TECNOLOGÍA

NUEVAS FORMAS DE NEGOCIO A PARTIR DE LA TECNOLOGÍA Resumen NUEVAS FORMAS DE NEGOCIO A PARTIR DE LA TECNOLOGÍA Cátedra: Administración Gerencial Integrantes: Broggi, Nicolás Leg: 52897 Fiorelli, Alexis Leg: 52605 Gramajo, Flavia Leg: 52574 Roldán, Maximiliano

Más detalles

EL BSC HERRAMIENTA PARA LA OPTIMIZACIÓN INTEGRAL DEL MANTENIMIENTO INDUSTRIAL

EL BSC HERRAMIENTA PARA LA OPTIMIZACIÓN INTEGRAL DEL MANTENIMIENTO INDUSTRIAL EL BSC HERRAMIENTA PARA LA OPTIMIZACIÓN INTEGRAL DEL MANTENIMIENTO INDUSTRIAL Administración de Empresas Este material de autoestudio fue creado en el año 2007 para la asignatura Administración de Empresas

Más detalles

Elección de ERP: Criterios y Costes de implantación de un ERP

Elección de ERP: Criterios y Costes de implantación de un ERP Elección de ERP: Criterios y Costes de implantación de un ERP nº en la implantación de soluciones Microsoft Business Solutions Miguel Ángel Ortuño Director IBdos Participante en más de 300 proyectos de

Más detalles

Boletín Advisory* mysap Business Suite - Optimizando los procesos de negocios. *connectedthinking. Septiembre 2006. MySAP PLM.

Boletín Advisory* mysap Business Suite - Optimizando los procesos de negocios. *connectedthinking. Septiembre 2006. MySAP PLM. Boletín Advisory* Septiembre 2006 mysap - Optimizando los procesos de negocios *connectedthinking mysap - Optimizando los procesos de negocios de mysap El mundo empresarial actual se enfrenta a un cambio

Más detalles

Balanced Scorecard: Creación de un Mapa Estratégico para Conducir el Desempeño de una Empresa. Líder en software de Gestión Pública

Balanced Scorecard: Creación de un Mapa Estratégico para Conducir el Desempeño de una Empresa. Líder en software de Gestión Pública Balanced Scorecard: Creación de un Mapa Estratégico para Conducir el Desempeño de una Empresa. Líder en software de Gestión Pública Contenidos: 1.- Scorecard de Desempeño Corporativo. 2.-Mapa Estratégico.

Más detalles

ESCUELA POLITÉCNICA NACIONAL

ESCUELA POLITÉCNICA NACIONAL ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA EVALUACIÓN DEL NIVEL DE MADUREZ DE LA GESTIÓN DE LAS TIC s EN LA EMPRESA ASTAP PROYECTO PREVIO A LA OBTENCIÓN DEL TITULO DE INGENIERO EN SISTEMAS INFORMÁTICOS

Más detalles

www.pwc.com/mx Centros de Servicios Compartidos (CSC) Qué son?

www.pwc.com/mx Centros de Servicios Compartidos (CSC) Qué son? www.pwc.com/mx Centros de Servicios Compartidos (CSC) Qué son? Contenido 1. Equipo de CSC 2. Qué es un CSC? 3. Qué procesos son elegibles? 4. Soluciones para CSC 5. Beneficios de un CSC 6. Segregación

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

2. FUNDAMENTACION TEORICA

2. FUNDAMENTACION TEORICA 2. FUNDAMENTACION TEORICA 2.1 FUNDAMENTO GENERAL - ENFOQUE DE LOS PROYECTOS DE TI - Orientado al CLIENTE - Orientado a los Sistemas de Información - OSI Existen diversos criterios para clasificar los proyectos

Más detalles

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12 Código:DAP-PM-01 Versión: 1 Página 1 de 12 PLAN DE MEJORA REGULATORIA RACSA 2015 1 Código: DAP-PM-001 Versión: 1 Página 2 de 12 Contenido 1. INTRODUCCIÓN... 3 2. MARCO LEGAL... 3 3. MARCO DE REFERENCIA

Más detalles

5 Sistema de Administración Empresarial

5 Sistema de Administración Empresarial 5 Sistema de Administración Empresarial Los sistemas de planeamiento de la empresa, mejor conocido como ERP por sus siglas en inglés, (Enterprise Resource Planning) es un sistema estructurado que busca

Más detalles

Boletín de Asesoría Gerencial* Arquitectura orientada a servicios (SOA)

Boletín de Asesoría Gerencial* Arquitectura orientada a servicios (SOA) Espiñeira, Sheldon y Asociados * No. 12-2009 *connectedthinking Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección 4 Introducción

Más detalles

Consultoría. Qué son los Servicios Compartidos? Diferentes negocios, un solo soporte

Consultoría. Qué son los Servicios Compartidos? Diferentes negocios, un solo soporte Consultoría Qué son los Servicios Compartidos? Diferentes negocios, un solo soporte Contenido 3 Introducción 4 Funciones compartidas 6 Costos y beneficios 8 Algunas recomendaciones para la implementación

Más detalles

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM Modelo de Control para la Administración de Riesgos de TI MsC. Carlos Zamora Sotelo, CISA, CISM Agenda 1. Objetivo de la Sesión. 2. La Administración de Riesgos en la Estrategia de Negocios. 3. El papel

Más detalles

SOLUCIONES EMPRESARIALES

SOLUCIONES EMPRESARIALES SOLUCIONES EMPRESARIALES 10/13/2011 ORACLE / EXACT Tabla de contenido DESCRIPCIÓN Y ESTRUCTURA GENERAL... 3 PLATAFORMA DE HARDWARE Y SOFTWARE... 4 ESTRUCTURA EN DETALLE... 4 Finanzas... 4 Ventas... 4 Marketing...

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Mejores prácticas para el éxito de un sistema de información. Uno de los problemas de información dentro de las empresas es contar con datos

Mejores prácticas para el éxito de un sistema de información. Uno de los problemas de información dentro de las empresas es contar con datos ANEXO VI. Mejores prácticas para el éxito de un sistema de información Uno de los problemas de información dentro de las empresas es contar con datos importantes del negocio y que éstos estén aislados

Más detalles

Administración de la calidad del software.

Administración de la calidad del software. UNIVERSIDAD IBEROAMERICANA ESTUDIOS CON RECONOCIMIENTO DE VALIDEZ OFICIAL POR DECRETO PRESIDENCIAL DEL 3 DE ABRIL DE 1981 ADMINISTRACIÓN DE LA CALIDAD DEL SOFTWARE UNA NUEVA FORMA DE TRABAJAR TESIS Que

Más detalles

NUESTRA ORGANIZACION

NUESTRA ORGANIZACION NUESTRA ORGANIZACION Trayectoria Más de 34 años de experiencia atendiendo nacional e internacionalmente a empresas colombianas y extranjeras Principios Empresariales Integralidad Seguridad Confidencialidad

Más detalles

Commitment Infor. Productos TI para el Área de Producción

Commitment Infor. Productos TI para el Área de Producción Commitment Infor _ Representación local para ofrecer especialización de reconocimiento internacional en el Área de Tecnologías de la Información, con particular foco en la optimización de la supply chain,

Más detalles

Entendiendo mi ambiente de Control

Entendiendo mi ambiente de Control Riesgos y controles de TI, Entendiendo mi ambiente de Control Victor Vasquez AGENDA Agenda Retos de TI Gobierno de TI Concepto riesgo Control Cobit 3 Objetivo Objetivo Lograr que los participantes entiendan

Más detalles

SISTEMAS DE PLANEACIÓN DE RECURSOS EMPRESARIALES 2008

SISTEMAS DE PLANEACIÓN DE RECURSOS EMPRESARIALES 2008 SISTEMAS DE PLANEACIÓN DE RECURSOS EMPRESARIALES 2008 Por qué es Necesario Implementar un ERP? Las tendencias actuales y futuras están obligando a las empresas a aumentar su competitividad, por lo que

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

El Negocio electrónico y la inteligencia empresarial. Teléfono: 271 6666 / 33 1953. Fax: 33 6123. Correo electrónico: juan_carlos@softel.

El Negocio electrónico y la inteligencia empresarial. Teléfono: 271 6666 / 33 1953. Fax: 33 6123. Correo electrónico: juan_carlos@softel. El Negocio electrónico y la inteligencia empresarial Autor principal y ponente: Juan Carlos Carro Cartaya. Gerencia GESTUR, Empresa Softel. Dirección: Calle 194 y 7ma, Siboney, Playa, Ciudad Habana. Cuba.

Más detalles

Qué es la cadena de suministro?

Qué es la cadena de suministro? Qué es la cadena de suministro? Es una red global utilizada para entregar productos y servicios, desde las materias primas hasta los clientes finales a través de un flujo de información con ingeniera aplicada,

Más detalles

Consultoría Aplicada a la Administración de Tecnologías de Información (En colaboración con Hewlett Packard)

Consultoría Aplicada a la Administración de Tecnologías de Información (En colaboración con Hewlett Packard) Consultoría Aplicada a la Administración de Tecnologías de Información Reseña del programa Ofrece soluciones que integran las estrategias y recursos tecnológicos más actuales (adaptados a todo tipo de

Más detalles

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité

Más detalles

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010 Definición del Catalogo de Servicios V3 José Ricardo Arias Noviembre de 2010 ITIL vs COBIT Agenda Descripciones Generales ITIL vs COBIT Por dónde iniciar? Cuál es la importancia de la presentación? Las

Más detalles

Boletín de Asesoría Gerencial* Business Process Management (BPM)

Boletín de Asesoría Gerencial* Business Process Management (BPM) Espiñeira, Sheldon y Asociados * No. 11-2009 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

Cuando hablamos de tecnologías de información nos estamos refiriendo a las tecnologías

Cuando hablamos de tecnologías de información nos estamos refiriendo a las tecnologías ANEXO I. Sistemas de Planeación de Recursos Empresariales ERP Tecnologías de Información Cuando hablamos de tecnologías de información nos estamos refiriendo a las tecnologías basadas en las computadoras.

Más detalles

Boletín Advisory* En este número. Introducción

Boletín Advisory* En este número. Introducción Boletín Advisory* Marzo 2006 Distribución exclusiva para clientes y relacionados de Espiñeira, Sheldon y Asociados En este número Introducción Funcionalidades claves de SAP Business One Beneficios Riesgos

Más detalles

Gestión de la Información

Gestión de la Información Gestión de la Información Sociedad de la Información Recurso Información Sistemas de Información Tecnologías de la Información Internet ii Fundamentos de SI: Gestión de la Información 49 Un Sistema de

Más detalles

1. ASPECTOS GENERALES DEL CURSO TECNOLOGIA DE INFORMACION Y COMUNICACIONES

1. ASPECTOS GENERALES DEL CURSO TECNOLOGIA DE INFORMACION Y COMUNICACIONES A. PRESENTACIÓN DEL CURSO La tecnología en los últimos años ha generado cambios fuertes y fundamentales en el transporte terrestre de carga, actualmente no es posible generar valor agregado a los procesos

Más detalles

Diseño e Implementación de los Procesos de Gestión TI

Diseño e Implementación de los Procesos de Gestión TI Diseño e Implementación de los Procesos de Gestión TI Alumno(s): Año Académico: 2012 Profesor Guía: Contraparte: ALEJANDRO JESUS ARAVENA ORTIZ LORENA ANDREA ALBORNOZ POBLETE DANIEL HORMAZABAL Escuela de

Más detalles

Programa de Formación de Auditores

Programa de Formación de Auditores Programa de Formación de Auditores Sistemas de Gestión de la Calidad Módulo 2 Sistema de Gestión de la Calidad Requisitos Objetivo del módulo Comprender: Los requisitos de la norma ISO 9001:2008 para el

Más detalles

Actualmente se necesitan herramientas tecnológicas que permiten las siguientes tareas:

Actualmente se necesitan herramientas tecnológicas que permiten las siguientes tareas: PYMES: ERP o ASP? Introducción Por: Samuel Francisco Soto Monsivais ssoto@itesm.mx Asistente Tecnico Universidad Virtual Tec. de Monterrey Campus Sinaloa Abstract La tecnología puede incrementar considerablemente

Más detalles

Epicor Enterprise GLOBAL ENTERPRISE RESOURCE PLANNING

Epicor Enterprise GLOBAL ENTERPRISE RESOURCE PLANNING Epicor Enterprise GLOBAL ENTERPRISE RESOURCE PLANNING EPICOR ENTERPRISE La Siguiente Generación de Software Empresarial Epicor Software Corporation entiende que su empresa, así como otras compañías medianas

Más detalles

Epicor Vantage GLOBAL ENTERPRISE RESOURCE PLANNING

Epicor Vantage GLOBAL ENTERPRISE RESOURCE PLANNING Epicor Vantage GLOBAL ENTERPRISE RESOURCE PLANNING EPICOR VANTAGE Software de Manufactura de la Siguiente Generación Epicor Software Corporation entiende que usted, como el resto de las empresas de manufactura

Más detalles

ERPUP (Pequeñas y Medianas Empresas)

ERPUP (Pequeñas y Medianas Empresas) ERPUP (Pequeñas y Medianas Empresas) Quiere impulsar su compañía? Posee sistemas de información pero no están acorde a su realidad y necesidades? Finalmente mucha de la información termina administrándola

Más detalles

2.3 Planeación de requerimientos de recursos en una cadena de suministros

2.3 Planeación de requerimientos de recursos en una cadena de suministros 2.3 Planeación de requerimientos de recursos en una cadena de suministros 2.3.1 MRP y MRPII (Materials Requirement Planning) MRP es un sistema diseñado bajo el enfoque de empuje (push), debido a que su

Más detalles

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO DESCRIPCION La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un marco de trabajo de las buenas

Más detalles

Indice. www.soaction.com.mx. Antecedentes 2 SIS Organización SIS SOAction. SIS SOAction 3 Misión Visión Valores

Indice. www.soaction.com.mx. Antecedentes 2 SIS Organización SIS SOAction. SIS SOAction 3 Misión Visión Valores Indice Antecedentes 2 SIS Organización SIS SOAction SIS SOAction 3 Misión Visión Valores Factores de Diferenciación 4 Especialización en Negocios Factor Humano Confianza Oferta a la Vanguardia Tecnológica

Más detalles

CAPÍTULO V RESULTADOS DE LA AUDITORÍA Y PROPUESTA DE ACCIONES CORRECTIVAS

CAPÍTULO V RESULTADOS DE LA AUDITORÍA Y PROPUESTA DE ACCIONES CORRECTIVAS CAPÍTULO V RESULTADOS DE LA AUDITORÍA Y PROPUESTA DE ACCIONES CORRECTIVAS Una vez realizada la auditoría a los directivos y a los gerentes de la Agencia de Conferencistas Divulga, se encontró una serie

Más detalles

Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento?

Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento? RESUMEN DE LA SOLUCIÓN CA SERVICE MANAGEMENT: ADMINISTRACIÓN DE ACTIVOS DE SOFTWARE Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento? CA Service

Más detalles

ERP. Qué es un ERP? Qué contiene un ERP? 6/15/2009. Andrés Moreno S.

ERP. Qué es un ERP? Qué contiene un ERP? 6/15/2009. Andrés Moreno S. ERP 1 Andrés Moreno S. Qué es un ERP? Sistemas de Información Gerenciales de Bases de Datos, que integran y manejan muchos de las áreas asociadas con la producción y de los aspectos de distribución de

Más detalles

Innovación Tecnológica: Modelo de Factura Electrónica y su impacto en Colgate Palmolive. Fuente: Estudio realizado por IDC

Innovación Tecnológica: Modelo de Factura Electrónica y su impacto en Colgate Palmolive. Fuente: Estudio realizado por IDC Innovación Tecnológica: Modelo de Factura Electrónica y su impacto en Colgate Palmolive. Fuente: Estudio realizado por IDC Una de las tareas operativas que demandan mayor tiempo en cualquier tipo de empresa

Más detalles

Diseño de soluciones y propuestas de tecnologías para la organi

Diseño de soluciones y propuestas de tecnologías para la organi Diseño de soluciones y propuestas de tecnologías para la organización mailto:pchavezl74@gmail.com 4 de agosto de 2015 1 Aplicaciones empresariales 2 Aplicaciones empresariales Después de cierto tiempo,

Más detalles

El valor de una infraestructura optimizada

El valor de una infraestructura optimizada El valor de una infraestructura optimizada El Estudio del Estado del CIO 2006 (CIO Research, 2006) muestra que los CIO están buscando, cada vez más, introducir, de forma proactiva, soluciones de tecnología

Más detalles

El Primer ERP Open Source de Chile

El Primer ERP Open Source de Chile El Primer ERP Open Source de Chile Software como un Servicio Es el manejo en forma remota de las operaciones de TI (Tecnología de Información) de una empresa, tales como la mantención y soporte de software,

Más detalles

En el contexto de la simulación se asocia a un período de tiempo determinado por una variable aleatoria.

En el contexto de la simulación se asocia a un período de tiempo determinado por una variable aleatoria. DEFINICIONES Actividad: En el contexto de la simulación se asocia a un período de tiempo determinado por una variable aleatoria. Aleatorio (Aleatoriedad): Se asocia a todo proceso cuyo resultado no es

Más detalles

Sistema de planificación de recursos ERP

Sistema de planificación de recursos ERP Sistema de planificación de recursos ERP (Enterprise Resource Planning) Tabla de contenidos Fuente: Wikipedia 1 Definición de Sistema Global de Planificación de recursos (ERP) 2 ERPs versus Software de

Más detalles

Hernán Morales Muñoz. 1 hora. Visión Global COBIT. Power by UGC

Hernán Morales Muñoz. 1 hora. Visión Global COBIT. Power by UGC Hernán Morales Muñoz Visión Global COBIT 1 hora Power by UGC Modelos de Referencia COBIT Modelos de Gobernabilidad de TI ITIL ISO CMM Operaciones ISO 27001 PMI Estrategia de SI TSO Power by UGC Las Organizaciones

Más detalles

Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com

Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com OBJETIVOS DEL MÓDULO Inducir sobre el participante una cultura de administración

Más detalles

Estándar para la Elaboración del Proceso Administración de Elementos de Configuración

Estándar para la Elaboración del Proceso Administración de Elementos de Configuración Seguridad del documento La clasificación de seguridad de la información de este documento, se ha establecido como bajo. Se ha creado y organizado con la expectativa de que esté a disposición de las unidades

Más detalles

Charlas UTN: La importancia del ERP en la organización empresarial

Charlas UTN: La importancia del ERP en la organización empresarial Charlas UTN: La importancia del ERP en la organización empresarial Darío Bonamino Analista de Sistemas Gte. Tecnología TRON Software Dario_bonamino@tron.com.ar AGENDA DE LAS REUNIONES PRIMERA PARTE Qué

Más detalles

Seminario de Actualización: Gobernabilidad de Tecnología de Información. Gobernabilidad de TI. Gobernabilidad de Tecnología de Información

Seminario de Actualización: Gobernabilidad de Tecnología de Información. Gobernabilidad de TI. Gobernabilidad de Tecnología de Información Seminario de Actualización: Gobernabilidad de Tecnología de Información Gobernabilidad de Tecnología de Información Temas para este seminario Visión de COBIT 4 - contenidos Organización y Procesos de Tecnología

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Boletín Advisory* mysap SRM y su apoyo en el cumplimiento de la ley Sarbanes Oxley. *connectedthinking. Mayo 2006

Boletín Advisory* mysap SRM y su apoyo en el cumplimiento de la ley Sarbanes Oxley. *connectedthinking. Mayo 2006 Boletín Advisory* Mayo 2006 y su apoyo en el cumplimiento de la ley Sarbanes Oxley *connectedthinking y su apoyo en el cumplimiento de la ley Sarbanes Oxley Actualmente las empresas están en búsqueda de

Más detalles

TECNOLÓGICAS EMPRESAS

TECNOLÓGICAS EMPRESAS SOLUCIONES TECNOLÓGICAS INTEGRALES PARA LAS EMPRESAS Por: Ivonne Rodríguez CONTENIDO 1. Problemas actuales en las empresas 2. Bussines Intelligence 3. Capa: Data Warehouse 4. Capa: BI en el campo empresarial

Más detalles

PLANEAMIENTO ESTRATÉGICO E INDICADORES

PLANEAMIENTO ESTRATÉGICO E INDICADORES PLANEAMIENTO ESTRATÉGICO E INDICADORES CASO CORPORACIÓN JOSE R. LINDLEY La Corporación José R. Lindley constituye uno de los casos más interesantes de planeamiento estratégico e implementación de indicadores

Más detalles

Seminario de Actualización: Gobernabilidad de Tecnología de Información

Seminario de Actualización: Gobernabilidad de Tecnología de Información Seminario de Actualización: Gobernabilidad de Tecnología de Información Catedra Sistemas de Información para la Gestión - Docentes: Martha Medina de Gillieri Jorge López Gobernabilidad de Tecnología de

Más detalles