UNIVERSIDAD ALAS PERUANAS FACULTAD DE INGENERIAS Y ARQUITECTURA ESCUELA ACADEMICO PROFESIONAL DE INGENERIA DE SISTEMAS E INFORMATICA
CONTROL DE LOS SISTEMAS DE NEGOCIOS “Trabajo Académico”
PRESENTADO POR: Vargas Kasca Katherine Nataly
DOCENTE: Ing. Luis Manuel Sigueñas Siaden
AREQUIPA- PERÚ
2017
Contenido 1.
Información general de la organización .......................................................... ................................................................................ ...................... 3 a.
Presencia en el medio .......................................................... ....................................................................................................... ............................................. 3
b.
Infraestructura tecnológica .............................................................. ............................................................................................... ................................. 5
2.
Alineación con COBIT ............................................................... .......................................................................................................... ........................................... 11 a.
Procesos a implementar................................................................... .................................................................................................. ............................... 11
b.
Objetivos de control ............................................................. ........................................................................................................ ........................................... 12
c.
Aplicaciones con prioridad de aseguramiento................................................................ 12
3.
Gestión integral de procesos y control interno.................................... interno................................................................... ............................... 13
4.
Evolución y madurez madurez de los procesos TI.......................................................... .............................................................................. .................... 19 a.
Mediciones de madurez ................................................................... .................................................................................................. ............................... 19
b.
Integración COBIT – ITIL .................................................................................................. .................................................................................................. 19
5.
Gestión de riesgos riesgos estratégicos de TI .............................................................. .................................................................................. .................... 20
6.
Aplicación de la auditoría informática ............................................................ ................................................................................ .................... 20 a.
Hallazgos de auditoría .......................................................... ..................................................................................................... ........................................... 20
b.
Acciones de mejora .............................................................. ......................................................................................................... ........................................... 20
c.
Auditorías externas .............................................................. ......................................................................................................... ........................................... 21
7.
Resultados y factores de éxito ............................................................. ............................................................................................ ............................... 22 a.
Nivel de cumplimiento de los controles.................................................................... .......................................................................... ...... 22
b.
Estrategias para seguridad seguridad de la información información ........................................................ ................................................................. ......... 22
1. Información general de la organización a. Presencia en el medio El sector calzado es una industria muy diversificada que abarca gran número de materiales como tela, plástico, caucho y cuero, los tipos de calzado van desde los estándar para hombres y mujeres de todas las edades hasta productos más especializados y personalizados, como por ejemplo botas para practicar snowboard, zapatillas para la montaña, zapatos para el agua etc. El 96.7% de las empresas productoras de calzado en Perú son microempresas, según información de la Sociedad Nacional de Industrias, el 3.2 % son pequeñas empresas y el 0.1% son medianas y grandes, producen principalmente zapatillas, calzado retro, de vestir y escolar. El Instituto de Estudios Económicos y Sociales (IEES) indica que las pequeñas empresas se dedican especialmente a producir calzado de goma, zapatillas, calzado para damas y caballeros, botas de PVC, calzado de plástico y las medianas y grandes empresas producen en mayores cantidades calzado de goma y cuero, calzado de vestir, mocasines, zapatillas de goma, y zapatillas de cuero. En la capital de Lima está concentrado el mayor número de locales de fabricantes de zapatos con el 42.2%, sigue Trujillo con 27.2%, Arequipa con 9.4% y Huancayo con 3.5% de un total de 3765 empresas. En Trujillo se encuentra el más grande conglomerado de calzados, formados
por
micro
y
pequeñas
empresas,
reuniendo
a
aproximadamente el 22% de establecimientos, es decir más de 500 empresas de fabricantes de calzado en esa zona, sin contar las tiendas comercializadoras.
En Caqueta (ubicado en el distrito limeño del Rimac) se ubica el conglomerado de proveedores e insumos más importante para la industria del calzado a nivel nacional. Otros distritos que son importantes en este sector con San Juan de Lurigancho, Villa El Salvador, Florencia y Trujillo en la misma ciudad de Trujillo. Los puestos más representativos en las fábricas de calzado son de ayudante de fabricación, el aparador y el armador y por el contrario los puestos con menor número de trabajadores son las de matricero, jefe de mantenimiento de máquinas y diseñador de calzado. Según datos de la Sociedad Nacional de Industrias, actualmente la Industria del Calzado está demostrando ser competitiva a pesar de la competencia desleal que existe, debido principalmente a los productos asiáticos que son vendidos a precios subvaluados. La evidencia que el Perú es competitivo en la fabricación de calzado es que se han podido colocar nuestros productos en varios países de la región como Colombia, Ecuador y México, los cuales tienen medidas que defienden a la Industria del Calzado de la Competencia desleal.
b. Infraestructura tecnológica INFRAESTRUCTURA DE HARDWARE Producción
Hardware Pc de escritorio Impresora Servidor Switch Router
Cantidad 5 1 1 1 1
Marca Hp Hp Ibm Tplink Tplink
Computadora 1:
Computadora 2:
Computadora 3:
Computadora 4:
Computadora 5:
Router:
Switch:
Procesador Pentium Dual Memoria Ram 4gb Disco Duro 250 Gb Case Hp Monitor Lg 20 Pulgadas Procesador Pentium Dual Memoria Ram 4gb Disco Duro 250 Gb Case Micronics Monitor Lg 20 Pulgadas Procesador Pentium Dual Memoria Ram 4gb Disco Duro 250 Gb Case Micronics Monitor Lg 20 Pulgadas Procesador Pentium Dual Memoria Ram 4gb Disco Duro 250 Gb Case Micronics Monitor Lg 20 Pulgadas Procesador Pentium Dual Memoria Ram 4gb Disco Duro 250 Gb Case Micronics Monitor Lg 20 Pulgadas
Core 2.5 Ghz
Core 2.5 Ghz
Core 2.5 Ghz
Core 2.5 Ghz
Core 2.5 Ghz
Interfaz
5 Puertos Lan 10/100Mbps
Botón
Botón De WPS/Reset
Antena
Antena Omnidireccional De 5dbi (RP-SMA)
Fuente De Alimentación 5VDC/0.6A Estandares Inalambricos
IEEE 802.11n*, IEEE 802.11g, IEEE 802.11b
Dimensiones WXDXH
6.9 X 4.6 X 1.3 Pulgadas (174 X 118 X 33 Mm)
Frecuencia
2.4-2.4835ghz
Interfaz
8 Puertos 10/100Mbps, Negociación Automática
Estándares Y Protocolos
IEEE 802.3
Cantidad De Ventilador
Sin Ventilador
Consumo De Energía
Máximo: 2.2W (220V/50Hz)
Tamaño De Búfer
2Mb
CSMA/CD
Procesador Pentium Dual Core 2.5 Ghz Servidor IBM
Memoria Ram 4gb Disco Duro 1000 Gb Isco Duro 500 Gb Sistema Operativo Win_Server_2003 Interfaz
Impresora
Impresora All In One HP Deskjet 2132
Tecnología Con Funciones De Ahorro De Energía Soporta
Windows 7,8,8.1,10
Ventas
HARDWARE Cantidad
Descripción
Precio Unitario
Precio Total
06
PC DESKTOP CORE DUO
S/. 600.00
S/. 3600.00
01
TPLINK Td-w8970n Modem Router Adsl2
S/.260.00
S/.260.00
02
HP Multifuncional Office Jet Pro 6970
S/.299.00
S/.598.00
SOFTWARE Cantidad
Descripción
Precio Unitario
Precio Total
02
LICENCIA OFFICE 365
S/. 200.00
S/. 400.00
03
Windows 7 Pro Professional Sp1 Licencia Original
S/.320.00
S/.320.00
Preventas
HARDWARE Cantidad
Descripción
Precio Unitario
Precio Total
06
PC DESKTOP CORE DUO
S/. 600.00
S/. 3600.00
01
TPLINK Td-w8970n Modem Router Adsl2
S/.260.00
S/.260.00
02
HP Multifuncional Office Jet Pro 6970
S/.299.00
S/.598.00
SOFTWARE
Cantidad
Descripción
Precio Unitario
Precio Total
02
LICENCIA OFFICE 365
S/. 200.00
S/. 400.00
03
Windows 7 Pro Professional Sp1 Licencia Original
S/.320.00
S/.320.00
Distribución
Hardware
Marca
Laptop
1
LENOVO
Celular
1
LENOVO
Tablet
1
LENOVO
Cobranza
Cantidad
Hardware
Cantidad
Marca
PC de escritorio
2
HP
Impresora
1
Canon
Router
1
TP- Link
Servidor
1
IBM
Teléfono
1
T-Mobile
2. Alineación con COBIT a. Procesos a implementar
Producción: proteger la información del proceso de producción, ya sea los modelos producidos, o cantidades programadas.
Venta: protección de los datos de venta ingreso de pedidos, stock disponible en tiendas y en almacén.
Preventa: protección de información de usuarios, selección de productos escogidos.
Distribución: protección de datos financieros de los clientes, historial de pedidos.
Cobranza: confidencialidad de estados de cuenta de clientes mayoristas, saldos y montos abonados.
Modelo de procesos propuestos AP01 – A.1. Definir la estructura organizacional
AP03 – A.3. Mantener los elementos catalizadores del sistema AP06 – A.6. Definir la propiedad de la información del sistema AP04 – A.4.Comunicar los objetivos y la dirección de gestión AP07 – A.7. Gestionar la mejora continua de los procesos AP08 – A.8. Mantener el cumplimiento con las políticas y procedimientos AP02 – A.2. Establecer roles y responsabilidades AP05 – A.5. Optimizar la ubicación de la función de TI
b. Objetivos de control
Posicionar a la marca dentro del segmento líder del mercado.
Mantener la información utilizada bajo estricto secreto corporativo.
Utilizar los implementos adecuados para monitorear los procesos.
Mejorar el uso de sistemas para una protección efectiva.
Incorporar permanentemente nuevas tecnologías en los procesos productivos.
Desarrollar y capacitar al personal en todas las áreas,
potenciando los valores de profesionalismo, calidad y servicio.
Crear asociaciones con los mejores proveedores y clientes del mercado, para proporcionar valor agregado a los servicios y productos que comercializamos.
Mantener actualizaciones vigentes y constantes para un mejor manejo de los sistemas.
Respetar el medioambiente a través de un desarrollo sostenible en todas las etapas involucradas en proceso productivo.
c. Aplicaciones con prioridad de aseguramiento
Revisar las políticas, modelos de procesos y los datos históricos de la organización.
Actualizar la memoria de la empresa.
Retirar los procesos desactualizados del modelo de procesos.
Confirmar al personal de la empresa las políticas a cada inicio de cada ciclo o al realizarse algún cambio.
Realizar el seguimiento y cumplimiento de las políticas.
Notificar mediante correos electrónicos a los usuarios de los cambios.
Realizar semanalmente las actividades realizadas durante la semana en el formulario del avance de los proyectos.
3. Gestión integral de procesos y control interno
Procesos del negocio Producción
o
Venta
o
Venta
o
Preventa
o
Distribución
o
Cobranza
o
4. Evolución y madurez de los procesos TI a. Mediciones de madurez La estructura de la organización es de tipo matricial fuerte, con una planta de personal no mayor a 50. Los recursos que tienen responsabilidad en la toma de decisión dentro de la planta de orden es del 30% y son profesionales en distintas especialidades. La muestra incluye a doce personas en total, se tomó en la selección aquellos que tienen una responsabilidad en algunas áreas y en los procesos más importantes. En esta encuesta se incluyó a los jefes de área, la encuesta se procesó con un aproximado del 60% de las entrevistas. Los resultados muestran que la organización tiene un nivel promedio regular de madurez organizativa y conocimiento en sus áreas.
b. Integración COBIT – ITIL COBIT
Planificación
Adquisicion e implementacion
ITIL
Soporte
Asistencia y asesoramiento
Monitoreo
Estrategias
Diseño
Transición
Operación
Problemas Incidencias Servicios técnicos
Ayuda
servicios
5. Gestión de riesgos estratégicos de TI
6. Aplicación de la auditoría informática a. Hallazgos de auditoría En el proceso de auditoria se identifica que el sistema de preventa está sujeto a cambios constantes. Además del sistema de cobranza el cual varía de acuerdo a los registros de nuevos productos y pedidos de los clientes. Además de la seguridad de la información ingresada y compartida dentro de las distintas áreas del negocio.
b. Acciones de mejora El sistema actual que se maneja en la empresa “JAERLOU” se controlan procesos tales como: la demostración de modelos de calzado, la toma de pedido, la distribución de mercadería y la cobranza del dinero, en la realización de las ventas que se registran día a día en la empresa.
La demostración de modelos de calzado: Es llevada de forma físicas, esto quiere decir, que los modelos son ofrecidos enseñándole uno a uno al cliente de forma directa dirigida por el preventista.
Toma de pedido: Es llevada de una forma manual apuntando en la LIBRETA DE PEDIDOS la cantidad, modelo y precio del calzado esta es dirigida por el preventista.
Distribución de mercadería: La mercadería es entregada según el pedido realizado por el cliente y que ha sido apuntado en la LIBRETA DE PEDIDOS, esta es dirigida por el distribuidor.
Cobranza del dinero: es llevada de forma manual, es manejada por el recaudador quien se encarga de ir hacia donde el cliente y cobrarle, este tendrá que anotar en la LIBRERA DE CUENTAS la fecha y el monto que le está pagando el cliente, la cobranza es interdiaria.
Registro de venta: en caso del registro de ventas, el vendedor es el encargado de anotar el pedido del cliente en el CUADERNO DE VENTAS, anotando el nombre del cliente, la cantidad, el modelo y el precio.
El sistema para la empresa “JAERLOU” será un producto diseñado para trabajar en entorno web, esto permitirá el uso de este sistema en cualquier computadora o dispositivo móvil siempre que tenga conexión a internet, haciendo rápido y eficaz la consulta de información que el usuario desee conocer.
c. Auditorías externas o
Auditoría pública gubernamental: se desarrolla por el Tribunal de Cuentas gracias a las competencias adquiridas por la Ley Orgánica de 1984.
o
Auditoría integral: esta auditoría evalúa por completo toda la información financiera, estructura de la organización, los sistemas de control interno, cumplimiento de leyes y objetivos empresariales para dar una visión global y certera del cumplimiento de la empresa.
o
Auditoría financiera: también denominada auditoría contable. Se encarga de examinar y revisar los estados financieros y la
preparación de informes de acuerdo a normas contables establecidas.
7. Resultados y factores de éxito a. Nivel de cumplimiento de los controles Los resultados del plan de implementación con más valor y aceptación para la empresa JAERLOU es el relacionado al proceso, pues contiene los productos de trabajo con mayor facilidad de habilitar el logro de los objetivos de TI. Para la implementación de cualquier proyecto es necesario una constante comunicación con la gerencia de la empresa y el cliente, pues la dificultad se incrementa a medida que la implementación envuelve la actualización y creación de información y documentación para la empresa. Los productos de trabajo deben estar alineados a los habilitadores de COBIT 5 para que funcionen como elementos que impulsan el cumplimiento de los objetivos de TI en la empresa.
b. Estrategias para seguridad de la información Para la correcta administración de la seguridad de la información, se deben establecer y mantener acciones que busquen cumplir con los tres requerimientos de mayor importancia para la información, estos son:
Confidencialidad: Busca prevenir el acceso no autorizado ya sea en forma intencional o no intencional a la información. La pérdida de la confidencialidad puede ocurrir de muchas maneras, como por ejemplo con la publicación intencional de información confidencial de la organización.
Integridad: Busca asegurar: o
Que no se realicen modificaciones por personas no autorizadas a los datos o procesos.
o
Que no se realicen modificaciones no autorizadas por personal autorizado a los datos o procesos.
o
Que los
datos sean
consistentes tanto interna como
externamente.
Disponibilidad: Busca asegurar acceso confiable y oportuno a los datos o recursos para el personal apropiado. Diferentes organizaciones internacionales han definido estándares y normas que apoyan en diferente medida el cumplimiento de los requerimientos indicados anteriormente. A continuación se detallan los de mayor utilización a nivel mundial, y que fueron tomados como base para el modelo propuesto.
