UNIVERSIDAD MARIANO GLVEZ DE GUATEMALA

FACULTAD DE INGENIERA EN SISTEMAS

INCREMENTAR EL NIVEL DE MADUREZ DE

SEGURIDAD DEL SISTEMA ERP INTEGRA
DE YARA GUATEMALA, S.A., APLICANDO
COBIT

LICENCIATURA EN ADMINISTRACIN DE SISTEMAS DE INFORMACIN

SEGURIDAD DE SISTEMAS

Ing. Efrain Marroquin

Estudiante

Carn

E-mail
josueitamar@hotmail.co

Telfono

Josu Morataya

0494-08-764

Hctor Cuj Morales

0494-08-2191 hectorcuj@gmail.com

4850-3738

Edgar Quan Torres

0494-01-1720 eqmofo2@gmail.com

4179-4158

Guatemala, Junio de 2013

5015-8922

INFORME DE INVESTIGACIN
Tema:
Incrementar el nivel de madurez de seguridad del sistema ERP Integra de Yara
Guatemala, S. A., aplicando COBIT

Justificacin:
El Nivel de madurez se alcanza con el transcurrir del tiempo (experiencia), por
tanto la ejecucin de SGS1 en las empresas debe ser peridico; en nuestro medio
se le pone poca importancia a stas prcticas, sin embargo es de tomar en
consideracin que con la globalizacin, toda empresa se ve obligado a llevar
controles de nivel mundial.
En nuestro caso tuvimos la oportunidad de llevar a la prctica un SGS1 (ISO
27002), para revisar cada uno de los procesos a nivel de seguridad de la empresa
sujeto de estudio (Yara Guatemala, S. A.), quien clasific en el nivel 2 Segn la
metodologa COBIT; El objetivo del grupo es llevar esta empresa al Nivel 3, lo cual
es totalmente justificable, porque todo proceso debe ser mejorable y la empresa
debe estar dispuesta a afrontar cambios que la competencia le exige de forma
indirecta.

Ventaja competitiva de la investigacin

Las ventajas son muchas, pero la ms relevante es el conocer el nivel en que la
empresa se encuentra, ya que esto ayuda a crear estrategias para una mejora
general para la organizacin y ste es el caso de Yara Guatemala, S. A.

Objetivos de Aprendizaje de la Investigacin

Generales
Determinar los pasos necesarios para incrementar el nivel de madurez de Yara
Guatemala, S.A.
Especficos
1. Aprender a elaborar un plan de ejecucin con controles sugeridos.
2. Aprender a elaborar lista de actividades, con tiempos y responsables a
travs de un diagrama de Gannt..
3. Aprender a llevar a la prctica los planes diseados.

INDICE

INFORME DE INVESTIGACIN................................................................................i
Tema:.......................................................................................................................i
Justificacin:............................................................................................................i
Ventaja competitiva de la investigacin...................................................................i
Objetivos de Aprendizaje de la Investigacin..........................................................i
Generales.............................................................................................................i
Especficos...........................................................................................................i
INDICE.......................................................................................................................iii
1. MARCO CONCEPTUAL.....................................................................................1
1.1 Antecedentes:...................................................................................................2
1.2 Objetivo general:.............................................................................................2
1.3 Objetivos especficos:......................................................................................2
1.4 Justificacin:.....................................................................................................2
1.5 Viabilidad..........................................................................................................2
1.6 Consecuencias:................................................................................................3
2. MARCO TERICO..............................................................................................4
2.1 Metodologa COBIT..........................................................................................5
2.2 Modelo de Madurez..........................................................................................5
Objetivos.............................................................................................................5
Para qu sirve el modelo de madurez?............................................................5
2.3 Yara Guatemala, S.A........................................................................................6
Quines Somos?..............................................................................................6
Cmo se dan a conocer los productos de Yara?..............................................6
Cul es el segmento principal del mercado de Yara?......................................7
3

3. PROPUESTA......................................................................................................8
3.1 Actividades.......................................................................................................9
3.2 Presupuesto...................................................................................................10
4. BIBLIOGRAFIA..................................................................................................11
5. ANEXOS...........................................................................................................13

1. MARCO CONCEPTUAL

1.1 Antecedentes:
En un estudio anterior Aplicando ISO 27002 en conjunto con COBIT, se determin
que la empresa Yara Guatemala, S.A. se encuentra en el nivel de madurez 2.
En el mismo estudio a travs de un informe se plante a la empresa las
debilidades que se encontraron en temas de seguridad, a la vez se les entreg
una lista de controles necesarios que deben de llevarse a cabo para mejorar y
ascender al siguiente nivel (3). Esto motiv al personal de Yara Guatemala
quienes se pusieron a disposicin y a la espera de una propuesta ms detallada,
de las acciones que deben llevarse a cabo para ascender a nivel mas aceptable.

1.2 Objetivo general:

Incrementar el Nivel de Madurez de Seguridad del Sistema ERP Integra de Yara
Guatemala, S.A., aplicando COBIT.

1.3 Objetivos especficos:

1.3 Planificar actividades necesarias para subir al nivel inmediato (3).
1.4 Determinar Recursos para llevar a la prctica los controles que lleven a la
empresa al siguiente nivel
1.5 Presentar presupuesto detallado.
1.6 Presentar Recursos necesarios

1.4 Justificacin:
Considerando que la informacin es un elemento de alta importancia para la
organizacin, es vital tomar las consideraciones para un mejor control de la
misma; de igual manera se consideran los accesos que tienen los usuarios tanto a
la captura como a la consulta de la informacin por diferentes medios (pantalla,
impresin, medios mviles, etc.)

1.5 Viabilidad
De acuerdo a los resultados de la primera parte del proyecto, se plante en la
empresa la posibilidad de laborar esta propuesta, con el fin de subir al siguiente
nivel.
La compaa considera que es necesario mejorar el aspecto de seguridad en el
sistema, por lo que est anuente a tomar en consideracin la propuesta que se le
plantear

1.6 Consecuencias:
Dado que el nivel de madurez de la empresa no es el esperado por los gerentes,
el no llevar a cabo la implementacin de las sugerencias dadas por los asesores,
tendr un efecto negativo en el rendimiento y progreso de la compaa en temas
de seguridad.

2. MARCO TERICO

2.1 Metodologa COBIT

COBIT es un marco de gobierno de las tecnologas de informacin que
proporciona una serie de herramientas para que la gerencia pueda conectar los
requerimientos de control con los aspectos tcnicos y los riesgos del negocio
COBIT permite el desarrollo de las polticas y buenas prcticas para el control de
las tecnologas en toda la organizacin
COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a
incrementar su valor a travs de las tecnologas, y permite su alineamiento con los
objetivos del negocio

2.2 Modelo de Madurez

Conjunto estructurado de elementos que describen el nivel de seguridad de una
organizacin.
Objetivos

Establecer niveles discretos y absolutos de madurez.

Establece de manera explcita la evolucin de la organizacin en el tema de
seguridad.

Para qu sirve el modelo de madurez?

Para medir (donde se encuentra actualmente)

Auto medir (autoanlisis de madurez y capacidad)
Determinar hacia donde se quiere llegar
Determinar oportunidades de mejora
Verificar la alineacin con las estrategias de la organizacin (alineacin con

el presente y el futuro)
Planificacin estratgica
Acciones a tomar
Seguimiento y control del avance o crecimiento

2.3 Yara Guatemala, S.A.

Quines Somos?
Somos una empresa lder en el campo de los fertilizantes, poseemos ms de 50
aos de experiencia en Guatemala, inicialmente Yara se conoci como Hydro
Nordic, sus oficinas centrales estaban ubicadas en la zona 4, actualmente esta
ubicada en la Calzada Roosevelt en el edificio Ilumina. A finales de los aos 70s

6
la rpida expansin de Yara dentro del mercado de fertilizantes condujo a la
creacin de una moderna planta de Mezcla y Envasado que se ubica en la costa
sur, exactamente en el puerto de San Jos. en el siglo XXI la misin de Yara es
expandirse ms all de Guatemala para ser los lderes en toda la region
centroamericana. Los productos de Yara son reconocidos a nivel nacional
fcilmente debido a su gran calidad ya que son Importados desde Noruega. En
Noruega existen las 2 plantas de produccin de Yara ms grandes de Europa que
abastecen el mercado mundial de fertilizantes que esta rpida expansin
principalmente en las Amricas.
Yara como una empresa multinacional se rige por normas y estatutos
internacionales as como por las leyes de cada pas y adems de generar empleos
es una compaa que posee responsabilidad social y est consciente de la
proteccion al medio ambiente.
Yara utiliza la tecnologa ms avanzada en la elaboracin de sus productos
cumpliendo y excediendo los estndares de la ms alta calidad as como
dedicando gran parte de sus ingresos a la investigacin y desarrollo de nuevos
productos que contribuyan a satisfacer las necesidades de sus clientes.
Cmo se dan a conocer los productos de Yara?
La calidad es la mejor publicidad en el caso de los fertilizantes Yara, se manejan
los ms altos estndares de calidad en la elaboracin de los fertilizantes as como
la tecnologa ms avanzada.
A nivel local existe un grupo tcnico de asesores de cultivos y agronoma en
general que ayudan a los agricultores y empresas agrcolas en la asesora y toma
de decisiones sobre que producto se ajusta ms a las necesidades particulares de
cada cliente y sus cultivos.
Existen talleres, Reuniones y conferencias impartidas por Yara y empresas
colaboradoras as como tambin se da una participacin activa en todas las
reuniones que se celebran todos los aos por la Gremiales, principalmente las de
caf y Caa de Azcar que son los principales cultivos en la regin.
Hablando un poco de publicidad la mayor parte de la publicidad se da por radio y
los medios escritos de mayor difusin como lo son los peridicos y revistas
especializadas del sector agrcola. Pero para Yara la mejor publicidad es la que se
da de boca en boca.

7
Cul es el segmento principal del mercado de Yara?
Yara se enfoca principalmente el agricultor independiente y en las empresas del
sector agrcola que han depositado su confianza por ms de 50 aos y que gozan
de los privilegios y beneficios que los distingue como los lderes en la produccin
de sus cultivos ya que utilizan los mejores fertilizantes disponibles en el mercado.
En los ltimos tiempos se est poniendo especial atencin al micro empresario ya
que en Guatemala es un segmento de mercado creciente que est demostrando
un potencial que debe ser aprovechado.

3. PROPUESTA

9
En base a los resultados obtenidos en la primera etapa del proyecto se
recomiendan los siguientes Controles:

Establecer una Poltica de Contraseas

Gestionar la emisin de Reportes
Gestin de Accesos Remotos
Administracin de Roles y Perfiles
Gestionar accesos y permisos especiales

Aplicando los controles sugeridos se logra sumar un total de 60 puntos para lograr
de este modo que el nivel de Acceso actual segn la metodologa COBIT que se
encuentran en el nivel de 2 se supere a nivel 3 DEFINITIVO.

3.1 Actividades
Cada uno de los controles sugeridos comprenden las siguientes actividades:

Poltica de Contraseas
o Habilitar la encriptacin de contraseas a nivel de modificacin de
los perfiles de IT
o Controlar el uso de claves repetidas frecuentemente poniendo en
prctica una validacin de las ltimas 3 claves utilizadas.
o Elaborar un documento que deber ser entregado al usuario y

firmado de aceptacin
Gestionar la emisin de Reportes
o Bloqueo de archivos en spool (se impide el acceso a reportes que no
sean los del propio usuario)
o Monitorear desde la consola central la generacin de reportes
o Eliminacin peridica de reportes no impresos
Gestin de Accesos Remotos
o Limitar la conexin remota solo a nivel del proveedor de soporte
o Solicitar confirmacin con cuando se realiza la comunicacin remota
Administracin de Roles y Perfiles
o Revisar todos los roles y perfiles activos en la empresa
o Eliminar perfiles de empleados dados de baja
o Desactivar perfiles de usuarios ausentes por ms de 3 das
Gestionar accesos y permisos especiales
o Eliminar acceso a la lnea de comandos para todos los usuarios

3.2 Presupuesto
Dado el alcance del proyecto se habl con el coordinador de IT sobre los controles
sugeridos y se determin en el siguiente cuadro cual es el costo por cada

10
actividad. El coordinador de IT indico que el proveedor puede realizar cada
actividad en el nmero de das indicado en el cuadro. Tanto para el personal de
Yara como para el proveedor un da de trabajo representa 2 horas diarias.
Costos por parte de Yara (estimados):

Coordinador de IT
Gerente Financiero
Gerente de RRHH

Costo de Yara:

Q.200.00 / Dia
Q.150.00 /Dia (solo dedica 1 hora diaria)
Q.100.00 /Dia
Q.9,200.00

Costo por Parte del Proveedor de AS/400:

Tarifa de Trabajo

Costo

de Proveedor:

Costo Total de Proyecto Yara:

Q.800.00 / Dia
Q,5600.00
Q.14,800.00

4. BIBLIOGRAFIA

11

12
Ensayos de auditora informtica
http://www.slideshare.net/MOSHERG/auditoria-informatica-tesis
Tesis sobre: AUDITORA EXTERNA EN UN AMBIENTE DE SISTEMAS DE
INFORMACIN COMPUTARIZADO EN EL REA DE INGRESOS DE UNA
EMPRESA COMERCIALIZADORA DE VEHCULOS USAC
http://biblioteca.usac.edu.gt/tesis/03/03_3202.pdf
Conceptos generales de Auditoria de Sistemas
http://www.slideshare.net/jonbonachon/conceptos-generales-auditora-y-evaluacinde-sistemas
Tesis sobre: Auditora interna de sistemas UFM
http://www.tesis.ufm.edu.gt/pdf/2458.pdf

5. ANEXOS
5 das

lun
03/06/1
3

2 das

lun
mar
03/06/13 04/06/13

2 das

mi
jue
05/06/13 06/06/13

1 da

vie
vie
07/06/13 07/06/13

14
das

lun
10/06/1
3

1 da

lun
lun
10/06/13 10/06/13

Coord.
0% IT,Proveedo
AS/400

Monitorear desde la consola

central la generacin de reportes

13 das

mar
jue
11/06/13 27/06/13

0% Coord. IT

Eliminacin peridica de
reportes no impresos

11 das

jue
jue
13/06/13 27/06/13

Gestion de Accesos Remotos

9 das

lun
17/06/1
3

Limitar la conexin remota solo

a nivel del proveedor de soporte

1 da

lun
lun
17/06/13 17/06/13

Poltica de Contraseas
Habilitar la encriptacin de
contraseas a nivel de
modificacin de los perfiles de IT
Controlar el uso de claves
repetidas frecuentemente
poniendo en prctica una
validacin de las ltimas 3 claves
utilizadas.
Elaborar un documento que
deber ser entregado al usuario y
firmado de aceptacin
Gestionar la emision de
reportes
Bloqueo de archivos en spool

vie
07/06/1
3

0%

Proveedor
AS/400

0% Coord. IT

0% Coord. IT

jue
27/06/1
3

mar
jue
18/06/13 27/06/13

Administracion de Roles y
Perfiles

4 das

mar
18/06/1
3

4 das

mar
vie
18/06/13 21/06/13

13

Proveedor
AS/400

jue
27/06/1
3

Solicitar confirmacin con

cuando se realiza la comunicacin 8 das
remota

Revisar todos los roles y perfiles

activos en la empresa

0%

Coord.
0% IT,Proveedo
AS/400
10

0% Coord. IT

vie
21/06/1
3

Coord.
IT,Gerente
0%
Financiero,G
nte RRHH

Eliminar perfiles de empleados

dados de baja

1 da

lun
lun
24/06/13 24/06/13

13

0% Coord. IT

Desactivar perfiles de usuarios

ausentes por ms de 3 das

1 da

mar
mar
25/06/13 25/06/13

14

0% Coord. IT

Gestionar Accesos y Permisos

Especiales

1 da

jue
27/06/1
3

Eliminar acceso a la lnea de

comandos para todos los usuarios

1 da

jue
jue
27/06/13 27/06/13

jue
27/06/1
3
0%

Proveedor
AS/400
Gran Total

14