Professional Documents
Culture Documents
Estudiante
Carn
E-mail
josueitamar@hotmail.co
Telfono
Josu Morataya
0494-08-764
0494-08-2191 hectorcuj@gmail.com
4850-3738
0494-01-1720 eqmofo2@gmail.com
4179-4158
5015-8922
INFORME DE INVESTIGACIN
Tema:
Incrementar el nivel de madurez de seguridad del sistema ERP Integra de Yara
Guatemala, S. A., aplicando COBIT
Justificacin:
El Nivel de madurez se alcanza con el transcurrir del tiempo (experiencia), por
tanto la ejecucin de SGS1 en las empresas debe ser peridico; en nuestro medio
se le pone poca importancia a stas prcticas, sin embargo es de tomar en
consideracin que con la globalizacin, toda empresa se ve obligado a llevar
controles de nivel mundial.
En nuestro caso tuvimos la oportunidad de llevar a la prctica un SGS1 (ISO
27002), para revisar cada uno de los procesos a nivel de seguridad de la empresa
sujeto de estudio (Yara Guatemala, S. A.), quien clasific en el nivel 2 Segn la
metodologa COBIT; El objetivo del grupo es llevar esta empresa al Nivel 3, lo cual
es totalmente justificable, porque todo proceso debe ser mejorable y la empresa
debe estar dispuesta a afrontar cambios que la competencia le exige de forma
indirecta.
INDICE
INFORME DE INVESTIGACIN................................................................................i
Tema:.......................................................................................................................i
Justificacin:............................................................................................................i
Ventaja competitiva de la investigacin...................................................................i
Objetivos de Aprendizaje de la Investigacin..........................................................i
Generales.............................................................................................................i
Especficos...........................................................................................................i
INDICE.......................................................................................................................iii
1. MARCO CONCEPTUAL.....................................................................................1
1.1 Antecedentes:...................................................................................................2
1.2 Objetivo general:.............................................................................................2
1.3 Objetivos especficos:......................................................................................2
1.4 Justificacin:.....................................................................................................2
1.5 Viabilidad..........................................................................................................2
1.6 Consecuencias:................................................................................................3
2. MARCO TERICO..............................................................................................4
2.1 Metodologa COBIT..........................................................................................5
2.2 Modelo de Madurez..........................................................................................5
Objetivos.............................................................................................................5
Para qu sirve el modelo de madurez?............................................................5
2.3 Yara Guatemala, S.A........................................................................................6
Quines Somos?..............................................................................................6
Cmo se dan a conocer los productos de Yara?..............................................6
Cul es el segmento principal del mercado de Yara?......................................7
3
3. PROPUESTA......................................................................................................8
3.1 Actividades.......................................................................................................9
3.2 Presupuesto...................................................................................................10
4. BIBLIOGRAFIA..................................................................................................11
5. ANEXOS...........................................................................................................13
1. MARCO CONCEPTUAL
1.1 Antecedentes:
En un estudio anterior Aplicando ISO 27002 en conjunto con COBIT, se determin
que la empresa Yara Guatemala, S.A. se encuentra en el nivel de madurez 2.
En el mismo estudio a travs de un informe se plante a la empresa las
debilidades que se encontraron en temas de seguridad, a la vez se les entreg
una lista de controles necesarios que deben de llevarse a cabo para mejorar y
ascender al siguiente nivel (3). Esto motiv al personal de Yara Guatemala
quienes se pusieron a disposicin y a la espera de una propuesta ms detallada,
de las acciones que deben llevarse a cabo para ascender a nivel mas aceptable.
1.4 Justificacin:
Considerando que la informacin es un elemento de alta importancia para la
organizacin, es vital tomar las consideraciones para un mejor control de la
misma; de igual manera se consideran los accesos que tienen los usuarios tanto a
la captura como a la consulta de la informacin por diferentes medios (pantalla,
impresin, medios mviles, etc.)
1.5 Viabilidad
De acuerdo a los resultados de la primera parte del proyecto, se plante en la
empresa la posibilidad de laborar esta propuesta, con el fin de subir al siguiente
nivel.
La compaa considera que es necesario mejorar el aspecto de seguridad en el
sistema, por lo que est anuente a tomar en consideracin la propuesta que se le
plantear
1.6 Consecuencias:
Dado que el nivel de madurez de la empresa no es el esperado por los gerentes,
el no llevar a cabo la implementacin de las sugerencias dadas por los asesores,
tendr un efecto negativo en el rendimiento y progreso de la compaa en temas
de seguridad.
2. MARCO TERICO
el presente y el futuro)
Planificacin estratgica
Acciones a tomar
Seguimiento y control del avance o crecimiento
6
la rpida expansin de Yara dentro del mercado de fertilizantes condujo a la
creacin de una moderna planta de Mezcla y Envasado que se ubica en la costa
sur, exactamente en el puerto de San Jos. en el siglo XXI la misin de Yara es
expandirse ms all de Guatemala para ser los lderes en toda la region
centroamericana. Los productos de Yara son reconocidos a nivel nacional
fcilmente debido a su gran calidad ya que son Importados desde Noruega. En
Noruega existen las 2 plantas de produccin de Yara ms grandes de Europa que
abastecen el mercado mundial de fertilizantes que esta rpida expansin
principalmente en las Amricas.
Yara como una empresa multinacional se rige por normas y estatutos
internacionales as como por las leyes de cada pas y adems de generar empleos
es una compaa que posee responsabilidad social y est consciente de la
proteccion al medio ambiente.
Yara utiliza la tecnologa ms avanzada en la elaboracin de sus productos
cumpliendo y excediendo los estndares de la ms alta calidad as como
dedicando gran parte de sus ingresos a la investigacin y desarrollo de nuevos
productos que contribuyan a satisfacer las necesidades de sus clientes.
Cmo se dan a conocer los productos de Yara?
La calidad es la mejor publicidad en el caso de los fertilizantes Yara, se manejan
los ms altos estndares de calidad en la elaboracin de los fertilizantes as como
la tecnologa ms avanzada.
A nivel local existe un grupo tcnico de asesores de cultivos y agronoma en
general que ayudan a los agricultores y empresas agrcolas en la asesora y toma
de decisiones sobre que producto se ajusta ms a las necesidades particulares de
cada cliente y sus cultivos.
Existen talleres, Reuniones y conferencias impartidas por Yara y empresas
colaboradoras as como tambin se da una participacin activa en todas las
reuniones que se celebran todos los aos por la Gremiales, principalmente las de
caf y Caa de Azcar que son los principales cultivos en la regin.
Hablando un poco de publicidad la mayor parte de la publicidad se da por radio y
los medios escritos de mayor difusin como lo son los peridicos y revistas
especializadas del sector agrcola. Pero para Yara la mejor publicidad es la que se
da de boca en boca.
7
Cul es el segmento principal del mercado de Yara?
Yara se enfoca principalmente el agricultor independiente y en las empresas del
sector agrcola que han depositado su confianza por ms de 50 aos y que gozan
de los privilegios y beneficios que los distingue como los lderes en la produccin
de sus cultivos ya que utilizan los mejores fertilizantes disponibles en el mercado.
En los ltimos tiempos se est poniendo especial atencin al micro empresario ya
que en Guatemala es un segmento de mercado creciente que est demostrando
un potencial que debe ser aprovechado.
3. PROPUESTA
9
En base a los resultados obtenidos en la primera etapa del proyecto se
recomiendan los siguientes Controles:
Aplicando los controles sugeridos se logra sumar un total de 60 puntos para lograr
de este modo que el nivel de Acceso actual segn la metodologa COBIT que se
encuentran en el nivel de 2 se supere a nivel 3 DEFINITIVO.
3.1 Actividades
Cada uno de los controles sugeridos comprenden las siguientes actividades:
Poltica de Contraseas
o Habilitar la encriptacin de contraseas a nivel de modificacin de
los perfiles de IT
o Controlar el uso de claves repetidas frecuentemente poniendo en
prctica una validacin de las ltimas 3 claves utilizadas.
o Elaborar un documento que deber ser entregado al usuario y
firmado de aceptacin
Gestionar la emisin de Reportes
o Bloqueo de archivos en spool (se impide el acceso a reportes que no
sean los del propio usuario)
o Monitorear desde la consola central la generacin de reportes
o Eliminacin peridica de reportes no impresos
Gestin de Accesos Remotos
o Limitar la conexin remota solo a nivel del proveedor de soporte
o Solicitar confirmacin con cuando se realiza la comunicacin remota
Administracin de Roles y Perfiles
o Revisar todos los roles y perfiles activos en la empresa
o Eliminar perfiles de empleados dados de baja
o Desactivar perfiles de usuarios ausentes por ms de 3 das
Gestionar accesos y permisos especiales
o Eliminar acceso a la lnea de comandos para todos los usuarios
3.2 Presupuesto
Dado el alcance del proyecto se habl con el coordinador de IT sobre los controles
sugeridos y se determin en el siguiente cuadro cual es el costo por cada
10
actividad. El coordinador de IT indico que el proveedor puede realizar cada
actividad en el nmero de das indicado en el cuadro. Tanto para el personal de
Yara como para el proveedor un da de trabajo representa 2 horas diarias.
Costos por parte de Yara (estimados):
Coordinador de IT
Gerente Financiero
Gerente de RRHH
Costo de Yara:
Q.200.00 / Dia
Q.150.00 /Dia (solo dedica 1 hora diaria)
Q.100.00 /Dia
Q.9,200.00
Tarifa de Trabajo
Costo
de Proveedor:
Q.800.00 / Dia
Q,5600.00
Q.14,800.00
4. BIBLIOGRAFIA
11
12
Ensayos de auditora informtica
http://www.slideshare.net/MOSHERG/auditoria-informatica-tesis
Tesis sobre: AUDITORA EXTERNA EN UN AMBIENTE DE SISTEMAS DE
INFORMACIN COMPUTARIZADO EN EL REA DE INGRESOS DE UNA
EMPRESA COMERCIALIZADORA DE VEHCULOS USAC
http://biblioteca.usac.edu.gt/tesis/03/03_3202.pdf
Conceptos generales de Auditoria de Sistemas
http://www.slideshare.net/jonbonachon/conceptos-generales-auditora-y-evaluacinde-sistemas
Tesis sobre: Auditora interna de sistemas UFM
http://www.tesis.ufm.edu.gt/pdf/2458.pdf
5. ANEXOS
5 das
lun
03/06/1
3
2 das
lun
mar
03/06/13 04/06/13
2 das
mi
jue
05/06/13 06/06/13
1 da
vie
vie
07/06/13 07/06/13
14
das
lun
10/06/1
3
1 da
lun
lun
10/06/13 10/06/13
Coord.
0% IT,Proveedo
AS/400
13 das
mar
jue
11/06/13 27/06/13
0% Coord. IT
Eliminacin peridica de
reportes no impresos
11 das
jue
jue
13/06/13 27/06/13
9 das
lun
17/06/1
3
1 da
lun
lun
17/06/13 17/06/13
Poltica de Contraseas
Habilitar la encriptacin de
contraseas a nivel de
modificacin de los perfiles de IT
Controlar el uso de claves
repetidas frecuentemente
poniendo en prctica una
validacin de las ltimas 3 claves
utilizadas.
Elaborar un documento que
deber ser entregado al usuario y
firmado de aceptacin
Gestionar la emision de
reportes
Bloqueo de archivos en spool
vie
07/06/1
3
0%
Proveedor
AS/400
0% Coord. IT
0% Coord. IT
jue
27/06/1
3
mar
jue
18/06/13 27/06/13
Administracion de Roles y
Perfiles
4 das
mar
18/06/1
3
4 das
mar
vie
18/06/13 21/06/13
13
Proveedor
AS/400
jue
27/06/1
3
0%
Coord.
0% IT,Proveedo
AS/400
10
0% Coord. IT
vie
21/06/1
3
Coord.
IT,Gerente
0%
Financiero,G
nte RRHH
1 da
lun
lun
24/06/13 24/06/13
13
0% Coord. IT
1 da
mar
mar
25/06/13 25/06/13
14
0% Coord. IT
1 da
jue
27/06/1
3
1 da
jue
jue
27/06/13 27/06/13
jue
27/06/1
3
0%
Proveedor
AS/400
Gran Total
14