Documente Academic
Documente Profesional
Documente Cultură
1 Carta al Director........................................................................................................................5 2 Informe de Auditoria.................................................................................................................6 2.1 Alcance de la Auditora.....................................................................................................6 2.2 Organizacin, desarrollo e implementacin.......................................................................6 2.2.1 Definicin de un plan estratgico de sistemas...........................................................6 2.2.2 Identificacin y asignacin de costos........................................................................6 2.2.3 Poltica de cambios....................................................................................................7 2.3 Servicios y soporte............................................................................................................8 2.3.1 Definicin y anlisis de niveles de servicio...............................................................8 2.3.2 Administracin de problemas e incidentes.................................................................9 2.4 Seguridad.........................................................................................................................10 2.4.1 Evaluacin de riesgos..............................................................................................10 2.4.2 Garantizar la seguridad del sistema.........................................................................11 2.4.3 Asegurar la continuidad de servicio ........................................................................11 3 Papeles de trabajo....................................................................................................................13 3.1 Anexo I............................................................................................................................13 3.1.1 Diagrama disposicin de la mesa de recepcin........................................................13 3.1.2 Fotografas de recepcin..........................................................................................13 3.1.3 Extracto de entrevista al Director............................................................................14 3.1.4 Extracto de entrevista a un Tcnico Informtico.....................................................15 3.1.5 Normas de seguridad...............................................................................................16 3.1.6 Registro de acceso e intrusiones..............................................................................16 3.2 Anexo II...........................................................................................................................18 3.2.1 Extracto de entrevista con un medico empleado......................................................18 3.2.2 Extracto de entrevista con el Tcnico Informtico de una de las clnicas................18 3.2.3 Extracto de entrevista con el Tcnico Informtico de la Sede..................................19 3.2.4 Informe de incidencias de acceso al sistema o sus recursos.....................................20 3.2.5 Software de control de incidencias..........................................................................21 3.2.6 Plan de procedimiento de cuentas de usuario..........................................................22 3.2.7 Circular de cambio peridico de contraseas...........................................................23 3.2.8 Hardware firewall de control de trafico...................................................................23 3.3 Anexo III.........................................................................................................................24 3.3.1 Extracto de entrevista con el Director General........................................................24 3.3.2 Extracto de entrevista con el Tcnico Informtico de la Sede encargado del Plan de Continuidad de Negocio...................................................................................................24 3.3.3 Plan de Continuidad de Negocio (ltima actualizacin ao 2007)..........................25 3.3.4 Grfica de realizacin de simulacros.......................................................................28 3.3.5 Grfica de conocimiento de existencia de un Plan de Continuidad de Negocio.......28 3.3.6 Contratos de los proveedores incluido en el Plan de Continuidad de Negocio .........................................................................................................................................29 3.4 Anexo IV.........................................................................................................................32 3.4.1 Extracto de entrevista con el director.......................................................................32 3.4.2 Extracto de la entrevista con un empleado...............................................................32 3.4.3 Fecha de pedido y albarn de entrega......................................................................33 3.5 Anexo V..........................................................................................................................35 3.5.1 Polticas de cambio y actualizacin.........................................................................35 3.5.2 Futuro cambio de hardware y software....................................................................35 3.5.3 Peticin de actualizacin de software y hardware a cargo del jefe de informtica...35 3.5.4 Extracto de la entrevista con un empleado...............................................................35 3.5.5 Extracto de entrevista con el Tcnico Informtico de la Sede .................................36 3.6 Anexo VI.........................................................................................................................37 3.6.1 Extracto de entrevista con un empleado..................................................................37 3.6.2 Extracto de entrevista con un tcnico informtico...................................................37 3.6.3 Extracto de entrevista con el director.......................................................................37 2
3.6.4 Reporte de incidencias y problemas........................................................................38 3.7 Anexo VII........................................................................................................................39 3.7.1 Extracto de entrevista con un gerente de clnica......................................................39 3.7.2 Diploma certificado de licenciatura.........................................................................39 3.8 Anexo VIII.......................................................................................................................41 3.8.1 Extracto de entrevista con un gerente de clnica......................................................41 3.8.2 Diseo de pgina web corporativa...........................................................................42
ndice de Figuras
Imagen 3.1: Recepcin I.............................................................................................................13 Imagen 3.2: Recepcin II............................................................................................................13 Imagen 3.3: Recepcin III..........................................................................................................14 Imagen 3.4: Recepcin IV..........................................................................................................14 Imagen 3.5: Registro..................................................................................................................17 Imagen 3.6: Registro de trafico en formato texto.......................................................................20 Imagen 3.7: Registro de trafico en va web................................................................................20 Imagen 3.8: Pantalla de informacin del producto.....................................................................21 Imagen 3.9: Control de defensa..................................................................................................21 Imagen 3.10: Control de trfico..................................................................................................22 Imagen 3.11: Circular.................................................................................................................23 Imagen 3.12: Hardware firewall.................................................................................................23 Imagen 3.13: Contrato I..............................................................................................................30 Imagen 3.14: Contrato II............................................................................................................31 Imagen 3.15: Fecha de pedido....................................................................................................33 Imagen 3.16: Albarn.................................................................................................................34 Imagen 3.17: Ejemplo de reporte de incidencias y problemas....................................................38 Imagen 3.18: Ttulo de reconocimiento......................................................................................40 Imagen 3.19: Pgina web............................................................................................................42
Carta al Director
Estimado Sr. Director, tras un estudio y anlisis de la empresa, hemos desarrollado un informe de las carencias encontradas en motivos de organizacin, desarrollo, implementacin as como en los servicios y soporte sin olvidar la seguridad. Para una informacin mas detallada le remito al Informe de Auditora (ver pag. 6). Con respecto a la organizacin, el desarrollo de la compaa as como su implementacin cabe destacar una falta de departamento especifico de seleccin de personal o recursos humanos y la necesidad de un plan a largo plazo que, no solo solventar la inversin inicial sino que ayude en una futura expansin. Tambin recomendamos un control de costos, el cual podra venir realizado por una persona capacitada en esa labor o una compaa especializada; y de obligado cumplimiento el plan de cambios que no deje al aire la seguridad del sistema, como por ejemplo ocurre ahora mismo, en detalles tan importantes como la falta de un software de control de virus informticos. En el mbito del los servicios y el soporte hemos encontrado fallos de control de proveedores, as como una falta total de informacin sobre la satisfaccin del trabajo realizado por la empresa de cara a los clientes, todo ello provocado por una falta total de niveles de servicio y una monitorizacin de los mismos. Es necesario, adems, slidos acuerdos con proveedores que permitan una respuesta rpida. Por otro lado, encontramos bsico un sistema de control de problemas que permita agilizar los inconvenientes encontrados para una solvencia mas eficiente. La instalacin de un sistema software que registre incidencias, erradicando el sistema encontrado va papel, permitira afrontar esas incidencias futuras con una mejor eficacia, incluso evitndolas en muchos instantes. Con motivo a la seguridad, donde la confidencialidad es un criterio fundamental en una empresa que almacena datos personales de clientes, sera obligatorio una poltica mas estricta con respecto a las medidas de seguridad en los empleados con sus nombres de usuario y contraseas, as como seria una buen solucin el disponer de controles de acceso a distintas partes del edificio o de terminales con medidas informatizadas, como por ejemplo reconocimiento dactilar u ocular. Otro apartado a tener en cuenta es la recapitulacin de informacin de intrusiones, la cual se considera escasa; sin olvidar la eliminacin de la posibilidad que posee ahora mismo el empleado comn a la modificacin de reglas del software de control de trfico. Con respecto a un Plan de Continuidad de Negocio, seria necesario la inclusin de los resultados de las pruebas as como el comprobar que cada una de las secciones de sus apartados que corresponden a compaas o lugares externos, se encuentran totalmente disponibles para su uso, si este fuera necesario. Como punto final, recomendar un estudio de empresas del sector, el cual permita seleccionar puntos positivos a incluir en la compaa y descartar fallas, lo que desembocara en un desarrollo importante para la misma.
Informe de Auditoria
presupuestos, por lo que se recomienda la contratacin de un manager que controle los presupuestos de todas las clnicas adems de los que ya estn en cada una de las clnicas que hay en cada provincia para poder unificar los gastos y beneficios y de ese modo realizar un presupuesto anual mas real. Se debe realizar un estudio del impacto de las posibles incorporaciones de nuevas tecnologas y tcnicas mdicas en lo que a beneficios se refiere.
datos que en ellos se almacenan. No se entiende como no se detalla expresamente que se necesita un antivirus y que tipo de antivirus sera, aadiendo dicha compra a los costes totales de la actualizacin. Con respecto a la imagen corporativa, se recomienda el cambio de diseo de la pgina web debido a que es poco intuitiva y dado que un elevado porcentaje de los clientes supera los 50 aos, es probable que tengan escasos conocimientos a la hora de navegar por Internet. A la hora de navegar por la pgina web, hemos comprobado que la interfaz es poco clara para acceder a los diferentes apartados. No es sencillo el acceso al historial mdico. (ver anexo VIII apartados 3.8.1y 3.8.2) Debido a las carencias y defectos de la pgina web se debera revisar el contrato de la pgina web modificando las exigencias y los requisitos pedidos. Todos los cambios efectuados deben quedar reflejados en algn documento para poder saber en todo momento qu modificaciones se llevaron a cabo y cundo fueron realizadas. El problema es que tenerlo en papel hace que sea muy probable su prdida y/o deterioro de dichos documentos. Que el control de cambios sea llevado a cabo de manera formal o tener una bitcora de control de cambios ser muy importante para la empresa porque no tenerla no le permitir mejorar en el conocimiento, en la efectividad en el tiempo de respuestas y en la satisfaccin que sienta el usuario con respecto al proceso. La empresa no tiene ningn manual de operaciones (ver anexo VIII apartado 3.8.1). Tambin podemos destacar que en caso de cambios de emergencia no podra seguir ningn procedimiento. Al carecer de estos manuales no se podra apoyar en ningn otro documento para realizar dichos cambios de forma rpida y eficaz. Se recomienda una revisin detallada de cada uno de los contratos de terceras partes para determinar provisiones cualitativas y cuantitativas que confirmen la definicin de las obligaciones.
para conocer el grado de satisfaccin con los servicios recibidos o si la informacin recibida ha sido suficiente tanto con encuestas a los empleados (ver anexo IV apartado 3.4.2) con el fin de conocer el nivel de afinidad con la direccin de esta empresa. El inters de esta empresa sobre esta cuestin es casi nula por lo visto en las entrevistas realizadas, ya que en el tiempo que ha estado operando dicha empresa nunca se ha realizado una reunin para comentas, aunque haya sido de forma verbal, las responsabilidades, niveles de servicios, etc... Volviendo a la cuestin de convenios de servicio entre la empresa y los proveedores se llega a la conclusin de que los servicios en este sentido no estn nada satisfechos, ya que no existen convenios donde se marquen unas pautas a seguir en esta cuestin o algn tipo de medida en caso de que los servicios para los cuales han sido contratados no se cumplan adecuadamente. Se indican a continuacin todos los errores en los que esta empresa ha incurrido a la hora de definir y analizar los niveles de servicio: Ausencia de documentacin sobre los niveles de servicio. Ausencia de convenios con los proveedores. Ausencia de monitorizacin sobre los servicios. Ausencia de encuestas que muestres los porcentajes de satisfaccin. Ausencia total de actualizacin de niveles de servicio
Todo esto nos lleva a una falta de transparencia y entendimiento de los costos, beneficios, estrategia, polticas y niveles de servicio de TI. Poca transparencia ya que se incurren en gastos sobre servicios que no se estn cumpliendo satisfactoriamente
trabajo. Un estudio o anlisis de las tendencias de los problemas ayudaran tambin a maximizar los recursos.
si los registros de contabilidad y nomina del personal fueran destruidos. En referencia al personal, un alto porcentaje no conoce la existencia de un plan preventivo de continuidad de trabajo, as como gran parte del personal que lo conoce ha formado parte nunca o solo alguna vez los simulacros realizados.
12
Papeles de trabajo
3.1 Anexo I
13
para minimizarlos. Entonces existe y tienen en su poder lo que denominaramos un estudio de planificacin de riesgos? Hemos considerado los riesgos pero no existe un informe que se pueda denominar oficial, el encargado de tener controlado los riesgos en el mbito de los datos es el informtico jefe. Y si existe una planificacin de riesgos seguro que el la tiene. Lo que usted quiere decir es que el encargado de la planificacin de riesgos es el informtico jefe y que en el recae dicha responsabilidad? Si, eso es. Los empleados reciben algn tipo de curso o algunas directrices para evitar riesgos? Si, por supuesto, se les da una serie de normas que deben cumplir. Podra disponer de una copia de esas normas? Si, claro, se la entregaremos lo antes posible.
15
Si, las copias de seguridad se hacen cada dos das, los informticos de cada sucursal se encargan de ello. El sistema esta automatizado, es decir, cada dos das las copias se realizan automticamente? No, son los propios informticos los que inician el proceso de copia de seguridad.
16
17
18
Cuentan ustedes con reportes de fallas de seguridad y procedimientos formales de solucin de problemas, donde por ejemplo, vengan intentos no autorizados de acceso al sistema o a los recursos del mismo? Cada uno de los terminales aqu tiene instalado un firewall el cual recoge un log de informacin con los accesos e incidencias. Aparte tenemos un sistema hardware de firewall que va conectado al sistema. No queremos que nadie acceda a nuestros datos.
Todo el trafico que se origina en las clnicas pasa por los firewall? Si, solo permitiendo el trafico autorizado el cual tenemos localizado mediante reglas.
Tienen algn curso preparatorio para el entrenamiento y la concienciacin de los empleados en el mbito de la seguridad y del uso de los sistemas de acceso a Internet? No, no tenemos ningn curso introductorio para ello, solo poseemos un curso para el manejo de los programas del mbito clnico. Tenemos una lista de normas que deben cumplir, pero creo que como en todas las empresas, termina siendo simblico cuando se coge confianza con el personal, no hay nadie que lo imponga o al menos no se ha dado ningn caso para endurecer la situacin. Damos por hecho que los empleados saben de los riesgos que supone el acceso indebido y una mala praxis del sistema.
Al ingresar al sistema, aparece algn tipo de mensaje en relacin al uso adecuado del sistema as como de las responsabilidades legales que pudiera causar el uso del sistema? No.
Se hace uso de proteccin por MAC para tanto hardware como software? No, no tenemos configurada en la red los accesos por MAC.
19
Todos los datos almacenados en la base de datos se encuentran almacenados usando el algoritmo MD51.
1 El algoritmo MD5 fue desarrollado por Ronald Rivest en 1995 basado en dos algoritmos anteriores MD2 y MD4. Se produce un nmero de 128 bits a partir de un texto de cualquier longitud.
20
21
22
Poltica sobre perdida de contraseas Especificacin: SI un usuario justifica la perdida de la contrasea se proceder a la restitucin de la misma por el administrador del sistema. Para ello sera necesario una justificacin del usuario firmada por el propio director de clnica. Una vez restaurada la contrasea, esta tendr validez una sola vez, y servir solo para realizar un cambio por una ms personal.
23
3.3.2 Extracto de entrevista con el Tcnico Informtico de la Sede encargado del Plan de Continuidad de Negocio
El Director General de la compaa nos ha informado de que usted es el encargado del Plan de Continuidad de Negocio y su implantacin en caso de necesidad. Puede decirnos si posee pruebas o documentos de los simulacros? Hombre, nunca hemos registrado los valores obtenidos, cada ao realizamos un simulacro y si vemos que todo va bien, que es lo que nos ha ocurrido, continuamos con el plan. Verifican asidua mente los contactos necesarios encontrados en el Plan? La verdad es que no, simplemente hacemos cuenta de ello cuando llega la hora del simulacro.
Poseen un Plan de Continuidad para cada una de las clnicas? No, solo poseemos de la Sede Central donde se alberga el servidor principal y la base de datos general.
24
Nombre de la Compaa: Sector Empresas Ayuntamiento de Ciudad Real. Direccin: Polgono Industrial de la Cencerreta, 45 Ciudad: Ciudad Real Nmero de Telfono: +34 926755775
La siguiente persona estar a cargo de gestionar la crisis y ser el portavoz de la compaa en caso de emergencia.
Contacto Primario de Emergencia: D. Jose Vicente Jaramillo Jaramete Nmero de Telfono: +34 678678678 Nmero Alternativo: +34 666888999 Correo electrnico: jv.jaramillo.jaramete@ildenteperfetto.es
Si la persona no puede gestionar la crisis, esta otra persona ser quien est a cargo:
Contacto Primario de Emergencia: Da. Amparo Lopez Bustos Nmero de Telfono: +34 926736723 Nmero Alternativo: +34 666000287 Correo electrnico: am.lopez.bustos@ildenteperfetto.es
Informacin de contactos de emergencia Marque el en caso de Emergencia: 112 Polica: 091 Guardia Civil: 062 Proveedor de Seguros: +34 926555223 Posibles incidencias
Los siguientes desastres naturales y causados por el hombre podran afectar a nuestro negocio:
Incendios. Terremotos. Inundaciones. Cortes de luz y picos de tensin. Problemas de la red elctrica. Prdida de informacin por error humano. Intrusismo. Software malicioso. Hurto.
25
D. Jose Mara Alcantara Suarez D. Evaristo Pisto Listo. D. Aurelio Bermejo Pellejo. Da. Laura Ponce Rillo.
Operacion Contacto con proveedores y reinstalacin de sistema. Gestin de BBDD y servidor central Instalacin de equipos de servicio Recuperacin de material de trabajo Proveedores y Contratistas
Personal a Cargo Da. Amparo Lopez Bustos D. Jose Vicente Jaramillo Jaramete D Augusto Andrade Caraja Da. Peularia Granados Barbate
Plan de Accin Localizacin y consecucin de las partes necesarias del sistema. Conseguir pleno funcionamiento. Conexionado para la puesta a punto de la instalacin. Contratos, nominas, ficheros impresos.
Nombre de la Compaa: Eniac Informatica Direccin: C/ altagracia 34 Ciudad: Ciudad Real Cdigo Postal: 13003 Nmero de Telfono: +34 926230110 Email: eniac@eniacinformatica.es Materiales/Servicios Proporcionados: Equipos informticos.
Si esta compaa sufre un desastre, obtendremos los suministros y/o materiales de la siguiente:
Nombre de la Compaa: CorzoLand Direccin: C/ Albuquerque 45 Ciudad: Toledo Cdigo Postal:45001 Nmero de Telfono: +34 925287837 Email: Materiales/Servicios Proporcionados: Equipos informticos. 26
Plan de Evacuacin para las Instalaciones [ SI ] Hemos elaborado estos planes en colaboracin con los negocios vecinos y los propietarios del edificio para evitar confusin o embotellamientos. [ SI ] Hemos encontrado, copiado y publicado mapas del edificio y de las instalaciones. [ SI ] Las salidas estn claramente marcadas. [ SI ] Practicaremos los procedimientos de evacuacin ( 1 ) veces por ao.
Si debemos abandonar rpidamente el lugar de trabajo:
1. ( 1 ) 2. 3. 4. 5.
Sistema de advertencia: Alarma sonora [ SI ] Probaremos el sistema de advertencia y registraremos los resultados veces por ao. Lugar de Reunion: Fuera de los limites del edificio Gerente y persona alternativa para el lugar de reunion: D. Manuel Tendero Casado Gerente de apagado y persona alternativa: Da. Catalina Ina Maniller [ D. Jose Vicente Jaramillo Jaramete ] Es el encargado de emitir la orden todo despejado.
Plan de refugio en el lugar Direccin: Comunicaciones Comunicaremos nuestros planes de emergencia con compaeros de trabajo de la siguiente forma: Intranet En caso de desastre, nos comunicaremos con los empleados de la siguiente forma: Telefnicamente Ciberseguridad Para proteger nuestro hardware y software, haremos lo siguiente: Plan de proteccin de Hardware y Software 2003. Si nuestras computadoras resultan destruidas, utilizaremos computadoras de seguridad en el siguiente lugar: Copias de seguridad de los archivos [ D. Jose Vicente Jaramillo Jaramete ] es responsable de hacer copias de seguridad de nuestros archivos cruciales, incluidos los sistemas de nmina del personal y de contabilidad. Las copias de seguridad, incluyendo una copia de este plan, mapas del sitio, plizas de seguro, registros bancarios y copias de seguridad informticas estn en nuestras instalaciones en [ Almacen del bunquer ]. Otro juego de copias de seguridad est guardado en este lugar fuera de las instalaciones: [ ] Si nuestros registros de contabilidad y nmina de personal resultan destruidos, mantendremos la continuidad de la siguiente forma:[ ] 27
D. Jose Vicente Jaramillo Jaramete. +34 92345342 Da. Amparo Lopez Bustos. +34 97673652 D. Macario Vermejo Lozano. +34 67663532 ...
Revisin Anual Fecha ltima revisin: [ 27/02/2007 ] Fecha prxima revisin: [ 27/02/2008 ]
10%
20%
Nunca
28
42%
Si No
58%
29
30
31
33
34
35
En el tiempo que lleva usted en el puesto se ha realizado algn cambio? Si, se realizo una actualizacin pero tiempo despus se volvi a la versin anterior.
Conoce usted el motivo de dicho cambio? Se puso un programa nuevo pero no abra alguna ficha de los clientes.
36
37
38
39
40
42