ndice

1 Carta al Director........................................................................................................................5 2 Informe de Auditoria.................................................................................................................6 2.1 Alcance de la Auditora.....................................................................................................6 2.2 Organizacin, desarrollo e implementacin.......................................................................6 2.2.1 Definicin de un plan estratgico de sistemas...........................................................6 2.2.2 Identificacin y asignacin de costos........................................................................6 2.2.3 Poltica de cambios....................................................................................................7 2.3 Servicios y soporte............................................................................................................8 2.3.1 Definicin y anlisis de niveles de servicio...............................................................8 2.3.2 Administracin de problemas e incidentes.................................................................9 2.4 Seguridad.........................................................................................................................10 2.4.1 Evaluacin de riesgos..............................................................................................10 2.4.2 Garantizar la seguridad del sistema.........................................................................11 2.4.3 Asegurar la continuidad de servicio ........................................................................11 3 Papeles de trabajo....................................................................................................................13 3.1 Anexo I............................................................................................................................13 3.1.1 Diagrama disposicin de la mesa de recepcin........................................................13 3.1.2 Fotografas de recepcin..........................................................................................13 3.1.3 Extracto de entrevista al Director............................................................................14 3.1.4 Extracto de entrevista a un Tcnico Informtico.....................................................15 3.1.5 Normas de seguridad...............................................................................................16 3.1.6 Registro de acceso e intrusiones..............................................................................16 3.2 Anexo II...........................................................................................................................18 3.2.1 Extracto de entrevista con un medico empleado......................................................18 3.2.2 Extracto de entrevista con el Tcnico Informtico de una de las clnicas................18 3.2.3 Extracto de entrevista con el Tcnico Informtico de la Sede..................................19 3.2.4 Informe de incidencias de acceso al sistema o sus recursos.....................................20 3.2.5 Software de control de incidencias..........................................................................21 3.2.6 Plan de procedimiento de cuentas de usuario..........................................................22 3.2.7 Circular de cambio peridico de contraseas...........................................................23 3.2.8 Hardware firewall de control de trafico...................................................................23 3.3 Anexo III.........................................................................................................................24 3.3.1 Extracto de entrevista con el Director General........................................................24 3.3.2 Extracto de entrevista con el Tcnico Informtico de la Sede encargado del Plan de Continuidad de Negocio...................................................................................................24 3.3.3 Plan de Continuidad de Negocio (ltima actualizacin ao 2007)..........................25 3.3.4 Grfica de realizacin de simulacros.......................................................................28 3.3.5 Grfica de conocimiento de existencia de un Plan de Continuidad de Negocio.......28 3.3.6 Contratos de los proveedores incluido en el Plan de Continuidad de Negocio .........................................................................................................................................29 3.4 Anexo IV.........................................................................................................................32 3.4.1 Extracto de entrevista con el director.......................................................................32 3.4.2 Extracto de la entrevista con un empleado...............................................................32 3.4.3 Fecha de pedido y albarn de entrega......................................................................33 3.5 Anexo V..........................................................................................................................35 3.5.1 Polticas de cambio y actualizacin.........................................................................35 3.5.2 Futuro cambio de hardware y software....................................................................35 3.5.3 Peticin de actualizacin de software y hardware a cargo del jefe de informtica...35 3.5.4 Extracto de la entrevista con un empleado...............................................................35 3.5.5 Extracto de entrevista con el Tcnico Informtico de la Sede .................................36 3.6 Anexo VI.........................................................................................................................37 3.6.1 Extracto de entrevista con un empleado..................................................................37 3.6.2 Extracto de entrevista con un tcnico informtico...................................................37 3.6.3 Extracto de entrevista con el director.......................................................................37 2

3.6.4 Reporte de incidencias y problemas........................................................................38 3.7 Anexo VII........................................................................................................................39 3.7.1 Extracto de entrevista con un gerente de clnica......................................................39 3.7.2 Diploma certificado de licenciatura.........................................................................39 3.8 Anexo VIII.......................................................................................................................41 3.8.1 Extracto de entrevista con un gerente de clnica......................................................41 3.8.2 Diseo de pgina web corporativa...........................................................................42

ndice de Figuras
Imagen 3.1: Recepcin I.............................................................................................................13 Imagen 3.2: Recepcin II............................................................................................................13 Imagen 3.3: Recepcin III..........................................................................................................14 Imagen 3.4: Recepcin IV..........................................................................................................14 Imagen 3.5: Registro..................................................................................................................17 Imagen 3.6: Registro de trafico en formato texto.......................................................................20 Imagen 3.7: Registro de trafico en va web................................................................................20 Imagen 3.8: Pantalla de informacin del producto.....................................................................21 Imagen 3.9: Control de defensa..................................................................................................21 Imagen 3.10: Control de trfico..................................................................................................22 Imagen 3.11: Circular.................................................................................................................23 Imagen 3.12: Hardware firewall.................................................................................................23 Imagen 3.13: Contrato I..............................................................................................................30 Imagen 3.14: Contrato II............................................................................................................31 Imagen 3.15: Fecha de pedido....................................................................................................33 Imagen 3.16: Albarn.................................................................................................................34 Imagen 3.17: Ejemplo de reporte de incidencias y problemas....................................................38 Imagen 3.18: Ttulo de reconocimiento......................................................................................40 Imagen 3.19: Pgina web............................................................................................................42

Carta al Director

Estimado Sr. Director, tras un estudio y anlisis de la empresa, hemos desarrollado un informe de las carencias encontradas en motivos de organizacin, desarrollo, implementacin as como en los servicios y soporte sin olvidar la seguridad. Para una informacin mas detallada le remito al Informe de Auditora (ver pag. 6). Con respecto a la organizacin, el desarrollo de la compaa as como su implementacin cabe destacar una falta de departamento especifico de seleccin de personal o recursos humanos y la necesidad de un plan a largo plazo que, no solo solventar la inversin inicial sino que ayude en una futura expansin. Tambin recomendamos un control de costos, el cual podra venir realizado por una persona capacitada en esa labor o una compaa especializada; y de obligado cumplimiento el plan de cambios que no deje al aire la seguridad del sistema, como por ejemplo ocurre ahora mismo, en detalles tan importantes como la falta de un software de control de virus informticos. En el mbito del los servicios y el soporte hemos encontrado fallos de control de proveedores, as como una falta total de informacin sobre la satisfaccin del trabajo realizado por la empresa de cara a los clientes, todo ello provocado por una falta total de niveles de servicio y una monitorizacin de los mismos. Es necesario, adems, slidos acuerdos con proveedores que permitan una respuesta rpida. Por otro lado, encontramos bsico un sistema de control de problemas que permita agilizar los inconvenientes encontrados para una solvencia mas eficiente. La instalacin de un sistema software que registre incidencias, erradicando el sistema encontrado va papel, permitira afrontar esas incidencias futuras con una mejor eficacia, incluso evitndolas en muchos instantes. Con motivo a la seguridad, donde la confidencialidad es un criterio fundamental en una empresa que almacena datos personales de clientes, sera obligatorio una poltica mas estricta con respecto a las medidas de seguridad en los empleados con sus nombres de usuario y contraseas, as como seria una buen solucin el disponer de controles de acceso a distintas partes del edificio o de terminales con medidas informatizadas, como por ejemplo reconocimiento dactilar u ocular. Otro apartado a tener en cuenta es la recapitulacin de informacin de intrusiones, la cual se considera escasa; sin olvidar la eliminacin de la posibilidad que posee ahora mismo el empleado comn a la modificacin de reglas del software de control de trfico. Con respecto a un Plan de Continuidad de Negocio, seria necesario la inclusin de los resultados de las pruebas as como el comprobar que cada una de las secciones de sus apartados que corresponden a compaas o lugares externos, se encuentran totalmente disponibles para su uso, si este fuera necesario. Como punto final, recomendar un estudio de empresas del sector, el cual permita seleccionar puntos positivos a incluir en la compaa y descartar fallas, lo que desembocara en un desarrollo importante para la misma.

Informe de Auditoria

2.1 Alcance de la Auditora

La auditora realizada a la empresa Il Dente Perfecto se centra en los aspectos relativos a los criterios de informacin, en la confidencialidad de los datos de sus clientes, dotando de gran valor los recursos tecnolgicos, las instalaciones del mbito laboral; teniendo en cuenta que es de vital importancia ,tanto salvaguardar la privacidad de sus clientes como de la continuidad con la labor de la empresa.

2.2 Organizacin, desarrollo e implementacin 2.2.1 Definicin de un plan estratgico de sistemas

Debido a que es una pequea empresa, no existe un departamento especfico para la seleccin de personal, por lo que a la hora de realizar las entrevistas y dinmicas de grupo para la evaluacin de los candidatos con opciones a las plazas vacantes, no se puede determinar de una manera precisa los conocimientos clnicos de los mismos. La persona encargada de realizar los procesos de seleccin es el gerente de cada una de las clnicas (ver anexo VII apartados 3.7.1 y 3.7.2) Al no tener ningn tipo de convenio con ninguna universidad para que alumnos que estn terminando la carrera de odontologa o licenciados sin experiencia, no se puede formar a futuros talentos dndoles a conocer las tcnicas implantadas en la empresa. No existe plan a largo plazo slido, solamente a corto plazo, por lo que carece de seguridad, control y de vista de expansin empresarial. El plan a corto plazo consiste nicamente en recuperar la inversin econmica empleada en la compra de clnicas, material y equipamiento quirrgico. El plan a largo plazo nicamente se basa en la obtencin de una amplia cartera de clientes que permita a la empresa crecer econmicamente, pero no se ha establecido una poltica de expansin. No se aplican las nuevas tecnologas de implantacin de prtesis dentales guiadas utilizadas por otras empresas del sector. Esto implica que se desaprovecha una buena oportunidad de ampliar la cartera de clientes por lo que deberan formar al equipo mdico para aplicar las innovaciones en implantologa.

2.2.2 Identificacin y asignacin de costos

No existe a penas control de costos en lo que a TI se refiere. No poseen ninguna poltica ni procedimientos para la implantacin y preparacin de prepuestos, ya que dicen que al ser una pequea empresa invierten en material a medida que les surge la necesidad ya sea de reparacin del equipo quirrgico como de material (ver anexo VIII apartados 3.8.1). Los costes que se prevn son nicamente el mantenimiento del equipo quirrgico, adems de los pagos de salarios y contratos con las empresas contratadas para el diseo web y la Base de Datos. El balance que hacen de beneficios est basado en el de los aos anteriores, por lo tanto es poco real, ya que no se cuenta con la posibilidad de crecimiento de la empresa al haber fijado como objetivo a largo plazo el aumentar la cartera de clientes. Al ser una pequea empresa no existe un equipo especializado en la realizacin de

presupuestos, por lo que se recomienda la contratacin de un manager que controle los presupuestos de todas las clnicas adems de los que ya estn en cada una de las clnicas que hay en cada provincia para poder unificar los gastos y beneficios y de ese modo realizar un presupuesto anual mas real. Se debe realizar un estudio del impacto de las posibles incorporaciones de nuevas tecnologas y tcnicas mdicas en lo que a beneficios se refiere.

2.2.3 Poltica de cambios

Para la redaccin de este objetivo en el cual se va a evaluar las polticas de cambios y actualizaciones del sistema ya sea en los equipos de las clnicas como en el servidor principal donde se guardan todas fichas de los clientes se ha entrevistado al encargado de dicha accin Esta responsabilidad recae en este caso sobre el jefe de informtica que coordina a los informticos de los dems centros para una correcta actualizacin o cambio de sistema sin que ello conlleve a perdida de datos. De la entrevista con el jefe de informtica se saca la conclusin de que esta empresa dispone de un plan de cambio para evitar riesgos, (anexo I apartado 3.1.6 y anexo V- apartado 3.5.3) el plan es mas que suficiente para cumplir dicho objetivo, pero en posteriores entrevistas, concreta mente en una entrevista con un empleado se descubri que dichas polticas no se cumplen (anexo V apartado 3.5.3). Debido a esta falta de cumplimiento se incurri en el error de instalar un software mas actual pero que no era compatible con el anterior y por consiguiente durante un periodo de tiempo no se pudo acceder a la mayora de los datos de clientes. Otro ejemplo de que dichas polticas no se cumplen se puede observar en el anexo V apartados 3.5.2 y 3.5.3, en el primer apartado se explica la poltica que se va a seguir para actualizar los sistemas, actualizando primero el software y despus el hardware, el problema viene cuando nos fijamos en el segundo apartado y vemos que el software nuevo requiere tener instalado Windows Vista. Los equipos con los que cuenta la clnica en estos momentos no soportan de ninguna manera dicho sistema operativo con lo que la actualizacin no se podra llevar a cabo hasta no actualizar primero los sistemas hardware. Todo esto supone un mes de retraso en la planificacin de actualizacin. Si dicha actualizacin se lleva a cabo, es decir, si los ordenadores pueden soportar la instalacin de Windows Vista, es posible que se pierdan datos o los sistemas funcionen anormal mente debido a los altos requisitos de este sistema operativo. Por todo lo anteriormente expuesto se llega a la conclusin de que la empresa esta en el buen camino puesto que es poseedora de un plan de cambio con unas condiciones que son mas que suficientes. Pero el esfuerzo en este mbito debe estar dirigido ha hacer cumplir dicha normativa con el objetivo de que los cambios y actualizaciones sean lo mas suaves posibles, evitando totalmente la perdida de datos y mejorando el sistema sin que ello impida el buen funcionamiento de la empresa durante dicho cambio. Para terminar indicar que la actualizacin que se detalla en el anexo V - apartado 3.5.3 es incompleta y ambigua, se piden ciertos requisitos del sistema dejando de lado muchos otros que pueden ser importantes, ademas no se denota el numero de unidades que se requieren, lo que impide que se lleve a cabo una evaluacin suficiente de costes por actualizacin. Por otro lado en la seccin de software no se incluye ninguna peticin de un antivirus adecuado para esta instalacin. La carencia de esta aplicacin pone en peligro la integridad de los datos de los clientes y del sistema en general, siendo un antivirus parte fundamental en este tipo de equipos por los 7

datos que en ellos se almacenan. No se entiende como no se detalla expresamente que se necesita un antivirus y que tipo de antivirus sera, aadiendo dicha compra a los costes totales de la actualizacin. Con respecto a la imagen corporativa, se recomienda el cambio de diseo de la pgina web debido a que es poco intuitiva y dado que un elevado porcentaje de los clientes supera los 50 aos, es probable que tengan escasos conocimientos a la hora de navegar por Internet. A la hora de navegar por la pgina web, hemos comprobado que la interfaz es poco clara para acceder a los diferentes apartados. No es sencillo el acceso al historial mdico. (ver anexo VIII apartados 3.8.1y 3.8.2) Debido a las carencias y defectos de la pgina web se debera revisar el contrato de la pgina web modificando las exigencias y los requisitos pedidos. Todos los cambios efectuados deben quedar reflejados en algn documento para poder saber en todo momento qu modificaciones se llevaron a cabo y cundo fueron realizadas. El problema es que tenerlo en papel hace que sea muy probable su prdida y/o deterioro de dichos documentos. Que el control de cambios sea llevado a cabo de manera formal o tener una bitcora de control de cambios ser muy importante para la empresa porque no tenerla no le permitir mejorar en el conocimiento, en la efectividad en el tiempo de respuestas y en la satisfaccin que sienta el usuario con respecto al proceso. La empresa no tiene ningn manual de operaciones (ver anexo VIII apartado 3.8.1). Tambin podemos destacar que en caso de cambios de emergencia no podra seguir ningn procedimiento. Al carecer de estos manuales no se podra apoyar en ningn otro documento para realizar dichos cambios de forma rpida y eficaz. Se recomienda una revisin detallada de cada uno de los contratos de terceras partes para determinar provisiones cualitativas y cuantitativas que confirmen la definicin de las obligaciones.

2.3 Servicios y soporte 2.3.1 Definicin y anlisis de niveles de servicio

En esta empresa hay una ausencia total de acuerdos sobre niveles de servicio, por medio de entrevistas con el director, albaranes de pedidos y fechas de entrega y entrevistas con empleados hemos llegado a la conclusin de que los servicios no se cumplen y en gran medida se debe a la ausencia de acuerdos. En la entrevista mantenida con el director de la empresa que suponemos que desempea el papel de responsable sobre definicin de los niveles de servicio, ya que no se tiene una persona especifica y cualificada para dicho trabajo (ver anexo IV apartado 3.4.1) se pudo observar que no hay responsabilidades bien definidas y asignaciones de niveles de servicio. Por otro lado, se tiene un contrato con un proveedor, el cual no ha sido facilitado para ser auditado, dicho proveedor no cumple con los servicios exigidos, ya que por medio de la observacin sobre fechas de pedido y fechas de entrega (ver anexo IV apartado 3.4.3) se incumplen los tiempos de entrega que segn el director de la empresa no deben superar en ningn caso los 4 das laborables. Al carecer de una definicin de niveles de servicios adecuada tampoco se lleva a cabo una monitorizacin y actualizacin de dichos servicios. No se puede tener una medida cuantificada del nivel de satisfaccin de los cliente y empleados en esta empresa ya que durante el tiempo en que estas clnicas han estado abiertas al publico no se ha realizado ningn tipo de control, ya sea por medio de encuestas a los clientes, 8

para conocer el grado de satisfaccin con los servicios recibidos o si la informacin recibida ha sido suficiente tanto con encuestas a los empleados (ver anexo IV apartado 3.4.2) con el fin de conocer el nivel de afinidad con la direccin de esta empresa. El inters de esta empresa sobre esta cuestin es casi nula por lo visto en las entrevistas realizadas, ya que en el tiempo que ha estado operando dicha empresa nunca se ha realizado una reunin para comentas, aunque haya sido de forma verbal, las responsabilidades, niveles de servicios, etc... Volviendo a la cuestin de convenios de servicio entre la empresa y los proveedores se llega a la conclusin de que los servicios en este sentido no estn nada satisfechos, ya que no existen convenios donde se marquen unas pautas a seguir en esta cuestin o algn tipo de medida en caso de que los servicios para los cuales han sido contratados no se cumplan adecuadamente. Se indican a continuacin todos los errores en los que esta empresa ha incurrido a la hora de definir y analizar los niveles de servicio: Ausencia de documentacin sobre los niveles de servicio. Ausencia de convenios con los proveedores. Ausencia de monitorizacin sobre los servicios. Ausencia de encuestas que muestres los porcentajes de satisfaccin. Ausencia total de actualizacin de niveles de servicio

Todo esto nos lleva a una falta de transparencia y entendimiento de los costos, beneficios, estrategia, polticas y niveles de servicio de TI. Poca transparencia ya que se incurren en gastos sobre servicios que no se estn cumpliendo satisfactoriamente

2.3.2 Administracin de problemas e incidentes.

La insuficiencia de personal de administracin de configuracin acarrea la falta de una temprana respuesta ante incidentes si la persona encargada es la nica que puede hacerse cargo. Es un problema que hemos observado en vista de que solo hay un tcnico informtico por clnica. Una de las carencias ms significativas es que no exista ningn sistema de software que permita registrar los problemas encontrados por empleados, que sirva de apoyo a la prevencin de futuros problemas e incidentes as como de registro de ocurrencia. Simplemente se recogen incidencias a travs de las hojas de reporte que los informticos deben cumplimentar. Seria ideal el uso de un sistema digital para el registro de las mismas, el cual permitira de manera mas optimizada el anlisis y la resolucin de futuros problemas, evitando perdidas de fichero y papeleo. Se ha detectado que no existe ningn sistema de aviso al tcnico encargado para una respuesta rpida, siendo necesario incluso su bsqueda por los limites del edificio si fuera necesario, consiguiendo una pobre manera de afrontar con efectividad y rapidez cualquier problema encontrado. Recomendaramos el uso de dispositivos de contacto rpido como seria un busca o sistema de radio frecuencia, para poder obtener contacto comunicativo con la persona encargada. Se echa en falta un curso de preparacin o concienciacin para los empleados, sobre problemas comunes, tanto en su deteccin como en intentar evitarlos, lo que servira en una optimizan del 9

trabajo. Un estudio o anlisis de las tendencias de los problemas ayudaran tambin a maximizar los recursos.

2.4 Seguridad 2.4.1 Evaluacin de riesgos

Al realizar la auditoria lo que mas ha llamado nuestra atencin nada mas conocer y visitar una oficina de esta empresa es que los escritorios de las recepciones estn justo delante de un gran ventanal, con esta disposicin corremos el riesgo de que cualquier persona ajena a la empresa pueda ver los datos que se introducen en el ordenador con el simple hecho de mirar por dicho ventanal se muestra la disposicin de la recepcin (ver anexo I apartado 3.1.1). Se ha llevado a cabo dos entrevistas, una al director de la empresa y la otra al Tcnico informtico de la Sede (ver anexo I apartados 3.1.3 y 3.1.4). Despus de hablar con el director nos damos cuenta de que no existe ninguna poltica de prevencin de riesgos por parte de la empresa y que toda responsabilidad en dicho mbito recae sobre el jefe de informticos el cual no tiene ninguna acreditacin ni estudio especifico para dicho trabajo. Ademas se le pregunt si a los empleados se les daba alguna directriz en el sentido de seguridad o riesgos, el director nos facilito un documento que se adjunta en el anexo I apartado 3.1.5, dicho documento muestra una serie de normas a seguir por los empleados. En entrevistas posteriores a los empleados de las clnicas nos pudimos percatar de que dicho documento nunca ha sido visto por los empleados. Un ejemplo de que los empleados no cumplen ninguna norma la podemos encontrar en el anexo I - apartados 3.1.2 donde podemos ver que las contraseas de los empleados estn a la vista de todos y por otro lado hemos encontrado documentos oficiales de la empresa en la papelera de recepcin, este documento se encontraba en perfectas condiciones y cualquier persona podra acceder a datos de clientes o de la misma empresa. Respecto al sistema de claves se ha encontrado un problema grave, todas las claves tienen el mismo nivel de seguridad, por lo que cualquier empleado de la clnica puede crear nuevas claves y cambiar datos de otras claves, ademas cualquier empleado puede borrar historiales clnicos o cambiar datos de los pacientes. Las claves estn formadas por un nombre de usuario que se forma con el apellido del empleado mas una serie de tres dgitos y las password que son cadenas alfanumricas de 6 dgitos como mnimo. El equipo informtico ha automatizado el sistema para que en el caso de que un empleado sea despedido su clave automticamente sea eliminada, ademas si no se accede al sistema con una clave en 3 meses, dicha clave queda automticamente invalidada. Aunque se tiene un log con los accesos al sistema (ver anexo I - apartados 3.1.6), la informacin que se muestra no es muy detallada, solo muestra la entrada y la salida del usuario, no se muestra si el empleado ha realizado cambios en la base de datos, ha creado contraseas o ha modificado la ficha de un paciente. En la entrevista con el jefe informtico se le pregunto por las copias de seguridad y se dejo al descubierto un fallo grave, las copias se hacen cada dos das pero el sistema no esta informatizado, siendo responsabilidad de los empleados informticos de cada clnica hacer dichas copias de seguridad, en el caso de que el empleado falle ese da ya sea por enfermedad u otro motivo puede darse el caso de que la copia de seguridad no se lleve a cabo. 10

2.4.2 Garantizar la seguridad del sistema

A travs de tanto las distintas entrevistas as como la informacin acontecida en ellas, hemos podido detectar los siguientes deficiencias en la empresa. Aunque se poseen soluciones software para el control del trafico, el empleado tiene habilitada la manipulacin de las ventanas que permiten el control de las reglas de seguridad, lo que puede desembocar en una grave vulnerabilidad del sistema (ver anexo II apartado 3.2.5). No existe medidas informatizadas de acceso a las distintas secciones del edificio, as como tampoco un sistema alternativo al comn usuario-contrasea para el acceso a los terminales. A esto se le suma la falta de compromiso con las normas de seguridad y el uso de la confianza para delegar contraseas personales a otros empleados (ver anexo II apartados 3.4.1, 3.4.2 y 3.4.3). Es necesario constatar la bsica informacin de los registros de acceso e intrusiones, la cual es insuficiente para poder solucionar futuros problemas, as como debera ser necesaria unas medidas de seguridad basadas en firma digital y el uso de MAC, que aseguren un acceso local. Aunque existe un informe de incidencias tanto guardado en archivo de texto como accesible va web al campo en la base de datos, este registro es pobre, no contando con una mayor y mejor informacin sobre los errores o los accesos para posibles reglas de control en el software (ver anexo II apartados 3.4.1, 3.4.2 y 3.4.3). En relacin con el plan de procedimiento de cuentas de usuario, debera ser de obligada realizacin el cambio de contrasea de usuario cada cierto tiempo, mientras que segn la situacin del plan, ahora es de carcter opcional (ver anexo II apartados 3.4.6, 3.4.7).

2.4.3 Asegurar la continuidad de servicio

Para determinar la continuidad de la empresa ha sido necesario el anlisis del Plan de Continuidad de Trabajo, ante posibles emergencias, se tuvo acceso al mismo a travs del Director General el cual nos remiti al Tcnico Informtico de la Sede, encargado del plan y de su aplicacin (ver anexo IV apartado 3.4.3). Primeramente puntualizar que solos e dispone de una solucin de continuidad para la sede principal, donde se alberga el servidor central y la base de datos, pero no se dispone de un plan para cada clnica en las distintas capitales. Esto desencadenara en un parn en los servicios de cada una de las clnicas y la imposibilidad de ejercer el trabajo en cada una de las zonas. Por otro lado aunque cada ao se realiza un simulacro para observar el funcionamiento del plan, nunca se almacenan los resultados obtenidos, siendo difcil el estudio de mejoras futuras o de cambios necesarios. Adems no se especifica las repercusiones econmicas ni el impacto resultante. Otro de los aspectos negativos es que el segundo lugar de trabajo o lugar alternativo, es un espacio habilitado por el Ayuntamiento de Ciudad Real, el cual autoriza a las empresas su uso bajo una serie de circunstancias. Estos espacios son de uso temporal y requieren una tramitacin para su adquisicin, siendo muy posible que no se encuentre disponible en el instante en el que fuera necesario. Esa falta de verificacin se ve reflejada tambin con los proveedores auxiliares, los cuales solo son contactados en el momento de la simulacin. Continuando con el plan, se puede observar que no se han establecidos las clausulas referentes al plan de refugio en el lugar, a las computadoras alternativas si las actuales quedara destruidas, la falta de copias de seguridad en otro establecimiento as como a la falta de solucin 11

si los registros de contabilidad y nomina del personal fueran destruidos. En referencia al personal, un alto porcentaje no conoce la existencia de un plan preventivo de continuidad de trabajo, as como gran parte del personal que lo conoce ha formado parte nunca o solo alguna vez los simulacros realizados.

12

Papeles de trabajo

3.1 Anexo I

3.1.1 Diagrama disposicin de la mesa de recepcin

Imagen 3.1: Recepcin I

3.1.2 Fotografas de recepcin

Imagen 3.2: Recepcin II

13

Imagen 3.3: Recepcin III

Imagen 3.4: Recepcin IV

3.1.3 Extracto de entrevista al Director

Han considerado los riesgos potenciales a los que estn sometidos sus oficinas y en consecuencia sus datos? Si, los riesgos se han estudiado detenidamente y se han puesto los medios necesarios 14

para minimizarlos. Entonces existe y tienen en su poder lo que denominaramos un estudio de planificacin de riesgos? Hemos considerado los riesgos pero no existe un informe que se pueda denominar oficial, el encargado de tener controlado los riesgos en el mbito de los datos es el informtico jefe. Y si existe una planificacin de riesgos seguro que el la tiene. Lo que usted quiere decir es que el encargado de la planificacin de riesgos es el informtico jefe y que en el recae dicha responsabilidad? Si, eso es. Los empleados reciben algn tipo de curso o algunas directrices para evitar riesgos? Si, por supuesto, se les da una serie de normas que deben cumplir. Podra disponer de una copia de esas normas? Si, claro, se la entregaremos lo antes posible.

3.1.4 Extracto de entrevista a un Tcnico Informtico

Se nos ha informado de que es usted el encargado de la planificacin de riesgos, es eso cierto? En cierto modo si, ya que somos los informticos lo que ponemos los medios para que los datos estn a salvo. En ese caso usted ha recibido alguna formacin en ese sentido? No, no he realizado ningn curso especifico si es a lo que se refiere. Y dispone de algn documento de planificacin de riesgos? No, nos ocupamos de que los datos este a salvo, solo eso. Realizan copias de seguridad en su servidor principal?

15

Si, las copias de seguridad se hacen cada dos das, los informticos de cada sucursal se encargan de ello. El sistema esta automatizado, es decir, cada dos das las copias se realizan automticamente? No, son los propios informticos los que inician el proceso de copia de seguridad.

3.1.5 Normas de seguridad

1. Las claves son personales y cada individuo deber introducir la suya en el sistema cada vez que empiece su turno, 2. Para evitar problema tenga cuidado en no revelar su nombre de usuario ni su clave. 3. Nunca deje el ordenador encendido con su clave introducida. 4. Al terminar su jornada de trabajo cierre la sesin iniciada. 5. No modifique datos si no esta totalmente seguro de lo que esta haciendo. 6. No utilice Internet para uso personal.

3.1.6 Registro de acceso e intrusiones

16

Imagen 3.5: Registro

17

3.2 Anexo II 3.2.1 Extracto de entrevista con un medico empleado

Posee con su password acceso a todo el sistema? No, yo solo tengo acceso a las partes del programa destinadas a mi trabajo. Si necesita saber ms acerca de la administracin de la aplicacin y del sistema deber buscar al Tcnico Informtico.. Ha dejado alguna vez que algn compaero use su clave de usuario? Alguna vez hemos necesitado, si, por prisas que alguno de nuestros compaeros se identificara como nosotros dndoles el password o que nos lo hayan dejado. Cambia muy a menudo su password de acceso? Puede que no tanto como debiera. La empresa tiene una poltica de modificacin de claves pero no creo que todos la sigamos. Existe medidas de seguridad informatizadas para el acceso a las distintas secciones del edificio? No, todo va con el rustico mtodo de llave-cerradura..

3.2.2 Extracto de entrevista con el Tcnico Informtico de una de las clnicas

Se cuenta con un plan de seguridad estratgico que proporciones una direccin y control centralizados sobre la seguridad de los sistemas de informacin? No, en principio no tenemos ninguno, simplemente actuamos acorde de las necesidades del sistema. Lo que si tenemos es un Plan de procedimiento de cuentas de usuario. Est la seguridad del sistema centralizada?Quin esta al cargo? Todas las cuentas de usuario as como los datos se albergan en la base de datos de la sede. Solo el Tcnico Informtico de la Sede y el Director General tienen acceso. Osea que ellos estn al cargo.

18

Cuentan ustedes con reportes de fallas de seguridad y procedimientos formales de solucin de problemas, donde por ejemplo, vengan intentos no autorizados de acceso al sistema o a los recursos del mismo? Cada uno de los terminales aqu tiene instalado un firewall el cual recoge un log de informacin con los accesos e incidencias. Aparte tenemos un sistema hardware de firewall que va conectado al sistema. No queremos que nadie acceda a nuestros datos.

Todo el trafico que se origina en las clnicas pasa por los firewall? Si, solo permitiendo el trafico autorizado el cual tenemos localizado mediante reglas.

Tienen algn curso preparatorio para el entrenamiento y la concienciacin de los empleados en el mbito de la seguridad y del uso de los sistemas de acceso a Internet? No, no tenemos ningn curso introductorio para ello, solo poseemos un curso para el manejo de los programas del mbito clnico. Tenemos una lista de normas que deben cumplir, pero creo que como en todas las empresas, termina siendo simblico cuando se coge confianza con el personal, no hay nadie que lo imponga o al menos no se ha dado ningn caso para endurecer la situacin. Damos por hecho que los empleados saben de los riesgos que supone el acceso indebido y una mala praxis del sistema.

Al ingresar al sistema, aparece algn tipo de mensaje en relacin al uso adecuado del sistema as como de las responsabilidades legales que pudiera causar el uso del sistema? No.

Se hace uso de proteccin por MAC para tanto hardware como software? No, no tenemos configurada en la red los accesos por MAC.

3.2.3 Extracto de entrevista con el Tcnico Informtico de la Sede

Tiene acceso a la base de datos general y al servidor central algn empleado ms? Solo yo y el Director General. Aunque l no sabe del tema, siempre requerimos otro superusuario por si fuera necesario. Poseen encriptacin los datos almacenados en la base de datos?

19

Todos los datos almacenados en la base de datos se encuentran almacenados usando el algoritmo MD51.

3.2.4 Informe de incidencias de acceso al sistema o sus recursos

Imagen 3.6: Registro de trafico en formato texto

Imagen 3.7: Registro de trafico en va web

1 El algoritmo MD5 fue desarrollado por Ronald Rivest en 1995 basado en dos algoritmos anteriores MD2 y MD4. Se produce un nmero de 128 bits a partir de un texto de cualquier longitud.

20

3.2.5 Software de control de incidencias

Se dispone de un software de control de incidencias y accesos al sistema o a sus recursos, en cada uno de los terminales de las distintas clnicas. Este sistema acta tanto a nivel de defensa interna contra la instalacin de software malicioso y de espionaje, as como de los distintos accesos a la red.

Imagen 3.8: Pantalla de informacin del producto

Imagen 3.9: Control de defensa

21

Imagen 3.10: Control de trfico

3.2.6 Plan de procedimiento de cuentas de usuario

Alta de nuevo usuario Encargado: Tcnico Informtico de la Sede central Procedimiento: Alta de nuevo usuario y contrasea temporal. Esta contrasea debe ser modificada por el nuevo empleado bajo la supervisin de un Tcnico Informtico autorizado. Baja de usuario Encargado: Tcnico Informtico de la Sede central Procedimiento: Inmediatamente a la rescisin del contrato. Especificacin de contrasea Caractersticas: Al menos 8 caracteres con la inclusin de tanto cifras como letras. Actualizacin: Recomendada su actualizacin cada [ 6 meses ] Especificacin de sesiones de acceso Caractersticas: Solo una autentificacin o sesin por usuario. La concurrencia de dos mismas sesiones sobre un usuario acarreara la suspensin temporal de la cuenta hasta la supervisin del administrador al cargo. Especificacin de intentos:

22

Poltica sobre perdida de contraseas Especificacin: SI un usuario justifica la perdida de la contrasea se proceder a la restitucin de la misma por el administrador del sistema. Para ello sera necesario una justificacin del usuario firmada por el propio director de clnica. Una vez restaurada la contrasea, esta tendr validez una sola vez, y servir solo para realizar un cambio por una ms personal.

3.2.7 Circular de cambio peridico de contraseas

Imagen 3.11: Circular

3.2.8 Hardware firewall de control de trafico

Imagen 3.12: Hardware firewall

23

3.3 Anexo III 3.3.1 Extracto de entrevista con el Director General

Disponen de Plan de Continuidad del Negocio? Si, poseemos uno realizado para una de mis antiguas compaas, amoldado a las necesidades de esta empresa. Fue revisado por personal cualificado y aprobado por nuestra junta directiva. Ha sido necesaria el uso de ese mismo plan? Si es afirmativo, tiene algn documento que lo acredite? Aunque nunca ha sido necesario al no haber sufrido ningn percance o circunstancia que lo requiriera, si realizamos anualmente una prueba que nos permita evaluar si cometido y su eficacia. Deber hablar con el Tcnico Informtico de la Sede. l es el encargado de llevar un control sobre la misma a nivel local y a nivel del resto de dependencias.

3.3.2 Extracto de entrevista con el Tcnico Informtico de la Sede encargado del Plan de Continuidad de Negocio
El Director General de la compaa nos ha informado de que usted es el encargado del Plan de Continuidad de Negocio y su implantacin en caso de necesidad. Puede decirnos si posee pruebas o documentos de los simulacros? Hombre, nunca hemos registrado los valores obtenidos, cada ao realizamos un simulacro y si vemos que todo va bien, que es lo que nos ha ocurrido, continuamos con el plan. Verifican asidua mente los contactos necesarios encontrados en el Plan? La verdad es que no, simplemente hacemos cuenta de ello cuando llega la hora del simulacro.

Poseen un Plan de Continuidad para cada una de las clnicas? No, solo poseemos de la Sede Central donde se alberga el servidor principal y la base de datos general.

24

3.3.3 Plan de Continuidad de Negocio (ltima actualizacin ao 2007)

Lugar de Trabajo Nombre de la Compaa: Il Dente Perfetto Direccin: La colina del amor 23 Ciudad: Ciudad Real Nmero de Telfono: +34 926292929
Si este lugar no est accesible, operaremos desde el siguiente lugar.

Nombre de la Compaa: Sector Empresas Ayuntamiento de Ciudad Real. Direccin: Polgono Industrial de la Cencerreta, 45 Ciudad: Ciudad Real Nmero de Telfono: +34 926755775
La siguiente persona estar a cargo de gestionar la crisis y ser el portavoz de la compaa en caso de emergencia.

Contacto Primario de Emergencia: D. Jose Vicente Jaramillo Jaramete Nmero de Telfono: +34 678678678 Nmero Alternativo: +34 666888999 Correo electrnico: jv.jaramillo.jaramete@ildenteperfetto.es
Si la persona no puede gestionar la crisis, esta otra persona ser quien est a cargo:

Contacto Primario de Emergencia: Da. Amparo Lopez Bustos Nmero de Telfono: +34 926736723 Nmero Alternativo: +34 666000287 Correo electrnico: am.lopez.bustos@ildenteperfetto.es

Informacin de contactos de emergencia Marque el en caso de Emergencia: 112 Polica: 091 Guardia Civil: 062 Proveedor de Seguros: +34 926555223 Posibles incidencias
Los siguientes desastres naturales y causados por el hombre podran afectar a nuestro negocio:

Incendios. Terremotos. Inundaciones. Cortes de luz y picos de tensin. Problemas de la red elctrica. Prdida de informacin por error humano. Intrusismo. Software malicioso. Hurto.

25

 Equipo de la Planificacin de Emergencia

Las siguientes personas participarn en la planificacin de emergencias y la gestin de crisis:

D. Jose Vicente Jaramillo Jaramete. Da. Amparo Lopez Bustos.

Equipo para la Coordinacin

Las siguientes personas de los negocios vecinos y la gerencia de nuestro edificio participarn en nuestro equipo de planificacin de emergencias:

D. Jose Mara Alcantara Suarez D. Evaristo Pisto Listo. D. Aurelio Bermejo Pellejo. Da. Laura Ponce Rillo.

Operaciones o Procesos Crticos

Esta lista contiene las operaciones cruciales, personal y procedimientos necesarios para recuperarnos de un desastre:

Operacion Contacto con proveedores y reinstalacin de sistema. Gestin de BBDD y servidor central Instalacin de equipos de servicio Recuperacin de material de trabajo Proveedores y Contratistas

Personal a Cargo Da. Amparo Lopez Bustos D. Jose Vicente Jaramillo Jaramete D Augusto Andrade Caraja Da. Peularia Granados Barbate

Plan de Accin Localizacin y consecucin de las partes necesarias del sistema. Conseguir pleno funcionamiento. Conexionado para la puesta a punto de la instalacin. Contratos, nominas, ficheros impresos.

Nombre de la Compaa: Eniac Informatica Direccin: C/ altagracia 34 Ciudad: Ciudad Real Cdigo Postal: 13003 Nmero de Telfono: +34 926230110 Email: eniac@eniacinformatica.es Materiales/Servicios Proporcionados: Equipos informticos.
Si esta compaa sufre un desastre, obtendremos los suministros y/o materiales de la siguiente:

Nombre de la Compaa: CorzoLand Direccin: C/ Albuquerque 45 Ciudad: Toledo Cdigo Postal:45001 Nmero de Telfono: +34 925287837 Email: Materiales/Servicios Proporcionados: Equipos informticos. 26

 Plan de Evacuacin para las Instalaciones [ SI ] Hemos elaborado estos planes en colaboracin con los negocios vecinos y los propietarios del edificio para evitar confusin o embotellamientos. [ SI ] Hemos encontrado, copiado y publicado mapas del edificio y de las instalaciones. [ SI ] Las salidas estn claramente marcadas. [ SI ] Practicaremos los procedimientos de evacuacin ( 1 ) veces por ao.
Si debemos abandonar rpidamente el lugar de trabajo:

1. ( 1 ) 2. 3. 4. 5.

Sistema de advertencia: Alarma sonora [ SI ] Probaremos el sistema de advertencia y registraremos los resultados veces por ao. Lugar de Reunion: Fuera de los limites del edificio Gerente y persona alternativa para el lugar de reunion: D. Manuel Tendero Casado Gerente de apagado y persona alternativa: Da. Catalina Ina Maniller [ D. Jose Vicente Jaramillo Jaramete ] Es el encargado de emitir la orden todo despejado.

Plan de refugio en el lugar Direccin: Comunicaciones Comunicaremos nuestros planes de emergencia con compaeros de trabajo de la siguiente forma: Intranet En caso de desastre, nos comunicaremos con los empleados de la siguiente forma: Telefnicamente Ciberseguridad Para proteger nuestro hardware y software, haremos lo siguiente: Plan de proteccin de Hardware y Software 2003. Si nuestras computadoras resultan destruidas, utilizaremos computadoras de seguridad en el siguiente lugar: Copias de seguridad de los archivos [ D. Jose Vicente Jaramillo Jaramete ] es responsable de hacer copias de seguridad de nuestros archivos cruciales, incluidos los sistemas de nmina del personal y de contabilidad. Las copias de seguridad, incluyendo una copia de este plan, mapas del sitio, plizas de seguro, registros bancarios y copias de seguridad informticas estn en nuestras instalaciones en [ Almacen del bunquer ]. Otro juego de copias de seguridad est guardado en este lugar fuera de las instalaciones: [ ] Si nuestros registros de contabilidad y nmina de personal resultan destruidos, mantendremos la continuidad de la siguiente forma:[ ] 27

 Informacin de contacto de emergencia de los empleados

La siguiente es una lista de nuestros compaeros de trabajo y su informacin de contacto de emergencia individual:

D. Jose Vicente Jaramillo Jaramete. +34 92345342 Da. Amparo Lopez Bustos. +34 97673652 D. Macario Vermejo Lozano. +34 67663532 ...

Revisin Anual Fecha ltima revisin: [ 27/02/2007 ] Fecha prxima revisin: [ 27/02/2008 ]

3.3.4 Grfica de realizacin de simulacros

A la pregunta -alguna vez ha realizado algn simulacro de evacuacin?- El porcentaje de respuestas entre los empleados fue el siguiente:

10%

20%

Todos los aos Alguna vez Una vez

40% 30%

Nunca

Grafico 1: Realizacin de simulacros

3.3.5 Grfica de conocimiento de existencia de un Plan de Continuidad de Negocio

A la pregunta -saben de la existencia de un Plan de Continuidad de Negocio?- El porcentaje de respuestas entre los empleados fue el siguiente:

28

42%

Si No
58%

Grafico 2: Existencia de un plan

3.3.6 Contratos de los proveedores incluido en el Plan de Continuidad de Negocio

Contrato de proveedor de servicio con la empresa Eniac Informtica.

29

Imagen 3.13: Contrato I

Contrato de proveedor de servicio con la empresa CorzoLand

30

Imagen 3.14: Contrato II

31

3.4 Anexo IV 3.4.1 Extracto de entrevista con el director

Existe algn documento en el cual se fijen los niveles de servicio? No, somos una empresa pequea y los acuerdos de servicio son mas bien tratados de forma verbal. Pero tendrn contratos con proveedores? Si, por supuesto, existen contratos con cada proveedor. Puede facilitar dicha documentacin? En este momento no disponemos de los contratos en la oficina. En dichos contratos se especifica las responsabilidades de los proveedores con la empresa? En este momento no dispongo de dicha informacin pero si le puedo decir que por ejemplo se acuerda que las entregas seran efectivas en un tiempo menos a 4 dias laborales.

3.4.2 Extracto de la entrevista con un empleado

Durante el tiempo que lleva trabajando en la empresa se ha realizado alguna en cuenta a los clientes para ver el nivel de satisfaccin con los servicios recibidos? No, en todo el tiempo que llevo en la empresa no se ha realizado ninguna encuesta. Y a usted como empleada se le ha realizado alguna encuesta? No, por mi parte tampoco he realizado ninguna encuesta. Los pedidos cumplen los tiempos acordados? Depende del pedido, a veces tardan mas otras menos depende del proveedor, no hay un tiempo fijado. 32

3.4.3 Fecha de pedido y albarn de entrega

Imagen 3.15: Fecha de pedido

33

Imagen 3.16: Albarn

34

3.5 Anexo V 3.5.1 Polticas de cambio y actualizacin

El sistema debe ser probado con anterioridad y pasar una serie de requisitos para ser instalado finalmente en las clnicas. El software nuevo debe ser totalmente compatible con versiones anteriores para no perder datos. Se debe comprobar que cualquier cambio que se realice puede ser deshecho sin perdida de informacin. La migracin de un sistema a otro, ya sea hardware o software, no debe superar un tiempo considerado razonable. Se dar una charla informativa a los empleados para mejorar la adecuacin al nuevo sistema.

3.5.2 Futuro cambio de hardware y software

El cambio de software esta previsto para el prximo mes, este cambio viene condicionado por la necesidad de la mejora del programa informtico para gestionar las citas y los clientes. El cambio de hardware se pospone hasta el mes siguiente al cambio de software, ya que se necesita hacer una evaluacin de los sistemas que se compraran y obtener el visto bueno de la direccin. Jefe de informticos

3.5.3 Peticin de actualizacin de software y hardware a cargo del jefe de informtica

Software: Hardware: Se requiere la actualizacin de los sistemas de hardware para el correcto funcionamiento de la nueva aplicacin. Como modelo de pc se recomienda lo siguiente: Procesador Intel core 2 duo 3,00GHz. Memoria DDR3 2 GB. El resto de componentes se decidir sobre la marcha, siempre sin exceder el presupuesto aceptado. Actualizacin de la aplicacin GESTA, se dispone en este momento de la versin 2.5 y se requiere la actualizacin a la versin 5.2. La actualizacin anterior requiere que el sistema operativo se actualizado de la versin Windows XP a Windows Vista.

3.5.4 Extracto de la entrevista con un empleado

35

En el tiempo que lleva usted en el puesto se ha realizado algn cambio? Si, se realizo una actualizacin pero tiempo despus se volvi a la versin anterior.

Conoce usted el motivo de dicho cambio? Se puso un programa nuevo pero no abra alguna ficha de los clientes.

3.5.5 Extracto de entrevista con el Tcnico Informtico de la Sede

Existen polticas de actualizacin o cambio? En lo que a sistemas de informacin se refiere existen una serie de polticas que se utilizan para la correcta actualizacin. Dispone de una copia de dichas polticas? Si, al finalizar esta entrevista se le har entrega de una copia. Se cumplen dichas polticas? Se cumplen, ya que son parte importante de la seguridad a la hora de actualizar el equipo.

36

3.6 Anexo VI 3.6.1 Extracto de entrevista con un empleado

Si tenis algn problema de mbito informtico como os ponis en contacto con la persona al cargo? Intentamos llamar por telfono al tcnico a su extensin . Si no contesta preguntamos al resto de compaeros o salimos a buscarlo por la clnica. Se le ha realizado algn curso de concienciacion de problemas sobre situaciones comunes y su rpida solucin? No la verdad.

3.6.2 Extracto de entrevista con un tcnico informtico

Se posee alguna herramienta de captura de problemas y de reportes, que ayuden a una mejor comprensin en el futuro ante nuevos problemas? No, no tenemos nada aparte de los registros comunes de uso de la red. Nosotros los informticos apuntamos en una bitcora las incidencias que van apareciendo, pero solo nosotros, no los empleados. Si me dejan buscarlos, les puedo ensear una muestra. Que pasa si un problema suele suceder con frecuencia? existe una poltica para tratarlos? Podemos hacer algn informe y proponerse lo a la direccin, pero la verdad, no existe ninguna poltica para tratarlos.

3.6.3 Extracto de entrevista con el director

Se evalan peridicamente los problemas acaecidos para una futura efectividad y eficiencia? No, no tenemos nada aparte de los registros comunes de uso de la red y los reportes de incidencias.

37

3.6.4 Reporte de incidencias y problemas

Imagen 3.17: Ejemplo de reporte de incidencias y problemas

38

3.7 Anexo VII 3.7.1 Extracto de entrevista con un gerente de clnica

Quin realiza los procesos de seleccin de personal? Yo mismo, no existe un departamento de RRHH. Ha estudiado odontologa? No, soy licenciado Direccin y Administracin de empresas. Usted tiene conocimientos mdicos? Solo conocimientos bsicos. Tienen firmado algn tipo de convenio con universidades para la contratacin de futuros talentos? No, de momento no tenemos firmado ningn convenio. Tienen fijado un plan a corto plazo? Si, nos hemos fijado como objetivos el recuperar la inversin inicial realizada. Y plan a largo plazo? No tenemos fijado un slido plan a largo plazo, nicamente como objetivo a largo plazo nos hemos fijado el ampliar y fidelizar la cartera de clientes.

3.7.2 Diploma certificado de licenciatura

39

Imagen 3.18: Ttulo de reconocimiento

40

3.8 Anexo VIII 3.8.1 Extracto de entrevista con un gerente de clnica

Poseen poltica de procedimientos para la implantacin y preparacin de prepuestos? No, estamos estudiando implantarla. Han realizado algn tipo de estudio que pueda obtener una estimacin de los beneficios por la implantacin de nuevas tecnologas? No, de momento no hemos realizado ningn estudio ya que no hemos previsto incluir grandes cambios . Quin realiza el anlisis de costos? Los gerentes de las clnicas. Se consideran procedimientos de cambios de emergencia en los manuales de operaciones? No existen manuales de operaciones. Hemos comprobado que la pgina web es poco intuitiva, han pensado en cambiar la empresa que se ocupa de realizar el diseo de la web? De momento no hemos pensado en cambiar, pero si es cierto que debemos modificar los requisitos pedidos a la empresa Web Desing. Han considerado que la edad media de sus clientes es alta? No, no hemos realizado un estudio estadstico de la edades de nuestros clientes. Los documentos de los cambios realizados donde quedan reflejados? En documentos escritos en papel. Si se realiza el cambio de la interfaz de la web puede que la cartera de clientes crezca, han estudiado el posible beneficio que se puede sacar del cambio? 41

No, ni pensamos realizarlo.

3.8.2 Diseo de pgina web corporativa

Imagen 3.19: Pgina web

42