GUÍA PARA PRESENTACIÓN DE

Código: IN-IN-001
ANTEPROYECTO DE INVESTIGACIÓN Versión:01
(SEMINARIO DE INVESTIGACIÓN)
Proceso: Fecha de emisión: Fecha de versión:
Investigación 22-Nov-2009 22-Nov-2009

PARAMETRIZACIÓN PARA LA CORRECTA ADMINISTRACIÓN DE USUARIOS EN

AVALER SAS

WILFREDY ALEXY ZÁRATE BÁEZ CÓDIGO 50902

JOHAN SEBASTIÁN AGUILAR SÁNCHEZ CÓDIGO 51049
HERNÁN DAVID GÓMEZ DUQUE CÓDIGO 48338
JHOEL STEVEN MORENO AYALA CÓDIGO 52166

UNIVERSIDAD ECCI
FACULTAD INGENIERIA
PROGRAMA INGENIERIA INDUSTRIAL
BOGOTÁ, D.C.
AÑO

Página 1 de 13
 GUÍA PARA PRESENTACIÓN DE
Código: IN-IN-001
ANTEPROYECTO DE INVESTIGACIÓN Versión:01
(SEMINARIO DE INVESTIGACIÓN)
Proceso: Fecha de emisión: Fecha de versión:
Investigación 22-Nov-2009 22-Nov-2009

PARAMETRIZACIÓN PARA LA CORRECTA ADMINISTRACIÓN DE USUARIOS EN

LA EMPRESA AVALER SAS

WILFREDY ALEXY ZÁRATE BÁEZ CÓDIGO 50902

JOHAN SEBASTIÁN AGUILAR SÁNCHEZ CÓDIGO 51049
HERNÁN DAVID GÓMEZ DUQUE CÓDIGO 48338
JHOEL STEVEN MORENO AYALA CÓDIGO 52166

Anteproyecto de Investigación

MARÍA EUGENIA FONSECA

Docente

UNIVERSIDAD ECCI
FACULTAD INGENIERIA
PROGRAMA INGENIERIA INDUSTRIAL
BOGOTÁ, D.C.
AÑO

Página 2 de 13
 GUÍA PARA PRESENTACIÓN DE
Código: IN-IN-001
ANTEPROYECTO DE INVESTIGACIÓN Versión:01
(SEMINARIO DE INVESTIGACIÓN)
Proceso: Fecha de emisión: Fecha de versión:
Investigación 22-Nov-2009 22-Nov-2009

TABLA DE CONTENIDO

1. TÍTULO DE LA INVESTIGACIÓN.......................................................................................4
2. PROBLEMA DE INVESTIGACIÓN.....................................................................................4
2.1. DESCRIPCIÓN DEL PROBLEMA...............................................................................4
3. OBJETIVOS DE LA INVESTIGACIÓN...............................................................................5
3.1. OBJETIVO GENERAL...................................................................................................5
3.2. OBJETIVOS ESPECÍFICOS.........................................................................................5
4. JUSTIFICACIÓN Y DELIMITACIÓN DE LA INVESTIGACIÓN......................................5
4.1. JUSTIFICACIÓN.............................................................................................................5
4.2. DELIMITACIÓN...............................................................................................................6
5. MARCO DE REFERENCIA DE LA INVESTIGACIÓN.....................................................6
5.1. MARCO CONCEPTUAL................................................................................................6
5.2 MARCO LEGAL.......................................................................................................................8
6. DISEÑO METODOLÓGICO..............................................................................................10
7. ANÁLISIS DE IMPACTO DE NEGOCIO (BIA):............................................................11
8. REFERENCIAS (BIBLIOGRAFÍA).....................................................................................13

Página 3 de 13
 GUÍA PARA PRESENTACIÓN DE
Código: IN-IN-001
ANTEPROYECTO DE INVESTIGACIÓN Versión:01
(SEMINARIO DE INVESTIGACIÓN)
Proceso: Fecha de emisión: Fecha de versión:
Investigación 22-Nov-2009 22-Nov-2009

1. TÍTULO DE LA INVESTIGACIÓN

PARAMETRIZACIÓN PARA LA CORRECTA ADMINISTRACIÓN DE USUARIOS EN

LA EMPRESA CONTACTO CENTRAL

2. PROBLEMA DE INVESTIGACIÓN

2.1. DESCRIPCIÓN DEL PROBLEMA

La empresa Avaler SAS ubicada en Bogotá presta servicios en el área de salud ya que
cuenta con una certificación de IPS lo que le permite ofrecer servicios de traslado en
ambulancia, medicina domiciliaria y telemedicina en la ciudad de Bogotá. En la
actualidad se dispone de un programa ofertado por un tercero en donde se tiene acceso
a todos los procesos de la empresa de manera efectiva, ya que se crea una sinergia
entre áreas lo que aumenta la facilidad derivado del correcto aplicativo en cada
departamento. Se manejan distintos perfiles de acceso los cuales son los siguientes:
● Telemedicina
● Radio operación
● Administrativo
● Operativo
● Usuarios externos
● IT
Para estos seis tipos de perfiles en la actualidad no se encuentra una política que
indique la restricción de accesos que debe tener cada uno, excepto para el perfil de
usuario externo ya que como es un usuario que va a ingresar a una consulta de
telemedicina solo tiene acceso a la consulta y posteriormente se elimina el usuario ya
que es un tipo de usuario genérico creado de manera aleatoria cada vez que se asigne
una consulta.
Para los restantes usuarios se debe tener una parametrización de perfil ya que las
funciones que realiza el perfil operativo y administrativo no son las mismas y
actualmente los dos perfiles pueden realizar cambios en distintas áreas que no les
corresponde. El área de Telemedicina es la más vulnerable ya que si por error algún
usuario elimina las consultas de la agenda se tendría que contactar nuevamente al
paciente generando un retraso en la fecha de la consulta.

Página 4 de 13
 GUÍA PARA PRESENTACIÓN DE
Código: IN-IN-001
ANTEPROYECTO DE INVESTIGACIÓN Versión:01
(SEMINARIO DE INVESTIGACIÓN)
Proceso: Fecha de emisión: Fecha de versión:
Investigación 22-Nov-2009 22-Nov-2009

3. OBJETIVOS DE LA INVESTIGACIÓN

3.1. OBJETIVO GENERAL

Parametrizar la asignación de permisos y accesos de los trabajadores a los aplicativos

empresariales de acuerdo con las funciones de cada cargo.

3.2. OBJETIVOS ESPECÍFICOS

● Establecer una política de administración de usuarios donde se incluya el compromiso

de cumplir con los requisitos de la organización con respecto al manejo de accesos.

● Diseñar una herramienta de gestión informática que permita el fácil control,

administración y asignación de accesos para los usuarios.
Disminuir el indicador de accesos erróneos de los usuarios a los aplicativos no
permitidos de acuerdo con el cargo.

4. JUSTIFICACIÓN Y DELIMITACIÓN DE LA INVESTIGACIÓN

4.

4.1. JUSTIFICACIÓN

La administración de usuarios es una parte importante de la administración de sistemas

dentro de una organización. La razón principal de las cuentas de usuario es verificar la
identidad de cada individuo utilizando un computador. Una razón secundaria (pero aún
importante) es la de permitir la utilización personalizada de recursos y privilegios de
acceso.
Esto permite que los trabajadores utilicen solo los recursos requeridos para realizar su
labor y la compañía tenga un mejor manejo de la información, aumentando el nivel de
seguridad de esta. También permite la disminución de errores partiendo de la
parametrización de los usuarios.

Página 5 de 13
 GUÍA PARA PRESENTACIÓN DE
Código: IN-IN-001
ANTEPROYECTO DE INVESTIGACIÓN Versión:01
(SEMINARIO DE INVESTIGACIÓN)
Proceso: Fecha de emisión: Fecha de versión:
Investigación 22-Nov-2009 22-Nov-2009

La realización de este trabajo tiene un enfoque aplicativo ya que la empresa en la

actualidad no cuenta con una política de usuarios.

4.2. DELIMITACIÓN

Este proyecto se realizará únicamente para la empresa Avaler SAS, la cual cuenta con
60 colaboradores (aprox.) que requieren el uso de aplicativos laborales.
La planeación del presente proyecto se llevará a cabo a partir del mes de septiembre
hasta el mes de noviembre del año 2020. La política y los accesos solo pueden ser
revisados en su cumplimiento cuando el trabajador hace uso de los recursos
(computadores) de la compañía.

5. MARCO DE REFERENCIA DE LA INVESTIGACIÓN

5.1. MARCO CONCEPTUAL

El presente trabajo busca plantear un Plan de continuidad del negocio que mitigue los
riesgos TI.

¿Qué es un plan de continuidad del negocio?

Continuidad de Negocio es un conjunto de medidas que adopta una empresa para
garantizar que su operación no se vea afectada, de una forma substancial, por eventos
que están fuera de su control. Existe una amplia gama de dichos eventos llamados
contingencias, desde una simple caída de sistema, hasta un incendio, una inundación o
una pandemia.

Soluciones Informáticas de Continuidad de Negocio

Una solución la entendemos como el conjunto de una herramienta y los servicios
requeridos para su puesta en marcha y mantenimiento. En otra sección de esta web
hablamos de las distintas modalidades de backup (copia de seguridad) y explicamos

Página 6 de 13
 GUÍA PARA PRESENTACIÓN DE
Código: IN-IN-001
ANTEPROYECTO DE INVESTIGACIÓN Versión:01
(SEMINARIO DE INVESTIGACIÓN)
Proceso: Fecha de emisión: Fecha de versión:
Investigación 22-Nov-2009 22-Nov-2009

cómo han ido evolucionando, debido a las necesidades de las empresas. Estas
necesidades han ocasionado que muchas empresas, en vez de almacenar el backup en
cintas u otros medios “offline”, tengan que mantener la copia en un servidor: Backup
Server. El disponer de un servidor especial para almacenar el backup hace posibles
soluciones más avanzadas.

¿Qué es un plan BIA?

El análisis de impacto al negocio (Business Impact Analysis o BIA por sus siglas en
inglés) es otro elemento utilizado para estimar la afectación que podría padecer una
organización como resultado de la ocurrencia de algún incidente o un desastre.
El BIA está directamente relacionado con aquellos procesos que poseen un tiempo
crítico para su operación, porque si bien todos los procesos sujetos a un tiempo crítico
son de misión crítica, no todos los procesos de misión crítica están relacionados con un
tiempo crítico para su ejecución.

Administración de usuarios
La administración de usuarios es una técnica que permite que una organización pueda
asignar un perfil especifico según las funciones del cargo, con el principal objetivo de
evitar errores críticos, evitar que se filtre información y llevar un control sobre las
acciones de cada línea de cargos.

Sistema de Gestión de Seguridad de la Información SGSI

Conjunto de elementos interrelacionados o interactuantes (estructura organizativa,
políticas, planificación de actividades, responsabilidades, procesos, procedimientos y
recursos) que utiliza una organización para establecer una política y unos objetivos de
seguridad de la información y alcanzar dichos objetivos, basándose en un enfoque de
gestión y de mejora continua. (ISO/IEC 27000).

Análisis del impacto del negocio

Página 7 de 13
 GUÍA PARA PRESENTACIÓN DE
Código: IN-IN-001
ANTEPROYECTO DE INVESTIGACIÓN Versión:01
(SEMINARIO DE INVESTIGACIÓN)
Proceso: Fecha de emisión: Fecha de versión:
Investigación 22-Nov-2009 22-Nov-2009

Proceso del análisis de actividades y el efecto que una interrupción del negocio podría
tener sobre ellas. (ISO 22301)

Seguridad de la información.
la Seguridad de la información está definida como todas las medidas preventivas y de
reacción del individuo, la organización y las tecnologías, para proteger la información;
buscando mantener en esta la confidencialidad, la autenticidad e Integridad.

Flujos de información en la empresa

Es la información que circula entre distintos usuarios, distintas áreas o personas
internas de la empresa para ser transformadas en un producto o servicio

5.2 MARCO LEGAL

RESOLUCIÓN 2003, MAYO 28 DEL 2014

Por la cual se definen los procedimientos y condiciones de inscripción de los
Prestadores de Servicios de Salud y de habilitación de servicios de salud. Esta es la ley
que actualmente está vigente y rigiendo a las entidades prestadoras de salud y de la
cual estará adherida Ambulancias Sanar Pasto como empresa.

RESOLUCIÓN 1441, MAYO 6 DEL 2013

Define los procedimientos y condiciones que deben cumplir los Prestadores de
Servicios de Salud para habilitar los servicios.

RESOLUCIÓN 1439, NOVIEMBRE 1 DEL 2002

Adopta los manuales de estándares y de procedimientos para el sistema único de
habilitación, incluyendo los requisitos vigentes para las ambulancias.

Página 8 de 13
 GUÍA PARA PRESENTACIÓN DE
Código: IN-IN-001
ANTEPROYECTO DE INVESTIGACIÓN Versión:01
(SEMINARIO DE INVESTIGACIÓN)
Proceso: Fecha de emisión: Fecha de versión:
Investigación 22-Nov-2009 22-Nov-2009

RESOLUCIÓN 1995, JULIO 8 DE 1999

Normatividad para el adecuado manejo de la historia clínica.

DECRETO LEY 1295, JUNIO 22 DE 1994

Determina la organización y administración del Sistema General de Riesgos
Profesionales.

RESOLUCIÓN 9279, NOVIEMBRE 17 DE 1993

Adopta el manual de Normatización del Competente Traslado para la Red Nacional de
Urgencias.

ISO 27000
Contiene un conjunto de buenas prácticas para el establecimiento, implementación,
mantenimiento y mejora de Sistemas de Gestión de la Seguridad de la Información. Su
implantación ofrece a la organización la ventaja de proteger su información de la forma
más fiable posible, persiguiéndose para ello un total de tres objetivos principales:
- Preservar la confidencialidad de sus datos.
- Conservar la integridad de sus datos.
- Disponibilidad de la información protegida.

ISO 20000
Establece una implementación efectiva y un planteamiento estructurado para
desarrollar servicios de tecnología de la información fiables en lo referente a la gestión
de servicios de TI. La certificación permite demostrar de manera independiente que los
servicios ofrecidos cumplen con las mejores prácticas.

COBIT 5
Es un marco de trabajo que permite comprender el gobierno y la gestión de las
tecnologías de información (TI), así como evaluar el estado en que se encuentran las TI

Página 9 de 13
 GUÍA PARA PRESENTACIÓN DE
Código: IN-IN-001
ANTEPROYECTO DE INVESTIGACIÓN Versión:01
(SEMINARIO DE INVESTIGACIÓN)
Proceso: Fecha de emisión: Fecha de versión:
Investigación 22-Nov-2009 22-Nov-2009

en la empresa. Mediante COBIT 5 se puede desarrollar una política clara que permite el
control de las TI en la organización. La aplicación de este marco incide especialmente
en el cumplimiento regulatorio y ayuda a incrementar el valor asociado al área de TI de
la organización.

6. DISEÑO METODOLÓGICO

De acuerdo a cada objetivo específico:

•Establecer una política de administración de usuarios donde se incluya el compromiso
de cumplir con los requisitos de la organización respecto al manejo de accesos.

Se debe establecer una política de acceso lógico que obedezca los lineamientos de las
buenas prácticas de seguridad de la información y ciberseguridad de Avaler SAS, con el
propósito de establecer las normas específicas que corresponden a las herramientas y
accesos de los usuarios a los diferentes sistemas de información de la empresa,
estableciendo directrices que se deben cumplir en cada una de las novedades
aplicables.
Esta política definirá los niveles de seguridad que se deben cumplir en plataformas,
aplicaciones y en general en todos los sistemas de información de la compañía,
permitiendo garantizar un intercambio seguro de información entre trabajadores o
usuarios externos a la compañía.
Este documento permitirá que, independientemente del tipo de vinculación que el
usuario tenga con Avaler SAS, se tengan los lineamientos para gestionar las solicitudes
de acceso lógicos en los diferentes recursos de la empresa.

•Diseñar una herramienta de gestión informática que permita el fácil control,

administración y asignación de accesos para los usuarios.

Página 10 de 13
 GUÍA PARA PRESENTACIÓN DE
Código: IN-IN-001
ANTEPROYECTO DE INVESTIGACIÓN Versión:01
(SEMINARIO DE INVESTIGACIÓN)
Proceso: Fecha de emisión: Fecha de versión:
Investigación 22-Nov-2009 22-Nov-2009

La propuesta es diseñar una matriz de acceso lógico de usuarios que permita la fácil
administración, uso y actualización de los permisos de acuerdo a lo autorizado por cada
cargo, en ella se ubicarán los cargos disponibles en la compañía y los perfiles a los
cuales cada uno de ellos puede acceder. Los usuarios estarán limitados a usar
únicamente las herramientas que necesiten para desempeñar correctamente sus
labores. Esta matriz deberá a ser gestionada por una única persona (Un administrador
de usuarios), quien podrá crear y modificar los perfiles.

•Disminuir el indicador de accesos erróneos de los usuarios a los aplicativos no

permitidos de acuerdo al cargo.

Para cumplir el tercer objetivo específico, es necesario procesar información de tipo

cuantitativa, para esto se realizarán pruebas específicas a cada usuario para verificar el
margen de asertividad del sistema de administración de usuarios mediante encuestas
corporativas por áreas en donde se le indicará al trabajador que con su usuario intente
ingresar a un aplicativo particular, las respuestas serán de tipo cualitativo SI-NO, que al
final se van a cuantificar.

7. ANÁLISIS DE IMPACTO DE NEGOCIO (BIA):

Página 11 de 13
 GUÍA PARA PRESENTACIÓN DE
Código: IN-IN-001
ANTEPROYECTO DE INVESTIGACIÓN Versión:01
(SEMINARIO DE INVESTIGACIÓN)
Proceso: Fecha de emisión: Fecha de versión:
Investigación 22-Nov-2009 22-Nov-2009

Análisis del plan:

De los 6 procesos que se manejan en la actualidad el 50% se encuentran en un nivel de

importancia alto, lo que nos indica los principales perfiles en los que tenemos que
intervenir puesto a que representan una vulnerabilidad elevada derivado de la falta de
política de estructuración de accesos a los perfiles. El 17% representa un proceso con
nivel de importancia medio correspondiente al proceso administrativo se clasificó de
esta manera puesto a que se tiene contacto con todos los procesos pero no es tan
indispensable para la operación, el restante 33% nos indica que dos procesos se
encuentran con un un nivel de importancia bajo ya que el usuario externo tiene distintos
usuarios de back up que se generan de manera automática.
El resultado general tiene bastantes aspectos de mejora ya que nos indica que el nivel
de error generado interdepartamental es muy alto, lo que establece que es importante
realizar de manera inmediata estas limitaciones de accesos para asegurar que los
procesos principalmente de datos de los pacientes se guarden y no se tenga la opción
de eliminarlos o editarlos en todos los usuarios.

Página 12 de 13
 GUÍA PARA PRESENTACIÓN DE
Código: IN-IN-001
ANTEPROYECTO DE INVESTIGACIÓN Versión:01
(SEMINARIO DE INVESTIGACIÓN)
Proceso: Fecha de emisión: Fecha de versión:
Investigación 22-Nov-2009 22-Nov-2009

8. REFERENCIAS (BIBLIOGRAFÍA)

Greenhouse, W., 2020. Conceptos De Continuidad De Negocios. [online] Available at:

<https://www.swgreenhouse.com/conceptos-de-continuidad-de-negocio> [Accessed 21
October 2020].

Greenhouse, W., 2020. Conceptos De Continuidad De Negocios. [online] Available at:

<https://www.swgreenhouse.com/conceptos-de-continuidad-de-negocio> [Accessed 20
October 2020].

WeLiveSecurity. 2020. Business Impact Analysis (BIA) Y La Importancia De Priorizar

Procesos | Welivesecurity. [online] Available at: <https://www.welivesecurity.com
[Accessed 20 October 2020].

Epayments-support.ingenico.com. 2020. Administrador De Usuarios. [online] Available

at: <https://epayments-support.ingenico.com [Accessed 20 October 2020].

Mintic.gov.co. 2020. [online] Available at:

<https://www.mintic.gov.co/gestionti/615/articles-5482_G11_Analisis_Impacto.pdf>
[Accessed 20 October 2020].

Unilibre.edu.co. 2020. Seguridad De La Información. [online] Available at:

<http://www.unilibre.edu.co/bogota/ul/noticias/noticias-universitarias/152-seguridad-de-
la-informacion> [Accessed 20 October 2020].

Sturm, A., 2020. El Flujo De Información Y La Comunicación Interna De Tu Empresa.

[online] Blog.wearedrew.co. Available at: <https://blog.wearedrew.co/los-flujos-de-
informacion-y-la-comunicacion-interna-de-tu-empresa> [Accessed 20 October 2020].

Página 13 de 13