15Nombre de tareaDuracinComienzoFinPredecesoras% completadoResponsablesCosto TotalCosto YaraCosto Proveedor

UNIVERSIDAD MARIANO GLVEZ DE GUATEMALAFACULTAD DE INGENIERA EN SISTEMAS

INCREMENTAR EL NIVEL DE MADUREZ DE SEGURIDAD DEL SISTEMA ERP INTEGRA DE YARA GUATEMALA, S.A., APLICANDO COBIT

LICENCIATURA EN ADMINISTRACIN DE SISTEMAS DE INFORMACINSEGURIDAD DE SISTEMAS

Ing. Efrain Marroquin

EstudianteCarnE-mailTelfono

Josu Morataya0494-08-764josueitamar@hotmail.com5015-8922

Hctor Cuj Morales0494-08-2191hectorcuj@gmail.com4850-3738

Edgar Quan Torres0494-01-1720eqmofo2@gmail.com4179-4158

Guatemala, Junio de 2013INFORME DE INVESTIGACINTema: Incrementar el nivel de madurez de seguridad del sistema ERP Integra de Yara Guatemala, S. A., aplicando COBITJustificacin:El Nivel de madurez se alcanza con el transcurrir del tiempo (experiencia), por tanto la ejecucin de SGS1 en las empresas debe ser peridico; en nuestro medio se le pone poca importancia a stas prcticas, sin embargo es de tomar en consideracin que con la globalizacin, toda empresa se ve obligado a llevar controles de nivel mundial.En nuestro caso tuvimos la oportunidad de llevar a la prctica un SGS1 (ISO 27002), para revisar cada uno de los procesos a nivel de seguridad de la empresa sujeto de estudio (Yara Guatemala, S. A.), quien clasific en el nivel 2 Segn la metodologa COBIT; El objetivo del grupo es llevar esta empresa al Nivel 3, lo cual es totalmente justificable, porque todo proceso debe ser mejorable y la empresa debe estar dispuesta a afrontar cambios que la competencia le exige de forma indirecta.Ventaja competitiva de la investigacinLas ventajas son muchas, pero la ms relevante es el conocer el nivel en que la empresa se encuentra, ya que esto ayuda a crear estrategias para una mejora general para la organizacin y ste es el caso de Yara Guatemala, S. A.Objetivos de Aprendizaje de la InvestigacinGeneralesDeterminar los pasos necesarios para incrementar el nivel de madurez de Yara Guatemala, S.A.Especficos1. Aprender a elaborar un plan de ejecucin con controles sugeridos.2. Aprender a elaborar lista de actividades, con tiempos y responsables a travs de un diagrama de Gannt..3. Aprender a llevar a la prctica los planes diseados.

1

INDICE

INFORME DE INVESTIGACINiTema:iJustificacin:iVentaja competitiva de la investigaciniObjetivos de Aprendizaje de la InvestigaciniGeneralesiEspecficosiINDICEiii1.MARCO CONCEPTUAL11.1 Antecedentes:21.2 Objetivo general:21.3 Objetivos especficos:21.4 Justificacin:21.5 Viabilidad21.6 Consecuencias:32.MARCO TERICO42.1 Metodologa COBIT52.2 Modelo de Madurez5Objetivos5Para qu sirve el modelo de madurez?52.3 Yara Guatemala, S.A.6Quines Somos?6Cmo se dan a conocer los productos de Yara?6Cul es el segmento principal del mercado de Yara?73.PROPUESTA83.1 Actividades93.2 Presupuesto104.BIBLIOGRAFIA115.ANEXOS13

1. MARCO CONCEPTUAL

1.1 Antecedentes:En un estudio anterior Aplicando ISO 27002 en conjunto con COBIT, se determin que la empresa Yara Guatemala, S.A. se encuentra en el nivel de madurez 2.En el mismo estudio a travs de un informe se plante a la empresa las debilidades que se encontraron en temas de seguridad, a la vez se les entreg una lista de controles necesarios que deben de llevarse a cabo para mejorar y ascender al siguiente nivel (3). Esto motiv al personal de Yara Guatemala quienes se pusieron a disposicin y a la espera de una propuesta ms detallada, de las acciones que deben llevarse a cabo para ascender a nivel mas aceptable.1.2 Objetivo general:Incrementar el Nivel de Madurez de Seguridad del Sistema ERP Integra de Yara Guatemala, S.A., aplicando COBIT.1.3 Objetivos especficos:1.3 Planificar actividades necesarias para subir al nivel inmediato (3).1.4 Determinar Recursos para llevar a la prctica los controles que lleven a la empresa al siguiente nivel 1.5 Presentar presupuesto detallado.1.6 Presentar Recursos necesarios1.4 Justificacin:Considerando que la informacin es un elemento de alta importancia para la organizacin, es vital tomar las consideraciones para un mejor control de la misma; de igual manera se consideran los accesos que tienen los usuarios tanto a la captura como a la consulta de la informacin por diferentes medios (pantalla, impresin, medios mviles, etc.)1.5 ViabilidadDe acuerdo a los resultados de la primera parte del proyecto, se plante en la empresa la posibilidad de laborar esta propuesta, con el fin de subir al siguiente nivel.La compaa considera que es necesario mejorar el aspecto de seguridad en el sistema, por lo que est anuente a tomar en consideracin la propuesta que se le plantear1.6 Consecuencias:Dado que el nivel de madurez de la empresa no es el esperado por los gerentes, el no llevar a cabo la implementacin de las sugerencias dadas por los asesores, tendr un efecto negativo en el rendimiento y progreso de la compaa en temas de seguridad.3

2. MARCO TERICO

4

2.1 Metodologa COBITCOBIT es un marco de gobierno de las tecnologas de informacin que proporciona una serie de herramientas para que la gerencia pueda conectar los requerimientos de control con los aspectos tcnicos y los riesgos del negocioCOBIT permite el desarrollo de las polticas y buenas prcticas para el control de las tecnologas en toda la organizacinCOBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a travs de las tecnologas, y permite su alineamiento con los objetivos del negocio2.2 Modelo de MadurezConjunto estructurado de elementos que describen el nivel de seguridad de una organizacin.Objetivos Establecer niveles discretos y absolutos de madurez. Establece de manera explcita la evolucin de la organizacin en el tema de seguridad.Para qu sirve el modelo de madurez? Para medir (donde se encuentra actualmente) Auto medir (autoanlisis de madurez y capacidad) Determinar hacia donde se quiere llegar Determinar oportunidades de mejora Verificar la alineacin con las estrategias de la organizacin (alineacin con el presente y el futuro) Planificacin estratgica Acciones a tomar Seguimiento y control del avance o crecimiento2.3 Yara Guatemala, S.A.Quines Somos?Somos una empresa lder en el campo de los fertilizantes, poseemos ms de 50 aos de experiencia en Guatemala, inicialmente Yara se conoci como Hydro Nordic, sus oficinas centrales estaban ubicadas en la zona 4, actualmente esta ubicada en la CalzadaRoosevelt en el edificio Ilumina. A finales de los aos 70s la rpida expansin de Yara dentro del mercado de fertilizantes condujo a la creacin de una moderna planta de Mezcla y Envasado que se ubica en la costa sur, exactamente en el puerto de San Jos.en el siglo XXI la misin de Yara es expandirse ms all de Guatemala para ser los lderes entoda la region centroamericana. Los productos de Yara son reconocidos a nivel nacional fcilmente debido a su gran calidad ya que son Importados desde Noruega. En Noruega existen las 2 plantas de produccin de Yara ms grandes de Europa que abastecen el mercado mundial de fertilizantes que esta rpida expansin principalmente en las Amricas. Yara como una empresa multinacional se rige por normas y estatutos internacionales as como por las leyes de cada pas y adems de generar empleos es una compaa que posee responsabilidad social y est consciente de la proteccion al medio ambiente.Yara utiliza la tecnologa ms avanzada en la elaboracin de sus productos cumpliendo y excediendo los estndares de la ms alta calidad as como dedicando gran parte de sus ingresos a la investigacin y desarrollo de nuevos productos que contribuyan a satisfacer las necesidades de sus clientes.Cmo se dan a conocer los productos de Yara?La calidad es la mejor publicidad en el caso de los fertilizantes Yara, se manejan los ms altos estndares de calidad en la elaboracin de los fertilizantes as como la tecnologa ms avanzada. A nivel local existe un grupo tcnico de asesores de cultivos y agronoma en general que ayudan a los agricultores y empresas agrcolas en la asesora y toma de decisiones sobre que producto se ajusta ms a las necesidades particulares de cada cliente y sus cultivos.Existen talleres, Reuniones y conferencias impartidas por Yara y empresas colaboradoras as como tambin se da una participacin activa en todas las reuniones que se celebran todos los aos por la Gremiales, principalmente las de caf y Caa de Azcar que son los principales cultivos en la regin.Hablando un poco de publicidad la mayor parte de la publicidad se da por radio y los medios escritos de mayor difusin como lo son los peridicos y revistas especializadas del sector agrcola. Pero para Yara la mejor publicidad es la que se da de boca en boca.Cul es el segmento principal del mercado de Yara?Yara se enfoca principalmente el agricultor independiente y en las empresas del sector agrcola que han depositado su confianza por ms de 50 aos y que gozan de los privilegios y beneficios que los distingue como los lderes en la produccin de sus cultivos ya que utilizan los mejores fertilizantes disponibles en el mercado. En los ltimos tiempos se est poniendo especial atencin al micro empresario ya que en Guatemala es un segmento de mercado creciente que est demostrando un potencial que debe ser aprovechado.7

3. PROPUESTA

8

En base a los resultados obtenidos en la primera etapa del proyecto se recomiendan los siguientes Controles: Establecer una Poltica de Contraseas Gestionar la emisin de Reportes Gestin de Accesos Remotos Administracin de Roles y Perfiles Gestionar accesos y permisos especialesAplicando los controles sugeridos se logra sumar un total de 60 puntos para lograr de este modo que el nivel de Acceso actual segn la metodologa COBIT que se encuentran en el nivel de 2 se supere a nivel 3 DEFINITIVO.3.1 ActividadesCada uno de los controles sugeridos comprenden las siguientes actividades: Poltica de Contraseas Habilitar la encriptacin de contraseas a nivel de modificacin de los perfiles de IT Controlar el uso de claves repetidas frecuentemente poniendo en prctica una validacin de las ltimas 3 claves utilizadas. Elaborar un documento que deber ser entregado al usuario y firmado de aceptacin Gestionar la emisin de Reportes Bloqueo de archivos en spool (se impide el acceso a reportes que no sean los del propio usuario) Monitorear desde la consola central la generacin de reportes Eliminacin peridica de reportes no impresos Gestin de Accesos Remotos Limitar la conexin remota solo a nivel del proveedor de soporte Solicitar confirmacin con cuando se realiza la comunicacin remota Administracin de Roles y Perfiles Revisar todos los roles y perfiles activos en la empresa Eliminar perfiles de empleados dados de baja Desactivar perfiles de usuarios ausentes por ms de 3 das Gestionar accesos y permisos especiales Eliminar acceso a la lnea de comandos para todos los usuarios3.2 PresupuestoDado el alcance del proyecto se habl con el coordinador de IT sobre los controles sugeridos y se determin en el siguiente cuadro cual es el costo por cada actividad. El coordinador de IT indico que el proveedor puede realizar cada actividad en el nmero de das indicado en el cuadro. Tanto para el personal de Yara como para el proveedor un da de trabajo representa 2 horas diarias.Costos por parte de Yara (estimados): Coordinador de ITQ.200.00 / Dia Gerente FinancieroQ.150.00 /Dia (solo dedica 1 hora diaria) Gerente de RRHHQ.100.00 /DiaCosto de Yara: Q.9,200.00Costo por Parte del Proveedor de AS/400: Tarifa de TrabajoQ.800.00 / DiaCosto de Proveedor:Q,5600.00Costo Total de Proyecto Yara: Q.14,800.0010

4. BIBLIOGRAFIA

11

Ensayos de auditora informticahttp://www.slideshare.net/MOSHERG/auditoria-informatica-tesis

Tesis sobre: AUDITORA EXTERNA EN UN AMBIENTE DE SISTEMAS DEINFORMACIN COMPUTARIZADO EN EL REA DE INGRESOS DE UNAEMPRESA COMERCIALIZADORA DE VEHCULOS USAChttp://biblioteca.usac.edu.gt/tesis/03/03_3202.pdf

Conceptos generales de Auditoria de Sistemashttp://www.slideshare.net/jonbonachon/conceptos-generales-auditora-y-evaluacin-de-sistemas

Tesis sobre: Auditora interna de sistemas UFMhttp://www.tesis.ufm.edu.gt/pdf/2458.pdf

12

5. ANEXOS

13

Poltica de Contraseas5 daslun 03/06/13vie 07/06/13

Habilitar la encriptacin de contraseas a nivel de modificacin de los perfiles de IT2 daslun 03/06/13mar 04/06/130%Proveedor AS/400Q1,600.00Q1,600.00

Controlar el uso de claves repetidas frecuentemente poniendo en prctica una validacin de las ltimas 3 claves utilizadas.2 dasmi 05/06/13jue 06/06/1320%Proveedor AS/400Q1,600.00Q1,600.00

Elaborar un documento que deber ser entregado al usuario y firmado de aceptacin1 davie 07/06/13vie 07/06/1330%Coord. ITQ200.00Q200.00

Gestionar la emision de reportes14 daslun 10/06/13jue 27/06/13

Bloqueo de archivos en spool1 dalun 10/06/13lun 10/06/130%Coord. IT,Proveedor AS/400Q1,000.00Q200.00Q800.00

Monitorear desde la consola central la generacin de reportes13 dasmar 11/06/13jue 27/06/130%Coord. ITQ2,600.00Q2,600.00

Eliminacin peridica de reportes no impresos11 dasjue 13/06/13jue 27/06/1370%Coord. ITQ2,200.00Q2,200.00

Gestion de Accesos Remotos9 daslun 17/06/13jue 27/06/13

Limitar la conexin remota solo a nivel del proveedor de soporte1 dalun 17/06/13lun 17/06/130%Coord. IT,Proveedor AS/400Q1,000.00Q200.00Q800.00

Solicitar confirmacin con cuando se realiza la comunicacin remota8 dasmar 18/06/13jue 27/06/13100%Coord. ITQ1,600.00Q1,600.00

Administracion de Roles y Perfiles4 dasmar 18/06/13vie 21/06/13

Revisar todos los roles y perfiles activos en la empresa4 dasmar 18/06/13vie 21/06/130%Coord. IT,Gerente Financiero,Gerente RRHHQ1,800.00Q1,800.00

Eliminar perfiles de empleados dados de baja1 dalun 24/06/13lun 24/06/13130%Coord. ITQ200.00Q200.00

Desactivar perfiles de usuarios ausentes por ms de 3 das1 damar 25/06/13mar 25/06/13140%Coord. ITQ200.00Q200.00

Gestionar Accesos y Permisos Especiales1 dajue 27/06/13jue 27/06/13

Eliminar acceso a la lnea de comandos para todos los usuarios1 dajue 27/06/13jue 27/06/130%Proveedor AS/400Q800.00Q800.00

Gran TotalQ14,800.00Q9,200.00Q5,600.00