INDICE DE CONTENIDOSecaths1.s3.amazonaws.com/auditoriainformatica/841196824.Grupo_4.… · de películas. Hardware conectado en red para las taquillas y la zona de cafetería

Auditoría realizada a “Multicines Ortega”

Auditoría y Seguridad Informática 2

INDICE DE CONTENIDOS

1. INTRODUCCIÓN…………………………………………………………… 3

1.1. Alcance de la Auditoría………….………………………....................... 3

2. CARTA AL DIRECTOR…………………………………………………… 4

3. INFORME DE AUDITORÍA…………….………………………………...... 5

3.1. Evaluación de la Planificación..………………………………………… 5

3.2. Evaluación de la Adquisición y la Implantación……………………….. 7

3.3. Evaluación de la Seguridad y la Confidencialidad…………………….. 10

3.4. Evaluación del Monitoreo……………………………………………… 13

4. PAPELES DE TRABAJO……………………………………………………. 15



1. INTRODUCCIÓN

Nuestra empresa BAGUKIRA S.L. ha realizado un plan estratégico de inserción de

TI para los Multicines Ortega. Dicho plan estratégico se divide en tres etapas: corto,

medio y largo plazo.

En los acuerdos firmados con el director de los Multicines Ortega se acordó la

realización de una auditoría de la empresa para cada una de las etapas. Pasado más de

un año de dicho acuerdo, la primera etapa de nuestro plan estratégico ha sido llevada a

cabo y los multicines cuentan con las siguientes TI:

Software destinado a la Gestión Económica y Gestión de Planificación de

películas con objeto de generar el mayor número de beneficios con la proyección

de películas.

Hardware conectado en red para las taquillas y la zona de cafetería con software

integrado con el sistema de Gestión Económica. (TPV)

Hardware de administración. (Terminal de Administración)

Hardware de control para la dirección. (Ordenador Personal)

Pasado un tiempo de uso de dichas TI, el grupo de auditores de BAGUKIRA S.L. ha

acudido a los Multicines Ortega con objeto de auditar la correcta implantación de la

primera etapa del plan estratégico. En este documento se presenta la auditoría realizada

por dicho grupo.

1.1. ALCANCE DE LA AUDITORÍA

Para la realización de esta auditoría, los auditores se han guiado por el manual de

COBIT dividiendo la evaluación en los siguientes procesos:

Planificación: Con objeto de comprobar la correcta implantación de la primera

etapa del plan estratégico. Se han seguido los procesos de COBIT siguientes:

PO5, PO7 y PO9.

Adquisición e Implantación: Con el objetivo de comprobar la adecuación del

software y hardware entregado. Se han seguido los siguientes procesos: AI1,

AI4 y AI5.

Seguridad y Confidencialidad: Con el objetivo de analizar la seguridad de las

TI implantadas así como el cumplimiento de los principios básicos de

confidencialidad y protección de datos. Se han seguido los procesos de COBIT

siguientes: DS4, DS5, DS8 y DS12.

Monitoreo: Con objeto de comprobar que se lleva un correcto control del

funcionamiento de los sistemas y de su uso. Se ha seguido el proceso ME1.



2. CARTA AL DIRECTOR

Estimado Sr. Director de Multicines Ortega:

En primer lugar, agradecerle la confianza que ha mostrado en nuestra empresa.

Además queremos mostrarle toda nuestra gratitud por el tiempo que usted y su personal

ha dedicado a nuestro equipo de auditores en el transcurso de la auditoría realizada.

Le enviamos esta carta con objeto de poner en su conocimiento los principales

defectos encontrados en la auditoria de su empresa por nuestro grupo de auditores. A

continuación le listamos los principales problemas encontrados y las medidas oportunas

para subsanarlos.

Por lo general, hay un escaso monitoreo y evaluación de los sistemas. Salvo las

comprobaciones realizadas por el personal de ventas a la hora de cuadrar la caja del día,

el resto de comprobaciones no evalúan el correcto funcionamiento de las TI. Es de gran

importancia la implantación de un plan de evaluación en el que periódicamente se

revisaran todos los sistemas. En dicho plan se incluiría también el mantenimiento de las

infraestructuras y espacios, que en algunos casos está muy descuidado.

El plan de gestión de riesgos realizado por nuestra empresa no ha contado con la

colaboración de su empresa para detectar riesgos reales. Nos gustaría contar su

colaboración para ampliar y mejorar dicho plan. Si bien dicho plan de riesgos está

funcionando correctamente, es un fallo muy grave el no contar con un plan de

continuidad que asegure la información manejada por su empresa ante cualquier

eventualidad. Instamos a realizar cuanto antes dicho plan en colaboración con nuestra

empresa para poder asegurar todas sus TI ante situaciones límites.

Hay grandes problemas con el uso de ciertos sistemas debido a un mal diseño y una

inexistente documentación. En breve, nuestro grupo de desarrolladores rediseñará

aquellos sistemas que están dando problemas y realizarán una documentación acorde

con las necesidades de sus empleados. Se han encontrado errores en la instalación de

red así como software mal instalado y configurado. Nuestro grupo de servicio técnico

acudirá a subsanar dichos errores. Por otro lado, el personal de su empresa no tiene

buenas prácticas en cuanto a la seguridad se refiere. Recomendamos que el personal sea

alertado sobre este tipo de riesgos para evitar exponer la información a personal no

autorizado.

Finalmente, indicarle que podemos confirmar que el plan de integración de TI

realizado por nuestra empresa ha sido implantado con un nivel bastante bueno de

aceptación y adecuación a sus necesidades.

Reciba un cordial saludo,

Grupo de Auditoría BAGUKIRA S.L.



3. INFORME DE AUDITORÍA

Se ha realizado una auditoría de la empresa Multicines Ortega siguiendo las guías

establecidas por el manual de COBIT. En este informe encontraremos dividida la

auditoría en 4 grandes secciones que exponen las conclusiones extraídas de la

evaluación de la empresa. En cada sección podremos encontrar referencias a papeles de

trabajo que sirven como prueba de las conclusiones obtenidas. Dichos papeles de

trabajo pueden localizarse al final de este mismo documento.

3.1. EVALUACIÓN DE LA PLANIFICACION

En el apartado de planificación confluyen 3 puntos fundamentales: el presupuesto, los

recursos humanos y la gestión de riesgos.

Presupuesto

El plan estratégico incluía un plan presupuestario de costes que podemos encontrar

en el Papel de Trabajo 1. Dicho presupuesto fue realizado por el grupo de desarrollo

de BAGUKIRA S.L. estimando los costes totales de la implantación de la primera etapa

del plan estratégico de inserción de TI. Una vez ejecutado dicho plan, se ha realizado

por parte del cliente un balance presupuestario del gasto real que ha llevado la

aplicación de dicho plan. Dicho balance puede verse en los Papeles de Trabajo 2.

Como podemos observar, el plan presupuestario fue realizado claramente al alza lo que

ha provocado en la dirección una sensación de falta de calidad en el resultado final

como se deduce de la entrevista realizada a la misma (Papel de Trabajo 3). Ha sido un

fallo por parte del equipo de desarrollo el haber estimado tan al alza los presupuestos,

más aún teniendo en cuenta el ajustado presupuesto de que dispone el cliente.

Sobre la inversión futura y los beneficios obtenidos de la aplicación de las TI

implantadas, las respuestas de la dirección (en la misma entrevista de Papeles de

Trabajo 3) nos hacen ver que no existe un monitoreo continuo de la economía ni una

administración de costos y beneficios. Sería de gran importancia el monitoreo de los

beneficios y costes para asegurar que la aplicación de las TI están teniendo el efecto

esperado y no sean un mero gasto más.

Recursos Humanos

La inserción de TI en los Multicines Ortega ha implicado una formación de los

trabajadores. De las entrevistas realizadas a algunos de los trabajadores de los

multicines (Papeles de Trabajo 4) sobre su relación con las TI implantadas y sobre

dicha formación, nos damos cuenta de que si bien se les ha formado para el uso de los

sistemas no se les ha proporcionado documentación de apoyo ni recursos para corregir

posibles errores esperados en los sistemas. Además de esto, cada trabajador únicamente

sabe manejar un sistema asignado por lo que se impide la posible rotación del personal

en casos de necesidad. Se ha denotado de dichas entrevistas que uno de los trabajadores

se destaca como individuo clave debido a su mayor manejo de TI. Estas situaciones no

favorecen la satisfacción de los trabajadores con respecto de las TI, ni la productividad



de la empresa. Debido a estas condiciones, en multitud de ocasiones (Papeles de

Trabajo 5) se han realizado consultas al servicio técnico debidas a una mala formación

y una mala documentación. Por un lado, consideramos que es necesario contar con

documentación en forma de manuales claros y comprensibles para que el personal

pueda afrontar con seguridad toda clase de incidencias relacionadas con las TI. Por otra

parte, creemos que se puede utilizar el posicionamiento del individuo clave señalado de

forma que asista y forme al personal en el uso de todos los sistemas con objeto de poder

realizar rotaciones en las asignaciones.

Gestión de riesgos

El grupo de desarrollo de BAGUKIRA S.L. realizó un plan de gestión de riesgos

detallado. En dicho plan (Papeles de Trabajo 6) podemos ver que se realizó una

selección de los riesgos más probables en función de una lista inicial de 111 riesgos. La

gestión de riesgos ha quedado debidamente documentada y se han establecido

protocolos ante los riesgos más probables. Lo cierto es que todos los riesgos

acontecidos desde la implantación del plan estratégico (ver entrevista con Departamento

Relaciones Públicas en Papeles de Trabajo 7) estaban cubiertos dentro del plan de

gestión de riesgos. Además el cliente Multicines Ortega cuenta con manuales de

actuación ante estos riesgos. Sin embargo, el principal defecto es la falta de más

implicación en el desarrollo de dicho plan por parte de la dirección, que al fin y al cabo

cuenta con más experiencia en el sector que el equipo de desarrollo. La colaboración del

cliente es fundamental en la elaboración de un plan de riesgos adecuado y realista.

Cuanto más realista sea dicho plan, más cubiertos estarán los sistemas y el propio

cliente ante cualquier eventualidad.

En resumen, en el apartado de planificación queremos resaltar los siguientes fallos

observados:

Estimación presupuestaria esperada al alza lo que ha provocado un cierto

desagrado en la dirección. El equipo de desarrollo debe ajustar mejor los

presupuestos cuando realice planes de este tipo.

Falta de monitorización en la economía y de administración de los costos-

beneficios de las TI que impide notar el efecto de la aplicación del plan

estratégico sobre la empresa, así cómo prever posibles inversiones futuras en TI.

El Departamento de Gestión Económica debería realizar más frecuentemente

una comprobación del balance de la empresa, y en especial de los costos de las

TI.

Formación de corto alcance acompañada de la falta de manuales de uso

para los distintos sistemas lo que impide la rotación del personal y provoca una

pérdida de productividad debido a las incidencias. La empresa desarrolladora

debería proporcionar manuales de uso adecuados a los trabajadores de forma que

todos ellos puedan manejar cualquiera de los sistemas.



Falta de implicación de la dirección en el plan de riesgos que aunque no ha

sido necesaria todavía, sería de gran ayuda para una revisión de dicho plan. La

dirección debería realizar una evaluación del plan de riesgos y proporcionar una

opinión más alineada con las necesidades del sector y adecuada a las

experiencias de la empresa.

3.2. EVALUACIÓN DE LA ADQUISICIÓN Y LA IMPLANTACIÓN

Este apartado se centra en el grado de adecuación de las TI implantadas a los requisitos

proporcionados por el cliente a la empresa de desarrollo, así como en el grado de

satisfacción del cliente con respecto a la implantación.

Para evaluar el grado de adecuación de las TI este grupo de auditores se ha centrado en

dos puntos de vista: el del cliente (representado por las opiniones de los distintos

departamentos) y el de nuestro propio grupo. El punto de vista de los distintos

departamentos ha sido obtenido mediante distintas entrevistas realizadas a los mismos:

Director, Departamento de Ventas, Departamento de Gestión Económica y

Departamento de Relaciones Públicas. Por otro lado, nuestro propio grupo de auditores

se ha centrado en evaluar la adecuación de los requisitos a partir de distintas visitas a los

multicines así como de la documentación proporcionada por los desarrolladores de

BAGUKIRA S.L.: análisis de requisitos (Papeles de Trabajo 8), modelos del sistema y

esquema de BBDD (Papeles de Trabajo 9), metodologías empleadas (Papeles de

Trabajo 10), etc. De la información obtenida del cliente hemos denotado un grado de

satisfacción, en general, bastante alto con respecto de los distintos sistemas.

El Cliente

En cuanto al sistema de Gestión Económica, el Departamento de Gestión Económica se

encuentra totalmente satisfecho tanto en la facilidad de su uso como en el aspecto de la

utilidad para el cliente. Además el Director destaca que dicho sistema permite un

control más exhaustivo de los aspectos económicos ya que permite gestionar de forma

más sencilla todas las cuentas de la empresa. Siguiendo con el aspecto económico, el

Departamento de Ventas ha encontrado dificultades con el uso de los sistemas debido a

que los empleados de dicho departamento no están acostumbrados al uso de nuevas

tecnologías. Estos empleados, en su mayoría, están descontentos con las interfaces de

los TPV para la cafetería y la venta de entrada (Papeles de Trabajo 11) ya que las

encuentran algo difíciles de utilizar. Además de ello, ya hemos destacado anteriormente

que, si bien se planifico una formación previa, la formación proporcionada ha sido

demasiado específica y la falta de documentación y manuales de uso ha hecho que

ciertos empleados no estén contentos con las TI.



Sobre el sistema de Gestión de Programación, el Director y el Departamento de

Relaciones Públicas destacan que si bien es de gran ayuda a la hora de confeccionar la

programación más beneficiosa están teniendo problemas debido a ciertas suposiciones

de factibilidad tomadas para su diseño. El problema reside en la escasa colaboración por

parte de algunas distribuidoras a la hora de proporcionar la información necesaria para

el sistema con suficiente antelación. Los desarrolladores han hecho una suposición de

factibilidad que ha resultado ser más complicada de lo esperado, cabe destacar que

dicha debilidad del sistema queda recogida en el plan de riesgos realizado por los

desarrolladores (Papeles de Trabajo 12). Si el protocolo diseñado para este riesgo en

dicho plan no fructifica será necesario replantear esta suposición de factibilidad tratando

de adaptar el sistema a las posturas de las distribuidoras. Se ha comprobado mediante

encuestas a los espectadores (Papeles de Trabajo 13) que las programaciones

generadas automáticamente responden a las expectativas y a los gustos del público en

general.

Los auditores

El grupo de auditores ha denotado un correcto diseño, implementación y documentación

de la mayoría de los sistemas software implantados, encontrando errores

fundamentalmente en el sistema de venta. Sobre todo se han denotado fallos en el

ámbito de las infraestructuras y los recursos.

En cuanto a las infraestructuras implantadas en los multicines encontramos defectos en

la red instalada en los multicines que impiden un mejor rendimiento de la misma. Por

un lado el uso de demasiados switch en la red (Papeles de Trabajo 14) es inadecuado

según los principios de una buena estructura de red, por ello recomendamos que dichos

switch deberían de ser sustituidos por routers ya que son más adecuados. En cuanto al

cableado, en las distintas visitas realizadas se han encontrado malas conexiones

(Papeles de Trabajo 15) así como una mala canalización de los mismos (Papeles de

Trabajo 16).

Respecto al software instalado es estrictamente necesario un rediseño de la interfaz de

usuario de los TPV (Papeles de Trabajo 11) ya que no cumple con un mínimo de

criterios de usabilidad. Es patente la falta de una documentación adecuada para los

sistemas de venta en cafetería y de entradas, por lo que es estrictamente necesaria la

elaboración de la misma. Por otro lado, es recomendable la migración de Windows

Vista (Papeles de Trabajo 17) que es menos estable que Windows XP y que ha dado

bastantes problemas en la empresa. Destacar como indispensable el uso de software de

oficina Microsoft Office con sus licencias originales correspondientes ya que se ha

observado que en algunos terminales este software no ha sido activado como original

(Papeles de Trabajo 18) lo que puede provocar problemas legales.



Finalmente, proponemos la centralización de todo el material de TI en un solo

proveedor ya que actualmente se usan distintos proveedores para la adquisición del

mismo (Papeles de Trabajo 19). El uso de varios proveedores puede favorecer al

cliente para encontrar mejores precios, pero a la larga trae problemas sobre todo en el

ámbito de las garantías o las reparaciones. Es tal la separación de proveedores que hay

equipos en los que el monitor es de un proveedor, la torre de otro y los periféricos de

otro más. Si se tienen problemas con ese equipo, será necesario analizar quién es el

proveedor responsable. Con la unificación de proveedores se consigue una mayor

homogeneidad en el aspecto de las responsabilidades sobre infraestructuras, además los

proveedores suelen proponer mejores ofertas cuando el cliente es exclusivo y habitual.

En resumen, podemos destacar los siguientes fallos en la adquisición y la implantación:

Fallos graves en el diseño de la interfaz de los TPV que están provocando

muchos problemas en su uso, con la correspondiente pérdida de productividad

perjudicial para el cliente. A estos fallos de diseño le añadimos la inexistencia de

una documentación adecuada. La empresa desarrolladora debe tratar de

rediseñar la interfaz de forma que sea más acorde con los principios básicos de

usabilidad y diseño.

Suposiciones de factibilidad poco realistas en cuanto a lo que se refiere a la

relación con las distribuidoras, lo que está ocasionando una pérdida de

efectividad en el software de Gestión de la Programación. Sería bueno intentar

que las distribuidoras cooperasen más con el proyecto, para ello se puede aplicar

el plan de riesgos propuesto por los desarrolladores

Instalación de red defectuosa tanto en cuánto a diseño como a implantación.

Es necesario cambiar una serie de componentes y mejorar las canalizaciones.

Uso de software no licenciado y no adecuado, por lo que es recomendable

adquirir licencias y migrar al software propuesto (Windows XP).

Demasiados proveedores de TI que dispersa demasiado las responsabilidades

de los distintos recursos de TI adquiridos. Recomendamos que la empresa de

desarrollo proporcione un único proveedor al cliente.



3.3. EVALUACIÓN DE LA SEGURIDAD Y LA CONFIDENCIALIDAD

En este apartado se analizan aspectos de la seguridad y la confidencialidad de los

sistemas implantados.

De la entrevista con los desarrolladores sobre aspectos de seguridad (Papeles de

Trabajo 20) destacamos la carencia de un plan de continuidad propuesto por la empresa

desarrolladora ante eventos que puedan provocar pérdidas de información útil. Es de

vital importancia el desarrollo de un plan de continuidad que aborde los siguientes

campos:

Análisis de las TI críticas para el cliente con objeto de centrarse en aquellas que

son de vital importancia.

Desarrollo de una documentación que asigne responsabilidades y determine

procedimientos para llevar a cabo el plan de continuidad.

Almacenamiento mediante copias de seguridad de la información almacenada y

generada por los sistemas implantados. Lo ideal sería contar con un par de

copias situadas en el interior de la empresa y en el exterior. Las copias de

seguridad deben ir acompañadas de documentación relativa a procedimientos de

creación de las mismas, así como de recuperación de la información que

contienen.

Simulacro de situaciones de desastre para comprobar que el plan de continuidad

es efectivo.

Con el desarrollo de dicho plan de continuidad, se podrá asegurar la integridad de toda

la información crítica de la empresa. Debido a la falta de un plan de almacenamiento y

recuperación de datos se han producido algunas pérdidas de información vital para la

empresa (Papeles de Trabajo 21). Esto provocó bastante descontento en los distintos

usuarios ya que se perdió la pista de parte de la recaudación de una noche. Por este tipo

de incidencias es por lo que es de enorme importancia la elaboración de un plan de

contingencia que asegure la integridad de los datos ante situaciones límite para las TI.

En las sucesivas visitas a los multicines hemos observado una serie de incidencias que

van contra de los principios de seguridad y confidencialidad de los sistemas de TI y que

exponen a éstos a agentes externos. Algunas de estas incidencias han sido: acceder sin

esfuerzo al terminal de administración ya que la clave se encontraba fácilmente a la

vista (Papeles de trabajo 22), encontrar en los discos duros información no relacionada

con la empresa y aplicaciones que nada tienen que ver con el uso que se le da a los

terminales (Papeles de trabajo 23), comprobar que ciertos miembros del personal

navegan por páginas web no adecuadas (Papeles de trabajo 24). Este tipo de

incidencias exponen a los sistemas a posibles modificaciones o extracciones de

información reservada por parte de personal ajeno y a riesgos externos como virus,

aplicaciones no deseadas, etc. Sugerimos la creación de procedimientos de control

interno para este tipo de incidencias concienciando a los empleados sobre malas



costumbres en el ámbito de la seguridad (dejar contraseñas a la vista, no guardar

documentos de importancia, no utilizar contraseñas o emplear contraseñas

excesivamente simples,…). Por otro lado controlando internamente mediante permisos

o privilegios el acceso a determinados sistemas se reducirá el grado de exposición de los

mismos a este tipo de incidencias. Actualmente, no existe ninguna política de cuentas de

usuario. Por tanto, aconsejamos realizar un análisis de las cuentas de usuarios necesarias

así como la creación de distintos grupos de usuarios con distintos privilegios según la

actividad que desempeñen.

En cuanto a soportes software de seguridad, si bien la empresa cuenta con software de

protección (Papeles de trabajo 25), en algunos terminales el software se encuentra

desactualizado por lo que supone una exposición a riesgos externos. Además el firewall

de la empresa no protege algunos puertos indispensables (Papeles de Trabajo 26).

Como ya se ha mencionado, se realizó una formación a los distintos empleados de los

multicines con objeto de familiarizarlos con el manejo de los distintos sistemas. Sin

embargo, dicha formación fue demasiado especializada y ha provocado multitud de

incidencias en el uso del sistema (Papeles de Trabajo 5). La empresa BAGUKIRA

S.L. ha proporcionado el servicio técnico en todas estas circunstancias. El Departamento

de Relaciones Públicas y el servicio técnico de BAGUKIRA S.L. nos han

proporcionado información detallada de cada una de las incidencias (Papeles de

Trabajo 27): motivo, fecha, duración de la incidencia, etc. Se observa que hay una gran

cantidad de incidencias debido a la falta de entrenamiento en el uso de los sistemas por

parte de la mayoría de empleados. Esto ha generado pérdidas de productividad y de

tiempo de servicio. Si bien todas las incidencias fueron resueltas de forma satisfactoria,

muchas de ellas surgieron de nuevo posteriormente. Por ello, determinamos que es

necesario un reporte de incidencias de parte del servicio técnico hacia el cliente con el

objetivo de que éste cuente con un soporte físico al que acceder cuando surjan

incidencias comunes.

Por último destacar dos aspectos relacionados con las instalaciones y el mantenimiento

de las mismas. Se ha comprobado que algunas de las infraestructuras instaladas se

encuentran en ambientes poco adecuados (Papeles de trabajo 28) para el

funcionamiento de los mismos. Es necesario un ambiente adecuado para minimizar los

riesgos de problemas en las infraestructuras. Por otro lado, se ha detectado que no hay

medios de seguridad en forma de cierres de seguridad o cerraduras electrónicas

(Papeles de trabajo 29) en el lugar en el que se encuentran los servidores y el terminal

de administración. Sería muy recomendable la instalación de los mismos con el objetivo

de proteger físicamente los sistemas y asegurar su integridad y confidencialidad.

Finalmente, en lo que a mantenimiento se refiere hemos observado un alto grado de

dejadez en la conservación de algunas infraestructuras, la falta de limpieza (Papeles de

Trabajo 30) o la no protección del cableado (Papeles de Trabajo 31) son riesgos

físicos para el sistema que no deben ser controlados por el cliente.



En resumen, podemos destacar los siguientes fallos en la seguridad y confidencialidad:

Carencia de un plan de continuidad que expone muy seriamente a la empresa

a la pérdida de información vital para los procesos de negocio. Es necesario de

forma urgente la elaboración de dicho plan con la profundidad suficiente como

para poder cubrir cualquier tipo de contingencia externa o interna. Para ello es

necesaria la colaboración entre el cliente y la empresa desarrolladora.

Falta de integridad en los datos como añadido del fallo anterior, ya que no

existen procedimientos documentados de almacenamiento y recuperación de

información en copias de seguridad. Es necesario corregir este fallo

incluyéndolo dentro del plan de continuidad.

Malas prácticas de seguridad por parte del personal de los multicines, lo que

expone a los sistemas a riegos externos que pueden afectar a la integridad de los

mismos. Es necesaria la elaboración de una serie de principios básicos de

seguridad a seguir por parte de los empleados, así cómo del análisis y la creación

de procedimientos que permitan dar más seguridad al sistema (como una gestión

de privilegios).

Software de protección desactualizado o mal configurado que al igual que el

fallo anterior, expone a los sistemas a factores externos.

Falta de documentación ante incidentes frecuentes que provoca una pérdida

de efectividad de los sistemas y una disminución de la productividad del cliente.

El servicio técnico proporcionado ha sido de ayuda pero debe centrarse más en

generar formación que en suministrar información, con objeto de acostumbrar a

los usuarios al uso de los sistemas.

Mala adecuación de las instalaciones y mantenimiento defectuoso de las

infraestructuras que suponen un riesgo físico para las TI integradas en los

multicines.



3.4. EVALUACIÓN DEL MONITOREO

El desempeño de las TI se controla en la empresa partiendo del organigrama (Papeles

de Trabajo 32) el objetivo es que los distintos empleados se repartan el monitoreo de

los distintos sistemas. Sin embargo, el monitoreo realizado es insuficiente debido a los

siguientes factores:

El personal del Departamento de Ventas sólo evalúa el desempeño de las TI

asociadas a dicho departamento (TPV) en función de que no den problemas y de

que lo obtenido mediante los sistemas cuadre con la realidad física (Papeles de

Trabajo 33).

El personal del Departamento de Gestión Económica no realiza una evaluación

suficientemente frecuente del balance económico con lo que no se puede

determinar con exactitud el correcto desempeño del sistema de Gestión

Económica. Por otra parte, dicho sistema está íntimamente relacionado con el

sistema anterior (TPV). Hemos observado que no existe ningún procedimiento

documentado para el monitoreo global del sistema de Gestión Económica, lo

que conlleva una colaboración interdepartamental.

El Director es el encargado de la administración del sistema al desear tener los

únicos privilegios de acceso. Sin embargo, debido al bajo nivel de

conocimientos de informática que posee, la administración suele ser realizada

por un empleado de los multicines ajeno a la administración y sin

responsabilidad documentada.

El Departamento de Relaciones Públicas se encarga del monitoreo del sistema

de Gestión de la Programación y de los partes de incidencias y mantenimiento.

Debido a la abundante cantidad de trabajo que suele acumularse en este

departamento, la evaluación realizada suele ser pobre y se limita a comprobar

que los horarios son acertados y no hay inconsistencias en la programación.

Por todo ello es aconsejable la elaboración de un plan de control interno que regule

los procedimientos a seguir para la evaluación de los distintos sistemas y tecnologías.

Además de establecer dichos procedimientos, es necesario establecer un correcto

reparto de responsabilidades para evitar un mal monitoreo.

Sería de gran interés realizar 3 grandes evaluaciones de los sistemas con una

frecuencia mínima de 15 días:

Evaluación del sistema de Gestión Económica y de los sistemas de venta con

objetivo de comprobar que el balance de cuentas es correcto y corresponde con

el dinero obtenido. Esto permitirá un mejor control de la economía

aprovechando todas las posibilidades que ofrece el sistema. Es necesario



establecer los procedimientos de relación entre los dos departamentos

involucrados.

Evaluación del sistema de Gestión de Programación para comprobar la

efectividad de los mismos y el cumplimiento de todos los requisitos implicados

en la realización de la misma.

Evaluación de las infraestructuras y de las incidencias con el objetivo de

documentar correctamente el estado de las TI así cómo detectar posibles fallos

que surjan en cualquiera de los sistemas.

La realización de estas evaluaciones se debe realizar con total dedicación, por lo que es

indispensable un reparto de responsabilidades entre todos los empleados de la empresa.



4. PAPELES DE TRABAJO

4.1. Papel de trabajo 1: Presupuesto inicial

RECURSO CANTIDAD COSTE

Terminal TPV 2 1.550 €

Equipo Informático 1 1.300 €

Material Instalación LAN - 600 €

Material de Oficina - 250 €

Dirección del Proyecto - 13.641 €

Desarrollo del Proyecto - 31.765 €

Instalación LAN - 990 €

COSTE TOTAL 51.646 €



4.2. Papel de Trabajo 2: Balance de Gastos

RECURSO COSTE ESPERADO COSTE FINAL

Terminales 4.400 € 3.900 €

Material Extra 850 € 800 €

Empresa de Desarrollo 45.406 € 30.580 €

Instalación del Sistema 990 € 860 €

Gasto Total 51.646 € 35.366 €



4.3. Papel de Trabajo 3: Entrevista al Director de los Multicines

El director de “Multicines Ortega” es Manuel Ortega. Le hemos realizado una

pequeña entrevista para conocer su visión sobre el sistema implantado y sobre su visión

del futuro de los sistemas de información de la empresa. Su visión es crucial, pues es

una empresa pequeña de la que él es total responsable y debemos adecuarnos a sus

deseos.

A continuación podemos leer una transcripción textual de la entrevista al director:

Bagukira: Buenos días, ¿cuál es su opinión sobre la aplicación del plan estratégico

a corto plazo? ¿Se siente satisfecho con el resultado final?

Manuel Ortega: La aplicación del plan estratégico ha cumplido los plazos que se

me prometieron, cosa que no me esperaba, pues pensaba que tendría algún retraso. El

resultado final parece correcto, aunque el personal está haciéndose todavía con su uso y

eso conlleva algún retraso cuando cometen algún error. Si he de poner un pero es en el

presupuesto final, se me entregó un presupuesto que se ha visto muy reducido, lo que

está muy bien en el sentido económico, pero me hace sospechar de que esa bajada del

presupuesto conllevará un peor resultado.

Bagukira: Entonces, ¿hubiese preferido que no se hubiese reducido que el

presupuesto final hubiese sido igual que el inicial? ¿Tiene algún motivo para sospechar

de ello?

Manuel Ortega: No me refiero a eso, estoy contento con el presupuesto final, pues

esta es una empresa familiar y no podemos hacer locuras de gasto, pero el que el primer

presupuesto se vea reducido a la mitad me hace pensar que quizás se ha hecho un

trabajo con prisas y se han comprado peores componentes de los que se podían. Quizás

me equivoque, hablo desde el desconocimiento de la informática, quizás este bajada del

presupuesto solo sea debido a un fallo del que calculó el presupuesto inicial.

Bagukira: Desde su visión como director… ¿Qué debilidades le ve al sistema

implantado?

Manuel Ortega: Hasta ahora, los principales problemas vienen de un mal uso por

parte de los empleados que se solucionó de forma rápida por el servicio técnico, por lo

que creo que se hizo una mala formación de los empleados en el uso de las nuevas

tecnologías. Hay que ver que algunos empleados llevaban toda la vida trabajando con el

mismo sistema, y la aplicación de los TPV les puede liar al cambiar la forma de hacer

algunas cosas. También ha habido alguna caída del servidor, o eso me han dicho los

técnicos.



Bagukira: ¿Ha visto mejorado el día a día con este sistema? ¿Ha notado una mejora

económica debido a la implantación de los sistemas?

Manuel Ortega: Sinceramente, sí parece que se atiende más rápido a los clientes,

cuando no se equivocan los empleados, pero no he notado una mejora económica,

aunque también es verdad que no llevo un control muy especifico de ello.

Bagukira: Una vez ha visto los resultados, ¿volvería a invertir en Sistemas y

Tecnologías de la Información?

Manuel Ortega: Cuando me recupere económicamente de esta inversión sí, sin

duda, estoy decidido a aplicar estos sistemas para mejorar mi empresa, porque

realmente o te actualizas o te mueres. Estoy estudiando el plan que me presentó su

empresa para un medio plazo y estoy decidió a continuar con ello, aunque eso sí,

cuando me recupere económicamente.



4.4. Papel de Trabajo 4: Entrevista al Personal

A continuación puede verse la transcripción de las entrevistas a los empleados que

utilizan los sistemas de los TPVs:

1. Antonio Perez

Bagukira: Buenos días, ¿Cuál es su función dentro de la empresa?

Antonio Pérez: Soy uno de los cajeros encargados de la venta de tickets.

Bagukira: ¿Cuál es su opinión sobre los nuevos sistemas?

Antonio Pérez: En mi opinión funcionan muy bien, nos hacen más sencillo nuestro

trabajo y podemos rendir más.

Bagukira: ¿Se ha encontrado algún problema?

Antonio Pérez: No, yo no me he visto con ningún problema, bueno en un turno mío

se cayó el servidor, pero el servicio técnico lo arregló. Algunos de mis compañeros sí

han tenido problemas, pero bien se los he resuelto yo o bien el servicio técnico, los

problemas es porque son gente mayor, que no se lleva bien con las tecnologías.

Bagukira: ¿Cuál es su opinión de la formación recibida?

Antonio Pérez: Dimos un cursillo de un par de horas, en el que nos enseñaron

cómo usar el programa. Yo me enteré todo bien, aunque nos vendría muy bien un

manual más detallado en el que podamos ver de forma rápida como arreglar los fallos

más típicos. Más que nada para mis compañeros, que no tengan que estar llamando al

servicio técnico o acudiendo a mí, que eso conlleva bastante tiempo.

2. Sonia Fernández


Sonia Fernández: Soy una de los cajeras encargadas de la venta de tickets.


Sonia Fernández: Bueno, no me termino de llevar bien con ellos, pulso muchas

cosas que no debería. Cuando no me equivoco se va más rápido que antes.




Sonia Fernández: Sí, no termino de controlar el funcionamiento del programa.

Menos mal que está Antonio por aquí echando una mano a todos. Aunque cuando él no

le toca trabajar lo notamos mucho, porque aunque el servicio técnico es rápido, no lleva

algún tiempo recuperarnos de algún fallo. Por mi que pongan a Antonio d encargado de

echarnos una mano, que deje la taquilla y nos ayude cuando nos equivocamos.


Sonia Fernández: Bueno, la verdad es que no me enteré mucho del curso, ese día

pasé una mala noche y no presté mucha atención, me vendría bien tener un buen manual

para echar un vistazo, que el que nos dieron es muy simple y no nos explica como

sobreponernos de los errores.

3. Rubén Espinosa


Rubén Espinosa: Soy uno de los cajeros encargados de la venta en la cafetería.


Rubén Espinosa: Nos facilitan la vida, porque son muy intuitivos con los TPV y las

fotos de los productos, no tenemos que aprendernos cientos de precios y meterlos uno a

uno en la máquina registradora.


Rubén Espinosa: Sí, bueno, ya sabes, a veces le das sin querer a dónde no debes, al

principio me ayudaba Antonio, pero ahora se arreglar los errores yo solo.


Rubén Espinosa: El cursillo estuvo bien, aunque nos enseñaron como hacer las

cosas, no como arreglarlas cuando las hicimos mal.

4. Emilio Castaño


Emilio Castaño: Soy uno de los cajeros encargados de la venta en la cafetería y

también hago algún turno en la taquilla.




Emilio Castaño: Bastante bien cuando van bien, dan muchos problemas cuando no.

Yo a mi edad me cuesta aprender a usar maquinas nuevas, y me tengo que pelear mucho

con ellas, pero bueno, supongo que me acostumbraré.


Emilio Castaño: Todos, no creo que haya algún problema que no haya causado ya.

Gracias a que Antonio controla todo bien.


Emilio Castaño: No había forma de enterarse de nada, los que dieron el cursillo

parecía que me hablaban en chino, luego Antonio me lo explico con palabras

“normales” y me enteré de algo, aunque la verdad, he ido aprendiendo a usarlo

equivocándome.



4.5. Papel de Trabajo 5: Parte de Incidencias

Fecha Incidencia

06/02/2008 Duda en creación de productos

15/02/2008 Caída del servidor

13/03/2008 Duda en el guardado y eliminación de datos

13/04/2008 Apagón y problemas de conexión en la red

14/06/2008 Mala impresión de Tickets

27/06/2008 Pantallazo azul

01/08/2008 Ventana de error desconocida

05/08/2008 El terminal produce mucho ruido

14/09/2008 Comportamiento extraño del sistema, aparición de

ventanas publicitarias

19/09/2008 No se puede acceder al sistema

01/10/2008 Bloqueo de la aplicación

09/10/2009 Caída del servidor



4.6. Papel de Trabajo 6: Extracto del Plan de Riesgos



4.7. Papel de Trabajo 7: Entrevista al Departamento de Relaciones Públicas

Dentro de los multicines, nos encontramos con el encargado del departamento de

relaciones públicas. Éste no es un departamento de relaciones públicas al uso, sino que

su trabajo conlleva además la relación con proveedores, distribuidoras y con Bagukira.

A continuación podemos leer una transcripción textual de la entrevista que se realizó

a su responsable:

Bagukira: Buenos días, ¿podría comentarme cuáles son sus responsabilidades

dentro de la empresa?

Antonio López: Si, soy el responsable del departamento de relaciones públicas de

los multicines.

Bagukira: Pero tengo entendido que su trabajo va mas allá, ¿no?

Antonio López: Si, esta es una pequeña empresa en la que trabajamos unos cuantos.

Aunque yo mi trabajo se llame relaciones públicas, no solo consiste en las relaciones

con la prensa y los clientes, sino que también me encargo de las relaciones con los

proveedores de la cafetería, con las distribuidoras de las películas y, en general,

cualquier relación con empresas que nos ayuden a funcionar.

Bagukira: Por lo tanto, ¿usted es el encargado de contactar con nuestra empresa?

Antonio López: Sí, cuando el director decidió instalar los nuevos sistemas, yo fui el

encargado de buscar la empresa y contactar con ella. Además ahora soy el encargado de

hablar con el servicio técnico en caso de problemas en los sistemas.

Bagukira: ¿Y qué tal es esa comunicación?

Antonio López: Es bastante buena, la verdad que su servicio técnico funciona bien,

y se solucionan los problemas correctamente, sobre todo cuando los problemas están en

el plan de riesgos que nos entregasteis. Lástima que muchos de esos riesgos no sean

todo lo reales que pudieron ser.

Bagukira: ¿A qué se refiere?

Antonio López: Bueno, que muchos de los problemas a los que nos enfrentamos en

los multicines no aparecen en ese plan de riesgos. El plan es muy completo, pero unos

informáticos no pueden saber todos los problemas de los multicines, pero nuestro

director está bastante ocupado y no pudimos perfeccionar ese plan.



4.8. Papel de Trabajo 8: Análisis de Requisitos y Modelo del Sistema





4.9. Papel de Trabajo 9: Análisis de Requisitos y Modelo del Sistema



4.10. Papel de Trabajo 10: Metodología Empleada





4.11. Papel de Trabajo 11: Captura de la Interfaz



4.12. Papel de Trabajo 12: Riesgo con las Distribuidoras



4.13. Papel de Trabajo 13: Modelo de Encuesta



4.14. Papel de Trabajo 14: Abuso de Switchs







4.15. Papel de Trabajo 15: Malas Conexiones



4.16. Papel de Trabajo 16: Malas Canalizaciones



4.17. Papel de Trabajo 17: Captura de Windows Vista



4.18. Papel de Trabajo 18: Software no Original



4.19. Papel de Trabajo 19: Listado de Compras

Producto Cantidad Precio Total Proveedor

Portátil Ahtec Sense XHL90 1 699€ 699€ Ahtec

Impresora HP LASER COLOR CP1215 2 149€ 298€ UPI

IMPRESORA SAMSUNG SRP 275APG NEGRA (para tickets)

4 185,5€ 742€ APP

CAJON PORTAMONEDAS EC 410NEGRO

4 35,1€ 140,4€ APP

MONITOR 15 TFT TACTIL LGL1510BF 1024

2 404,4 808,8€ APP

TAMBOR 100 CD-R 700 VERBATIM 52X

10 42,46€ 424,6€ PCBOX

hd externo sata 2.5" 80gb fully top ft2512 ngr usb2.0

1 49,9€ 49,9€ UPI



4.20. Papel de Trabajo 20: Entrevista a Desarrolladores

Para un mejor conocimiento de los posibles problemas de seguridad y cuál es la

causa de los mismos es necesario entrevistar al equipo de desarrollo del sistema de

información.

A continuación podemos leer una transcripción textual de la entrevista al equipo de

desarrollo:

Bagukira: Buenos días, para empezar ¿Podríais resumirme en qué consiste el

sistema implantado?

Equipo: Si, a grandes rasgos el sistema de información instalado es básicamente un

sistema de gestión económica para los multicines. Existe un sistema central que se

encarga de recoger todos los datos de ventas en taquilla y cafetería y realiza las labores

contables necesarias para la empresa. Además se instalaron unos TPVs con unas

aplicaciones que simplifiquen la venta en taquilla y cafetería y que, a su vez, envíen la

información de las ventas al sistema central. Todo está conectado mediante una red

local y existe una base de datos común instalada en el terminal del sistema de

administración.

Bagukira: Ahora, sino os importa, nos centraremos en la seguridad que añadisteis

al sistema. ¿Existe alguna seguridad en el acceso a los sistemas?

Equipo: Si, el sistema de administración tiene un usuario y un password que está en

poder del director de los multicines. Desde ese sistema se puede dar de alta a usuarios

para los TPV, nosotros aconsejamos al director que crease un perfil para cada empleado

y que variase el nombre de usuario y la contraseña mensualmente, para evitar posibles

accesos no deseados. Además aconsejamos que el password no sea contenga ninguna

dato como el nombre del empleado, de la empresa, etc., sino que fuese una simple

combinación de letras y números sin ningún significado concreto. Aunque, como todos

sabemos, luego pocas personas siguen luego estos consejos.

Bagukira:¿Existe algún tipo de seguridad frente a posibles averías que provoquen

pérdidas de información?

Equipo: Nosotros implementamos en el sistema de administración una pequeña

aplicación que permitiese la copia de seguridad de la base de datos, y aconsejamos su

uso al menos una vez por semana y no almacenar dichas copias juntas, porque en caso

de catástrofe, no solucionaría nada. Ellos son los que deben cuidar de hacerlas. Además,

desarrollamos un plan de riesgos muy completo que prevé muchas situaciones de riesgo,

pero está en la mano de la empresa el realizar comprobaciones de que dicho plan

funciona (haciendo simulacros, por ejemplo).



4.21. Papel de Trabajo 21: Parte de Incidencias de un Apagón

Efectos

Desconfiguración del router principal que conecta el servidor con los terminales de venta.

Recaudación manual en cafetería durante el apagón.

Retraso de 20 minutos en el comienzo del pase debido a la impresión automática de

tickets de entrada.

Tras el apagón, los terminales de venta funcionan normalmente, pero debido a la pérdida

de la conexión con el terminal del servidor a causa de la desconfiguración del router, los

datos de recaudación no son almacenados.

Tras restaurar el terminal del servidor y comprobar el sistema de contabilidad, éste

muestra un fallo al no concordar los datos de ventas con la recaudación de la noche.

Fecha Hora Incidencia Causa

13/04/2008 21:45 (Pase de

Estreno a las 22:00)

Apagón y problemas

de conexión en la

red

Corte de la luz en el local

durante un lapso de 7:00

minutos.



4.22. Papel de Trabajo 22: Clave a la vista



4.23. Papel de Trabajo 23: Programas no deseados



4.24. Papel de Trabajo 24: Páginas web no deseadas



4.25. Papel de Trabajo 25: Antivirus sin actualizar



4.26. Papel de Trabajo 26: Puertos abiertos en el firewall



4.27. Papel de Trabajo 27: Parte de incidencias detallado

Fecha Incidencia Causa Efecto

15/02/2008 Caída del servidor Apagado accidental del

terminal del servidor

Reinicio del servidor.

13/04/2008 Apagón y problemas de

conexión en la red

Corte temporal de la luz

en el local

Desconfiguración del

router principal que

conecta el servidor con

los terminales de venta.

27/06/2008 Pantallazo azul Error interno de

Windows Vista

Necesario el reinicio

del servidor y por

consiguiente de la

conexión con los

terminales de venta.

14/09/2008 Comportamiento extraño

del sistema, aparición de

ventanas publicitarias

Servidor infectado con

un virus

Necesaria una

actualización urgente

del antivirus junto con

una limpieza completa

del sistema.

Encontrados virus en

archivos de informes

que han debido ser

eliminados por

seguridad. Pérdida de

datos.

01/10/2008 Bloqueo de la aplicación Uso indebido de la

aplicación del terminal

de caja que provoca su

colapso

Necesario el reinicio

del sistema durante el

pase de estreno de la

semana. La pérdida de

tiempo durante el

reinicio provoca la

espera de los

espectadores en caja y

el retraso en la hora de

comienzo de el pase.



4.28. Papel de Trabajo 28: Ambiente poco adecuado



4.29. Papel de Trabajo 29: Poca seguridad



4.30. Papel de Trabajo 30: Falta de limpieza



4.31. Papel de Trabajo 31: No protección del Cableado



4.32. Papel de Trabajo 32: Organigrama

Dirección

Departamento de Ventas

Departamento de Gestión Económica

Departamento de Relaciones

Públicas



4.33. Papel de Trabajo 33: Informes del TPV

INFORME DIARIO DE GASTOS

Fecha: 23–04-2007

Resumen de Ventas

PRODUCTO UNIDADES PRECIO UD.

(€) TOTAL (€) VERIFICADO

Palomitas 140 3 420 □ Coca-Cola 210 2.25 472.5 □

Fanta Naranja 63 2.25 141.75 □

Fanta Limón 12 2.25 27 □

Bolsita Gominolas

33 1 33 □

TOTAL

1094.25 □

*Todos los precios incluyen IVA 16%

Incidencias

Verificado por:

Nombre:

Firma:

Documents

INDICE DE CONTENIDOSecaths1.s3.amazonaws.com/auditoriainformatica/841196824.Grupo_4.… · de películas. Hardware conectado en red para las taquillas y la zona de cafetería