Post on 09-Jul-2015
description
AUDITORÍA BECA
CENTRO
OCCIDENTE C.A.
Auditoria de sistemas de información
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
1
OBJETIVO
GENERAL
Redactar un informe comprensivo de las
posibles fallas y errores que se puedan presentar
en el uso y gestión del sistema de punto de
ventas SICOM utilizado por la empresa auditada.
2
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
OBJETIVOS
ESPECÍFICOS
• Evaluar los componentes físicos (hardware) que componen el sistema auditado para la generalización de un documento de estado.
• Determinar la interacción de los usuarios con el sistema; el manejo, control, y uso que ejercen sobre el mismo para la compresión del sistema a nivel de los usuarios.
3
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
OBJETIVOS
ESPECÍFICOS
• Evaluar el funcionamiento de las aplicaciones (software) que componen el sistema auditado con el propósito de la construcción de una visión global de cómo funciona el sistema.
• Evaluar las redes, tanto a nivel de hardware como de software, que actúan en el funcionamiento del sistema auditado para la obtención de posibles oportunidades de mejora.
4
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
DESCRIPCIÓN
EMPRESARIAL
La empresa Beca Centro Occidente, C.A., nace en Venezuela en el año
2000, ante la necesidad inminente de descentralizar las operaciones,
producto del auge y la expansión, de la marca “Burger King” en el país. Su sede administrativa y legal se ubica
desde entonces en la ciudad de Valencia, específicamente en la Urb. La Alegría, Av. Bolívar Norte, Torre
Principal, Piso 7, Oficina 7-A. Actualmente la empresa dirige las
operaciones de doce (12) restaurantes de la marca “Burger King”, generando así más de trescientos (300) empleos
directos en la región.
5
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
EVALUACIÓN DE
SISTEMAS
SICOM Systems Enterprise Management Solution
Desarrollado por SICOM Systems, proveedor norteamericano
ubicado en Doylestown, Pennsylvania, Estados Unidos,
advocado al área de desarrollo de puntos de venta avanzados para la industria de los Restaurantes de
Servicio Rápido.
6
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
EVALUACIÓN DE
SISTEMAS
Kitchen Minder QSR (Quick Service Restaurants)
Desarrollado por el proveedor norteamericano Integrated Control
Corporation, y se encarga básicamente de indicarle al
Operador de Alimentos (Crew) que se encuentra laborando en el Broiler
(parrilla donde son cocidas las carnes de hamburguesas en Burger King) cuántas piezas de carne debe
colocar a cocinar.
7
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
EVALUACIÓN DE
SISTEMAS
Sistema de Auriculares y Medición de tiempo Auto
Servicio de HME Los sistemas de HM Electronics, Inc. (HME) son los encargados de
permitir un correcto funcionamiento de las
comunicaciones entre los empleados y la clientela
involucrada en el proceso de compra/venta a través del auto
servicio del restaurant.
8
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
EVALUACIÓN DE
SISTEMAS
Sistema de control de asistencia de empleados por
capta huellas. Este sistema se encarga de
registrar, a través de marcajes en un terminal capta huellas, la hora
de entrada y salida de cada empleado, con el fin de evitar
vicios y malversación de esta data ya que la huella digital es única para cada empleado y sin ella no se puede registrar la asistencia.
9
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
EVALUACIÓN DE
SISTEMAS
Circuito de cámaras de seguridad o CCTV
El CCTV de los restaurants varía de uno a otro dependiendo del
tamaño de la tienda, en base a lo cual variará el número de cámaras
y la capacidad del DVR en cuestión según corresponda.
El DVR se conecta por red a la red de acceso a Internet de la tienda
para que el CCTV sea accesible de manera remota.
10
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
EVALUACIÓN DE
SISTEMAS
Ambos proveedores, tanto SICOM Systems como Integrated Control
Corporation tienen, según sus propias palabras, un compromiso
perenne para con la innovación y el constante desarrollo de mejoras y avances que garanticen que sus
sistemas estén en constante mejora y optimización.
Sin embargo, más allá de eso resulta imposible determinar avances en
tiempo real ya que ambos proveedores se encuentran fuera del
país y no dan acceso a sus operaciones por motivos de confidencialidad industrial.
11
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
SEGURIDAD
LÓGICA
A nivel de seguridad lógica, que es precisamente el alcance
objetivo de esta auditoría, el sistema SICOM parece contar
de antemano con los requisitos mínimos para asegurar un
nivel de seguridad acorde a la importancia que tiene la
información que es manejada por su sistema SEMS para la
empresa en cuestión.
12
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
SEGURIDAD
LÓGICA
Igualmente el sistema muestra en papel sólidos procesos de
respaldo de la información, ya que diariamente la base de
datos es respaldada en el disco duro del terminal SL master e inmediatamente copiada por éste en un servidor externo a
través de Internet.
13
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
DERECHOS DE
AUTOR
SICOM Systems protege de manera muy celosa sus derechos de autoría
sobre el sistema SEMS y por ello gran parte de las fallas son
atendidas directamente por ellos mismos accediendo de manera
remota al sistema, y en caso de que no haya una conexión a Internet
disponible, te guían vía telefónica para encontrar una solución sin dar
mayores explicaciones de los motivos o causas. Igualmente no se
permite manipular los equipos a nivel de hardware puesto pierden
automáticamente la garantía.
14
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
PLANIFICACIÓN
DE LA AUDITORÍA
Alcance, Objetivo, criterio y manejo de recursos
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
15
ALCANCE
Se evaluará el sistema general de facturación de la empresa, SICOM SEMS. Basándose la investigación
en el control de los recursos que aseguran la integridad de la data
en este y generada por los usuarios, así como los diferentes
niveles de acceso y su uso. También se apreciarán el flujo de los datos desde la entrada en las
terminales de facturación hasta el control de la alta gerencia la cual
genera una cierta cantidad de reportes para la toma de
decisiones de la empresa.
16
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
OBJETIVO
Esta auditoría tiene como propósito determinar la exactitud
de los procesos que están establecidos en el sistema de
facturación de Burger King. Para así poder generar un reporte
completo de las áreas donde se encontraron oportunidades de
mejora.
17
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
ALCANCE
Se basa en la recolección de la información y entrevistas con los
empleados, encontrar oportunidades de mejora en la
empresa y reportar las mismas a ésta.
18
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
MANEJO DE
RECURSOS
Entrevistas con el personal que utiliza el sistema a diario, así
como también con la alta gerencia para determinar el
funcionamiento del sistema en la actualidad. Estas entrevistas
estarán pautadas con anterioridad con la alta gerencia para no interrumpir las operaciones
normales de la empresa.
19
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
EVALUACIÓN
FINAL
Equipos, seguridad, personal y actividades informáticas
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
20
EVALUACIÓN DE
LOS EQUIPOS
La adquisición de los equipos importados, todos aquellos
relacionados con SICOM Systems, se lleva a cabo previo a la apertura de cada restaurant, dependiendo de las dimensiones del mismo, ya que en base a ello y al volumen de clientes estimado que atenderá la
tienda dependerá el número de terminales que serán adquiridos.
21
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
EVALUACIÓN DE
LOS EQUIPOS
Los equipos pertenecientes al sistema SICOM vienen ya configurados para
trabajar bajo los estándares de Burger King Venezuela desde EEUU, por lo
que el personal técnico de Beca Centro Occidente, C.A., únicamente se
limita a instalar y conectar correctamente cada terminal y equipo en su sitio correspondiente. Luego de
ello la BD es cargada en el terminal master y el sistema ya se encuentra
configurado como el de cualquier otro restaurant de la cadena a nivel
nacional.
22
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
EVALUACIÓN DE
LOS EQUIPOS
Actualmente, proyectos de adquisición que incluyan equipos
que no han sido utilizados anteriormente no existen.
Las nuevas adquisiciones vienen sobre la marcha cuando se
apertura una nueva sucursal o bien cuando algún equipo se
avería y no tiene reparación y debe ser reemplazado.
23
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
EVALUACIÓN DE
LOS EQUIPOS
Toda la información que genera y concierne al sistema de facturación y
producción SICOM es almacenada por el mismo en sus discos duros
principal y el de respaldo ubicados en el terminal SL master. Dichos
terminales cuentan con una batería que les da hasta seis (6) horas de
autonomía en caso de apagones, así se garantiza la integridad y el correcto
respaldo de la BD.
24
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
EVALUACIÓN DE
LOS EQUIPOS
Cada tienda cuenta con los servicios básicos de comunicación
que se ofrecen en el país actualmente, siendo éstos:
telefonía (CANTV regularmente o en su defecto el proveedor de la zona), acceso a internet y correo
electrónico (CANTV regularmente o en su defecto el proveedor de la
zona).
25
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
EVALUACIÓN DE
LOS EQUIPOS
En cada tienda existe una red interna basada en tecnología
Ethernet para la integración de todos los componentes del sistema
de facturación y producción SICOM. Cada terminal se
encuentra interconectado con los demás a través de esta red que
tiene su punto de encuentro en un switch central.
26
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
EVALUACIÓN DE LA
SEGURIDAD
El computador de la gerencia, a través del cual se accede a la aplicación web
del SICOM, correo corporativo, y demás aplicaciones de oficina
necesarias para el óptimo funcionamiento del restaurant, se
encuentra protegido de manera lógica contra uso no autorizado a través de los mecanismos regulares que ofrece Windows XP (sistema operativo bajo
el cual trabajan los PC Gerenciales de los restaurantes) de cuentas de
usuario y clave secreta, habiendo una sola cuenta para todos los gerentes.
27
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
EVALUACIÓN DE LA
SEGURIDAD
La seguridad lógica de los equipos muestra ser robusta, para ingresar a
la aplicación web que permite configurar las opciones del sistema
SICOM se debe contar con un usuario y una clave, los cuales sólo pueden ser
creados por el personal de sistemas.
28
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
EVALUACIÓN DE LA
SEGURIDAD
Cada usuario es asignado a un nivele de acceso que limita la cantidad y variedad de funciones a las cuales puede acceder. Únicamente a los
gerentes de restaurant se les crea un usuario y el acceso del mismo se
limita a la manipulación de opciones básicas propias de un gerente como
montaje y desmontaje de cajeros, manejo de inventarios, apertura y cierre de facturación, supervisión
remota de las pantallas de cada uno de los terminales activos, consulta e
impresión de reportes variados, etc.
29
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
EVALUACIÓN DE LA
SEGURIDAD
La consulta y auditoría del material grabado a través del CCTV es de uso
exclusivo del personal de sistema y de la alta gerencia de la empresa
(Gerentes de Operaciones, Directores Generales, Gerente General); los
gerentes de tienda no pueden acceder al mismo.
30
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
SEGURIDAD FÍSICA
DE LOS EQUIPOS
La seguridad física de los equipos podemos destacarla de aceptable.
En al menos un noventa por ciento de las ocasiones, los
equipos relevantes como el PC de la Gerencia, el DVR del CCTV, los
terminales SL del sistema SICOM, los dispositivos biométricos de
control de asistencia, los controladores de video de los
monitores de Producción.
31
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
SEGURIDAD FÍSICA
DE LOS EQUIPOS
32
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
Los switches y routers de redes, contaban todos con su respectiva
protección contra sobre-voltajes y en muchas ocasiones contaban con un
UPS ya sea externo o propio (los terminales SL del sistema SICOM y los dispositivos biométricos cuentan con
UPS internos propios).
SEGURIDAD EN EL
PERSONAL
La seguridad en el personal viene dada principalmente por el juicio
que tenga la persona sobre la importancia del manejo prudente
de los nombres de usuario y/o claves de acceso a los diversos
módulos de configuración y consulta de los sistemas
presentes, así como del resguardo adecuado de las tarjetas Manager
del sistema SICOM.
33
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
SEGURIDAD EN EL
PERSONAL
Las PC de los Gerentes de tienda cuentan con licencias originales
Kaspersky por lo que en este punto se consideran aceptables
las medidas con las que cuenta la empresa.
La empresa cuenta con pólizas de seguro que cubren todos los
equipos presentes en las tiendas.
34
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
SEGURIDAD EN EL
PERSONAL
No existe un plan de contingencia ni procedimientos especificados
en la empresa para casos de desastre. Las tiendas cuentan con
UPS y plantas autónomas de energía que suplen de corriente
eléctrica al restaurante en su totalidad en caso de apagones y fallas mayores en el suministro eléctrico, dándole autonomía
operativa a las tiendas de hasta seis horas.
35
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
ACTIVIDADES
INFORMÁTICAS
En operación y desarrollo
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
36
SISTEMAS EN
OPERACIÓN
Se puede determinar que la empresa actualmente posee una
situación estable de los sistemas, con una baja cantidad de reportes
en errores de los mismos. Sin embargo la misma no posee un plan para controlar la situación
en caso de que surja un problema y delega todo a una sola persona
que en este caso se hace indispensable para el manejo de
los diferentes sistemas.
37
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
SISTEMAS EN
OPERACIÓN
La empresa no posee los esquemas de los sistemas por lo
que se desarrollara esta actividad netamente con la observación del auditor. El sistema de producción
posee una composición de una base de datos en la nube, la cual es controlada por una aplicación web y una de escritorio en Linux.
38
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
SISTEMAS EN
DESARROLLO
Actualmente la empresa utiliza una compañía de Software
contratada para el diseño de sus sistemas por lo cual no existe
información en esta de sistemas en próximo desarrollo.
39
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
EVALUACIÓN DEL
PERSONAL
Participación y entrevistas realizadas dentro dela auditoría
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
40
PARTICIPACIÓN
INTERNA
La participación del personal con los auditores fue de gran ayuda.
Todo el personal estuvo completamente dispuesto a
describir las actividades que desempeña en su labor diaria, apuntar los riesgos y hallazgos que existen actualmente en la
empresa como también entregar los diferentes documentos
pertinentes a la investigación.
41
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
EVALUACIÓN DE LA
INFORMACIÓN
Se puede decir que los sistemas cumplen con las necesidades de
los empleados y los requerimientos de los mismos, al
punto en el que los empleados subutilizan el sistema y
desaprovechan diferentes oportunidades que el mismo
ofrece para facilitar la labor que desempeñan.
42
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
EVALUACIÓN DE LA
INFORMACIÓN
Un ejemplo de esto es el inventario, el empleado podría
entrar al módulo de inventario del sistema, cargar que se compró y el
sistema descuenta automáticamente por cada venta que se haga del inventario lo que
se consume, sin embargo los empleados de la gerencia llevan
esta labor a mano por desconocimiento del mismo.
43
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
RESUMEN Y
CONCLUSIÓN
Debilidades, Fortalezas, conclusiones y recomendaciones.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
44
DEBILIDADES
Con respecto a las debilidades podemos decir que no
encontramos muchas, es un sistema verdaderamente
completo, aunque el hecho de que los problemas que presenten las
terminales solo los atiendan personas de afuera del país es algo
limitante, esto representa una debilidad, si por ejemplo se quiere algo más personal simplemente la
empresa no presta ese servicio.
45
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
FORTALEZAS
Dentro de las fortalezas de SICOM tenemos que las soluciones de gestión de la empresa le darán
acceso inmediato a la información sin tener que invertir miles de
dólares para crear y mantener una infraestructura de TI.
SICOM ofrece flexibilidad y confiabilidad a un costo
significativamente menor que las soluciones de la competencia.
46
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
CONCLUSIONES
Los resultados obtenidos en el presente trabajo de investigación del caso
estudio a la empresa Beca Centro Occidente, C.A., nos
llevan a las siguientes conclusiones.
47
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
CONCLUSIONES
En sentido amplio podemos decir, que los sistemas de información, comprenden
los medios para almacenar, procesar y manipular datos
de cualquier naturaleza, mediante el uso de diferente
software con diferentes funciones o
especificaciones.
48
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
CONCLUSIONES
La empresa en estudio no presenta muchos problemas a nivel lógico, físico o humano. Presenta unos sistemas muy
bien estructurados que trabajan de una manera estándar de la
cual han venido trabajando por muchísimos años. Esto le brinda
mucha experiencia lo cual le permite saber o estar prevenidos
a problemas anteriormente presentados.
49
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
RECOMENDACIONES
Recomendamos a la empresa poseer un departamento de
sistemas, de manera de que los problemas técnicos, aunque se resuelvan a larga distancia, sea
más fácil su control así como poseer proveedores nacionales de
manera de poder determinar avances en tiempo real
50
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
GRACIAS
Informe de Auditoría de Sistemas de Información.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
51