• Author / Uploaded
• Pepito Perez

• Categories
• ITIL
• Centro de llamadas
• Planificación
• Prueba (Evaluación)
• Calidad (Negocios)

Citation preview

DESARROLLO DE UNA AUDITORIA COMPUTACIONAL BAJO EL MARCO DE REFERENCIA ITIL V3, ORIENTADA A LA USUARIOS DEL HOSPITAL MARIA INMACULADA, HOSPITAL COMUNAL LAS MALVINAS E.S.E BAJO LA EMPRESA HOLA CENTRO DE LLAMADAS

Presentado por: JOSE ANTONIO MARIN ALVARADO OSCAR JAVIER GUZMAN RODRIGUEZ

FACULTAD DE INGENIERÍA PROGRAMA INGENIERÍA DE SISTEMAS LÍNEA DE PROFUNDIZACIÓN AUDITORIA II 2015

DESARROLLO DE UNA AUDITORIA COMPUTACIONAL BAJO EL MARCO DE REFERENCIA ITIL V3, ORIENTADA A LA USUSARIOS DEL HOSPIAL MARIA INMACULADA, HOSPITAL COMUNAL LAS MALVINAS E.S.E BAJO LA EMPRESA HOLA CENTRO DE LLAMADAS

FREDY ANTONIO VERÁSTEGUI GONZALEZ Ingeniero De Sistemas

Presentado por: JOSE ANTONIO MARIN ALVARADO OSCAR JAVIER GUZMAN RODRIGUEZ

FACULTAD DE INGENIERÍA. PROGRAMA INGENIERÍA DE SISTEMAS. LÍNEA DE PROFUNDIZACIÓN AUDITORIA II 2015

2

1. 1.1

Contexto

Presentación de la Empresa.

Somos una compañía colombiana con dos años de experiencia en el sector de la Prestación de servicios y asignación de citas

1.2

Misión Institucional

HOLA CENTRO DE LLAMADAS S.A.S. fue creada para mejorar la competitividad de las empresas y la infraestructura de las mismas ofreciendo servicios de gestión telefónica a la vanguardia de la tecnología como solución y contribución al desarrollo de procesos eficientes en las organizaciones. 1.3

Visión Institucional

Nuestra visión es convertirnos en la solución logística para las empresas del Caquetá, en materia de gestión telefónica con mayor cobertura en el departamento. 1.4

Políticas Calidad

La dirección de HOLA CENTRO DE LLAMADAS S.A.S es consciente del compromiso que representa el apoyo a los procesos organizacionales de nuestros clientes y por ello considera que la gestión que realice frente a lo contratado, debe contribuir a la calidad de los servicios prestados por ellos. HOLA CENTRO DE LLAMADAS S.A.S. entiende que debe ser considerada una organización de referencia en los servicios de préstamos y por ello desarrolla su gestión basada en la oportunidad, amabilidad, confiablidad y mejora continua, como valores corporativos de referencia. Para conseguir los fines propuestos ha desarrollado un modelo de gestión que aporta valor a la organización y se ha establecido actuar en la siguiente dirección: 1.5   

Objetivos de calidad:

Evaluar constantemente nuestro desempeño en pro del mejoramiento continuo para lograr la satisfacción de nuestros clientes. Mejorar la competitividad y la calidad frente a la competencia. Promover un entorno positivo de desarrollo, participación y de formación con los empleados. 3

1.6 OBJETIVOS ESTRATEGICOS HOLA CENTRO DE LLAMADAD S.A.S. desarrolla su direccionamiento organizacional a través de los siguientes objetivos estratégicos:   Conseguir unos resultados de negocio aceptables.   Lograr el reconocimiento de la sociedad caqueteña y:   Ejercer el liderazgo frente al sector 1.7

Valores Corporativos

Oportunidad: los usuarios de nuestros servicios son atendidos telefónicamente de manera inmediata o en su defecto por congestión de las líneas, en un tiempo máximo de 30 segundos. Amabilidad: El trato proporcionado por nuestros operadores para con los usuarios siempre será consideración, cordialidad y respeto. Confiabilidad: A través de nuestra plataforma tecnológica y a la estandarización de nuestros procesos, les ofrecemos a nuestros clientes a la seguridad de dar cobertura y la información requerida en los servicios contratados. Mejora Continua: A través de la autoevaluación constante a nuestro desempeño, identificamos fallas y planeamos e implementamos acciones de mejoramiento.

1.8

Estructura Organizacional.

4

.

2. Planeación de la auditoria 2.1

Origen de la auditoria.

La razón por la que se realiza la auditoria de sistemas computacionales a la empresa HOLA CENTRO DE LLAMADAS ubicada en la ciudad de Florencia, es solicitada por la UNIVERSIDAD DE LA AMAZONIA que es una organización externa, a petición del docente Fredy Antonio Verástegui Gonzalez con motivos académicos de realizar prácticas de una auditoria externa a organizaciones que se sitúen en la región, de esta forma lograr evaluar exhaustivamente bajo el 5

marco de referencia ITIL v3.0 a la infraestructura tecnológica que apoyan y soportan la organización, con el propósito de hallar falencias que se estén presentando actualmente en prestación del servicio de registro en la central citas médicas. Es por ello que esta auditoría externa busca identificar los problemas, para que la organización adopte un plan de mejoramiento que les ayude a mejorar los procesos y procedimientos informáticos que se realizan en el call center.

2.2

Visita Preliminar.

En la visita preliminar se logró identificar que la seguridad que se maneja para el control de acceso se maneja por medio de un vigilante el cual pregunta al administrador si autoriza el paso a la sala, se evidencia que la empresa maneja en esta misma sala la caja de comunicaciones, se observó un panel de control manual que administra todo lo relacionado con los operadores del call center, el área de trabajo de los funcionarios. Es de un área aproximada 30 metros cuadrados en el cual se distribuyen 11 equipos con sus correspondientes operarios cada uno con su correspondiente usuarios y contraseñas, se lo identificar que los equipos utilizados son nuevos y de última tecnología. Al momento de ingresar a realizar la visita preliminar con el coordinador de la empresa los operarios del call center se ofrecieron formalmente a responder cualquier inquietud que se presente con respecto al funcionamiento del call center “hola”. Se logra identificar como problemática que el en el área de trabajo posee Ethernet de acceso libre, y red inalámbrica con SSID visibles, lo cual conllevaría a que se pueda acceder a la red a la cual se encuentra conectado el equipo que administra el servidor interno que maneja todas las operaciones de emendación de citas médicas . Objetivos preliminares.     

Examinar la gestión de incidentes en el call center para de determinar la afección del servicio normal del usuario y de la empresa. Estudiar si se presenta la gestión de problemas en la organización para encontrar la causa raíz y reducir los riesgos en el call center. Identificar las políticas y normatividades de los call center para así dimensionar el cumplimiento del reglamento interno. Identificar si existen manuales de usuario del sistema para apoyar o capacitar a los operarios en cualquier anomalía que se pueda presentar. Realizar encuestas, entrevistas o cuestionarios a los operarios del call center. 6



Analizar la afectación de los factores de ruidos internos y ruidos ambientales que puedan afectar la prestación del servicio.

2.3 Caracterización de procesos a auditar de la sala de del call center HOLA.   Gestión de incidentes.   Gestión de problemas.   Gestión de cambios.   Control de acceso a la sala de operadores en el call center.   Talento humano.

2.4

Ambiente Personal.

A cargo del Ingeniero FREDY ANTONIO VERÁSTEGUI como auditor sénior, el grupo de auditores junior JOSE ANTONIO MARIN ALVARADO, OSCAR JAVIER GUZMAN RODRIGUEZ, se busca realizar una auditoria externa de tipo académico para establecer cuáles serían las falencias que se presentan en la sala del call center HOLA. Bajo el marco de referencial de ITIL v3.0. De igual manera se ha contado con total disponibilidad de la información por parte de los operadores del call center para prestarse a acceder a contestar encuestas, entrevistas o cualquier tipo de herramienta que el equipo auditor utilice con el fin de recolectar información e indagar acerca de los procesos, normas, acuerdo y políticas de la administración en la sala de call center. 2.5

objetivos de la auditoria.

2.5.1 objetivo general. Realizar una auditoría de sistemas computacionales bajo el marco referencial de ITIL v3.0 en hola centro de llamadas, empresa de prestadora de servicio y ubicada en el barrio siete de agosto de la ciudad de Florencia, Caquetá. 2.5.2 objetivos específicos. 

Identificar las gestiones y las actividades del marco de referencia ITIL v3.0, pertinentes para la prestación del servicio de llamadas en la empresa hola centro de llamadas, para hallar irregularidades que se presenten.

7



Elaborar el plan de auditoria para la empresa hola centro de llamadas para tener unos parámetros en los cuales nos podamos basar para la realización de la auditoria.



Ejecutar la auditoria de sistemas computacional en la empresa hola centro de llamadas para dar cumplimiento a la planeación y recolección de información próxima a analizar.



Analizar el resultado de la auditoria para así organizar las evidencias o pruebas que soportan los hallazgos de las posibles irregularidades o inconformidades de esta forma realizar el pre-informe.



Presentar el pre-informe con el fin de exponer los hallazgos e irregularidades presentadas además de esta forma realizar una controversia con el auditado, que logre demostrar con soportes sus descargos.



Presentar de informe final de la auditoria de tal forma que la organización Hola Centro de llamadas. Quede informada de los hallazgos de tal forma que permita realizar su plan de mejoramiento.

2.6

Metodología.

La metodología que se va a utilizar para realizar la auditoria en la empresa Hola Centro de Llamadas se compone de 6 Fases: Fase 1: Estudio Preliminar o Toma del contrato.  Conocer la visión, misión, objetivos, políticas de la organización, organigrama y toda la información posible de la empresa Hola Centro de Llamadas S .A. Fase    

2: Planeación. Identificar el origen de la auditoria. Realizar una visita preliminar. Establecer los objetivos de la auditoria. Determinar los puntos que serán evaluados según el modelo COBIT. 8

  

Elaborar planes, programas y presupuestos para realizar la auditoria. Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoria. Asignar recursos físicos y económicos para la auditoria.

Fase 3: Ejecución de la auditoria.  Aplicar los instrumentos, herramientas, recursos y actividades conforme a lo establecido en la planeación. Fase 4: Síntesis y Diagnostico.  Identificar y elaborar los documentos de desviaciones, donde se relacionan los procesos débiles del sistema, puntos fuertes, riesgos eventuales y las posibles soluciones y mejorar. Fase 5: Presentación Del Pre-informe.  Elaborar la documentación del pre-informe y presentarlos a discusión con las personas directamente implicadas. Fase 6: Presentación Del Informe Final.  Elaborar el dictamen final y presentarlo a las partes interesadas.

2.7

Alcance.

Esta auditoría de sistemas computacionales se realizara para examinar el servicio de la empresa Hola Centro de Llamadas S.A en la ciudad de Florencia – Caquetá bajo el marco referencial de ITIL v3.0.

9

Comportamiento de la información en la empresa. Dada esta característica del modelo general del negocio el plan de trabajo se enfocara al área de atención al cliente puesto que es con los usuarios finales a los cuales se desarrolla el fuerte de trabajo de la empresa. A medida que la información se esta moviendo dentro de la organización esta va tomando el valor que permite ser cuantificable por consiguiente se le debe garantizar los procesos de seguridad y otros elementos que intervienen en dicho movimiento. 2.8

Planes, Programas y Presupuesto para la Auditoria

2.8.1 Planes de auditoria Elaborar el plan de auditoria de Hola centro de Llamadas S.A donde el encargado de realizarla será el auditor Junior, Oscar Javier Guzmán Rodríguez, en esta actividad el auditor debe tener en cuenta los parámetros y las actividades que se van a llevar a cabo en la auditoria. Los documentos de remisión serán llevados a cabo por el auditor Sénior Jose Antonio Marin Alvarado , donde se encargara de documentar y dar soporte a las decisiones que se plantean en las reuniones. El auditor Junior realizara los preparativos en el Día 12 y 14 de la semana 1 donde recopilara los materiales o herramientas que se implementaran para la realizar la auditoria. En la Semana 2 el auditor Sénior realizara una visita a la Empresa Hola Centro d Llamadas donde realizara un inspección ocular de la sala donde se ubica, teniendo en cuenta que los días 23 y 24 se dará inicio al proceso de auditora donde se contara con una revisión exhaustiva a las redes, control de acceso, talento humano y a equipos de cómputo.

10

Para finalizar en la semana 3 los primeros 3 días se realizara el pre-informe dando así el dictamen preliminar de la auditoria, teniendo como seguido el día 26 se realizara la presentación de dicho pre-informe. Y los días 28 y 29 se realizaran el informe final de la auditoria para ser presentado y sustentado el día 30 de mayo de la semana 3.

2.8.2 Programa de actividades Actividades n °

Nombre

1 elaborar el plan de auditoria 2

elaborar los documentos de remisión

3 Iniciar preparativos.

Respons able Aud. Junior Aud. Sénior Aud. Junior

Actividades n °

Nombre

4 Realizar visita 5 iniciar auditoria 6 auditoria redes 7 auditoria control de acceso 8 auditoria a talento humano 9 auditoria a equipos de computo

Respons able Aud. Sénior Aud. Sénior Aud. Junior Aud. sénior Aud. Junior Aud. Junior

Actividades n ° 1 0 1 1 1 2 1 3

Nombre elaborar el pre-informe presentar el pre-informe ajustar informe final presentar y sustentar informe final

Respons able Aud. Junior Aud. Sénior Aud. Junior Aud. Sénior

semana 1 D D D D D D D D 1 2 3 4 5 6 7 8 x

x

x

x x

x x

x

semana 2 D D D D D D D D 1 2 3 4 5 6 7 8 x

x x

x x

x

x

x x

x

x

x

semana 3 D D D D D D D D 1 2 3 4 5 6 7 8 x

x

x x x

x x 11

Auditor Sénior: Jose Antonio Marin Alvarado Auditor Junior: Oscar Javier Guzmán Rodríguez 2.8.3 Presupuesto N° 1 2 3 4 5 6

Recursos

cantidad

equipos de computo

2

Software

3 1 100 2 1

papelería(resma de papel) Impresiones memorias USB (8Gb) cámara fotográfica Total

talento humano

N° 1 2 3 4

auditor Sénior auditor Junior auxilio de transporte a auditor Sénior auxilio de transporte a auditor Junior Total

costo 3.000.00 0 1.000.00 0 15.000 30.000 40.000 400.000 4.485.00 0

tiempo (días)

Costo día

9

183.333

15

116.666

costo total 1.650.00 0 1.750.00 0

8

2400

19200

8

2400

19.200 3.438.4 00

2.9 Identificar y seleccionar herramientas, métodos, técnicas y procedimientos. 2.9.1 Establecer guía de ponderación de los puntos que serán evaluados 2.9.1.1

Definir las áreas y puntos del sistema que serán auditados

  Gestión de incidentes   Gestión de problemas   Gestión de cambios 12

  Talento humano 2.9.1.2 definir el peso de la ponderación por las áreas y puntos de serán evaluados.

N° 1 2 3 4

Factores primarios que serán ponderados Servicio de Estrategia Servicio de Diseño Servicio de Transición Servicio de Operación total ponderación

Peso especifico 20% 30% 30% 20% 100%

2.9.2 Elaboración de la guía de la auditoria 2.9.2.1 Determinar las áreas y puntos concretos que serán evaluados en el ambiente de sistemas. Área de Auditoria

Puntos a Evaluar Gestión de Estrategia

SALA DE CIRCUITO CERRADO DE TELEVISION

Gestión de la Seguridad Gestión de la Continuidad Gestión de Cambios Gestión de Acceso Gestión de Problemas

2.9.2.2 Seleccionar los métodos, procedimientos, herramientas e instrumentos de evaluación. Para evaluar el área a auditar hemos escogido examinar, inspeccionar y confirmar como técnicas o métodos para detallar la manera en que se van a evaluar los puntos de ponderación. 13

Teniendo en cuenta que examinar consiste en analizar y poner a prueba la calidad y el cumplimiento de las funciones, actividades y operaciones que se realizan en una empresa, y se aplica en un área o actividad específica o en una unidad administrativa completa. De esta forma la técnica de inspección está relacionada con la aplicación de los exámenes que se realizan para evaluar el funcionamiento de dichos sistemas; y así confirmar los aspectos fundamentales para la credibilidad de una auditoría es la confirmación de los hechos y la certificación de los datos obtenidos durante la revisión, ya que el resultado final de una auditoría es la emisión de un dictamen en el que el auditor vierte sus opiniones; pero, para que el dictamen sea plenamente aceptado, es necesario que los datos sean veraces y confiables, y que las técnicas y métodos utilizados para la auditoría sean los adecuados. 2.9.2.3 Elaborar el documento formal de guía de auditoria N Ponderació Actividad a evaluar Técnica de evaluación n °

1

Gestión de incidentes

Examen, Inspección y Confirmación

20%

2

Gestión de problemas

Examen, Inspección y Confirmación

30%

3

Gestión de cambios

Examen, Inspección y Confirmación

30%

Talento Humano

Examen, Inspección y Confirmación

20%

4

Calificació n

Observacione s

14

2.10 asignar los recursos y sistemas computacionales para la auditoria. 2.10.1

Recursos humanos

El talento humanos que trabajara en esta auditoria serán los auditores:  Jose Antonio Marin Alvarado que efectuara como auditor Sénior  Oscar Javier Guzmán Rodríguez como auditor Junior Teniendo en cuenta que el auditor Sénior realizara las auditorías a las áreas de control de acceso, Y el auditor Junior realizara la auditoria a las redes, al talento humano que labora en Hola Centro de Llamadas S.A, y a los equipos de cómputo que se implementan en la sala. 2.10.2

Recursos informáticos y tecnológicos

Los recursos informáticos que se implementaran en la auditoria son las computadoras que utilizaran los auditores, algunos software especializados como son Nessus que es un programa de escaneo de vulnerabilidades del sistema operativo, otro software será Foca, Netscan y estos programa permite escanear los puertos IP del área de trabajo. También se implementará herramientas ofimáticas para realizar los informes, actas, documentaciones que se llevaran a cabo en la auditoria, la cámara fotográfica para tomar fotos y tenerlas como evidencias de los hallazgos vistos en la auditoria. 2.10.3

Recursos Materiales y de consumo

Se utilizara memorias USB donde se llevaran los instaladores y ejecutables del software que se implementara, también para almacenar documentación levantada en la auditoria, resma de papel tamaño carta para realizar en ellas las impresiones, lapiceros para las anotaciones, ganchos de cocedora para grapar las hojas.

15

2.11 Análisis de riesgos CATEGORIA

CODIG O SW_1

Software SW_2

Hardware

Acceso

I

R

2

3

6

1

3

3

Daños en equipo de cómputo y comunicación.

2

4

8

HW_2

Mantenimiento no oportuno a los equipos de cómputo y comunicación.

2

3

6

HW_3

Corto circuito en equipos de cómputo y comunicación.

1

4

4

HW_4

La manipulación no autorizada de periféricos

3

3

9

ACC_1

Acceso de personal no autorizado

2

3

6

ACC_2

Bloqueo no autorizado o planeado. Falta de cumplimientos estrictos de las políticas para el acceso a elementos no permitidos. Personal no especializado en perfiles de manejo de cámaras.

2

4

8

3

3

9

1

3

3

RH_2

No cumplimiento estricto de las funciones asignadas

2

3

6

RH_3

Uso indebido del tiempo laboral del personal

2

3

6

1

3

3

1

3

3

RH_1

INF_2

Mala adecuación en algunos elementos en la infraestructura de comunicación. Incendios

INF_3

Desastres naturales (inundaciones, sismos)

1

3

3

INF_4

Falla en el fluido eléctrico

1

3

3

INF_5

Fallas de conectividad de red de comunicación

1

4

4

INF_1 Infraestructura

Daños en las aplicaciones y S.O por causas de virus informáticos. Acceso login no autorizado para modificaciones malintencionas a los sistemas de cómputo.

P

HW_1

ACC_3

Talento Humano

RIESGO

16

2.11.1

Valores de la tabla de análisis de riesgo.

Rangos escala de riesgo bajo riego

1a4

medio riesgo

6a8

alto riesgo

9 a 16

Escalas de probabilidad Insignificante

1

Bajo

2

Medio

3

Alto

4

Escalas de impacto Insignificante

1

Bajo

2

Medio

3

Alto

4

17