El documento resume una auditoría de sistemas de información realizada a la empresa Beca Centro Occidente, C.A. Evaluó el sistema SICOM utilizado para punto de venta y producción, incluyendo hardware, software, seguridad y actividades de los usuarios. Se identificaron oportunidades de mejora en la seguridad física y lógica de los equipos y en los niveles de acceso de los usuarios.
1. 1
AUDITORÍA BECA
CENTRO
OCCIDENTE C.A.
Auditoria de sistemas de información
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
2. 2
OBJETIVO
GENERAL
Redactar un informe
comprensivo de las
posibles fallas y errores
que se puedan presentar
en el uso y gestión del
sistema de punto de
ventas SICOM utilizado
por la empresa auditada.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
3. 3
OBJETIVOS
ESPECÍFICOS
• Evaluar los componentes
físicos (hardware) que
componen el sistema auditado
para la generalización de un
documento de estado.
• Determinar la interacción de
los usuarios con el sistema; el
manejo, control, y uso que
ejercen sobre el mismo para la
compresión del sistema a nivel
de los usuarios.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
4. 4
OBJETIVOS
ESPECÍFICOS
• Evaluar el funcionamiento de las
aplicaciones (software) que
componen el sistema auditado con
el propósito de la construcción de
una visión global de cómo funciona
el sistema.
• Evaluar las redes, tanto a nivel de
hardware como de software, que
actúan en el funcionamiento del
sistema auditado para la obtención
de posibles oportunidades de
mejora.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
5. 5
DESCRIPCIÓN
EMPRESARIAL
La empresa Beca Centro Occidente,
C.A., nace en Venezuela en el año
2000, ante la necesidad inminente de
descentralizar las operaciones,
producto del auge y la expansión, de
la marca “Burger King” en el país. Su
sede administrativa y legal se ubica
desde entonces en la ciudad de
Valencia, específicamente en la Urb.
La Alegría, Av. Bolívar Norte, Torre
Principal, Piso 7, Oficina 7-A.
Actualmente la empresa dirige las
operaciones de doce (12) restaurantes
de la marca “Burger King”, generando
así más de trescientos (300) empleos
directos en la región.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
6. 6
EVALUACIÓN DE
SISTEMAS
SICOM Systems Enterprise
Management Solution
Desarrollado por SICOM Systems,
proveedor norteamericano
ubicado en Doylestown,
Pennsylvania, Estados Unidos,
advocado al área de desarrollo de
puntos de venta avanzados para la
industria de los Restaurantes de
Servicio Rápido.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
7. 7
EVALUACIÓN DE
SISTEMAS
Kitchen Minder QSR (Quick
Service Restaurants)
Desarrollado por el proveedor
norteamericano Integrated Control
Corporation, y se encarga
básicamente de indicarle al
Operador de Alimentos (Crew) que
se encuentra laborando en el Broiler
(parrilla donde son cocidas las
carnes de hamburguesas en Burger
King) cuántas piezas de carne debe
colocar a cocinar.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
8. 8
EVALUACIÓN DE
SISTEMAS
Sistema de Auriculares y
Medición de tiempo Auto
Servicio de HME
Los sistemas de HM Electronics,
Inc. (HME) son los encargados de
permitir un correcto
funcionamiento de las
comunicaciones entre los
empleados y la clientela
involucrada en el proceso de
compra/venta a través del auto
servicio del restaurant.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
9. 9
EVALUACIÓN DE
SISTEMAS
Sistema de control de
asistencia de empleados por
capta huellas.
Este sistema se encarga de
registrar, a través de marcajes en
un terminal capta huellas, la hora
de entrada y salida de cada
empleado, con el fin de evitar
vicios y malversación de esta data
ya que la huella digital es única
para cada empleado y sin ella no
se puede registrar la asistencia.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
10. 10
EVALUACIÓN DE
SISTEMAS
Circuito de cámaras de
seguridad o CCTV
El CCTV de los restaurants varía
de uno a otro dependiendo del
tamaño de la tienda, en base a lo
cual variará el número de cámaras
y la capacidad del DVR en
cuestión según corresponda.
El DVR se conecta por red a la red
de acceso a Internet de la tienda
para que el CCTV sea accesible de
manera remota.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
11. 11
EVALUACIÓN DE
SISTEMAS
Ambos proveedores, tanto SICOM
Systems como Integrated Control
Corporation tienen, según sus
propias palabras, un compromiso
perenne para con la innovación y el
constante desarrollo de mejoras y
avances que garanticen que sus
sistemas estén en constante mejora
y optimización.
Sin embargo, más allá de eso resulta
imposible determinar avances en
tiempo real ya que ambos
proveedores se encuentran fuera del
país y no dan acceso a sus
operaciones por motivos de
confidencialidad industrial.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
12. 12
SEGURIDAD
LÓGICA
A nivel de seguridad lógica,
que es precisamente el alcance
objetivo de esta auditoría, el
sistema SICOM parece contar
de antemano con los requisitos
mínimos para asegurar un
nivel de seguridad acorde a la
importancia que tiene la
información que es manejada
por su sistema SEMS para la
empresa en cuestión.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
13. 13
SEGURIDAD
LÓGICA
Igualmente el sistema muestra
en papel sólidos procesos de
respaldo de la información, ya
que diariamente la base de
datos es respaldada en el disco
duro del terminal SL master e
inmediatamente copiada por
éste en un servidor externo a
través de Internet.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
14. 14
DERECHOS DE
AUTOR
SICOM Systems protege de manera
muy celosa sus derechos de autoría
sobre el sistema SEMS y por ello
gran parte de las fallas son
atendidas directamente por ellos
mismos accediendo de manera
remota al sistema, y en caso de que
no haya una conexión a Internet
disponible, te guían vía telefónica
para encontrar una solución sin dar
mayores explicaciones de los
motivos o causas. Igualmente no se
permite manipular los equipos a
nivel de hardware puesto pierden
automáticamente la garantía.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
15. 15
PLANIFICACIÓN
DE LA AUDITORÍA
Alcance, Objetivo, criterio y manejo de
recursos
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
16. 16
ALCANCE
Se evaluará el sistema general de
facturación de la empresa, SICOM
SEMS. Basándose la investigación
en el control de los recursos que
aseguran la integridad de la data
en este y generada por los
usuarios, así como los diferentes
niveles de acceso y su uso.
También se apreciarán el flujo de
los datos desde la entrada en las
terminales de facturación hasta el
control de la alta gerencia la cual
genera una cierta cantidad de
reportes para la toma de
decisiones de la empresa.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
17. 17
OBJETIVO
Esta auditoría tiene como
propósito determinar la exactitud
de los procesos que están
establecidos en el sistema de
facturación de Burger King. Para
así poder generar un reporte
completo de las áreas donde se
encontraron oportunidades de
mejora.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
18. 18
ALCANCE
Se basa en la recolección de la
información y entrevistas con los
empleados, encontrar
oportunidades de mejora en la
empresa y reportar las mismas a
ésta.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
19. 19
MANEJO DE
RECURSOS
Entrevistas con el personal que
utiliza el sistema a diario, así
como también con la alta gerencia
para determinar el
funcionamiento del sistema en la
actualidad. Estas entrevistas
estarán pautadas con anterioridad
con la alta gerencia para no
interrumpir las operaciones
normales de la empresa.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
20. 20
EVALUACIÓN
FINAL
Equipos, seguridad, personal y
actividades informáticas
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
21. 21
EVALUACIÓN DE
LOS EQUIPOS
La adquisición de los equipos
importados, todos aquellos
relacionados con SICOM Systems,
se lleva a cabo previo a la apertura
de cada restaurant, dependiendo
de las dimensiones del mismo, ya
que en base a ello y al volumen de
clientes estimado que atenderá la
tienda dependerá el número de
terminales que serán adquiridos.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
22. 22
EVALUACIÓN DE
LOS EQUIPOS
Los equipos pertenecientes al sistema
SICOM vienen ya configurados para
trabajar bajo los estándares de Burger
King Venezuela desde EEUU, por lo
que el personal técnico de Beca
Centro Occidente, C.A., únicamente se
limita a instalar y conectar
correctamente cada terminal y equipo
en su sitio correspondiente. Luego de
ello la BD es cargada en el terminal
master y el sistema ya se encuentra
configurado como el de cualquier otro
restaurant de la cadena a nivel
nacional.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
23. 23
EVALUACIÓN DE
LOS EQUIPOS
Actualmente, proyectos de
adquisición que incluyan equipos
que no han sido utilizados
anteriormente no existen.
Las nuevas adquisiciones vienen
sobre la marcha cuando se
apertura una nueva sucursal o
bien cuando algún equipo se
avería y no tiene reparación y debe
ser reemplazado.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
24. 24
EVALUACIÓN DE
LOS EQUIPOS
Toda la información que genera y
concierne al sistema de facturación y
producción SICOM es almacenada por
el mismo en sus discos duros
principal y el de respaldo ubicados en
el terminal SL master. Dichos
terminales cuentan con una batería
que les da hasta seis (6) horas de
autonomía en caso de apagones, así se
garantiza la integridad y el correcto
respaldo de la BD.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
25. 25
EVALUACIÓN DE
LOS EQUIPOS
Cada tienda cuenta con los
servicios básicos de comunicación
que se ofrecen en el país
actualmente, siendo éstos:
telefonía (CANTV regularmente o
en su defecto el proveedor de la
zona), acceso a internet y correo
electrónico (CANTV regularmente
o en su defecto el proveedor de la
zona).
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
26. 26
EVALUACIÓN DE
LOS EQUIPOS
En cada tienda existe una red
interna basada en tecnología
Ethernet para la integración de
todos los componentes del sistema
de facturación y producción
SICOM. Cada terminal se
encuentra interconectado con los
demás a través de esta red que
tiene su punto de encuentro en un
switch central.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
27. 27
EVALUACIÓN DE LA
SEGURIDAD
El computador de la gerencia, a través
del cual se accede a la aplicación web
del SICOM, correo corporativo, y
demás aplicaciones de oficina
necesarias para el óptimo
funcionamiento del restaurant, se
encuentra protegido de manera lógica
contra uso no autorizado a través de
los mecanismos regulares que ofrece
Windows XP (sistema operativo bajo
el cual trabajan los PC Gerenciales de
los restaurantes) de cuentas de
usuario y clave secreta, habiendo una
sola cuenta para todos los gerentes.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
28. 28
EVALUACIÓN DE LA
SEGURIDAD
La seguridad lógica de los equipos
muestra ser robusta, para ingresar a
la aplicación web que permite
configurar las opciones del sistema
SICOM se debe contar con un usuario
y una clave, los cuales sólo pueden ser
creados por el personal de sistemas.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
29. 29
EVALUACIÓN DE LA
SEGURIDAD
Cada usuario es asignado a un nivele
de acceso que limita la cantidad y
variedad de funciones a las cuales
puede acceder. Únicamente a los
gerentes de restaurant se les crea un
usuario y el acceso del mismo se
limita a la manipulación de opciones
básicas propias de un gerente como
montaje y desmontaje de cajeros,
manejo de inventarios, apertura y
cierre de facturación, supervisión
remota de las pantallas de cada uno de
los terminales activos, consulta e
impresión de reportes variados, etc.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
30. 30
EVALUACIÓN DE LA
SEGURIDAD
La consulta y auditoría del material
grabado a través del CCTV es de uso
exclusivo del personal de sistema y de
la alta gerencia de la empresa
(Gerentes de Operaciones, Directores
Generales, Gerente General); los
gerentes de tienda no pueden acceder
al mismo.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
31. 31
SEGURIDAD FÍSICA
DE LOS EQUIPOS
La seguridad física de los equipos
podemos destacarla de aceptable.
En al menos un noventa por
ciento de las ocasiones, los
equipos relevantes como el PC de
la Gerencia, el DVR del CCTV, los
terminales SL del sistema SICOM,
los dispositivos biométricos de
control de asistencia, los
controladores de video de los
monitores de Producción.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
32. 32
SEGURIDAD FÍSICA
DE LOS EQUIPOS
Los switches y routers de redes,
contaban todos con su respectiva
protección contra sobre-voltajes y en
muchas ocasiones contaban con un
UPS ya sea externo o propio (los
terminales SL del sistema SICOM y los
dispositivos biométricos cuentan con
UPS internos propios).
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
33. 33
SEGURIDAD EN EL
PERSONAL
La seguridad en el personal viene
dada principalmente por el juicio
que tenga la persona sobre la
importancia del manejo prudente
de los nombres de usuario y/o
claves de acceso a los diversos
módulos de configuración y
consulta de los sistemas
presentes, así como del resguardo
adecuado de las tarjetas Manager
del sistema SICOM.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
34. 34
SEGURIDAD EN EL
PERSONAL
Las PC de los Gerentes de tienda
cuentan con licencias originales
Kaspersky por lo que en este
punto se consideran aceptables
las medidas con las que cuenta la
empresa.
La empresa cuenta con pólizas de
seguro que cubren todos los
equipos presentes en las tiendas.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
35. 35
SEGURIDAD EN EL
PERSONAL
No existe un plan de contingencia
ni procedimientos especificados
en la empresa para casos de
desastre. Las tiendas cuentan con
UPS y plantas autónomas de
energía que suplen de corriente
eléctrica al restaurante en su
totalidad en caso de apagones y
fallas mayores en el suministro
eléctrico, dándole autonomía
operativa a las tiendas de hasta
seis horas.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
36. 36
ACTIVIDADES
INFORMÁTICAS
En operación y desarrollo
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
37. 37
SISTEMAS EN
OPERACIÓN
Se puede determinar que la
empresa actualmente posee una
situación estable de los sistemas,
con una baja cantidad de reportes
en errores de los mismos. Sin
embargo la misma no posee un
plan para controlar la situación
en caso de que surja un problema
y delega todo a una sola persona
que en este caso se hace
indispensable para el manejo de
los diferentes sistemas.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
38. 38
SISTEMAS EN
OPERACIÓN
La empresa no posee los
esquemas de los sistemas por lo
que se desarrollara esta actividad
netamente con la observación del
auditor. El sistema de producción
posee una composición de una
base de datos en la nube, la cual
es controlada por una aplicación
web y una de escritorio en Linux.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
39. 39
SISTEMAS EN
DESARROLLO
Actualmente la empresa utiliza
una compañía de Software
contratada para el diseño de sus
sistemas por lo cual no existe
información en esta de sistemas
en próximo desarrollo.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
40. 40
EVALUACIÓN DEL
PERSONAL
Participación y entrevistas realizadas
dentro dela auditoría
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
41. 41
PARTICIPACIÓN
INTERNA
La participación del personal con
los auditores fue de gran ayuda.
Todo el personal estuvo
completamente dispuesto a
describir las actividades que
desempeña en su labor diaria,
apuntar los riesgos y hallazgos
que existen actualmente en la
empresa como también entregar
los diferentes documentos
pertinentes a la investigación.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
42. 42
EVALUACIÓN DE LA
INFORMACIÓN
Se puede decir que los sistemas
cumplen con las necesidades de
los empleados y los
requerimientos de los mismos, al
punto en el que los empleados
subutilizan el sistema y
desaprovechan diferentes
oportunidades que el mismo
ofrece para facilitar la labor que
desempeñan.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
43. 43
EVALUACIÓN DE LA
INFORMACIÓN
Un ejemplo de esto es el
inventario, el empleado podría
entrar al módulo de inventario del
sistema, cargar que se compró y el
sistema descuenta
automáticamente por cada venta
que se haga del inventario lo que
se consume, sin embargo los
empleados de la gerencia llevan
esta labor a mano por
desconocimiento del mismo.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
44. 44
RESUMEN Y
CONCLUSIÓN
Debilidades, Fortalezas, conclusiones y
recomendaciones.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
45. 45
DEBILIDADES
Con respecto a las debilidades
podemos decir que no
encontramos muchas, es un
sistema verdaderamente
completo, aunque el hecho de que
los problemas que presenten las
terminales solo los atiendan
personas de afuera del país es algo
limitante, esto representa una
debilidad, si por ejemplo se quiere
algo más personal simplemente la
empresa no presta ese servicio.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
46. 46
FORTALEZAS
Dentro de las fortalezas de SICOM
tenemos que las soluciones de
gestión de la empresa le darán
acceso inmediato a la información
sin tener que invertir miles de
dólares para crear y mantener una
infraestructura de TI.
SICOM ofrece flexibilidad y
confiabilidad a un costo
significativamente menor que las
soluciones de la competencia.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
47. 47
CONCLUSIONES
Los resultados obtenidos en
el presente trabajo de
investigación del caso
estudio a la empresa Beca
Centro Occidente, C.A., nos
llevan a las siguientes
conclusiones.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
48. 48
CONCLUSIONES
En sentido amplio podemos
decir, que los sistemas de
información, comprenden
los medios para almacenar,
procesar y manipular datos
de cualquier naturaleza,
mediante el uso de diferente
software con diferentes
funciones o
especificaciones.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
49. 49
CONCLUSIONES
La empresa en estudio no
presenta muchos problemas a
nivel lógico, físico o humano.
Presenta unos sistemas muy
bien estructurados que trabajan
de una manera estándar de la
cual han venido trabajando por
muchísimos años. Esto le brinda
mucha experiencia lo cual le
permite saber o estar prevenidos
a problemas anteriormente
presentados.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
50. 50
RECOMENDACIONES
Recomendamos a la empresa
poseer un departamento de
sistemas, de manera de que los
problemas técnicos, aunque se
resuelvan a larga distancia, sea
más fácil su control así como
poseer proveedores nacionales de
manera de poder determinar
avances en tiempo real
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
51. 51
GRACIAS
Informe de Auditoría de Sistemas de
Información.
Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez