Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Untitled Prezi

No description
by

mario oyuela

on 15 June 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Untitled Prezi

Excel Automotriz
Capitulo 2
Capitulo 4
Inventario de direccionamiento ip
Capitulo 1
¿Quien es Excel Automotriz?
Misión
En Excel Automotriz, nuestra misión es proveer a nuestros consumidores con una experiencia de compra y posesión, que consistentemente satisfaga las necesidades de cada consumidor y exceda sus expectativas, crear valor para los accionistas, empleados y la comunidad, con principios éticos, preservando nuestro medio ambiente.
Instalaciones
CÉSAR FERNANDO SOLÍS MAYÉN

MARIO ALBERTO OYUELA HENRIQUEZ

JORGE ALBERTO ZÚNIGA MONTES

CRISTIAN SALVADOR OYUELA PÉREZ

ADÁN ALEXANDER ROVELO GRANDE

INTEGRANTES
Es la división automotriz del Grupo POMA, origen y base de la expansión del mismo, y la distribuidora líder de Centro américa, número uno en ventas de vehículos nuevos, líder en vehículos atendidos en talleres de servicio y en concesión de créditos para la adquisición de vehículos nuevos para empresas y particulares. Fue la aplicación de una estrategia empresarial vanguardista, integral y capaz de traspasar las fronteras, la que llevó a Excel Automotriz a convertirse en el mayor consorcio automotriz de la región.
Visión
Alcanzar la posición de líderes y tener la más alta consideración del mercado en nuestra industria regional en satisfacción de compra y posesión de nuestros productos y servicios.
Organigrama
Organigrama del departamento de IT
Organigrama IT Local
Diagrama de Infraestructura de la red
Personas
• La empresa cuenta con planes de evacuación o acción en caso de siniestro, existe una señalización sobre salidas de emergencia y extintores a la vista
.
• Así como una capacitación de cómo actuar ante un siniestro u otro desastre.

Equipamiento
El edificio donde tiene su Data Center Excel Automotriz se encuentra ubicado en la Colonia Miramontes contiguo a MegaLarach,
Esta es una de las sucursales con las que cuenta la empresa en el país y una de las tres que existen en Tegucigalpa.

En estas instalaciones se encuentra dos edificios, uno para ventas de vehículos Hyundai y otro para ventas de vehículos Honda integradas con un Taller de Servicio el cual ofrece servicio a las cuatro principales marcas de la empresa. El principal en donde se realizan todos los trámites administrativos y ventas de la marca Mitsubishi es la que está ubicada en residencial la Hacienda frente a ministerio de trabajo, estas sucursales descritas cuentan con una cafetería exclusiva para los empleados.

El departamento de IT está ubicado dentro del edificio principal Hyundai, al ingresar por la puerta principal no existe ningún tipo de seguridad ni se requiere de ningún documento. El departamento de IT se encuentra protegido por un dispositivo electrónico de acceso al cual se le debe de ingresar un código o tarjeta de proximidad para poder ingresar al mismo. Del mismo modo la puerta del DataCenter tiene el mismo tipo de seguridad.

El cuarto de comunicaciones se encuentra a la par de las oficinas de soporte técnico el cual contiene bajo llave una puerta, dentro de este se encuentran dos racks uno para telefonía y otro para datos, este mismo contiene los diferentes Switches y Routers de comunicación.

Rol de Infraestructura de Excel Automotriz
El rol de infraestructura es el responsable de manejar eficientemente la infraestructura de Tecnología de Información de la empresa.
Equipo de Cómputo
La organización cuenta con un inventario de equipo de cómputo, en el que se lleva un control de los equipos que están actualmente en uso y la administración de las personas a las que se les asigna dicho equipo,
Al asignar el equipo cada usuario firma un control de entrega de equipos el cual es custodiado por el departamento de contraloría,
El control está bajo la documentación ITEA_2.2.001 (FORMULARIO Lista de recursos por usuario)
Data Center
Estaciones de Trabajo
• 200 computadoras a nivel nacional.
• La organización cuenta el equipo necesario para el funcionamiento de la misma.

Servidores
• 2 servidores FUJITSU
• 1 RACK
• 1 Gabinete

Extintor tipo BC.
Los Ambientes
En la organización se cuenta con personal limitado para soporte de sistemas, todos en el personal de IT deben estar atentos para resolver cualquier problema con que tenga que ver con Hardware y Software aun cuando tenga trabajo pendiente.
Puntos fuertes
• La organización cuenta con suficiente equipo para la realización de sus funciones y la ejecución de sus aplicaciones.

• El equipo actual con el que cuenta la organización se renueva de forma constante, lo cual permite tener tecnologías recientes para implementar en la organización.

• El personal adquiere conocimientos y experiencias para la solución de problemas.

• El data center tiene su propia habitación bajo llave, que impide el acceso a personas distintas al área de IT.

• Existe equipamiento adecuado para el manejo de la mayoría de los equipos de cómputo.


Puntos debiles
• Falta de personal.

• No se cuenta con un inventario para el equipo de comunicaciones, Switches y Routers.


Hallazgos
• Se puede observar que el personal está capacitado pero es muy poco cuando surgen varios imprevistos y esto tiende a la acumulación de trabajo bajo esta circunstancia.
Propuesta de solución
• Realizar el inventario de la planta de comunicaciones y detallar la función que tienen los Switches y Routers con los que se cuentan.

Se recomienda un TIER I debido a que el rubro específico es Ventas y Servicios de Autos, operación transaccional no muy concurrente que se puede suplir con esta norma.
Continuidad del Negocio
• Se recomienda la instalación de una planta eléctrica para obtener una disponibilidad del negocio en la sucursal central donde se maneja el Data Center.
• Se recomienda la implementación de servidores espejo para un mejor respaldo de la información.
• Cierta parte de la pared del DataCenter son de vidrio, se recomienda que Las paredes que protegen a este deban de ser en su totalidad de concreto para evitar incidentes internos como ser quebradura de la misma por accidente o por intromisión maliciosa.
• Se recomienda un manteniendo programado de los Servidores y UPS donde este último se pueda constar la vida útil de las baterías.
• Se recomienda estructurar el cableado en un piso falso ya que en la parte superior es vulnerable a animales roedores, goteras, u otros incidentes.

PomaSoft- PS-DRIVE
• Administrar las actividades de la empresa en cada una de las áreas que la conforman.
• Controlar los accesos de los usuarios de una manera administrable.
• Brindad un CRM para los seguimientos de clientes en los rubros de ventas y servicio
• Ofrecer un servicio de Taller de Mecánica y pintura con pantallas de información con el fin de agilizar el proceso del servicio.

Auditoría de aplicaciones
• POMASOFT ( Desarrollado internamente)
• OfficeStd ALNG LicSAPK MVL
• OfficeStd ALNG SA MVL
• Windows Server 2003
• Windows Server 2003R2, x32
• Windows Server 2003R2, x64
• Windows server 2008 STD/ENT-KMS
• Windows server 2008 STD/ENT-MAK
• Windows vista
• Windows vista
• Windows xp prof x64 ED.
• Windows xp professional
• SLP Server Eterprise
• SLP Server Standard
• SQLCAL ALNG SA MVL UsrCAL
• Active directory

Inventario de software
Objetivo del Sistema
POMASOFT con más de 13 años en desarrollo ofrece una gran cantidad de herramientas para el uso de los empleados en cada una de sus actividades diarias, al contar con más de 890 módulos de trabajo viene a ser una aplicación de un tamaño considerable, que alberga cada una de las herramientas utilizada en el desarrollo de actividades de los empleados.
Una interface basada en Visual Studio 6.0 SP6
Aquí observamos los módulos al que el usuario puede ingresar. En este caso de un usuario con privilegios, en este módulo él puede dar acceso a ciertos módulos del programa a los demás usuarios que requieran de su uso, así como quitar permisos a los usuarios.
Aquí vemos el módulo de ventas y como este elabora una cotización.
Vista previa del reporte que genera el área de compra al realizar una cotización.
Aquí se muestra parte de los módulos que comprenden un total de ochocientos noventa
Proyectos identificados
Líder de Proyecto: Considerando que existe una cantidad considerable de proyectos que se sugiere sean implementados en el año 2007 y durante el proceso de estabilización de la plataforma tecnológica, se recomienda ver la factibilidad de disponer de dos personas para el puesto de Líder de proyecto durante este primer año.

Nivel de servicio actual: La Organización mencionada en los documentos de propuesta de este proyecto, considera que el Centro de Datos se encontraría estandarizado y en operación, entre tanto esto ocurra los cambios a nivel organizacional deberán de efectuarse con suficiente planificación para no afectar el nivel de servicio actual que se brinda en los diferentes países donde opera Excel Automotriz.


Grupo de Operaciones: Respecto a la incorporación de arquitectos para el diseño, nivelación y puesta en operación de la nueva infraestructura, se recomienda que aquel grupo de colaboradores del área de Operaciones (mencionado en el documento de Propuesta Organizacional) trabaje muy de cerca con estos arquitectos desde el inicio del proyecto a fin de aprovechar todo este proceso de Análisis (visión, alcance), Planificación, Desarrollo e Implementación como parte de su proceso de inducción o bien capacitación.

Capacitación formal: Se recomienda que el equipo de trabajo propuesto para Tecnología de Información sea capacitado formalmente en el uso de marcos de trabajo tales como: Microsoft Solution Framework (MSF); Microsoft Operation Framework (MOF) y Windows Server System Reference Architecture (WSSRA). Mucha de esta información puede ser consultada en forma gratuita desde www.microsoft.com.
Recomendaciones
• Puede tornarse un tanto difícil intentar migrar la aplicación a una aplicación web ya que por la gran cantidad de módulos que contiene se vería laborioso pasar todos los módulos a una sola plataforma.
Puntos debiles
Hallazgos
• Se pudo observar que se está vigente con el licenciamiento de aplicaciones.
• Un buen control en la seguridad de la aplicación auditada.
• La capacitación de este sistema puede llegar a ser algo que requiera mucho tiempo, debido al tamaño de esta y de la gran cantidad de módulos con los que cuenta. Tomaría unos 6 meses poder familiarizarse con dicha aplicación.
• Se cuenta con la documentación debida de control de versiones
• El rol de Desarrollo nos viene a certificar que los proyectos y en consecuencia el código del PomaSoft está bien documentado.

Capitulo 3
Roles y manuales de puesto
Control de acceso a formas de Poma Soft.
Plan de monitoreo de LOGS
Rol de Seguridad
Rol de seguridad
Rol de soporte
Rol de Servicio

Verificación de plan de contingencia
La organización no cuenta con un plan de contingencia documentado, aunque actualmente se está trabajando en uno a partir de una observación que se dio a la organización en una auditoria que se dio anteriormente.
Verificación del plan de recuperación contra desastres
La organización no cuenta con un plan documentado para la recuperación contra desastres,

aplican una serie de procedimientos y políticas que no están documentadas para la previsión y manejo de la información.

Los equipos están asegurados por Banco de PAIS en lo que es Honduras

Verificación de sitio alterno

Se pudo constatar la existencia de un sitio alterno para el respaldo de la información en Miami, Florida.
Puntos fuertes
• La existencia de la documentación pertinente a los roles de puesto, así como la de los manuales de acceso a las aplicaciones y el plan de monitoreo de logs.
• Se pudo confirmar la existencia de un sitio alterno en Miami, florida para el resguardo de la información.

Puntos debiles
• No existe un plan de contingencia por parte de la organización.
• No se cuenta con un plan de recuperación ante desastres.

Hallazgos
• Se pudo constatar la existencia de los roles de puesto y manuales debidamente documentados.
• La existencia del sitio alterno se pudo verificar atreves de una captura que muestra el dominio del servidor en Miami, Florida.
• La falta de un plan de contingencia, aunque se está trabajando en una a raíz de una recomendación previa.
• La falta de un plan ante la recuperación ante desastres.

Solución
Se podrá tomar medidas de un plan de contingencia en la empresa de AutoExcel tales como ser optimizar los esfuerzos y recursos necesarios para atender cualquier contingencia de manera oportuna y eficiente, definiendo las personas responsables de las actividades a desarrollar antes y durante la emergencia, se les permitirá una respuesta rápida en caso de incidentes, accidentes o estados de emergencia. También se les permitirá ejecutar un conjunto de normas, procedimientos y acciones básicas de respuesta que se deberían tomar para afrontar de manera oportuna, adecuada y efectiva, ante la eventualidad de incidentes, accidentes y o estados de emergencias que pudiera ocurrir tanto en las instalaciones como fuera d ellas.
Para un plan de contingencia en la empresa se requiere la participación de:
El personal del área de informática (Sistemas de información, soporte técnico, operaciones, redes, desarrolladores) Los usuarios como dueños de los sistemas y la alta administración como agentes de apoyo en las tomas de decisiones. Este personal es responsable de la definición de objetivos y las etapas necesarias para alcanzarlos, lo que conlleva a la puesta en marcha del plan.

Sistemas operativos
Aplicaciones
Datos
Red
Diseño, desarrollo e implementación de un plan de contingencia en la empresa
Determinar requerimientos del Negocio con respecto a Recuperación en Caso de Desastre
Determinar los requerimientos de TI.
Diseñar la solución de respaldo y recuperación.
Determinar la estrategia de respaldo y recuperación
Implementar la solución de respaldo y recuperación.
Probar, mantener y actualizar la capacidad de respaldo y recuperación

Recuperación de servicios informaticos
Plan de Recuoperación ante desastres
El árbol telefónico: para notificar todo el personal clave del problema y asignarles tareas enfocadas hacia el plan de recuperación.

Reservas de memoria: si las cintas de reserva son tomadas fuera de sitio es necesario grabarlas.

Clientes: la notificación de clientes sobre el problema reduce al mínimo el pánico.

Instalaciones: teniendo sitios calientes o sitios fríos para empresas más grandes.

Trabajadores con conocimiento: Durante desastre a los empleados se les requiere trabajar horas más largas y más agotadoras. Debe haber un sistema de apoyo para aliviar un poco de tensión.

La información de negocio: Las reservas deben estar almacenadas completamente separadas de la empresa.

Pasos que se puedan realizar para un plan de contingencia en la empresa
1)Elaborar una detección de riesgos generales de las localidades en las que se desenvuelve dicha Asociación, esto se conoce como Análisis de Riesgos.

2) El plan debe tener información, previa o una introducción que contenga lo sig: lugares físicos, con mapas de la organización, actividades que realiza dicha organización, miembros que la forman, recursos con los que cuenta, empresas que la circundan, si forma parte de otros grupos o asociaciones.

3) Organización y estructura para la atención de emergencias: organigramas de comités de emergencias, brigadas de emergencias, servicios médicos, servicios de apoyo internos y externos como policía, bomberos, servicios médicos, transporte, etc. Debe quedar muy claro quien toma las decisiones y el nivel de delegación en cada situación o contingencia.

4) En base al Análisis de Riesgos, se tendrá una sección con las instrucciones de qué hacer en cada una de las emergencias posibles encontradas, como: incendios, sismos, inundaciones, robo con violencia, etc. Cada uno de los riesgos deberá tener las instrucciones para: empleados, mandos medios y comités de ejecutivos, qué deben hacer cada uno de ellos en general.

5) Secciones de anexos con: mapas y rutas de evacuación, datos personales de emergencia de todos los miembros de la asociación y teléfonos de contactos importantes para la atención de las emergencias.

Controles de seguridad en base de Datos
Se limitan tres niveles de atención a usuarios en el proceso de resolución de incidentes y problemas relacionados a la tecnología de información. Cada nivel tiene un ámbito de complejidad que puede ser bajo, medio y alto, contando con un tiempo de respuesta máximo de 30, 60 y superior a 60 minutos respectivamente.
Puntos fuertes
• Se cuenta con inventario de direccionamiento IP.
• Se cuenta con la documentación de políticas de seguridad informática.
• Uso de estándares internacionales para la regulación de tecnología de la información.
• Se cuenta con políticas para el manejo correcto de las bases de datos.

Puntos débiles
• Estándares que no se han actualizado a los de uso actual.
Hallazgos
• Se pudo corroborar la existencia de un inventario de direccionamiento IP.
• La documentación con respecto a las políticas de seguridad resulto ser muy completa y especifica.
• Cuenta con un control de manejo de bases de datos estipulado en un documento adecuado.
• Estándares adecuados pero desactualizados.

Soporte Técnico
Se encuentra con ITIL y la norma ISO 17799.
Redes
Documentación de cableado estructurado con CAT5 y redes inalámbricas sin un rol de seguridad definido.
Sistemas Operativos

En la documentación se encuentra documentación con instalaciones de al menos Windows 2000, este ya no cuenta con soporte
Se encontraron Servidores con versión de Sistema Operativo Windows 2003 R2. Y los mismos sin garantía de misión crítica.
Servidores
Aplicaciones
La aplicación principal del sistema se encuentra bajo la plataforma Visual Basic 6.0 la cual ya no cuenta con soporte después del presente año.
No se cuenta con inventario de Switches, tampoco se encuentran configurados para brindar más seguridad en los mismos. No se cuenta con un inventario de Software instalado.
Inventarios
Propuesta de solución
Se recomienda un TIER I debido a que el rubro específico es Ventas y Servicios de Autos, operación transaccional no muy concurrente que se puede suplir con esta norma.

Continuidad del Negocio

• Se recomienda la instalación de una planta eléctrica para obtener una disponibilidad del negocio en la sucursal central donde se maneja el Data Center.
• Se recomienda la implementación de servidores espejo para un mejor respaldo de la información.
• Cierta parte de la pared del DataCenter son de vidrio, se recomienda que Las paredes que protegen a este deban de ser en su totalidad de concreto para evitar incidentes internos como ser quebradura de la misma por accidente o por intromisión maliciosa.
• Se recomienda un manteniendo programado de los Servidores y UPS donde este último se pueda constar la vida útil de las baterías.
• Se recomienda estructurar el cableado en un piso falso ya que en la parte superior es vulnerable a animales roedores, goteras, u otros incidentes.

Disponibilidad
Si bien las licencias se compran anualmente se debe de mantener un inventario actualizado de las mismas para asegurar el uso de solo software legal en la organización y así evitar piratería que ponga en riesgo la misma.
Licenciamiento
Soporte tecnico
Está documentado con ITIL y la norma ISO 11799, se recomienda actualizar a la norma 27001 ya que la anterior está descontinuada.
Redes
Se recomienda actualizar el documento de rol de Infraestructura de CAT5 a CAT-6 esto para optimizar la velocidad de las redes LAN y WAN ya que las mismas son las tendencias actuales de las tecnologías.

Las redes inalámbricas deben contar con una seguridad al menos WPAD ya que en la documentación no se evidencia una normativa para esta y en las muestras se detectó seguridad WEP la cual es muy vulnerable.

SLA
Se debe considerar en la documentación el acuerdo de nivel de servicio, tomando la muestra de los contratos se puede evidenciar el 99.9 % de disponibilidad están en los contratos, pero para futuras licitaciones es importante no dejar fuera esta base.
En el rol de Sistemas operativos nos encontramos con instalaciones mínimas de Windows 2000, se recomienda actualizar a una instalación mínima de Windows 2008 ya que las anteriores carecen de soporte y son vulnerables.
Actualizar documentación
Considerar Actualización Visual 6.0
Se recomienda la actualización de la plataforma a .net, a pesar del impacto de esta por lo grande que es el PomaSoft. Esto se puede ir ejecutando gradualmente.
No es recomendable contar con servidores con versiones 2003 R2 como es el escenario actual de algunos. Por lo tanto se recomienda migrar a Windows server 2008.
Migrar los Sistemas Operativos
Cabe mencionar que la experiencia vivida en la auditoría de Excel Automotriz es muy enriquecedora como grupo ya que se puede ver la diversidad de información que está sujeta a revisión y definitivamente una auditoría nos conlleva a evaluar área por área como lo son Soporte Técnico, Infraestructura, Desarrollo, Seguridad Etc. Excel Automotriz cuenta con una gama de tecnología de punta a pesar que su aplicación principal PomaSoft se encuentra en una plataforma casi obsoleta como lo es Visual Basic 6.0 el mismo esta soportado por una versión robusta de procedimientos almacenados en SQL Server 2008 R2 así mismo la integración de aplicaciones Web ha venido a contribuir enormemente a la operación del negocio y dar un poco más de soporte al PomaSoft. La arquitectura de Red es de primer nivel como ser enlaces de hasta 100 MB y una interconexión regional que hace de Excel Automotriz un lugar para trabajar en cualquier sitio de la región apoyando a los Gerentes y Directores en sus viajes para obtener información disponible lo que eficienta la toma de decisiones de los mismos. Excel Automotriz cuenta con una infraestructura que permite hacer conferencias a nivel regional con la herramienta LYNC la cual es apta para videoconferencias, teleconferencias y compartimiento de recursos e información.

Excel Automotriz paga sus licencias anualmente lo que garantiza obtener el software seguro.

Esta organización apunta también a brindar un servicio de soporte técnico con la herramienta Service Manager con lo cual se busca optimizar el servicio en las incidencias diarias y brindar una mejor atención al cliente interno lo que hace más eficaz el servicio
a ellos.

El departamento de desarrollo se encuentra centralizado en dos países, uno El Salvador donde se desarrollan las mayorías de las aplicaciones y Guatemala que desarrolla exclusivamente para el Taller de Servicio de Excel Automotriz manteniendo un control de versiones del Software entre los cuales podemos exponer que el Pomasoft ha venido desde la versión 1.0 creada en el año 2,000 hasta hoy en día la versión 8.0 en producción. Por ejemplo podemos mencionar ciertos módulos como ser TEA que se encuentra en versión 3, REA que se encuentra en versión 4 y CEA que se encuentra en versión 5 así mismo el reporte general de formas nos arroja “Forma + 4” lo que estandariza a nivel regional la aplicación por forma en dicha versiones.

Excel Automotriz piensa día a día en la seguridad de su información es por ello que busca optimizar su infraestructura implementando tecnología de punta como ser un sitio NAT (Network address translation) en Miami encerrando en este sitio el correo electrónico y su controlador de dominio padre de toda la región de la organización.

El contenido de este proyecto es extenso y podemos concluir que falto mucho por documentar ya que la empresa cuenta con la documentación evidenciada de sus distintas operaciones IT lo que hace que Excel Automotriz sea confiable en la integridad de su información pero también hemos dejado las distintas recomendaciones según lo puntos vulnerables encontrados.

Comentario del proyecto
Conclusiones
• Con respecto al licenciamiento se puede alabar a la empresa por estar al día con este y esto se pudo corroborar dando una vista a cajas, factura así como al portal de descarga de software en este caso el de Microsoft.
• El POMASOFT resulta ser una herramienta de la más completa por las diversas tareas que esta puede realizar mostrando una alta gama de módulos así como una seguridad impecable en los módulos que se observaron.
• Excel Automotriz es el nombre comercial de la empresa que auditamos el cual se divide en tres empresas legales como lo son AutoExcel, AsianCars y AutoMundo.
• Excel Automotriz cuenta con una topología de red tipo estrella.
• Pomasoft maneja de manera independiente la administración de las 3 empresas descritas en el anexo anterior.
• Las instalaciones están acondicionadas pero aún necesita reforzamientos.
• Excel Automotriz es una empresa grande por lo tanto su información es robusta y se trató de abarcar la mayor cantidad posible de la misma basado en los lineamientos del proyecto.
• Excel Automotriz no está certificado con ninguna norma IT pero busca aplicar las buenas prácticas de las mismas aunque nos encontramos con normas desactualizadas.
• Excel Automotriz cuenta con auditoría interna sin embargo no hay una orientada a Tecnologías de información.
• Excel Automotriz es auditada externamente en todas sus áreas anualmente por la reconocida firma Price Waterhouse Cooper.

Gracias
Full transcript