Cliente: Periodo Fiscal:

AAA Dominicana Diciembre de 2014

Prerado por: Fecha:
Carlos Fernández 21 de Octubre de 2014

Entendimiento de Tecnología de
Información
Organización de TI
Durante nuestra visita a AAA Dominicana, S.A., nos entrevistamos con Ceudy Rueda, encargada del
departamento de TI, Sr. Junior Ortiz, Administrador de servidores e Infraestructura y la Sra. Sarah
Morel, Encargada de Contabilidad (responsable del SAP BUSINESS ONE) con el objetivo de obtener un
entendimiento del área de tecnología.

En la institución AAA Dominicana S.A existe un Departamento de Tecnología que está integrado por
los siguientes 8 empleados:

 Jefe directo de encargada: Gerente General de AAA (Odett Hasbun)

 La encargada del departamento de TI: Ceudy Rueda
o Auxiliar administrativo y soporte técnico informática: Erick Méndez
o 2 Desarrolladores Web (Julio Cesar soriano y Albert Valdez)
 1 Administrador de base de datos y Desarrollador (Ingeniero de desarrollo y DBA) – Nelson
Sanchez
 1 Administrador de Aplicación de gestión comercial - Jairon Pérez
 1 Administrador de Servidores y Redes (Seguridad) - Junior Ortiz
 1 Soporte informática , Gil Cáceres

ITAS – Entendimiento de Tecnología de la Información – AAA Dominicana 2014

También cuentan con el siguiente Organigrama del departamento de TI:

Políticas de Tecnología de Información

La empresa posee las políticas de seguridad de manera formal, correspondiente a las carpetas que
suministra RR.HH a los empleados, a la hora de su entrada con los deberes y obligaciones. También
los encargados imparten una inducción global para informar de cada departamento y
responsabilidades. Además de que existen carpetas de trabajo compartidas digitalmente en un
servidor de archivos, para el acceso de los empleados.

Servidores Centro de procesamiento de Datos

El data Center está habilitado con 15 servidores y hay 3 más en el centro de cómputo, 18 en total. En
la central cuentan con 6 Switch, con sus racks. También tienen UPS, en el data center, uno es primario
para 4 horas y el otro es de emergencia para que los servidores sigan funcionando. El data center
posee aire acondicionado central y uno secundario de emergencia, además de Iluminación
fluorescentes, tiene un extintor, pero no posee sistema para control de incendio. El acceso al data
center es a través de un sistema automático con tarjeta y clave, el cual en este momento está recién
instalado, por lo cual no tienen log de acceso o bitácora.

ITAS – Entendimiento de Tecnología de la Información – AAA Dominicana 2014

 Conectividad (Infraestructura)

La red está estructurada como muestra la figura:

ITAS – Entendimiento de Tecnología de la Información – AAA Dominicana 2014

Poseen un punto central en Naco y las 6 estafetas conectadas a esta a través de conectividad virtual,
acceden remotamente a la central de la cual se suministran del internet y correo. Además cuentan con
lo siguiente:

 La red LAN tipo estrella (10/100 MB) que provee servicio a 232 usuarios.
 El acceso a Internet lo provee la compañía CODETEL a una velocidad 3Mbps.
 Las oficinas poseen conexión Virtual suministrada por CODETEL con el Ayuntamiento del Distrito
Nacional (ADN), Santiago y el proyecto ASDE.
 Cuentan con 16 Servidores y 200 maquinas
 En la central tienen 10 Swicht y 2 Reuters.

Aplicaciones
1. Sistema Financiero SAP BUSINESS ONE implementado por CEO DOMINICANA (Consultores
Empresario Organizacional) , para el manejo de la Contabilidad General, los cuales está compuesto
por los siguientes módulos:

 General  Compras – Proveedores

 Herramientas de personalización  Socios de Negocios
 Gestión  Gestión de Bancos
 Finanzas  Inventario
 Oportunidades de Ventas  Producción
 Ventas – clientes  MRP

2. Sistema Comercial Amerika, para el manejo de la documentación del área comercial, comprado
o adquirido a INASA, grupo empresarial. El sistema está compuesto de los siguientes módulos:

 Aseo
 Tributo
 Agua

3. Software de gestión de compras, para la solicitud y envío a proveedores.(Modulo de Solicitudes)

4. Software de solicitudes o Help Desk, maneja las solicitudes para el departamento de informática,
de compras, servicios generales y seguridad. Es desarrollado in house (AAA Dominica).

5. Sistema interno de control de inventario, para la asignación, ubicación, control de licencias de

equipos de informática y usado por el área de servicios generales. Desarrollado in house (AAA
Dominicana).

ITAS – Entendimiento de Tecnología de la Información – AAA Dominicana 2014

Confianza en los controles de TI
Según indagamos con la Sra. Ceudy Rueda se consideran confiables los controles de TI con los que
actualmente cuenta la organización, dice que hasta el momento se han logrado las metas, con respecto
a los sistemas que manejan las operaciones administrativas y financieras de AAA Dominicana; esto a
través de la documentación formal con la que cuentan por medio de instructivos IT, para controles de
TI.

Cambios a Significativos las Aplicaciones/Infraestructura de TI

En el momento de nuestra visita a AAA Dominicana, se estaba implementando el nuevo sistema de
acceso físico para el data center, a través de tarjeta y clave. Pero sus principales aplicaciones de
software financiero y TI han permanecido iguales respecto al 2013 cambios a mencionar:

 Interfases con las entidades bancarias (Sistema Comercial AMERIKA) colección de pagos a CAASD
Y otros, además del ADN.
 Actualización de versión de SAP BUSINESS ONE

Aplicaciones centralizadas a nivel de Grupo de Empresas.

En AAA Dominicana existe una aplicación central ubicada en Naco, la cual se interconecta con las
demás estafetas y proyectos, para compartir el servicio de internet o recibir soporte remoto.

Accesos a programas e Informaciones

Política de seguridad de la información / conciencia de los usuarios
La empresa cuenta con una documentación formal relacionada a las políticas de seguridad de la
información o concientización de los usuarios; lo cual funciona como mecanismo para concientizar a
los usuarios de sus funciones y responsabilidad con respecto al acceso de programa y datos. Recursos
humanos entrega la documentación al empleado en el momento de su ingreso a la empresa de manera
física. También cuentan con esta información de manera digital.

Configuración de las reglas de acceso

AAA Dominicana tiene definidos los roles, perfiles y accesos, para las diferentes áreas que hacen uso
de los diferentes sistemas. Cada encargado de departamento se encarga de que sus empleados tengan
definidos los accesos de acuerdo a sus perfiles y dependiendo de las aplicaciones específicas que
deben manejar, esto a través de rellenar un formulario de administración de perfiles, la cual es enviada
a los de TI para habilitar el acceso al empleado. Existe un instructivo de IT para la creación del usuario
y accesos.

ITAS – Entendimiento de Tecnología de la Información – AAA Dominicana 2014

Administración del Acceso
En AAA Dominicana, se cuenta con un documento o instructivo de administración de perfil, de manera
digital y físico, que define los procedimientos para vincular o desvincular usuarios de la empresa.
Según la encargada de TI Ceudy Rueda, para dar acceso a un nuevo empleado en el sistema Amerika y
la Red, se realice a través de un software desarrollado por la empresa. Al surgir una solicitud de
usuario, el encargado envía la solicitud a los gerentes correspondientes al área que tienen facultad
para aprobar, después es enviada a TI, para que creen el usuario en la red. Y para la desvinculación de
usuarios, recursos humanos vía correo notifica a TI, para que desactive a dicho usuario.

Y con respecto al sistema financiero SAP BUSINESS ONE, según nos informó la encargada de
contabilidad Sara Morel, para la vinculación y desvinculación de usuarios, se lleva a cabo con la
responsabilidad de la Sra. Morel y los Consultores de CEO sin embargo no existe un procedimiento
formal (A la fecha no hay caso de alta o baja de usuario a SAP, la rotación del personal de contabilidad
es cero en el periodo auditado y muy poco frecuente a cambio). Uno de los mecanismos para
asegurarse de que los perfiles son dados de baja en el tiempo apropiado, es mediante la validación que
hace TI, cuando RR.HH les envía un resumen mensual de los empleados salientes y con esto se ejecuta
la acción.

Identificación y autenticación
La empresa cuenta con políticas de contraseña formalmente documentadas.

En AAA Dominicana, los controles existentes para los cambios periódicos de contraseñas se definen
bajo el siguiente esquema:

Configuracion de Parámetros de la Red (Dominio):

Descripción Cantidad o Parámetros

Vigencia de contraseña 30
Intentos Fallidos de conexión, antes de bloquear el 3
usuario
Mínimo de Caracteres 8
Asignación de caracteres alfanuméricos Si

Parametrización del Sistema Financiero:

Descripción Cantidad o Parámetros

Vigencia de contraseña N/A
Intentos Fallidos de conexión, antes de bloquear el 3
usuario
Mínimo de Caracteres 8
Asignación de caracteres alfanuméricos Si
6

ITAS – Entendimiento de Tecnología de la Información – AAA Dominicana 2014

Vigilancia (Monitoreo)
La empresa AAA Dominicana no cuenta con un procedimiento formal de control de cambios; mas se
revisan los log o tablas de auditoría de las actividades de los usuarios a través de ORACLE; pero no
existe una revisión periódica de las actividades. Si ocurren hallazgos de importancia las aplicaciones
tienen su propio control de cambio, esto a nivel de sistema. Además de que se validan los log a través
de revisiones, esto para verificar el rendimiento de las bases de datos y rendimiento. Existe un
instructivo IT para el manejo de fallas. Y con respecto al sistema financiero cualquier solicitud de
cambio se notifica a finanzas para que lo autorice y luego se soportan de la compañía distribuidora del
software CEO.

Usuarios con privilegios especiales (Súper-Usuarios)

En la empresa, la distribución de los accesos está determinada por la aplicación específica y la función
del usuario. Además de que existe una segregación de responsabilidades dependiendo del cargo o
función que se realice, esto lo determina RR.HH y los encargados de departamentos. Poseen un DPT
o manual de descripción de puesto de trabajo, en el cual se definen las funciones y alcance, para cada
departamento.

Acceso físico
El cuarto de servidores o data center de AAA Dominicana, se encuentra ubicado en la primera planta,
contando este con un sistema electrónico de acceso, por clave y tarjeta al cual solo tienen acceso la
encargada, el administrador de redes y el desarrollador web; cualquier otra persona que requiera el
acceso es otorgado por la encargada al mismo. Se posee una aplicación donde se guardan un registro
del acceso. Los servidores y demás equipos de telecomunicaciones están bien distribuidos en sus
respectivos racks.

El data center está habilitado con aire acondicionado, extintor, detectores de incendios, control de
humedad, cámara de video y alarma contra incendios sin embargo no cuenta con: piso falso ni
extintores automáticos.

Cambios a Programas
Autorización, desarrollo, pruebas y aprobación
La empresa AAA Dominicana, cuenta con un formal control de cambios para todas las aplicaciones de
la empresa; esto a través de una instrucción de trabajo, que provee la solicitud para los cambios o
mejoras. Los cambios se solicitan y autorizan formalmente, dependiendo del departamento o gerente
que genere la solicitud para el empleado especifico, el gerente autoriza el cambio y luego los de
Tecnología de Información lo ejecutan guardando un respaldo de dicha solicitud.

Según la Srta. Sarah Morel, el sistema financiero se implementó para el año 2011-2012 y hasta la fecha
se han realizado cambios de versiones y mejoras del sistema, tomando en cuenta que todos los
cambios los realiza el personal distribuidor del sistema. Con relación al sistema comercial Amerika
cuando son cambios de bajo nivel los realizan directamente el personal de TI de AAA Dominicana, de
lo contrario lo canalizan con un personal en Colombia.

ITAS – Entendimiento de Tecnología de la Información – AAA Dominicana 2014

Migración al ambiente de producción
En la empresa existe un (1) ambiente de servidores de producción y uno (1) de prueba; antes de subir
al ambiente de producción validan primero en prueba, tanto a nivel de base de datos como a nivel de
aplicaciones. El control que se lleva a cabo para dar seguimiento a los cambios de los sistemas, es
tomando en cuenta el manual de IT de desarrollo e implantación de cambios, donde se definen las
solicitudes a cambio a las aplicaciones; para el desarrollo, prueba e implementación de cambios a
producción.

Para el acceso a cambios en el ambiente de producción, solo los que tienen la clave asignada para el
proyecto pueden accesar. Con respeto al acceso a los programas fuentes, la empresa no tiene un
control especial, ya que los lenguajes que manejan son abiertos (código web PHP).

Cambios de configuración
Para los cambios de configuración, se establece quien se encarga de probar, validar y aprobar dichos
cambios, a través del instructivo IT de desarrollo e implementación.

Cambios de emergencia
Para los cambios que requieran implementación inmediata, estos son aprobados a tiempo dándoles
prioridad, para minimizar los impactos a los sistemas y aplicaciones financieras; se realiza de manera
de solicitud especial o se remite al proveedor.

Desarrollo de programas
Metodología para el desarrollo / la adquisición
Para la adquisición o el desarrollo de un nuevo programa la empresa no tiene un enfoque definido ni
por escrito. Tienen unas pautas o requerimientos y de ahí hacen las cotizaciones; además de que se
negocia con 3 proveedores, es decir se tienen tres opciones para validar. El departamento de compras
se encarga de buscar los proveedores, la gerencia las cotizaciones y TI evalúa según las necesidades o
requerimientos para tomar la decisión a nivel de software. Cabe mencionar que la empresa
mayormente solo hace cambios a programas, pero pocas veces desarrolla programas nuevos desde
cero, solo partes puntuales de las aplicaciones de la empresa con excepción de la página Web, para
cual cuentan con dos (2) desarrolladores web.

Migración de datos.
En la parte de TI como solo desarrollan cosas puntuales de aplicaciones de la empresa, no realizan
migración, solo modifican las aplicaciones ya existentes.

ITAS – Entendimiento de Tecnología de la Información – AAA Dominicana 2014

Operaciones de computadora
Procesamiento de trabajos
Para el monitoreo de los procesamientos de trabajo se toma como control la verificación de los backup,
con los cuales se guardan los log y se rellena un formulario para confirmar si hubo alguna anomalía;
para ello existe el instructivo de IT-27 para manejo de backups.

Procedimientos de respaldo y recuperación

En AAA Dominicana, existen procedimientos formales escritos para la realización de backups y poseen
un plan de contingencia en caso de desastres. Los respaldos de los sistemas y los archivos compartidos
son realizados de la siguiente manera de forma completa: Diario, Semanal y Mensual. Estos son
realizados automáticamente utilizando la herramienta NT Backup de Windows, el cual verifica que el
respaldo sea realizado correctamente. El proceso es documentado en un formulario.

Según la encargada de informática las frecuencias de los backup son:

Los backup de AAA Dominicana son corridos en horas 7:15 PM todos los días
Los backup de base de datos son corridos en horas 11:00 AM todos los días

Estos archivos son almacenados en discos magnéticos con una capacidad de 2 T Bytes y en cintas
magnéticas de una capacidad de 800/1600 GB, las cuales diariamente se trasladan a una bóveda en
banco de reservas en las oficinas de la Winston Churchill. Según el Srta. Ceudy Rueda, encargada de
informática, en este proceso se realizan pruebas de recuperación de datos para asegurarse que las
informaciones puedan ser obtenidas de manera satisfactoria.

Adobe Acrobat
Document

Procedimientos de administración de incidentes y problemas

Para la administración de incidentes la empresa cuenta con la revisión de backup de fallas e incidencias del
sistema; este sería el control utilizado para gestionar las aplicaciones informáticas y financieras. Con la
observación del backup se observaría el procedimiento y se podría tomar decisiones.

Para las aplicaciones de TI, existe el instructivo IT-38 para actuación ante fallas o servicios, esta define como
actuar ante alguna incidencia a nivel de base de datos o servidores. Además de que TI guarda un backup de los
formularios de incidentes del mismo instructivo IT-38 y mediante este los incidentes son clasificados por
hardware o software.

El personal de TI informa al usuario la solución del incidente a través de correo electrónico, esto dependiendo
del impacto se tomaran las medidas de lugar comunicándolo en última instancia a la gerencia general.

Conclusión General

Basado en las informaciones obtenidas y las evidencias observadas podemos concluir que el ambiente
de controles generales del área de Tecnología de Información de AAA Dominicana, al momento de
nuestra revisión, soportan un enfoque de confiabilidad de control interno a nivel de la auditoría
financiera para el periodo auditado 31 de diciembre 2014.
9

ITAS – Entendimiento de Tecnología de la Información – AAA Dominicana 2014