2 Informe de Auditoria

3.3.2 Extracto de entrevista con el Técnico Informático de la Sede encargado del Plan de. Continuidad de ...... Dirección: C/ altagracia 34. Ciudad: Ciudad Real.
2MB Größe 14 Downloads 149 vistas
Índice 1 Carta al Director........................................................................................................................5 2 Informe de Auditoria.................................................................................................................6 2.1 Alcance de la Auditoría.....................................................................................................6 2.2 Organización, desarrollo e implementación.......................................................................6 2.2.1 Definición de un plan estratégico de sistemas...........................................................6 2.2.2 Identificación y asignación de costos........................................................................6 2.2.3 Política de cambios....................................................................................................7 2.3 Servicios y soporte............................................................................................................8 2.3.1 Definición y análisis de niveles de servicio...............................................................8 2.3.2 Administración de problemas e incidentes.................................................................9 2.4 Seguridad.........................................................................................................................10 2.4.1 Evaluación de riesgos..............................................................................................10 2.4.2 Garantizar la seguridad del sistema.........................................................................11 2.4.3 Asegurar la continuidad de servicio ........................................................................11 3 Papeles de trabajo....................................................................................................................13 3.1 Anexo I............................................................................................................................13 3.1.1 Diagrama disposición de la mesa de recepción........................................................13 3.1.2 Fotografías de recepción..........................................................................................13 3.1.3 Extracto de entrevista al Director............................................................................14 3.1.4 Extracto de entrevista a un Técnico Informático.....................................................15 3.1.5 Normas de seguridad...............................................................................................16 3.1.6 Registro de acceso e intrusiones..............................................................................16 3.2 Anexo II...........................................................................................................................18 3.2.1 Extracto de entrevista con un medico empleado......................................................18 3.2.2 Extracto de entrevista con el Técnico Informático de una de las clínicas................18 3.2.3 Extracto de entrevista con el Técnico Informático de la Sede..................................19 3.2.4 Informe de incidencias de acceso al sistema o sus recursos.....................................20 3.2.5 Software de control de incidencias..........................................................................21 3.2.6 Plan de procedimiento de cuentas de usuario..........................................................22 3.2.7 Circular de cambio periódico de contraseñas...........................................................23 3.2.8 Hardware firewall de control de trafico...................................................................23 3.3 Anexo III.........................................................................................................................24 3.3.1 Extracto de entrevista con el Director General........................................................24 3.3.2 Extracto de entrevista con el Técnico Informático de la Sede encargado del Plan de Continuidad de Negocio...................................................................................................24 3.3.3 Plan de Continuidad de Negocio (Última actualización año 2007)..........................25 3.3.4 Gráfica de realización de simulacros.......................................................................28 3.3.5 Gráfica de conocimiento de existencia de un Plan de Continuidad de Negocio.......28 3.3.6 Contratos de los proveedores incluido en el Plan de Continuidad de Negocio .........................................................................................................................................29 3.4 Anexo IV.........................................................................................................................32 3.4.1 Extracto de entrevista con el director.......................................................................32 3.4.2 Extracto de la entrevista con un empleado...............................................................32 3.4.3 Fecha de pedido y albarán de entrega......................................................................33 3.5 Anexo V..........................................................................................................................35 3.5.1 Políticas de cambio y actualización.........................................................................35 3.5.2 Futuro cambio de hardware y software....................................................................35 3.5.3 Petición de actualización de software y hardware a cargo del jefe de informática...35 3.5.4 Extracto de la entrevista con un empleado...............................................................35 3.5.5 Extracto de entrevista con el Técnico Informático de la Sede .................................36 3.6 Anexo VI.........................................................................................................................37 3.6.1 Extracto de entrevista con un empleado..................................................................37 3.6.2 Extracto de entrevista con un técnico informático...................................................37 3.6.3 Extracto de entrevista con el director.......................................................................37 2

3.6.4 Reporte de incidencias y problemas........................................................................38 3.7 Anexo VII........................................................................................................................39 3.7.1 Extracto de entrevista con un gerente de clínica......................................................39 3.7.2 Diploma certificado de licenciatura.........................................................................39 3.8 Anexo VIII.......................................................................................................................41 3.8.1 Extracto de entrevista con un gerente de clínica......................................................41 3.8.2 Diseño de página web corporativa...........................................................................42

3

Índice de Figuras Imagen 3.1: Recepción I.............................................................................................................13 Imagen 3.2: Recepción II............................................................................................................13 Imagen 3.3: Recepción III..........................................................................................................14 Imagen 3.4: Recepción IV..........................................................................................................14 Imagen 3.5: Registro..................................................................................................................17 Imagen 3.6: Registro de trafico en formato texto.......................................................................20 Imagen 3.7: Registro de trafico en vía web................................................................................20 Imagen 3.8: Pantalla de información del producto.....................................................................21 Imagen 3.9: Control de defensa..................................................................................................21 Imagen 3.10: Control de tráfico..................................................................................................22 Imagen 3.11: Circular.................................................................................................................23 Imagen 3.12: Hardware firewall.................................................................................................23 Imagen 3.13: Contrato I..............................................................................................................30 Imagen 3.14: Contrato II............................................................................................................31 Imagen 3.15: Fecha de pedido....................................................................................................33 Imagen 3.16: Albarán.................................................................................................................34 Imagen 3.17: Ejemplo de reporte de incidencias y problemas....................................................38 Imagen 3.18: Título de reconocimiento......................................................................................40 Imagen 3.19: Página web............................................................................................................42

4

1

Carta al Director

Estimado Sr. Director, tras un estudio y análisis de la empresa, hemos desarrollado un informe de las carencias encontradas en motivos de organización, desarrollo, implementación así como en los servicios y soporte sin olvidar la seguridad. Para una información mas detallada le remito al Informe de Auditoría (ver pag. 6). Con respecto a la organización, el desarrollo de la compañía así como su implementación cabe destacar una falta de departamento especifico de selección de personal o recursos humanos y la necesidad de un plan a largo plazo que, no solo solventar la inversión inicial sino que ayude en una futura expansión. También recomendamos un control de costos, el cual podría venir realizado por una persona capacitada en esa labor o una compañía especializada; y de obligado cumplimiento el plan de cambios que no deje al aire la seguridad del sistema, como por ejemplo ocurre ahora mismo, en detalles tan importantes como la falta de un software de control de virus informáticos. En el ámbito del los servicios y el soporte hemos encontrado fallos de control de proveedores, así como una falta total de información sobre la satisfacción del trabajo realizado por la empresa de cara a los clientes, todo ello provocado por una falta total de niveles de servicio y una monitorización de los mismos. Es necesario, además, sólidos acuerdos con proveedores que permitan una respuesta rápida. Por otro lado, encontramos básico un sistema de control de problemas que permita agilizar los inconvenientes encontrados para una solvencia mas eficiente. La instalación de un sistema software que registre incidencias, erradicando el sistema encontrado vía papel, permitiría afrontar esas incidencias futuras con una mejor eficacia, incluso evitándolas en muchos instantes. Con motivo a la seguridad, donde la confidencialidad es un criterio fundamental en una empresa que almacena datos personales de clientes, sería obligatorio una política mas estricta con respecto a las medidas de seguridad en los empleados con sus nombres de usuario y contraseñas, así como seria una buen solución el disponer de controles de acceso a distintas partes del edificio o de terminales con medidas informatizadas, como por ejemplo reconocimiento dactilar u ocular. Otro apartado a tener en cuenta es la recapitulación de información de intrusiones, la cual se considera escasa; sin olvidar la eliminación de la posibilidad que posee ahora mismo el empleado común a la modificación de reglas del software de control de tráfico. Con respecto a un Plan de Continuidad de Negocio, seria necesario la inclusión de los resultados de las pruebas así como el comprobar que cada una de las secciones de sus apartados que corresponden a compañías o lugares externos, se encuentran totalmente disponibles para su uso, si este fuera necesario. Como punto final, recomendar un estudio de empresas del sector, el cual permita seleccionar puntos positivos a incluir en la compañía y descartar fallas, lo que desembocaría en un desarrollo importante para la misma.

5

2

Informe de Auditoria

2.1 Alcance de la Auditoría La auditoría realizada a la empresa Il Dente Perfecto se centra en los aspectos relativos a los criterios de información, en la confidencialidad de los datos de sus clientes, dotando de gran valor los recursos tecnológicos, las instalaciones del ámbito laboral; teniendo en cuenta que es de vital importancia ,tanto salvaguardar la privacidad de sus clientes como de la continuidad con la labor de la empresa.

2.2 Organización, desarrollo e implementación 2.2.1 Definición de un plan estratégico de sistemas Debido a que es una pequeña empresa, no existe un departamento específico para la selección de personal, por lo que a la hora de realizar las entrevistas y dinámicas de grupo para la evaluación de los candidatos con opciones a las plazas vacantes, no se puede determinar de una manera precisa los conocimientos clínicos de los mismos. La persona encargada de realizar los procesos de selección es el gerente de cada una de las clínicas (ver anexo VII – apartados 3.7.1 y 3.7.2) Al no tener ningún tipo de convenio con ninguna universidad para que alumnos que estén terminando la carrera de odontología o licenciados sin experiencia, no se puede formar a futuros talentos dándoles a conocer las técnicas implantadas en la empresa. No existe plan a largo plazo sólido, solamente a corto plazo, por lo que carece de seguridad, control y de vista de expansión empresarial. El plan a corto plazo consiste únicamente en recuperar la inversión económica empleada en la compra de clínicas, material y equipamiento quirúrgico. El plan a largo plazo únicamente se basa en la obtención de una amplia cartera de clientes que permita a la empresa crecer económicamente, pero no se ha establecido una política de expansión. No se aplican las nuevas tecnologías de implantación de prótesis dentales guiadas utilizadas por otras empresas del sector. Esto implica que se desaprovecha una buena oportunidad de ampliar la cartera de clientes por lo que deberían formar al equipo médico para aplicar las innovaciones en implantología.

2.2.2 Identificación y asignación de costos No existe a penas control de costos en lo que a TI se refiere. No poseen ninguna política ni procedimientos para la implantación y preparación de prepuestos, ya que dicen que al ser una pequeña empresa invierten en material a medida que les surge la necesidad ya sea de reparación del equipo quirúrgico como de material (ver anexo VIII – apartados 3.8.1). Los costes que se prevén son únicamente el mantenimiento del equipo quirúrgico, además de los pagos de salarios y contratos con las empresas contratadas para el diseño web y la Base de Datos. El balance que hacen de beneficios está basado en el de los años anteriores, por lo tanto es poco real, ya que no se cuenta con la posibilidad de crecimiento de la empresa al haber fijado como objetivo a largo plazo el aumentar la cartera de clientes. Al ser una pequeña empresa no existe un equipo especializado en la realización de

6

presupuestos, por lo que se recomienda la contratación de un manager que controle los presupuestos de todas las clínicas además de los que ya están en cada una de las clínicas que hay en cada provincia para poder unificar los gastos y beneficios y de ese modo realizar un presupuesto anual mas real. Se debe realizar un estudio del impacto de las posibles incorporaciones de nuevas tecnologías y técnicas médicas en lo que a beneficios se refiere.

2.2.3 Política de cambios Para la redacción de este objetivo en el cual se va a evaluar las políticas de cambios y actualizaciones del sistema ya sea en los equipos de las clínicas como en el servidor principal donde se guardan todas fichas de los clientes se ha entrevistado al encargado de dicha acción Esta responsabilidad recae en este caso sobre el jefe de informática que coordina a los informáticos de los demás centros para una correcta actualización o cambio de sistema sin que ello conlleve a perdida de datos. De la entrevista con el jefe de informática se saca la conclusión de que esta empresa dispone de un plan de cambio para evitar riesgos, (anexo I – apartado 3.1.6 y anexo V- apartado 3.5.3) el plan es mas que suficiente para cumplir dicho objetivo, pero en posteriores entrevistas, concreta mente en una entrevista con un empleado se descubrió que dichas políticas no se cumplen (anexo V – apartado 3.5.3). Debido a esta falta de cumplimiento se incurrió en el error de instalar un software mas actual pero que no era compatible con el anterior y por consiguiente durante un periodo de tiempo no se pudo acceder a la mayoría de los datos de clientes. Otro ejemplo de que dichas políticas no se cumplen se puede observar en el anexo V – apartados 3.5.2 y 3.5.3, en el primer apartado se explica la política que se va a seguir para actualizar los sistemas, actualizando primero el software y después el hardware, el problema viene cuando nos fijamos en el segundo apartado y vemos que el software nuevo requiere tener instalado Windows Vista. Los equipos con los que cuenta la clínica en estos momentos no soportan de ninguna manera dicho sistema operativo con lo que la actualización no se podría llevar a cabo hasta no actualizar primero los sistemas hardware. Todo esto supone un mes de retraso en la planificación de actualización. Si dicha actualización se lleva a cabo, es decir, si los ordenadores pueden soportar la instalación de Windows Vista, es posible que se pierdan datos o los sistemas funcionen anormal mente debido a los altos requisitos de este sistema operativo. Por todo lo anteriormente expuesto se llega a la conclusión de que la empresa esta en el buen camino puesto que es poseedora de un plan de cambio con unas condiciones que son mas que suficientes. Pero el esfuerzo en este ámbito debe estar dirigido ha hacer cumplir dicha normativa con el objetivo de que los cambios y actualizaciones sean lo mas suaves posibles, evitando totalmente la perdida de datos y mejorando el sistema sin que ello impida el buen funcionamiento de la empresa durante dicho cambio. Para terminar indicar que la actualización que se detalla en el anexo V - apartado 3.5.3 es incompleta y ambigua, se piden ciertos requisitos del sistema dejando de lado muchos otros que pueden ser importantes, ademas no se denota el numero de unidades que se requieren, lo que impide que se lleve a cabo una evaluación suficiente de costes por actualización. Por otro lado en la sección de software no se incluye ninguna petición de un antivirus adecuado para esta instalación. La carencia de esta aplicación pone en peligro la integridad de los datos de los clientes y del sistema en general, siendo un antivirus parte fundamental en este tipo de equipos por los 7

datos que en ellos se almacenan. No se entiende como no se detalla expresamente que se necesita un antivirus y que tipo de antivirus sera, añadiendo dicha compra a los costes totales de la actualización. Con respecto a la imagen corporativa, se recomienda el cambio de diseño de la página web debido a que es poco intuitiva y dado que un elevado porcentaje de los clientes supera los 50 años, es probable que tengan escasos conocimientos a la hora de navegar por Internet. A la hora de navegar por la página web, hemos comprobado que la interfaz es poco clara para acceder a los diferentes apartados. No es sencillo el acceso al historial médico. (ver anexo VIII – apartados 3.8.1y 3.8.2) Debido a las carencias y defectos de la página web se debería revisar el contrato de la página web modificando las exigencias y los requisitos pedidos. Todos los cambios efectuados deben quedar reflejados en algún documento para poder saber en todo momento qué modificaciones se llevaron a cabo y cuándo fueron realizadas. El problema es que tenerlo en papel hace que sea muy probable su pérdida y/o deterioro de dichos documentos. Que el control de cambios sea llevado a cabo de manera formal o tener una bitácora de control de cambios será muy importante para la empresa porque no tenerla no le permitirá mejorar en el conocimiento, en la efectividad en el tiempo de respuestas y en la satisfacción que sienta el usuario con respecto al proceso. La empresa no tiene ningún manual de operaciones (ver anexo VIII – apartado 3.8.1). También podemos destacar que en caso de cambios de emergencia no podría seguir ningún procedimiento. Al carecer de estos manuales no se podría apoyar en ningún otro documento para realizar dichos cambios de forma rápida y eficaz. Se recomienda una revisión detallada de cada uno de los contratos de terceras partes para determinar provisiones cualitativas y cuantitativas que confirmen la definición de las obligaciones.

2.3 Servicios y soporte 2.3.1 Definición y análisis de niveles de servicio En esta empresa hay una ausencia total de acuerdos sobre niveles de servicio, por medio de entrevistas con el director, albaranes de pedidos y fechas de entrega y entrevistas con empleados hemos llegado a la conclusión de que los servicios no se cumplen y en gran medida se debe a la ausencia de acuerdos. En la entrevista mantenida con el director de la empresa que suponemos que desempeña el papel de responsable sobre definición de los niveles de servicio, ya que no se tiene una persona especifica y cualificada para dicho trabajo (ver anexo IV apartado 3.4.1) se pudo observar que no hay responsabilidades bien definidas y asignaciones de niveles de servicio. Por otro lado, se tiene un contrato con un proveedor, el cual no ha sido facilitado para ser auditado, dicho proveedor no cumple con los servicios exigidos, ya que por medio de la observación sobre fechas de pedido y fechas de entrega (ver anexo IV – apartado 3.4.3) se incumplen los tiempos de entrega que según el director de la empresa no deben superar en ningún caso los 4 días laborables. Al carecer de una definición de niveles de servicios adecuada tampoco se lleva a cabo una monitorización y actualización de dichos servicios. No se puede tener una medida cuantificada del nivel de satisfacción de los cliente y empleados en esta empresa ya que durante el tiempo en que estas clínicas han estado abiertas al publico no se ha realizado ningún tipo de control, ya sea por medio de encuestas a los clientes, 8

para conocer el grado de satisfacción con los servicios recibidos o si la información recibida ha sido suficiente tanto con encuestas a los empleados (ver anexo IV apartado 3.4.2) con el fin de conocer el nivel de afinidad con la dirección de esta empresa. El interés de esta empresa sobre esta cuestión es casi nula por lo visto en las entrevistas realizadas, ya que en el tiempo que ha estado operando dicha empresa nunca se ha realizado una reunión para comentas, aunque haya sido de forma verbal, las responsabilidades, niveles de servicios, etc... Volviendo a la cuestión de convenios de servicio entre la empresa y los proveedores se llega a la conclusión de que los servicios en este sentido no están nada satisfechos, ya que no existen convenios donde se marquen unas pautas a seguir en esta cuestión o algún tipo de medida en caso de que los servicios para los cuales han sido contratados no se cumplan adecuadamente. Se indican a continuación todos los errores en los que esta empresa ha incurrido a la hora de definir y analizar los niveles de servicio: •

Ausencia de documentación sobre los niveles de servicio.



Ausencia de convenios con los proveedores.



Ausencia de monitorización sobre los servicios.



Ausencia de encuestas que muestres los porcentajes de satisfacción.



Ausencia total de actualización de niveles de servicio

Todo esto nos lleva a una falta de transparencia y entendimiento de los costos, beneficios, estrategia, políticas y niveles de servicio de TI. Poca transparencia ya que se incurren en gastos sobre servicios que no se están cumpliendo satisfactoriamente

2.3.2 Administración de problemas e incidentes. La insuficiencia de personal de administración de configuración acarrea la falta de una temprana respuesta ante incidentes si la persona encargada es la única que puede hacerse cargo. Es un problema que hemos observado en vista de que solo hay un técnico informático por clínica. Una de las carencias más significativas es que no exista ningún sistema de software que permita registrar los problemas encontrados por empleados, que sirva de apoyo a la prevención de futuros problemas e incidentes así como de registro de ocurrencia. Simplemente se recogen incidencias a través de las hojas de reporte que los informáticos deben cumplimentar. Seria ideal el uso de un sistema digital para el registro de las mismas, el cual permitiría de manera mas optimizada el análisis y la resolución de futuros problemas, evitando perdidas de fichero y papeleo. Se ha detectado que no existe ningún sistema de aviso al técnico encargado para una respuesta rápida, siendo necesario incluso su búsqueda por los limites del edificio si fuera necesario, consiguiendo una pobre manera de afrontar con efectividad y rapidez cualquier problema encontrado. Recomendaríamos el uso de dispositivos de contacto rápido como seria un busca o sistema de radio frecuencia, para poder obtener contacto comunicativo con la persona encargada. Se echa en falta un curso de preparación o concienciación para los empleados, sobre problemas comunes, tanto en su detección como en intentar evitarlos, lo que serviría en una optimizan del 9

trabajo. Un estudio o análisis de las tendencias de los problemas ayudarían también a maximizar los recursos.

2.4 Seguridad 2.4.1 Evaluación de riesgos Al realizar la auditoria lo que mas ha llamado nuestra atención nada mas conocer y visitar una oficina de esta empresa es que los escritorios de las recepciones están justo delante de un gran ventanal, con esta disposición corremos el riesgo de que cualquier persona ajena a la empresa pueda ver los datos que se introducen en el ordenador con el simple hecho de mirar por dicho ventanal se muestra la disposición de la recepción (ver anexo I – apartado 3.1.1). Se ha llevado a cabo dos entrevistas, una al director de la empresa y la otra al Técnico informático de la Sede (ver anexo I – apartados 3.1.3 y 3.1.4). Después de hablar con el director nos damos cuenta de que no existe ninguna política de prevención de riesgos por parte de la empresa y que toda responsabilidad en dicho ámbito recae sobre el jefe de informáticos el cual no tiene ninguna acreditación ni estudio especifico para dicho trabajo. Ademas se le preguntó si a los empleados se les daba alguna directriz en el sentido de seguridad o riesgos, el director nos facilito un documento que se adjunta en el anexo I – apartado 3.1.5, dicho documento muestra una serie de normas a seguir por los empleados. En entrevistas posteriores a los empleados de las clínicas nos pudimos percatar de que dicho documento nunca ha sido visto por los empleados. Un ejemplo de que los empleados no cumplen ninguna norma la podemos encontrar en el anexo I - apartados 3.1.2 donde podemos ver que las contraseñas de los empleados están a la vista de todos y por otro lado hemos encontrado documentos oficiales de la empresa en la papelera de recepción, este documento se encontraba en perfectas condiciones y cualquier persona podría acceder a datos de clientes o de la misma empresa. Respecto al sistema de claves se ha encontrado un problema grave, todas las claves tienen el mismo nivel de seguridad, por lo que cualquier empleado de la clínica puede crear nuevas claves y cambiar datos de otras claves, ademas cualquier empleado puede borrar historiales clínicos o cambiar datos de los pacientes. Las claves están formadas por un nombre de usuario que se forma con el apellido del empleado mas una serie de tres dígitos y las password que son cadenas alfanuméricas de 6 dígitos como mínimo. El equipo informático ha automatizado el sistema para que en el caso de que un empleado sea despedido su clave automáticamente sea eliminada, ademas si no se accede al sistema con una clave en 3 meses, dicha clave queda automáticamente invalidada. Aunque se tiene un log con los accesos al sistema (ver anexo I - apartados 3.1.6), la información que se muestra no es muy detallada, solo muestra la entrada y la salida del usuario, no se muestra si el empleado ha realizado cambios en la base de datos, ha creado contraseñas o ha modificado la ficha de un paciente. En la entrevista con el jefe informático se le pregunto por las copias de seguridad y se dejo al descubierto un fallo grave, las copias se hacen cada dos días pero el sistema no esta informatizado, siendo responsabilidad de los empleados informáticos de cada clínica hacer dichas copias de seguridad, en el caso de que el empleado falle ese día ya sea por enfermedad u otro motivo puede darse el caso de que la copia de seguridad no se lleve a cabo. 10

2.4.2 Garantizar la seguridad del sistema A través de tanto las distintas entrevistas así como la información acontecida en ellas, hemos podido detectar los siguientes deficiencias en la empresa. Aunque se poseen soluciones software para el control del trafico, el empleado tiene habilitada la manipulación de las ventanas que permiten el control de las reglas de seguridad, lo que puede desembocar en una grave vulnerabilidad del sistema (ver anexo II – apartado 3.2.5). No existe medidas informatizadas de acceso a las distintas secciones del edificio, así como tampoco un sistema alternativo al común usuario-contraseña para el acceso a los terminales. A esto se le suma la falta de compromiso con las normas de seguridad y el uso de la confianza para delegar contraseñas personales a otros empleados (ver anexo II – apartados 3.4.1, 3.4.2 y 3.4.3). Es necesario constatar la básica información de los registros de acceso e intrusiones, la cual es insuficiente para poder solucionar futuros problemas, así como debería ser necesaria unas medidas de seguridad basadas en firma digital y el uso de MAC, que aseguren un acceso local. Aunque existe un informe de incidencias tanto guardado en archivo de texto como accesible vía web al campo en la base de datos, este registro es pobre, no contando con una mayor y mejor información sobre los errores o los accesos para posibles reglas de control en el software (ver anexo II – apartados 3.4.1, 3.4.2 y 3.4.3). En relación con el plan de procedimiento de cuentas de usuario, debería ser de obligada realización el cambio de contraseña de usuario cada cierto tiempo, mientras que según la situación del plan, ahora es de carácter opcional (ver anexo II – apartados 3.4.6, 3.4.7).

2.4.3 Asegurar la continuidad de servicio Para determinar la continuidad de la empresa ha sido necesario el análisis del Plan de Continuidad de Trabajo, ante posibles emergencias, se tuvo acceso al mismo a través del Director General el cual nos remitió al Técnico Informático de la Sede, encargado del plan y de su aplicación (ver anexo IV – apartado 3.4.3). Primeramente puntualizar que solos e dispone de una solución de continuidad para la sede principal, donde se alberga el servidor central y la base de datos, pero no se dispone de un plan para cada clínica en las distintas capitales. Esto desencadenaría en un parón en los servicios de cada una de las clínicas y la imposibilidad de ejercer el trabajo en cada una de las zonas. Por otro lado aunque cada año se realiza un simulacro para observar el funcionamiento del plan, nunca se almacenan los resultados obtenidos, siendo difícil el estudio de mejoras futuras o de cambios necesarios. Además no se especifica las repercusiones económicas ni el impacto resultante. Otro de los aspectos negativos es que el segundo lugar de trabajo o lugar alternativo, es un espacio habilitado por el Ayuntamiento de Ciudad Real, el cual autoriza a las empresas su uso bajo una serie de circunstancias. Estos espacios son de uso temporal y requieren una tramitación para su adquisición, siendo muy posible que no se encuentre disponible en el instante en el que fuera necesario. Esa falta de verificación se ve reflejada también con los proveedores auxiliares, los cuales solo son contactados en el momento de la simulación. Continuando con el plan, se puede observar que no se han establecidos las clausulas referentes al plan de refugio en el lugar, a las computadoras alternativas si las actuales quedara destruidas, la falta de copias de seguridad en otro establecimiento así como a la falta de solución 11

si los registros de contabilidad y nomina del personal fueran destruidos. En referencia al personal, un alto porcentaje no conoce la existencia de un plan preventivo de continuidad de trabajo, así como gran parte del personal que lo conoce ha formado parte nunca o solo alguna vez los simulacros realizados.

12

3

Papeles de trabajo

3.1 Anexo I

3.1.1 Diagrama disposición de la mesa de recepción

Imagen 3.1: Recepción I

3.1.2 Fotografías de recepción

Imagen 3.2: Recepción II

13

Imagen 3.3: Recepción III

Imagen 3.4: Recepción IV

3.1.3 Extracto de entrevista al Director 

¿Han considerado los riesgos potenciales a los que están sometidos sus oficinas y en consecuencia sus datos? Si, los riesgos se han estudiado detenidamente y se han puesto los medios necesarios 14

para minimizarlos. 

¿Entonces existe y tienen en su poder lo que denominaríamos un estudio de planificación de riesgos? Hemos considerado los riesgos pero no existe un informe que se pueda denominar oficial, el encargado de tener controlado los riesgos en el ámbito de los datos es el informático jefe. Y si existe una planificación de riesgos seguro que el la tiene.



¿Lo que usted quiere decir es que el encargado de la planificación de riesgos es el informático jefe y que en el recae dicha responsabilidad? Si, eso es.



¿Los empleados reciben algún tipo de curso o algunas directrices para evitar riesgos? Si, por supuesto, se les da una serie de normas que deben cumplir.



¿Podría disponer de una copia de esas normas? Si, claro, se la entregaremos lo antes posible.

3.1.4 Extracto de entrevista a un Técnico Informático 

¿Se nos ha informado de que es usted el encargado de la planificación de riesgos, es eso cierto? En cierto modo si, ya que somos los informáticos lo que ponemos los medios para que los datos estén a salvo.



¿En ese caso usted ha recibido alguna formación en ese sentido? No, no he realizado ningún curso especifico si es a lo que se refiere.



¿Y dispone de algún documento de planificación de riesgos? No, nos ocupamos de que los datos este a salvo, solo eso.



¿Realizan copias de seguridad en su servidor principal?

15

Si, las copias de seguridad se hacen cada dos días, los informáticos de cada sucursal se encargan de ello. 

¿El sistema esta automatizado, es decir, cada dos días las copias se realizan automáticamente? No, son los propios informáticos los que inician el proceso de copia de seguridad.

3.1.5 Normas de seguridad 1. Las claves son personales y cada individuo deberá introducir la suya en el sistema cada vez que empiece su turno, 2. Para evitar problema tenga cuidado en no revelar su nombre de usuario ni su clave. 3. Nunca deje el ordenador encendido con su clave introducida. 4. Al terminar su jornada de trabajo cierre la sesión iniciada. 5. No modifique datos si no esta totalmente seguro de lo que esta haciendo. 6. No utilice Internet para uso personal.

3.1.6 Registro de acceso e intrusiones

16

Imagen 3.5: Registro

17

3.2 Anexo II 3.2.1 Extracto de entrevista con un medico empleado 

¿Posee con su password acceso a todo el sistema? No, yo solo tengo acceso a las partes del programa destinadas a mi trabajo. Si necesita saber más acerca de la administración de la aplicación y del sistema deberá buscar al Técnico Informático..



¿Ha dejado alguna vez que algún compañero use su clave de usuario? Alguna vez hemos necesitado, si, por prisas que alguno de nuestros compañeros se identificara como nosotros dándoles el password o que nos lo hayan dejado.



¿Cambia muy a menudo su password de acceso? Puede que no tanto como debiera. La empresa tiene una política de modificación de claves pero no creo que todos la sigamos.



¿Existe medidas de seguridad informatizadas para el acceso a las distintas secciones del edificio? No, todo va con el rustico método de llave-cerradura..

3.2.2 Extracto de entrevista con el Técnico Informático de una de las clínicas 

¿Se cuenta con un plan de seguridad estratégico que proporciones una dirección y control centralizados sobre la seguridad de los sistemas de información? No, en principio no tenemos ninguno, simplemente actuamos acorde de las necesidades del sistema. Lo que si tenemos es un Plan de procedimiento de cuentas de usuario.



¿Está la seguridad del sistema centralizada?¿Quién esta al cargo? Todas las cuentas de usuario así como los datos se albergan en la base de datos de la sede. Solo el Técnico Informático de la Sede y el Director General tienen acceso. Osea que ellos están al cargo.

18



¿Cuentan ustedes con reportes de fallas de seguridad y procedimientos formales de solución de problemas, donde por ejemplo, vengan intentos no autorizados de acceso al sistema o a los recursos del mismo? Cada uno de los terminales aquí tiene instalado un firewall el cual recoge un log de información con los accesos e incidencias. Aparte tenemos un sistema hardware de firewall que va conectado al sistema. No queremos que nadie acceda a nuestros datos.



¿Todo el trafico que se origina en las clínicas pasa por los firewall? Si, solo permitiendo el trafico autorizado el cual tenemos localizado mediante reglas.



¿Tienen algún curso preparatorio para el entrenamiento y la concienciación de los empleados en el ámbito de la seguridad y del uso de los sistemas de acceso a Internet? No, no tenemos ningún curso introductorio para ello, solo poseemos un curso para el manejo de los programas del ámbito clínico. Tenemos una lista de normas que deben cumplir, pero creo que como en todas las empresas, termina siendo simbólico cuando se coge confianza con el personal, no hay nadie que lo imponga o al menos no se ha dado ningún caso para endurecer la situación. Damos por hecho que los empleados saben de los riesgos que supone el acceso indebido y una mala praxis del sistema.



¿Al ingresar al sistema, aparece algún tipo de mensaje en relación al uso adecuado del sistema así como de las responsabilidades legales que pudiera causar el uso del sistema? No.



¿Se hace uso de protección por MAC para tanto hardware como software? No, no tenemos configurada en la red los accesos por MAC.

3.2.3 Extracto de entrevista con el Técnico Informático de la Sede 

¿Tiene acceso a la base de datos general y al servidor central algún empleado más? Solo yo y el Director General. Aunque él no sabe del tema, siempre requerimos otro superusuario por si fuera necesario.



¿Poseen encriptación los datos almacenados en la base de datos?

19

Todos los datos almacenados en la base de datos se encuentran almacenados usando el algoritmo MD51.

3.2.4 Informe de incidencias de acceso al sistema o sus recursos

Imagen 3.6: Registro de trafico en formato texto

Imagen 3.7: Registro de trafico en vía web

1 El algoritmo MD5 fue desarrollado por Ronald Rivest en 1995 basado en dos algoritmos anteriores MD2 y MD4. Se produce un número de 128 bits a partir de un texto de cualquier longitud.

20

3.2.5 Software de control de incidencias Se dispone de un software de control de incidencias y accesos al sistema o a sus recursos, en cada uno de los terminales de las distintas clínicas. Este sistema actúa tanto a nivel de defensa interna contra la instalación de software malicioso y de espionaje, así como de los distintos accesos a la red.

Imagen 3.8: Pantalla de información del producto

Imagen 3.9: Control de defensa

21

Imagen 3.10: Control de tráfico

3.2.6 Plan de procedimiento de cuentas de usuario •

Alta de nuevo usuario ◦ Encargado: Técnico Informático de la Sede central ◦ Procedimiento: Alta de nuevo usuario y contraseña temporal. Esta contraseña debe ser modificada por el nuevo empleado bajo la supervisión de un Técnico Informático autorizado.



Baja de usuario ◦ Encargado: Técnico Informático de la Sede central ◦ Procedimiento: Inmediatamente a la rescisión del contrato.



Especificación de contraseña ◦ Características: Al menos 8 caracteres con la inclusión de tanto cifras como letras. ◦ Actualización: Recomendada su actualización cada [ 6 meses ]



Especificación de sesiones de acceso ◦ Características: Solo una autentificación o sesión por usuario. La concurrencia de dos mismas sesiones sobre un usuario acarreara la suspensión temporal de la cuenta hasta la supervisión del administrador al cargo. ◦ Especificación de intentos:

22



Política sobre perdida de contraseñas ◦ Especificación: SI un usuario justifica la perdida de la contraseña se procederá a la restitución de la misma por el administrador del sistema. Para ello sera necesario una justificación del usuario firmada por el propio director de clínica. Una vez restaurada la contraseña, esta tendrá validez una sola vez, y servirá solo para realizar un cambio por una más personal.

3.2.7 Circular de cambio periódico de contraseñas

Imagen 3.11: Circular

3.2.8 Hardware firewall de control de trafico

Imagen 3.12: Hardware firewall

23

3.3 Anexo III 3.3.1 Extracto de entrevista con el Director General 

¿Disponen de Plan de Continuidad del Negocio? Si, poseemos uno realizado para una de mis antiguas compañías, amoldado a las necesidades de esta empresa. Fue revisado por personal cualificado y aprobado por nuestra junta directiva.



¿Ha sido necesaria el uso de ese mismo plan? Si es afirmativo, ¿tiene algún documento que lo acredite? Aunque nunca ha sido necesario al no haber sufrido ningún percance o circunstancia que lo requiriera, si realizamos anualmente una prueba que nos permita evaluar si cometido y su eficacia. Deberá hablar con el Técnico Informático de la Sede. Él es el encargado de llevar un control sobre la misma a nivel local y a nivel del resto de dependencias.

3.3.2 Extracto de entrevista con el Técnico Informático de la Sede encargado del Plan de Continuidad de Negocio 

El Director General de la compañía nos ha informado de que usted es el encargado del Plan de Continuidad de Negocio y su implantación en caso de necesidad. ¿Puede decirnos si posee pruebas o documentos de los simulacros? Hombre, nunca hemos registrado los valores obtenidos, cada año realizamos un simulacro y si vemos que todo va bien, que es lo que nos ha ocurrido, continuamos con el plan.



¿Verifican asidua mente los contactos necesarios encontrados en el Plan? La verdad es que no, simplemente hacemos cuenta de ello cuando llega la hora del simulacro.



¿Poseen un Plan de Continuidad para cada una de las clínicas? No, solo poseemos de la Sede Central donde se alberga el servidor principal y la base de datos general.

24

3.3.3 Plan de Continuidad de Negocio (Última actualización año 2007) ➢ Lugar de Trabajo Nombre de la Compañía: Il Dente Perfetto Dirección: La colina del amor 23 Ciudad: Ciudad Real Número de Teléfono: +34 926292929 Si este lugar no está accesible, operaremos desde el siguiente lugar.

Nombre de la Compañía: Sector Empresas Ayuntamiento de Ciudad Real. Dirección: Polígono Industrial de la Cencerreta, 45 Ciudad: Ciudad Real Número de Teléfono: +34 926755775 La siguiente persona estará a cargo de gestionar la crisis y será el portavoz de la compañía en caso de emergencia.

Contacto Primario de Emergencia: D. Jose Vicente Jaramillo Jaramete Número de Teléfono: +34 678678678 Número Alternativo: +34 666888999 Correo electrónico: [email protected] Si la persona no puede gestionar la crisis, esta otra persona será quien esté a cargo:

Contacto Primario de Emergencia: Dña. Amparo Lopez Bustos Número de Teléfono: +34 926736723 Número Alternativo: +34 666000287 Correo electrónico: [email protected]

➢ Información de contactos de emergencia Marque el en caso de Emergencia: 112 Policía: 091 Guardia Civil: 062 Proveedor de Seguros: +34 926555223 ➢ Posibles incidencias Los siguientes desastres naturales y causados por el hombre podrían afectar a nuestro negocio:

• • • • • • • • •

Incendios. Terremotos. Inundaciones. Cortes de luz y picos de tensión. Problemas de la red eléctrica. Pérdida de información por error humano. Intrusismo. Software malicioso. Hurto.

25

➢ Equipo de la Planificación de Emergencia Las siguientes personas participarán en la planificación de emergencias y la gestión de crisis:

• •

D. Jose Vicente Jaramillo Jaramete. Dña. Amparo Lopez Bustos.

➢ Equipo para la Coordinación Las siguientes personas de los negocios vecinos y la gerencia de nuestro edificio participarán en nuestro equipo de planificación de emergencias:

• • • •

D. Jose María Alcantara Suarez D. Evaristo Pisto Listo. D. Aurelio Bermejo Pellejo. Dña. Laura Ponce Rillo.

➢ Operaciones o Procesos Críticos Esta lista contiene las operaciones cruciales, personal y procedimientos necesarios para recuperarnos de un desastre:

Operacion Contacto con proveedores y reinstalación de sistema.

Personal a Cargo Dña. Amparo Lopez Bustos

Gestión de BBDD y servidor central Instalación de equipos de servicio

D. Jose Vicente Jaramillo Jaramete D Augusto Andrade Caraja

Recuperación de material de trabajo

Dña. Peularia Granados Barbate

Plan de Acción Localización y consecución de las partes necesarias del sistema. Conseguir pleno funcionamiento. Conexionado para la puesta a punto de la instalación. Contratos, nominas, ficheros impresos.

➢ Proveedores y Contratistas Nombre de la Compañía: Eniac Informatica Dirección: C/ altagracia 34 Ciudad: Ciudad Real Código Postal: 13003 Número de Teléfono: +34 926230110 Email: [email protected] Materiales/Servicios Proporcionados: Equipos informáticos. Si esta compañía sufre un desastre, obtendremos los suministros y/o materiales de la siguiente:

Nombre de la Compañía: CorzoLand Dirección: C/ Albuquerque 45 Ciudad: Toledo Código Postal:45001 Número de Teléfono: +34 925287837 Email: Materiales/Servicios Proporcionados: Equipos informáticos. 26

➢ Plan de Evacuación para las Instalaciones [ SI ] Hemos elaborado estos planes en colaboración con los negocios vecinos y los propietarios del edificio para evitar confusión o embotellamientos. [ SI ] Hemos encontrado, copiado y publicado mapas del edificio y de las instalaciones. [ SI ] Las salidas están claramente marcadas. [ SI ] Practicaremos los procedimientos de evacuación ( 1 ) veces por año. Si debemos abandonar rápidamente el lugar de trabajo:

1. ( 1 ) 2. 3. 4. 5.

Sistema de advertencia: Alarma sonora [ SI ] Probaremos el sistema de advertencia y registraremos los resultados veces por año. Lugar de Reunion: Fuera de los limites del edificio Gerente y persona alternativa para el lugar de reunion: D. Manuel Tendero Casado Gerente de apagado y persona alternativa: Dña. Catalina Ina Maniller [ D. Jose Vicente Jaramillo Jaramete ] Es el encargado de emitir la orden “todo despejado”.

➢ Plan de refugio en el lugar Dirección: ➢ Comunicaciones Comunicaremos nuestros planes de emergencia con compañeros de trabajo de la siguiente forma: Intranet En caso de desastre, nos comunicaremos con los empleados de la siguiente forma: Telefónicamente ➢ Ciberseguridad Para proteger nuestro hardware y software, haremos lo siguiente: Plan de protección de Hardware y Software 2003. Si nuestras computadoras resultan destruidas, utilizaremos computadoras de seguridad en el siguiente lugar: ➢ Copias de seguridad de los archivos [ D. Jose Vicente Jaramillo Jaramete ] es responsable de hacer copias de seguridad de nuestros archivos cruciales, incluidos los sistemas de nómina del personal y de contabilidad. Las copias de seguridad, incluyendo una copia de este plan, mapas del sitio, pólizas de seguro, registros bancarios y copias de seguridad informáticas están en nuestras instalaciones en [ Almacen del bunquer ]. Otro juego de copias de seguridad está guardado en este lugar fuera de las instalaciones: [ ] Si nuestros registros de contabilidad y nómina de personal resultan destruidos, mantendremos la continuidad de la siguiente forma:[ ] 27

➢ Información de contacto de emergencia de los empleados La siguiente es una lista de nuestros compañeros de trabajo y su información de contacto de emergencia individual:

• • • •

D. Jose Vicente Jaramillo Jaramete. +34 92345342 Dña. Amparo Lopez Bustos. +34 97673652 D. Macario Vermejo Lozano. +34 67663532 ...

➢ Revisión Anual Fecha última revisión: [ 27/02/2007 ] Fecha próxima revisión: [ 27/02/2008 ]

3.3.4 Gráfica de realización de simulacros A la pregunta -¿alguna vez ha realizado algún simulacro de evacuación?- El porcentaje de respuestas entre los empleados fue el siguiente:

10%

20%

Todos los años Alguna vez Una vez Nunca

40% 30%

Grafico 1: Realización de simulacros

3.3.5 Gráfica de conocimiento de existencia de un Plan de Continuidad de Negocio A la pregunta -¿saben de la existencia de un Plan de Continuidad de Negocio?- El porcentaje de respuestas entre los empleados fue el siguiente:

28

42%

Si No 58%

Grafico 2: Existencia de un plan

3.3.6 Contratos de los proveedores incluido en el Plan de Continuidad de Negocio Contrato de proveedor de servicio con la empresa Eniac Informática.

29

Imagen 3.13: Contrato I

Contrato de proveedor de servicio con la empresa CorzoLand

30

Imagen 3.14: Contrato II

31

3.4 Anexo IV 3.4.1 Extracto de entrevista con el director 

¿Existe algún documento en el cual se fijen los niveles de servicio? No, somos una empresa pequeña y los acuerdos de servicio son mas bien tratados de forma verbal.



¿Pero tendrán contratos con proveedores? Si, por supuesto, existen contratos con cada proveedor.



¿Puede facilitar dicha documentación? En este momento no disponemos de los contratos en la oficina.



¿En dichos contratos se especifica las responsabilidades de los proveedores con la empresa? En este momento no dispongo de dicha información pero si le puedo decir que por ejemplo se acuerda que las entregas seran efectivas en un tiempo menos a 4 dias laborales.

3.4.2 Extracto de la entrevista con un empleado 

¿Durante el tiempo que lleva trabajando en la empresa se ha realizado alguna en cuenta a los clientes para ver el nivel de satisfacción con los servicios recibidos? No, en todo el tiempo que llevo en la empresa no se ha realizado ninguna encuesta.



¿Y a usted como empleada se le ha realizado alguna encuesta? No, por mi parte tampoco he realizado ninguna encuesta.



¿Los pedidos cumplen los tiempos acordados? Depende del pedido, a veces tardan mas otras menos depende del proveedor, no hay un tiempo fijado. 32

3.4.3 Fecha de pedido y albarán de entrega

Imagen 3.15: Fecha de pedido

33

Imagen 3.16: Albarán

34

3.5 Anexo V 3.5.1 Políticas de cambio y actualización ✗ ✗ ✗ ✗ ✗

El sistema debe ser probado con anterioridad y pasar una serie de requisitos para ser instalado finalmente en las clínicas. El software nuevo debe ser totalmente compatible con versiones anteriores para no perder datos. Se debe comprobar que cualquier cambio que se realice puede ser deshecho sin perdida de información. La migración de un sistema a otro, ya sea hardware o software, no debe superar un tiempo considerado razonable. Se dará una charla informativa a los empleados para mejorar la adecuación al nuevo sistema.

3.5.2 Futuro cambio de hardware y software El cambio de software esta previsto para el próximo mes, este cambio viene condicionado por la necesidad de la mejora del programa informático para gestionar las citas y los clientes. El cambio de hardware se pospone hasta el mes siguiente al cambio de software, ya que se necesita hacer una evaluación de los sistemas que se compraran y obtener el visto bueno de la dirección. Jefe de informáticos

3.5.3 Petición de actualización de software y hardware a cargo del jefe de informática Software: ✗ ✗

Actualización de la aplicación GESTA, se dispone en este momento de la versión 2.5 y se requiere la actualización a la versión 5.2. La actualización anterior requiere que el sistema operativo se actualizado de la versión Windows XP a Windows Vista.

Hardware: ✗

Se requiere la actualización de los sistemas de hardware para el correcto funcionamiento de la nueva aplicación. Como modelo de pc se recomienda lo siguiente: • Procesador Intel core 2 duo 3,00GHz. • Memoria DDR3 2 GB. • El resto de componentes se decidirá sobre la marcha, siempre sin exceder el presupuesto aceptado.

3.5.4 Extracto de la entrevista con un empleado

35



¿En el tiempo que lleva usted en el puesto se ha realizado algún cambio? Si, se realizo una actualización pero tiempo después se volvió a la versión anterior.



¿Conoce usted el motivo de dicho cambio? Se puso un programa nuevo pero no abría alguna ficha de los clientes.

3.5.5 Extracto de entrevista con el Técnico Informático de la Sede 

¿Existen políticas de actualización o cambio? En lo que a sistemas de información se refiere existen una serie de políticas que se utilizan para la correcta actualización.



¿Dispone de una copia de dichas políticas? Si, al finalizar esta entrevista se le hará entrega de una copia.



¿Se cumplen dichas políticas? Se cumplen, ya que son parte importante de la seguridad a la hora de actualizar el equipo.

36

3.6 Anexo VI 3.6.1 Extracto de entrevista con un empleado 

Si tenéis algún problema de ámbito informático ¿como os ponéis en contacto con la persona al cargo? Intentamos llamar por teléfono al técnico a su extensión . Si no contesta preguntamos al resto de compañeros o salimos a buscarlo por la clínica.



¿Se le ha realizado algún curso de concienciacion de problemas sobre situaciones comunes y su rápida solución? No la verdad.

3.6.2 Extracto de entrevista con un técnico informático 

¿Se posee alguna herramienta de captura de problemas y de reportes, que ayuden a una mejor comprensión en el futuro ante nuevos problemas? No, no tenemos nada aparte de los registros comunes de uso de la red. Nosotros los informáticos apuntamos en una bitácora las incidencias que van apareciendo, pero solo nosotros, no los empleados. Si me dejan buscarlos, les puedo enseñar una muestra.



¿Que pasa si un problema suele suceder con frecuencia? ¿existe una política para tratarlos? Podemos hacer algún informe y proponerse lo a la dirección, pero la verdad, no existe ninguna política para tratarlos.

3.6.3 Extracto de entrevista con el director 

¿Se evalúan periódicamente los problemas acaecidos para una futura efectividad y eficiencia? No, no tenemos nada aparte de los registros comunes de uso de la red y los reportes de incidencias.

37

3.6.4 Reporte de incidencias y problemas

Imagen 3.17: Ejemplo de reporte de incidencias y problemas

38

3.7 Anexo VII 3.7.1 Extracto de entrevista con un gerente de clínica 

¿Quién realiza los procesos de selección de personal? Yo mismo, no existe un departamento de RRHH.



¿Ha estudiado odontología? No, soy licenciado Dirección y Administración de empresas.



¿Usted tiene conocimientos médicos? Solo conocimientos básicos.



¿Tienen firmado algún tipo de convenio con universidades para la contratación de futuros talentos? No, de momento no tenemos firmado ningún convenio.



¿Tienen fijado un plan a corto plazo? Si, nos hemos fijado como objetivos el recuperar la inversión inicial realizada.



¿Y plan a largo plazo? No tenemos fijado un sólido plan a largo plazo, únicamente como objetivo a largo plazo nos hemos fijado el ampliar y fidelizar la cartera de clientes.

3.7.2 Diploma certificado de licenciatura

39

Imagen 3.18: Título de reconocimiento

40

3.8 Anexo VIII 3.8.1 Extracto de entrevista con un gerente de clínica 

¿Poseen política de procedimientos para la implantación y preparación de prepuestos? No, estamos estudiando implantarla.



¿Han realizado algún tipo de estudio que pueda obtener una estimación de los beneficios por la implantación de nuevas tecnologías? No, de momento no hemos realizado ningún estudio ya que no hemos previsto incluir grandes cambios

. 

¿Quién realiza el análisis de costos? Los gerentes de las clínicas.



¿Se consideran procedimientos de cambios de emergencia en los manuales de operaciones? No existen manuales de operaciones.



Hemos comprobado que la página web es poco intuitiva, ¿han pensado en cambiar la empresa que se ocupa de realizar el diseño de la web? De momento no hemos pensado en cambiar, pero si es cierto que debemos modificar los requisitos pedidos a la empresa Web Desing.



¿Han considerado que la edad media de sus clientes es alta? No, no hemos realizado un estudio estadístico de la edades de nuestros clientes.



¿Los documentos de los cambios realizados donde quedan reflejados? En documentos escritos en papel.



Si se realiza el cambio de la interfaz de la web puede que la cartera de clientes crezca, ¿han estudiado el posible beneficio que se puede sacar del cambio? 41

No, ni pensamos realizarlo.

3.8.2 Diseño de página web corporativa

Imagen 3.19: Página web

42