• Author / Uploaded
• Alejandra Gamba Gomez

Citation preview

2015

AUDITORIA DE SOFTWARE Y HARDWARE EJECUCIÓN

ALEJANDRA GAMBA FRAIMAN PIÑEROS

A-DVE INGENIERIA S.A.S NIT 900.580.913 -1

ALCANCE La auditoria se realizará sobre los sistemas informaticos en computadoras personales y corporativas que estén conectados a la red interna de la empresa. OBJETIVO Tener un panorama actualizado de los sistemas de información de la compañía A-DVE INGENIERIA S.A.S , en cuanto a la seguridad fisica, las politicas de utilizacion, transferencia de datos y seguridad de los activos.Para ello se busca revisar y Evaluar los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones       

OBJETIVOS ESPECIFICOS Evaluar el diseño y prueba de los sistemas del área de Informática Determinar la veracidad de la información del área de Informática Evaluar los procedimientos de control de operación, analizar su parametrización y evaluar el cumplimiento de los mismos. Evaluar la forma como se administran los dispositivos de almacenamiento básico del área de Informática Evaluar el control que se tiene sobre el mantenimiento y las fallas de los computadores. Verificar las disposiciones y reglamentos que intervienen en el mantenimiento del orden dentro del departamento de cómputo.

ANTECEDENTES La empresa A-DVE INGENIERIA S.A.S del sector privado, situada en la ciudad de BOGOTA DISTRITO CAPITAL en las instalaciones situadas en la CARRERA 13 N° 3886, Representada por la Sr Martha Lucia Carrillo Bonilla identificada con cedula de ciudadanía N° 53.014.113. ENFOQUE A UTILIZAR La presente auditoria se realiza de acuerdo con la gerencia de la compañía y el ingeniero de Sistemas de tecnología e Informática, responsable de normar, supervisar y evaluar los métodos, procedimientos y técnicas informáticas utilizados por cada uno de los departamentos de la empresa, Normas Internacionales de Auditoria (NIA); habiéndose

aplicado procedimientos de Auditoria que se consideraron necesarios de acuerdo a las circunstancias.

RECURSOS El numero de personas que integraran el equipo de auditoria sera de tres, con un tiempo maximo de ejecucion de 3 a 4 semanas.A continuacion el personal de la empresa que apoyara al auditori en la revision. EMPLEADO

CARGO

Danny Steven Cordinador HSE Zuluaga Andres Felipe Galan Director deproyectos Ana Maria Sierra

Ingeniera de sistemas

Jimmy Almeida

Asistente contable

ETAPAS DE TRABAJO 

Recopilacion de informacion básica

Una semana antes del comienzo de la auditoria se envio un cuestionario a los gerentes o responsables de las distintas areas de la empresa. El objetivo de este cuestionario fue saber los equipos que usan y los procesos que realizan en ellos. Los gerentes se encargaron de distribuir este cuestionario a los distintos empleados con acceso a los computadores, para que tambien lo completen. De esta manera, se obtuvo una vision mas global del sistema. Es importante tambien que conocimos y entrevistamos a los responsables del area de sistemas de la empresa para conocer con mayor profundidad el hardware y el software utilizado. 

En las entrevistas se obtuvo la siguiente informacion: 

Director / Gerente de Informatica



Subgerentes de informatica



Asistentes de informatica



Tecnicos de soporte externo

Ademmas de esto se obtuvo informacion importante para el copnocimiento y revision de el software y hardware utilizado po la compañía. • Solicitud de Manuales y Documentaciones. • Elaboración de los cuestionarios. • Recopilación de la información organizacional: estructura orgánica, recursos humanos, presupuestos. • Aplicación del cuestionario al personal. • Entrevistas a líderes y usuarios más relevantes de la dirección. • Análisis de las claves de acceso, control, seguridad, confiabilidad y respaldos. • Evaluación de la estructura orgánica: departamentos, puestos, funciones, autoridad y responsabilidades. • Evaluación de los Recursos Humanos y de la situación Presupuestal y Financiera: desempeño, capacitación, condiciones de trabajo, recursos en materiales y financieros mobiliario y equipos. • Evaluación de los sistemas: relevamiento de Hardware y Software, evaluación del diseño lógico y del desarrollo del sistema. • Evaluación del Proceso de Datos y de los Equipos de Cómputos: seguridad de los datos, control de operación, seguridad física y procedimientos de respaldo. DOCUMENTO SOLICITADOS -

Políticas, estándares, normas y procedimientos. Plan de sistemas, Planes de seguridad y continuidad Contratos, pólizas de seguros. Organigrama y manual de funciones. Manuales de sistemas. Registros Entrevistas Archivos requerimientos de Usuarios

Identificación de riesgos potenciales Se evaluaron la forma de adquisicion de nuevos equipos o aplicativos de software, con sus respectivas licencias legañles utiñlizadas. Los procedimientos para adquirirlos deben estar regulados y aprobados en base a los estandares de la empresa y los requerimientos minimos para ejecutar los programas base.

Dentro de los riesgos posibles, tambien se contemplaran huecos de seguridad del propio software y la correcta configuracion y/o actualizacion de los equipos criticos como el cortafuegos.Los riesgos potenciales se pueden presentar de la mas diversa variedad de formas.

1. SISTEMAS Y CONTROLES IDENTIFICADOS a) Control de Actividades y Operaciones. La empresa A-DVE INGENIERIA S.A.S ha formulado el Reglamento de Organización y Funciones, Asimismo la entidad ha formulado el Manual de Organización y Funciones. b) Controles de Confiabilidad y Validez de la Información. Las funciones y responsabilidades de cada funcionario y/o directivo están establecidas en el Reglamento General Interno, Reglamento de Organización y Funciones. AREA DE COMPUTO E INFORMATICA SITUACION ACTUAL Ubicación: El área de cómputo e informática orgánicamente depende de la empresa contratista YERAG TECNOLOGIA Y SERVICIOS con la que se tiene un contrato para el mantenimiento y revisión de las redes, sistema de información y seguridad de toda la información, asumiendo la responsabilidad de dirigir los procesos técnicos de informática. Recursos Humanos: Actualmente en el área de cómputo e informática labora una sola persona quien cumple las funciones de administración, capacitación, soporte y procesamiento de datos. Recursos informáticos existentes: 1 Equipo servidor (Windows profesional Server) 6 Computadoras Personales portátiles 2 Computadores de escritorio destinados para el área contable y administrativo 2 Impresoras 1 Software contable (WORLD OFFICE) 

OBJETIVOS DE CONTROL - Se evaluaran la existencia y la aplicación correcta de las politicas de seguridad, emergencia y disaster recovery de la empresa.

-

-

Se hara una revision de los manuales de politica de la empresa, que los procedimientos de los mismos se encuentren actualizados y que sean claros y que el personal los comprenda. Debe existir en la Empresa un programa de seguridad, para la evaluación de los riesgos que puedan existir, respecto a la seguridad del mantenimiento de los equipos, programas y datos.

DETERMINACION DE LOS PROCEDIMIENTOS DE CONTROL Se determinaran los procedimientos adecuados para aplicar a cada uno de los objetivos definidos en el paso anterior. Objetivo N° 1: Existencia de normativa de hardware.  El hardware debe estar correctamente identificado y documentado.(Hojas de vida de los equipos)  Se debe contar con todas las órdenes de compra y facturas con el fin de contar con el respaldo de las garantías ofrecidas por los fabricantes.(Soportes de compra)  El acceso a los componentes del hardware esté restringido a la directo a las personas que lo utilizan.(Contraseñas adecuadas)  Se debe contar con un plan de mantenimiento y registro de fechas, problemas, soluciones y próximo mantenimiento propuesto.(Contrato con un proveedor que brinda el servicio de mantenimiento y revisión delos sistemas) Objetivo N 2: Política de acceso a equipos.  Cada usuario deberá contar con su nombre de usuario y contraseña para acceder a los equipos.  Las claves deberán ser seguras (mínimo 8 caracteres, alfanuméricos y alternando mayúsculas y minúsculas).  Los usuarios se bloquearan después de 5 minutos sin actividad.  Los nuevos usuarios deberán ser autorizados mediante contratos confidencialidad y deben mantenerse luego de finalizada la relación laboral.

de

 Uso restringido de medios removibles (USB, CD-ROM, discos externos etc).

PRUEBAS A REALIZAR Se realizar un cuestionario para corroborar si la empresa cumple con los requisitos establecidos para un hardware y un software en A-DVE INGENIERIA S.A.S , de este

mismo modo se analizaran los estados en los que se encuentren dichos sistemas y equipos, contando con la ayuda de un profesional en sistemas titulado, para tener un mayor grado de confiabilidad, todo esto deberá estar debidamente soportado (facturas, órdenes de compra, autorizaciones etc.)



ENTREVISTA

Este cuestionario de entrevista se realizó al siguiente personal: 

Director / Gerente de Informatica



Subgerentes de informatica



Asistentes de informatica



Tecnicos de soporte externo

Como la empresa tiene un contrato El área de cómputo con la empresa contratista YERAG TECNOLOGIA Y SERVICIOS con la que se tiene un contrato para el mantenimiento y revisión de las redes, sistema de información y seguridad de toda la información, asumiendo la responsabilidad de dirigir los procesos técnicos de informática, nos dirigimos al área contable que es donde se encuentra el software sin dejar de lado el objetivo de esta auditoría de hardware y software. Por consiguiente nos arrojo el siguiente resultado:

PREGUNTAS

SI

NO

-

¿Existe un informe técnico en el que se justifique la adquisición del equipo, HARDWARE y servicios de computación, incluyendo un estudio costo-beneficio?

X

-

¿Existe un comité que coordine y se responsabilice de todo el proceso de adquisición e instalación?

X

-

¿Han elaborado un instructivo con procedimientos a seguir para la selección y adquisición de equipos, programas y servicios computacionales?

X

N/A

-

¿Se ha asegurado un respaldo de mantenimiento y asistencia técnica?

X

-

¿Se han implantado claves o password para garantizar operación de consola y equipo central, a personal autorizado?

X

-

¿Se mantiene un registro permanente (bitácora) de todos los procesos realizados, dejando constancia de suspensiones o cancelaciones de procesos?

X

-

¿Se han instalado equipos que protejan la Información y los dispositivos en caso de variación de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energía?

X

-

¿Se establecen procedimientos para obtención de backups de paquetes y de archivos de datos?

X

-

¿Se hacen revisiones periódicas y sorpresivas del contenido del disco para verificar la instalación de aplicaciones no relacionadas a la gestión de la empresa? ¿Existen estándares de funcionamiento y procedimientos que gobiernen la actividad del área de Informática por un lado y sus relaciones con los departamentos usuarios por otro?

X

-

¿Existen controles que tienden a asegurar que el cambio de puesto de trabajo y la finalización de los contratos laborales no afectan a los controles internos y a la seguridad informática?

X

-

¿se aprueban por personal autorizado las solicitudes de nuevas aplicaciones?

X

-

¿tienen manuales todas las aplicaciones?

X

-

¿existen controles que garanticen el uso

-

X

X

adecuado de discos ? -

¿existen procedimientos adecuados para conectarse y desconectarse de los equipos remotos?

-

¿se aprueban los programas nuevos referentes a la empresa y los que se revisan antes de ponerlos en funcionamiento?

X

x

SOFTWARE X

-

¿La responsabilidad del mantenimiento se transfiere a una organización distinta, se elabora un Plan de Transición?

-

El Plan de Mantenimiento es preparado por un ingeniero de sistemas debidamente titulado durante el desarrollo del software.

x

-

¿Los elementos software reflejan la documentación de diseño?

x

-

¿Los productos software fueron probados y sus especificaciones cumplidas?

x

-

¿La documentación de usuario cumple los estándares especificados?

-

existe software contable en la empresa

-

¿Se realizan auditorias periódicas a los medios de almacenamiento?

-

¿Se tiene relación del personal autorizado para manipular El Word office?

X

-

¿Se cumplen las especificaciones de la documentación del usuario del software?

X

-

¿Los documentos de gestión administrativa se cumplen satisfactoriamente en el área de cómputo?

x

x X

X

-

¿Los productos de software que utilizan en el área de informática está de acuerdo con los estándares establecidos?

X

-

¿Existen procedimientos de realización de copias de seguridad y de recuperación de datos?

X

-

¿Existen procedimientos de notificación y gestión de incidencias?

X

-

¿Existe un período máximo de vida de las contraseñas?

X

-

¿Hay dadas de alta en el sistema cuentas de usuario genéricas, es decir, utilizadas por más de una persona, no permitiendo por tanto la identificación de la persona física que las ha utilizado?

X

AUDITORIA DE SEGURIDAD PREGUNTAS

BUENO REGULAR MINIMO

-

Evaluar los atributos de acceso al sistema.

X

-

Evaluar las funciones del administrador del acceso al sistema.

X

-

Evaluar las medidas preventivas o correctivas en caso de siniestros.

X

-

Evaluar el control de entradas y salidas de bienes informáticos del centro de cómputo.

X

NO CUMPLE

-

Analizar las políticas de la instalación en relación con los accesos ocasionales a la sala.

X

-

Evaluar los procedimientos de captura, procesamiento de datos y emisión de resultados de los Sistemas computacionales.

X

-

Medidas preventivas.

-

Protección de archivos.

-

Limitación de accesos.

X

-

Protección contra robos.

X

-

Protección ante copias ilegales.

X

-

Protección de archivos, programas e información. Realización de inventarios de hardware, equipos y periféricos asociados.

X

-

-

-

Evaluar la configuración del equipo de computo (hardware). Existe un inventario de equipos y software asociados a las áreas de la empresa.

X X

X

x

X

-

Existe un plan de infraestructura de redes?

X

-

Existen normas que detallan que estándares que deben cumplir el hardware y el software de tecnología de redes?

X

-

¿La transmisión de la información en las redes es segura?

X

El resultado de esta entrevista nos arroja el siguiente resultado, cabe resaltar que esta presentación es una ponderación de todos los encuestados. Comentarios y observaciones: Comentarios y observaciones Hemos encontrado las siguientes deficiencias en el hardware, software de la empresa ADVE INGENIERIA S.A.S: -

Falta de licencias de software. Falta de software de aplicaciones actualizados No existe un calendario de mantenimiento exhaustivo del sistema. Inexistencia y falta de uso de los Manuales de Operación Falta de planes de formación No existe programas de capacitación y actualización al personal Pérdida de control Pérdida de una fuente de aprendizaje, porque una actividad interna pasa a ser externa. Uso de metodologías para nuevos desarrollos, pero ausencia de ellas para el mantenimiento. Tendencia a la desestructuración Falta de apoyo de la Dirección No están definidos los parámetros o normas de calidad. No existe documentaciones técnicas del sistema integrado de la Cooperativa y tampoco no existe un control o registro formal de las modificaciones efectuadas. No se cuenta con un Software que permita la seguridad de las librerías de los programas y la restricción y/o control del acceso de los mismos. Las modificaciones a los programas son solicitadas generalmente sin notas internas, en donde se describen los cambios o modificaciones que se requieren. No existe programas de capacitación y actualización al personal No se cuenta con un Software que permita la seguridad de restricción y/o control a la Red

En cuanto a esto la empresa debería adoptar sistemas de control especificando mas el cargo del jefe de sistemas de una empresa, por más que el manteniendo lo tenga otra empresa que esta como contratista deberá optar por tener un jefe de seguridad en cuanto al sistema que se les hace entrega a la empresa.

CONCLUSIONES 

Podemos manifestar que la empresa no cuenta que el departamento de centro de cómputo presenta deficiencias sobre el debido cumplimiento de Normas de seguridad, tienen escasez de personal debidamente capacitado no cuenta con una Implantación de equipos de última generación



El área de Informática presenta deficiencias sobre todo en el debido cumplimiento de sus funciones y por la falta de ellos, debería realizarse muestreos selectivos de la documentación de las aplicaciones, asignando un responsable del Centro de Cómputos en cada turno de trabajo, Crear y hacer uso de manuales de operación.



No se implementa métodos para las relaciones con las diferentes áreas en cuanto al compartimiento de archivos permitidos por las normas, por esto el departamento de centro de cómputo presenta deficiencias sobre todo en el debido cumplimiento de Normas de seguridad de datos y administración de la Base de Datos con respecto a calidad.



En cuanto al coste de la seguridad debe considerarse como un coste más entre todos los que son necesarios para desempeñar la actividad que es el objeto de la existencia de la entidad, sea ésta la obtención de un beneficio o la prestación de un servicio.



Observamos que hay ineficacia e inseguridad del sistema de control de accesos diseñado. Por falta de metodologías utilizadas que asegure la modularidad de las posibles futuras ampliaciones de la Aplicación y el fácil mantenimiento de las mismas.