CHESTIONAR

pentru auditarea unui sistem informatic

A. Mediul IT din cadrul organizatiei

1. Clientul foloseste sisteme informatice integrate? (cum ar fi sistemele ERP sau

mai multe aplicatii care sunt interfatate)
Clientul foloseste sisteme informatice de tip ERP pentru inregistrare si
administrare a proceselor financiar contabile, de vanzari, achizitii,
administrative, management al productiei, management al resurselor
umane si servicii in cadrul organizatiei.

2. Cat de critica este disponibilitatea sistemelor IT pentru afacerea clientului?

(foarte critic – intrerupere tolerabila < 1 zi, critic – intrerupere tolerabila 1-3
zile, necritic – intrerupere tolerabila > 3 zile)
Pentru desfasurarea activitatii este necesar ca ca sistemul IT sa
functioneze corect, fara erori. In functie de problemele care pot aparea
disponibilitatea sistemului poate fi foarte critica, daca de ex. se strica
serverul din productie intreg procesul de productie are de suferit si
trebuie intervenit imediat.

3. Care parti din mediul IT sunt externalizate?

Societatea are contract de furnizare servicii IT pentru programul de
contabilitate si mai nou pentru un soft de mentenanta.

4. Cum este formalizata relatia dintre client si furnizorul de servicii externe?

(cum ar fi indicatori de masurare a nivelului serviciilor)
Relatia dintre client si furnizorul de servicii externe este formalizata prin
contract care include un acord de nivel al serviciului agreat - un acord
intre un furnizor de servicii IT si un client, care descrie unul sau mai
multe servicii IT, documenteaza norma nivelului de servicii si specifica
responsabilitatile furnizorului de servicii IT si ale clientului.

5. Este IT-ul critic pentru atingerea obiectivelor clientului?

IT este parte integranta a organizatiei. Uneltele IT atat software cat si
hardware sunt vitale pentru desfasuarea activitatii.

6. Cum se asigura clientul ca IT-ul este parte a strategiei pe termen mediu si

lung?
In fiecare an la intocmirea BVC in functie de necesitatile anului anterior
si de strategia de dezvoltare a organizatiei este bugetata o suma pentru
departamentul de IT.

7. Cum se asigura clientul ca proiectele pe care doreste sa le initieze sunt

planificate corespunzator?
Printr-o cercetare prealabila prin care sa se identifice necesitatea
 realizarii proiectului precum si timpi si sursele de finantare necesare
indeplinirii proiectului. pentru realizarea planurilor.

8. Cum sunt monitorizate proiectele pentru a se asigura ca isi vor atinge

obiectivele intr-un mod eficient din punct de vedere al timpului si costului?

Proiectele sunt monitorizate prin intocmirea unui plan de dezvoltare

prin care persoanele responsabile de indeplinirea proiectelor analizeaza
si urmaresc desfasurarea corespunzatoare a tuturor activitatilor din
cadrul proiectului.

9. Are clientul dezvoltat DRP (disaster recovery plan) / BCP (business continuity
plan)? (DA/NU)
Da

10. Planul (DRP/BCP) acopera toate aplicatiile si functiile de infrastructura care

suporta procesele? Care continuitate este critica pentru client? Cat de des si
cat de riguros este testat planul?
Organizatia are un server de rezerva pe care sunt stocate in paralel cu
serverul principal toate aplicatiile si bazele de date precum si
modificarile care intervin in structura acestora. Zilnic la orele 24 se face
un backup automat al datelor prelucrate in ziua respectiva.

11. Este clientul constient de date care ii sunt critice?

Da, aceste date sunt salvate (pe hartie, pe disc) intr-o locatie sigura cu
acces la ele.

12. Este IT-ul critic pentru atingerea obiectivelor clientului? Ce a intreprins

clientul pentru a asigura securitatea datelor sale? (politici/proceduri)
Clientul este constient ca obiectivele sale pot fi indeplinite numai prin
existenta unui IT bine dezvoltat pentru aceasta face investitii continue a
software-ului. Pentru a asigura securitatea datelor sale clientul a stabilit
politici si proceduri cum ar fi: accesul la calculator si aplicatii se
realizeaza pe baza unui nume de utilizator si parola cunoscute doar de
utilizator, clauza de confidentialitate asupra datelor la care clientul are
acces, limitarea accesului la internet, utilizarea calculatorului strict in
interes de serviciu, interzicerea instalarii aplicatiilor si dispozitivelor
neautorizate in prealabil de departamentul IT, conectarea cu
echipamenete care nu sunt proprietatea companiei si nu pot fi
administrate de IT, etc

Care sunt riscurile identificate de dumneavoastra pentru clientul selectat,

din raspunsurile date la intrebarile de mai sus? (3 riscuri)
- DRP slab dezvoltat, se are in vedere colaborarea cu o firma
specializata in recuperare date pentru intocmirea altui DRP.
- Planul de testare existent nu este efectuat periodic
 - Echipamente hardware invechite care pot incetini sau bloca
activitatile.

B. Tehnologia utilizata

Denumirea Scurta descriere a Platforma Versiunea si Sistemul Sursa Este

aplicatiei aplicatiei hardware numele de aplicatiei aplicatia
utilizata sistemului gestiune a (cumparata, accesibila
de operare bazelor de cumparata cu din
date modificari, exterior
utilizat dezvoltare (dial-up/
proprie) internet)
Soft de Server bazat Windows Microsoft Cumparata Da
ManWinWin mentenanta pe CPU Intel Professional SQL Server
industriala Pentium I3- 7 SP 1 2014 SP2
2350M,2,30
GHz, 4,0GB
RAM

Referate Aplicatie pentru Server bazat Windows Microsoft Dezvoltare Nu

necesitate gestionarea pe CPU Intel Professional SQL Server proprie
bugetelor si a Pentium I3- 7 SP 1 2014 SP2
necesarului de 2350M,2,30
consumabile, GHz, 4,0GB
piese RAM
schimb,servicii,etc

Diagrama de retea
Organigrama departamentului IT

Director General

Specialist IT

1. La ce nivel din cadrul organizatiei raporteaza seful departamentului de IT?

Specialistul IT raporteaza direct conducerii organizatiei.

2. Cum este IT-ul organizat astfel incat sa asigure o delimitarea a

responsabilitatilor si continuitatea activitatii? (cum ar fi pe perioada
concediilor)
Fiind un singur angajat in departamentul de IT in perioada concediului
acesta este inlocuit de o persoana care cunoaste mai bine toate
activitatile ce tin de IT.

3. Care sunt riscurile identificate de dumneavoastra pentru clientul selectat, din

informatiile prezentate in sectiunea B? (3 riscuri)
- Pierderea unui server poate afecta direct si semnificativ aproape toti
utilizatorii retelei,
- existenta unei singure persoane care sa configureze si sa administreze
sistemul client/server, operatiune destul de complexa ,
- riscul ca in perioada cat specialistul IT este in concediu cel care il
inlocuieste sa nu poata rezolva potentialele probleme aparute creandu-
se disfunctionalitati sau chiar blocaje.
C. Analiza aplicatiei selectate

C.1. Accesul in aplicatie

1. Cum este reglementat (limitat) accesul catre functiile importante din mediul
IT? (administrator de baze de date, administrator de aplicatie, administrator
de retea)
Specialistul IT este cel care administreaza si are acces total la bazele de
date, aplicatii si retea.

2. Prezentati principalele setari de securitate ale sistemului (server de domeniu)

si analizati completitudinea lor?
-DNS utilizeaza liste de potrivire a adreselor pentru a permite sau a
refuza accesul entitatilor din exterior la anumite functii ale DNS( Ex.
pentru a permite toate adresele din reteaua 10.1.1.x cu exceptia
10.1.1.5, elementele din lista de potrivire trebuie sa fie in ordine
(!10.1.1.5; 10.1.1/24). In acest caz, adresa 10.1.1.5 va fi comparata cu
primul element si va fi refuzata imediat.
- restrictionarea accesului la server pentru urmatoarele optiuni:
permitere-actualizare (nu se accepta actualizari de la orice sursa din
afara); permitere-interogare (se specifica care din gazde au voie sa
interogheze serverul) ; permitere-transfer (se specifica carora dintre
gazde li se acorda dreptul sa primeasca transferuri de zona de la server);
permitere-recursie se specifica caror gazde li se permite sa faca cereri
recursive prin acest server) ; gaura neagra (se specifica o lista de adrese
de la care serverul nu accepta interogari si pe care nu le utilizeaza
pentru a rezolva o interogare).
- reteaua este protejata cu user si parola.

4. Cum este monitorizat accesul in aplicatie? (revizuire de loguri, revizuire de

lista de utilizatori)
Accesul in aplicatie se face pe baza de user si parola cunoscute doar de
utilizator si netransmisibile. Daca utilizatorul unei statii de lucru nu este
la serviciu din diverse motive nimeni din interiorul organizatiei nu are
acces la calculator acesta fiind protejat de user si parola. In cazul
demisiei unui angajat acestuia i se retrag toate drepturile din aplicatie .

5. Prezentati si analizati setarile de parola aferente aplicatiei?

La inceperea activitatii fiecare angajat primeste nume de utilizator si
parole atat pentru calculator cat si pentru aplicatiile pe care le va utiliza.
Dupa prima logare utilizatorul trebuie sa schimbe parolele si este obligat
sa nu transmita nimanui noile parole. Parolele trebuiesc schimbate o
data la 3 luni si trebuie sa nu fie mai mici de 6 caractere si sa contina
obligatoriu caractere mici si mari si cel putin un simbol.
6. Accesul utilizatorilor este autorizat si creat corespunzator? (cine face cererea,
cine stabileste drepturile, cine aproba accesul, cine creeaza contul, cine
notifica plecarea angajatului din organizatie)
Cererea pentru acces la aplicatii, precum si drepturile de acces (
scriere,citire) este initiata de seful ierarhic catre departamentul IT.
Departamenutul IT creeaza, transmite si gestioneaza conturile
utilizatorului. Seful ierarhic notifica dep. IT plecarea angajatului din
organizatie revocandu-i drepturile de acces.

7. Care sunt riscurile identificate de dumneavoastra pentru clientul selectat, din

informatiile prezentate in sectiunea C.1? (3 riscuri)
- exista aplicatii care nu fac verificari asupra volumului intrarilor
generate de utilizator si nu reusesc sa „sanitizeze” intrarile prin filtrarea
secventelor de caractere care nu sunt necesare sau potential malitioase,
- Din cauza lipsei unui ofiter de secutitate care sa coordoneze activitatea
de securitate informatica organizatia nu este protejata 100% in cazul
unor atacuri cibernetice.
- sisteme configurate cu software vulnerabil instalat , configuratiile
implicite sunt adesea orientate pentru a usura exploatarea, utilizarea
sistemelor, nefiind insa securizate si lasand servicii inutile exploatabile
in starea implicita a acestora.

C.2. Gestionarea modificarilor aduse aplicatiei

1. Cine si cum initiaza o modificare care sa fie adusa aplicatiei?

Necesitatea modificarii unei aplicatii este constatata de utilizatorii
aplicatiei care notifica acest fapt sefului ierarhic si dep. IT.

2. Cine aproba modificarea pentru a fi dezvoltata?

Modificarea este aprobata de Directorul general.

3. Cine si cum monitorizeaza modificarile aduse aplicatiei?

Modificarile aduse aplicatiei sunt monitorizate de specialistul IT dar si
de utilizatorul aplicatiei in sensul ca acesta trebuie sa anunte IT-ul in
cazul in care constata vreo eroare.

4. Cine si cum testeaza modificarile dezvoltate? Cine aproba migrarea

dezvoltarii in productie?
Specialistul IT
5. Cine si cum monitorizeaza modificarile aduse aplicatiei?
Modificarile aduse aplicatiei sunt monitorizate de specialistul IT dar si
de utilizatorul aplicatiei in sensul ca acesta trebuie sa anunte IT-ul in
cazul in care constata vreo eroare.

6. Cum este asigurata delimitarea responsabilitatilor in cadrul procesului de

gestionare a modificarilor aduse aplicatiei?
Fiind un singur specialist IT nu se realizeaza delimitarea
responsabilitatilor.

C.3. Alte informatii

1. Cum se realizeaza backup-ul informatiilor din aplicatie? Cat de des este

verificat backup-ul si cum?
Backup-ul se realizeaza automat in fiecare zi la orele 24 si manual la
sfarsitul saptamanii.

2. Cum monitorizate si rezolvate deviatiile care apare in procesarilor

programate? (transferuri, scheduled task)
Se verifica daca au fost efectuate procesarile manual.

3. Care sunt riscurile identificate de dumneavoastra pentru clientul selectat, din

informatiile prezentate in sectiunea C.2 si C.3? (3 riscuri)
- Dificultatea verificarii corectitudini procesarilor,
- Backup-ul manual nu este realizat zilnic, astfel creste posibilitatea de
pierdere a datelor de pe acele servere,
- Aplicatii slab dezvoltate.

4. Dati exemple de minim trei intrebari care ar trebui sa se regaseasca in acest

chestionar?

- Care credeti ca sunt vulnerabilitatile sistemului si aplicatiilor?

- De ce componenta hardware este la fel de importanta ca cea
software?
- Care sunt riscurile in cazul unui sistem de securitate informatic
slab dezvoltat?