RAPORT DE AUDIT

Auditul Sistemelor Informatice ale companiei DELL

Studenți: Tanasiev Mihaela

Radu Mădălina
Railean Olesea
Vozian Iuliana
 1. Precizarea scopului auditului:

Auditarea structurii sistemului informatic în cadrul companiei necesită, în întregime, un nivel

ridicat de analiză; vor fi analizate în mod deosebit întegrarea sistemelor, infrastructura și modul în
care acestea afectează întregul sistem informatic al companiei.
- Identificarea și înlăturarea punctelor slabe ale sistemului informatic;
- Minimizarea riscurilor la care este expusă compania;
- Conștientizarea asupra potențialelor riscuri pe care sistemul informatic actual le implică în
dezvoltarea proiectelor și punctele critice unde trebuie intervenit pentru a îndepărta aceste riscuri;
- Utilizarea în condiții de siguranță a unei tehnologii dezvoltate de actualitate prin aplicarea unor
politici de securitate care să respecte condițiile specifice companiei dumneavoastra;
Procesul de audit IT, ajuta companiile să-și reducă costurile prin identificarea unor moduri mai
eficiente de protecție hardware și software, permite o mai bună administrare cu privire la aplicarea şi
utilizarea de tehnologii de securitate şi a proceselor.
Ca rezultat al acestui audit, se va pune la dispozitie un set de sugestii referitoare la schimbarile
care trebuie facute in cadrul structurii sistemului informatic prezent.

2. Perioada desfășurării misiunii de audit: 03.09.2018 – 20.12.2018

3. Perioada auditată: 01.01.2018 – 01.01.2019
4. Echipa misiunii de audit:

- Auditor IT

- Auditor securitate

Responsabilitatile unui Auditor de securitate:

1. Organizarea securitatii in cadrul firmei:

- Verifica daca exista documente care precizează sarcinile şi responsabilităţile personalului în
ceea ce priveşte utilizarea şi protecţia mijloacelor de autentificare (parole, chei, jetoane,
ecusoane, etc);
- Există un document care defineşte regulile generale aplicabile cu scopul de a proteja reţeaua
internă împotriva ameninţărilor externe, condiţiile necesare pentru a accesa reţeaua internă
din exterior şi viceversa;
- Există un document care defineşte regulile generale aplicate la protecţia de acces a resurselor
de calcul (elemente de stocare şi de reţea, sisteme, aplicatii, date, mass-media, etc), precum
şi condiţiile necesare pentru acordarea, gestionarea controlul drepturilor de acces;
- Verifica cine este responsabil să asigure că personalul, contractanţii şi părţile terţe respecta
politicile de securitate ale companiei şi procedurile;
- Verifica daca personalul responsabil de securitatea firmei beneficiaza de training periodic;
- Verifica daca fiecare utilizator are un cod unic de identificare si o legitimatie/card de acces
pentru a sti exact cine a accesat informatiile;
- Verifica daca informatiile fac obiectul unei polite de asigurare;
2. Securitatea zonei :
- Verifica daca accesul in perimetru si cladire este limitat la o perioada de timp ;
- Verifica daca procedura de acordare a autorizatiei de acces este documentata si controlata;
- Verifica daca accesul in zona se face pe baza unei legitimatii/card acces;
- Verifica daca sistemul garanteaza controlul complet al persoanelor care intra in
intreprindere;
3. Securitatea spatiilor:
- Se asigura ca sistemul de energie furnizata este verificat frecvent;
- Verifica daca ,in spatiile importante, exista un manager care sa tina la zi evidenta
personalului care are acces ;
- Verifica daca procedura de acordare a autorizatiei de acces este strict controlata si
documentata;
- Verifica daca spatiile sunt permanent sub supraveghere video;
- Verifica daca exista riscul de producere ale unor distrugeri (ex: incendii , inundatii)
4. Securitatea retelei locale:
- Verifica daca toate echipamentele de retelistica sunt fac obiectul unui contract de asigurare;
- Verifica daca a fost stabilit un plan de back-up care sa cuprinda configuratiile retelelor,
definind toate obiectele ce trebuie recuperate si frecventa back-up-ului;
- Verifica daca exista un sistem de securitate care asigura controlul asupra accesului la
internet.
- Verifica existenta unui mecanism de autentificare al fiecarui utilizator, înainte de orice acces
la o resursă din reţeaua locală.
 5. Verifica daca compania benefiaciaza de un sistem de control intern, pentru
preintampinarea erorilor de operare, ce pot aduce repercusiuni grave clientilor firmei.
- Acest sistem de controlare presupune verificarea prin sondaj a unor operatiuni cu grad mai
crescut de dificultate, fiind implementat o data la o luna, sau mai des, in functie de numarul
de personae nou angajate.

5. Persoane contactate în perioada auditului

- Managerul IT;
- Managerul de Securitate;
- Managerul bazelor de date.

6. Obiectivele auditului și activitățile desfășurate

Obiectivele auditului:

- Evaluarea soluțiilor arhitecturale și de implementare;

- Evaluarea disponibilității și accesibilității infomațiilor;
- Îmbunătăţirea sistemului şi controalelor procesului;
- Prevenirea şi detectarea erorilor şi a fraudelor;
- Reducerea riscurilor şi îmbunătăţirea securităţii sistemului;
- Planificarea pentru refacere în caz de accidente şi dezastre;
- Managementul informaţiilor şi dezvoltării sistemului;
- Evaluarea utilizării eficiente a resurselor;
- Respectarea politicilor, standardelor i procedurilor cu privire la calitatea datelor;
- Respectarea standardelor de securitate a datelor;

Pentru a realiza un proces de auditare eficient este necesar să se parcurgă următorarele activitati :

- Definirea obiectului auditării sistemului informatic;

- Construirea planului de auditare;
- Atribuirea sarcinilor fiecărui membru din echipa de auditori;
- Preluarea structurilor de tabele pentru înregistrarea rezultatelor auditării;
- Derularea, pas cu pas, a procesului de auditare folosind standarde, tehnici şi metode stabilite;
- Înregistrarea rezultatelor şi evaluarea fiecărei etape parcurse;
 - Regruparea documentaţiei provenite din diferite stadi ale procesului de auditare şi
construirea raportului final.

7. Cadrul de reglamentare aplicabil și documentele analizate

Documente de lucru. Au fost utilizate chestionare și liste de verificare elaborate de echipa de audit
necesare pentru Auditul performanei și al sistemelor informatice.

Tehnici de audit. Tehnicile de audit utilizate în cadrul misiunii au inclus:

- Realizarea de interviuri cu persoane cheie implicate în proiect;

- Utilizarea chestionarelor / machetelor;
- Examinarea unor documentații tehnice, economice de monitorizare și de raportare: grafice de
implementare, rapoarte interne;
- Consultarea unor documentații tehnice;
- Examinarea sistemului informatic.

8. Concluzii:
A. Planificarea activităților IT

Constatare: Nu exist un plan corespunzător și documentat pentru coordonarea activităților legate

de funcționarea Sistemului Informatic.

Recomandare: Elaborarea unei strategii formale și a unui plan corespunzător și documentat

pentru coordonarea activităților, care să definească și să impună principiile și metodele de
implementare, utilizare, întreținere și dezvoltare a sistemelor informatice, precum și atribuțiile
factorilor implicați în gestionarea proceselor IT. Conducerea trebuie să fie informată cu regularitate
despre activitatea IT.

B. Resurse și cunoștințe IT

Constatare: Personalul aflat în componența structurilor IT care gestionează procesele aferente

sistemului este instruit atât în ceea ce privește utilizarea tehnologiilor informației și respectarea
procedurilor de operare a sistemului cât și în aplicarea politicilor privind securitatea sistemului,
asigurarea corectitudinii și protecției informațiilor. Nivelul de instruire al personalului este ridicat.
Se desfășoară instruirea continuă, pe categorii de probleme specifice acestui sistem.
Recomandare: Elaborarea unei politici formale în ceea ce privește instruirea personalului și a
unui plan documentat, în care să fie incluse teme de interes major, legate de activitatea sistemului
informatic (securitatea sistemelor, managementul proiectelor, managementul schimbării și
dezvoltării sistemului).

C. Securitatea fizică și controalele de mediu

Constatare: Există regulament de acces care include proceduri de acces stabilite și aprobate
oficial, în spațiile care găzduiesc echipamentele IT. Sălile în care este instalată configurația aferentă
Sistemului sunt echipate cu: sisteme de prevenire a incendiilor, dispozitive pentru controlul
umidității, aer condiionat, camere ecranate. La nivel de instituție există regulament intern privind
protejarea cablurilor de rețea, amplasarea elementelor active ale rețelei în rackuri speciale.

Recomandare: Implementarea unei proceduri privind asigurarea securității fizice și de mediu care
să includă controale IT care să asigure, pe de o parte, protecția împotriva accesului personalului
neautorizat, iar pe de altă parte, protecția în ceea ce privește deteriorarea mediului în care
funcționează sistemul (cauzat de foc,apă, cutremur, praf, căderi sau creșteri brute ale tensiunii
electrice).

D. Evaluarea securității rețelei

Constatare: Nu este nominalizat un manager pentru securitatea sistemului. Instituția a inițiat

demersurile pentru certificarea sistemului în ceea ce privește managementul securității și în acest
context sunt în curs de elaborare: politica de securitate, planuri și proceduri privind securitatea.

Recomandare: Revizuirea și completarea procedurilor existente cu controale adecvate acestui tip

de sistem care este expus într-un grad înalt atacurilor din exterior, cât și elaborarea unor noi
proceduri, în conformitate cu standardele internaionale de securitate. De asemenea, recomandăm
nominalizarea unui manager pentru securitatea sistemului.

E. Protecția informației și confidențialitatea

Constatare: La nivelul entității este dezvoltat un plan de management al confidențialității. Există

angajamente de confidențialitate semnate de fiecare angajat din cadrul Departamentului IT. Este
documentată o politică de protecție a informațiilor și de confidențialitate în concordanță cu cerințe
specificate care să promoveze o partajare a informațiilor corectă și rezonabilă cu beneficii reflectate
în eficiență și eficacitate.

F. Managementul continuității sistemului.

Constatare: În scopul eliminării riscului unor defecțiuni majore generate de sistemul IT sunt
implementate proceduri pentru menținerea integrității datelor entității prin intermediul unor servicii
operaționale și facilități de prelucrare și, dacă este necesar, prin furnizarea unor servicii temporare
până la reluarea serviciilor întrerupte. La nivelul departamentului IT este documentat un plan de
recuperare în caz de dezastru. Există o procedură formală de salvare a fondului de date. Sunt
efectuate copii atât automat, cât și manual, cu frecvență zilnică.

9. Data raportului, semnături

20.12.2018