Auditul sistemului informatic

Auditul performantei sistemului informatic

al societatii AAAA SRL
Obiectivul general si obiectivele specifice ale auditului:
Obiectivul general al auditului a constat in evaluarea stadiului de dezvoltare si utilizare a
sistemului informatic existent in cadrul societatii AAAA SRL precum si a instrumentelor,
tehnologiilor informatice si infrastructurii aferente furnizarii unor servicii de calitate impreuna cu
formularea unor recomandari in scopul imbunatatirii serviciilor oferite.

Principalele concluzii si constatari ale auditului:

Utilizandu-se metoda Mehari SC AAAA SRL prezinte un nivel de risc de 3 puncte.

Mw = 4 * Σ Ri * Wi / Σ Wi = Σ Mi / 12 = ( 3.43 + 2.93 + 2.59 + 2.93 + 2.93 + 2.75 + 2.4 + 2.75 +

2.59 + 3.5 + 3.2 + 4 ) / 12 = 3 puncte

Pe baza probelor de audit au fost identificate si constatate urmatoarele aspecte:

⮚ Organizarea si implicarea acesteia asupra securitatii este realizata de catre

departamentele administrativ, IT si resurse umane sub indrumarea managementului.
Acestea elaboreaza Manualul angajatului: un ghid complet pentru angajati ce cuprinde un
set de principii, norme si proceduri de securitate obligatorii.
⮚ Securitatea accesului fizic este realizata de catre o echipa formata dintr-un angajat al societatii
si un angajat al unei firme de paza care monitorizeaza toate persoanele care intra si ies din
societate intr-un jurnal.Angajatii sunt identificati pe baza ecusoanelor.La intrare este un sistem
informatic pentru pontarea intrarilor si iesirilor dar acesta nu asigura un nivel de securitate
optim.
⮚ In ceea ce priveste intretinerea generala principala problema in acest sens o reprezinta
aprovizionarea cu energie electrica care se realizeaza din reteaua orasului societatea
nedispunand de un sistem care sa includa o sursa permanenta pentru echipamentele sensibile ci
doar un set de baterii care nu asigura autonomia sistemului. Exista un sistem de protectie contra
incendiilor automat, sistemul de aer conditionat asigura intreg perimetrul, cablurile sunt
montate si protejate corespunzator. Exista o supraveghere video legata la un centru de
monitorizare 24h/24h.
⮚ Nu exista o politica clara de recrutatre, pregatire si evaluare a resurselor umane IT, personalul
de specialitate IT fiind insuficient din punct de vedere numeric, cat si structural ( programatori,
administratori de sistem si baze de date etc ).Concentrarea cunostiintelor IT la un numar
restrans de personal a creat o dependenta semnificativa de „persoane cheie”. De asemenea,
tematicile pentru instruirea utilizatorilor nu sunt suficiente si nici omogene, accentul
deplasandu-se spre perfectionarea individuala.
⮚ Mentenanta aplicatiilor este asigurata de catre departamentul IT. Pentru asigurarea suportului
tehnic exista in cadrul departamentului IT, Help Desk-ul, numarul telefonic 303 sau se posteaza
pe reteaua locala "problema" in cadrul sectiunii Help Suport. Pentru tranzactiile speciale este
analizata protejarea prin intermediul parolelor, semnaturilor electronice, criptare,etc.
⮚ Periodic se realizeaza copii back-up ale sistemului menite sa reconstituie datele originale in
cazul distrugerii dar aceste copii sunt realizate doar pentru datele din reteaua locala. Mentenanta
datelor din calculatoarele personale este lasata in grija utilizatorilor acestor date.
⮚ Societatea are o retea locala la care au acces angajati, atat prin intermediul echipamentelor
societatii cat si din afara. Reteaua locala este partitionata in domenii pentru fiecare departament
 Auditul sistemului informatic

in care exista sectiunile public(la care au acces toti angajatii) si privat (cuprinde mediul de lucru
propriu fiecarui departament).Accesul la mediul privat este restrictionat.
⮚ Pentru aplicatiile dezvoltate propriu exista un departament special IS care asigura dezvoltarea,
testarea si implementarea. Acest departament, in functie de cerintele utilizatorilor proiecteaza si
dezvolta aplicatii. In toate etapele se realizeaza studii cu privire la riscuri. Desi gestioneaza un
fond de date considerabil, aplicatiile informatice evaluate nu raspund tuturor cerintelor de
raportare, in multe cazuri fiind necesare prelucrari manuale ulterioare ale informatiilor si
dezvoltarea pe plan local de aplicatii prin care sa se extraga date direct din baza de date, fapt ce
conduce la pericolul denaturarii datelor, la un consum mare de timp si resurse si nu asigura
promptitudine in informare;
⮚ In ceea ce priveste legalitatea societatea isi desfasoare activitatea in conformitate cu legislatia in
vigoare. Este certificata ISO: Sistemul de management al calitatii astfel este asigurata o garantie
a controlului documentelor, tranzactiilor, produselor,sistemelor etc. Evidentele contabile sunt
tinute respectand standardele.Toate programele informatice se afla sub licenta producatorului.

Recomandarile auditului:
Pentru a veni in sprijinul entitatii auditate in actiunea de implementare si utilizare a unui sistem
informatic integrat, auditorul face urmatoarele recomandari:

● Intarirea echipei manageriale IT, prin includerea unor persoane responsabile cu administrarea
sistemelor de operare si a bazelor de date, a securitatii logice si fizice si a infrastructurii de
comunicatii;
● Intarirea masurilor de securitate la receptie in sensul verificatii legitimatiei fiecarui angajat,
insotirea vizitatorilor in cladire;
● Existenta unor masuri suplimentare de securitate in afara programului care vizeaza in special
echipele care realizeaza curatenia si intretinerea spatiilor de lucru;
● Desemnarea unor persoane responsabile cu verificarea paramentrilor echipamentelor, retelei in
week-enduri si vacante;
● Implementarea unui sistem de baterii care sa permita sistemului, in cazul unei pene de curent,
cel putin realizarea unei copii back-up;
● In cazul atribuirii drepturilor de acces se recomanda un control mai strict in sensul actualizarii
la timp a bazei de date cu utilizatori si drepturile fiecaruia tinandu-se cont de miscarile de
personal;
● Nu se garanteaza caracterul inviolabil al parolei utilizatorilor,daca acestia nu au scopul de a o
mentine strict confidentiala astfel se recomanda un control mai strict al parolelor;
● Elaborarea si implementarea unor proceduri de securitate cu privire la reteaua de telefonie;
● Extinderea rolului misiunilor de audit intern asupra domeniului utilizarii tehnologiilor
informatiei, prin efectuarea unor controale specifice mediului IT atat la nivel central, cat si
operativ.