AUDITORIA DE LOS SISTEMAS DE INFORMACION RUBRO: BASE DE DATOS

El departamento del personal de la empresa MYM STORE S.R.L. dispone de una red de rea local conectada al computador principal de dicha empresa donde se realizan procesos generales.

En este sistema de base de datos formado por un conjunto de computadoras personales se realizan la mayor parte de los procesos informticos correspondientes al departamento.

Para lo cual dispone del software adecuado incluyendo algunas aplicaciones especficas realizadas por una compaa externa de servicios, el director de informtica a dictado el pasado ao normas correctas sobre la utilizacin de computadoras personales.

El comit de direccin de la empresa a solicitado una auditoria informtica de dicho departamento.

Se solicita a los auditores que resuelva los siguientes puntos:

1. Fases que realizan en esta auditora teniendo en cuenta los recursos humanos relacionados con el procesamiento de la base de datos. 2. Determinar Los riesgos potenciales existentes Los objetivos de control Las tcnicas de control Las pruebas de cumplimiento Las pruebas sustantivas 3. Resumen, conclusin y recomendacin.

LIC. GERARDO PINTO V.

Pgina 1

AUDITORIA DE LOS SISTEMAS DE INFORMACION RUBRO: BASE DE DATOS

ORGANIGRAMA DE LA EMPRESA AUDITADA

LIC. GERARDO PINTO V.

Pgina 2

AUDITORIA DE LOS SISTEMAS DE INFORMACION RUBRO: BASE DE DATOS

Santa Cruz, 15 de junio de 2011 Seor: Gerente General Empresa XX inc. Presente:

Ref. Presentacin de equipo de auditoria

De mi consideracin: Mediante la presente le hacemos conocer el equipo de auditoria que trabaja con su empresa:

Celia Prez Felicidad Gonzales L. Leidy Caldern C. Andrs Mamani

jefe de comisin Supervisor Auditor junior Asesor legal

Sin otro particular reciba usted un cordial saludo.

Atte. Celia Prez Jefe de comisin

LIC. GERARDO PINTO V.

Pgina 3

AUDITORIA DE LOS SISTEMAS DE INFORMACION RUBRO: BASE DE DATOS

Santa Cruz, 20 de junio del 2011 Seores: Director de informtica Responsable de microinformtica Responsable del departamento de recursos humanos Presente:

Ref. Solicitud de informacin de la red de base de datos

De mi vociferacin: Mediante la presente, comunicamos a ustedes que por motivos de revisin y verificacin de funcionamiento correcto de la base de datos requerimos de la siguiente informacin:

y y y y

Inventario de los equipos que posea su departamento (CPU, monitores, impresoras, scanner, etc.) Informacin sobre el software que posee, cada equipo. Historial de informacin completa desde el inicio de nuestra auditoria hasta la fecha de conclusin de la misma. Informacin del personal que realiza el procesamiento de datos.

Sin otro particular, reciba usted un cordial saludo:

Atte. Celia Prez Jefe de comisin

LIC. GERARDO PINTO V.

Pgina 4

AUDITORIA DE LOS SISTEMAS DE INFORMACION RUBRO: BASE DE DATOS

MEMORANDUM DE PROGRAMACION DE AUDITORIA RUBRO: BASE DE DATOS

CONTENIDO
I. NATURALEZA DEL TRABAJO DE AUIDITORIA II. MARCO NORMATIVO DE REFERENCIA

III. OBJETIVOS IV. ALCANCES

V. METODOLOGIA VI. ADMINISTRACION DE TRABAJO PRESUPUESTO DE HORAS

VII. PROGRAMA DETALLADO DE AUDITORIA PREPARADO POR:

.. Supervisor

. fecha

..

Revisado y aprobado

fecha

SANTA CRUZ BOLIVIA 2011

LIC. GERARDO PINTO V.

Pgina 5

AUDITORIA DE LOS SISTEMAS DE INFORMACION RUBRO: BASE DE DATOS

MEMORANDUM DE PROGAMACION DE AUDITORIA RUBRO: BASE DE DATOS I. NATURALEZA DE TRABAJO DE AUDITORIA

En esta seccin proporcionamos una descripcin de algunos aspectos clave de nuestra propuesta de servicios de auditora, con el propsito de facilitar la evaluacin de nuestras calificaciones y experiencias, para ello incluimos aspectos tales como nuestro enfoque de auditora, nuestro equipo de trabajo es la metodologa a utilizar en el rea.

II.

MARCO NORMATIVO DE REFERENCIA

Nuestro trabajo de auditora a la base de datos ser efectuado de acuerdo a:

y y y y y

Normas de auditora gubernamental aceptadas. Norma internacional de auditora no 400. Norma internacional de auditora no 230. Normativas del control de procesamiento de datos. Polticas en informtica.

III.

OBJETIVOS

Verificar que la informacin sea correctamente organizada en el sistema de archivos electrnicos segn normativas del control de procesamiento de datos, cabe decir en los campos, registros y archivos donde: Un campo es una pieza nica de informacin; un registro es un sistema completo de campos; y un archivo es una coleccin de registros, de existir irregularidades identificar al responsable.

LIC. GERARDO PINTO V.

Pgina 6

AUDITORIA DE LOS SISTEMAS DE INFORMACION RUBRO: BASE DE DATOS

IV.

ALCANCES

El alcance de la auditoria comprende:

Evaluacin de la direccin de informtica, en lo que corresponde a: capacitacin, planes de trabajo, controles y estndares. Evaluacin de los sistemas

Evaluacin de los diferentes sistemas en operacin (flujo de informacin, procesamientos, organizacin de archivos controles al procesamiento de base de datos) Evaluacin del avance de los sistemas en desarrollo Evaluacin de prioridades de recursos humanos asignados a equipos de computo. Seguridad fsica y lgica de los sistemas, su confidencialidad y su respaldo.

Evaluacin de los equipos

Evaluacin de la capacidad, utilizacin y seguridad Fsica y lgica.

V.

METODOLOGIA

La metodologa de la investigacin a utilizar en nuestra auditoria se presenta a continuacin: y Para la evaluacin de la direccin de informtica se llevara acabo las siguientes actividades.

Solicitud de los estndares utilizados y programa de trabajo. Aplicacin del cuestionario al personal. Anlisis y evaluacin de la informacin obtenida. Elaboracin del informe

Para la evaluacin del sistema de procesamiento de la base de datos como en desarrollo se llevaran a cabo las siguientes actividades.
Pgina 7

LIC. GERARDO PINTO V.

AUDITORIA DE LOS SISTEMAS DE INFORMACION RUBRO: BASE DE DATOS

Solicitud del anlisis y diseo de los procesos de datos. Recopilacin y anlisis de los procedimientos Administrativos de cada sistema. Anlisis de llaves, control, seguridad, confidencialidad y Respaldos. Entrevista con los usuarios de los sistemas. Evaluacin directa de la informacin obtenida. Anlisis y objetivo de la estructuracin y flujos de los sistemas de ventas. Anlisis y evaluacin de la informacin recopilada. Elaboracin del informe 3.- Para la evaluacin de los equipos relacionados con el Procesamiento de datos se llevaran a cabo las siguientes Actividad Solicitud de los estudios de viabilidad y caractersticas de los Equipos actuales. Solicitud de contratos de compra y mantenimientos de equipos y sistemas. Solicitud de contratos y convenios de respaldo. Solicitud de contratos de seguros. Visita tcnica de comprobacin de seguridad fisca y lgica de las instalaciones de la direccin de informtica. 4.- Elaboracin y presentacin del informe final Conclusin y recomendacin.

LIC. GERARDO PINTO V.

Pgina 8

AUDITORIA DE LOS SISTEMAS DE INFORMACION RUBRO: BASE DE DATOS

VI.
CARGOS Jefe de Comisin Supervisor

DMINISTRACION DE TRABAJO-PRESUPUESTO DE HORAS

NOMBRES Celia Prez Felicidad Gonzales Leidy Caldern Andrs Mamani PLANIFICACION 10 25 40 70 5 40 10 120 EJECUCION INFORME 5 20 10 5 40 TOTAL HRAS. 15 85 80 20 200

Auditor Junior Asesor Legal total

LIC. GERARDO PINTO V.

Pgina 9

AUDITORIA DE LOS SISTEMAS DE INFORMACION RUBRO: BASE DE DATOS

VII.
Objetivo:

PROGRAMA DETALLADO DE AUDITORIA

Verificar que la informacin sea correctamente organizada en el sistema de archivos electrnicos segn normativas del control de procesamiento de datos cabe decir en los campos, registros y archivos donde Un campo es una pieza nica de informacin; un registro es un sistema completo de campos; y un archivo es una coleccin de registros, de existir irregularidades identificar al responsable. PROCEDIMIENTOS Prepare el cuestionario para los jefes de cada dpto. de la empresa. Identificar las respuestas positivas y obtenga pruebas sustantivas. Elaborar la planilla de deficiencia para las respuestas negativas. Identifique los riesgos del procesamiento de datos. Preparacin de los objetivos de control de los riesgos identificados Elabore las tcnicas de control para cada objetivo identificado con su respectivo cumplimiento y comentario Prepare el informe de auditoria REF. Hecho Supervisado P/T Por:.. Por:

LIC. GERARDO PINTO V.

Pgina 10

AUDITORIA DE LOS SISTEMAS DE INFORMACION RUBRO: BASE DE DATOS

VIII.

APROBACION DE LA PROGRAMACION DE AUDITORIA

.. PREPARADO POR: SUPERVISOR

. FECHA

. APROBADO POR: (JEFE DE COMISION AUD.)

FECHA

LIC. GERARDO PINTO V.

Pgina 11

AUDITORIA DE LOS SISTEMAS DE INFORMACION RUBRO: BASE DE DATOS

Santa Cruz 15 de Junio del 2011

PROGRAMA DE AUDITORIA PARA BASE DE DATOS

Objetivo.-

Verificar que la informacin sea correctamente organizada en el sistema de archivos electrnicos segn normativas del control de procesamiento de datos cabe decir en los campos, registros y archivos donde Un campo es una pieza nica de informacin; un registro es un sistema completo de campos; y un archivo es una coleccin de registros, de existir irregularidades identificar al responsable.

Disponer de mecanismos que permitan tener pautas de auditoras completas y automticas relacionadas con el acceso de la base de datos incluyendo la capacidad de generar alertas con el objetivo de:

y Mitigar los riesgos asociados con el manejo inadecuado de los datos y Apoyar el cumplimiento regulatorio y Evitar acciones criminales y Evitar multas por incumplimiento y Las informaciones confidenciales que fueron imprimidas incorrectamente se tiene que desechar para la propia seguridad de la empresa y El jefe de sistemas debe aplicar cambios en los paswords para la seguridad de las informaciones confidenciales, porque el usuario puede dar a conocer a terceras personas. y El ingreso a los ordenadores conectados en base de datos debe ser restringidas sin previa autorizacin y depende de las polticas que ejecuta la empresa. y Se deben implementar programas de seguridad a la evaluacin de los riesgos que puedan existir, respecto a la seguridad de los mantenimientos de los equipos, programas y datos.

LIC. GERARDO PINTO V.

Pgina 12

AUDITORIA DE LOS SISTEMAS DE INFORMACION RUBRO: BASE DE DATOS

CUESTIONARIO DE CONTROL EXTERNO RUBRO: AUDITORIA A BASE DE DATOS RESPUESTAS PREGUNTAS 1. El software es de propiedad de la empresa y tiene licencia correspondiente? 2. se realiza regularmente copias de seguridad de los ficheros de la informacin almacenada de su PC? 3. El acceso al sistema de ventas cuenta con niveles de seguridad que garantice la informacin de la institucin? el cual deber tener un control administrativo nico para poder delimitar responsabilidades. ? Segn polticas de informtica ( art. 15 inciso b) 4. la preparacin de datos de la empresa debe ser responsabilidad de usuarios y consecuentemente su correccin? 5. se protegen sus ficheros de uso no autorizado especialmente si comparte su PC con otros usuarios? 6. Existe reglamentos claramente especificados para la contratacin del servicio de desarrollo o construccin de software aplicativo? Impuesto en las polticas de informtica ( art. 16) 7. La bese de datos cuenta con informacin sobre datos relevantes en el registro histrico de las transacciones? As como la clave del usuario y fecha en que se realice (normas bsicas de auditoras y control ) segn polticas de informticas (art. 18 inciso h) 8. Se utiliza seguridad del firewall fsico y lgico? 9. Existe un control en los sistemas de ventas para el acceso a la red de la base de datos? 10. El sistema para el acceso de la bese de datos tiene seguridad lgica? 11. cada usuario tiene su respectivo passwords de entrada a los ordenadores conectados en red? 12. Se realiza mantenimiento a la red de la base de datos? 13. Existe el personal adecuado y cuenta con capacitaciones personales sobre el manejo de dicho sistema para el procesamiento de datos? 14. Los controles de procesamiento que realiza la empresa se refiere al ciclo de entradas y salidas de datos? 15. Existe un control interno para el procesamiento de datos? SI NO

LIC. GERARDO PINTO V.

Pgina 13

AUDITORIA DE LOS SISTEMAS DE INFORMACION RUBRO: BASE DE DATOS

Responsables AUDITORIA DE CONTROL DE SISTEMAS EMPRESA: XX INC. COMERCIALIZADORA DE EQUIPOS DE TELEVISORES RUBRO: BASE DE DATOS PLANILLA DE DEFICIENCIA Ref. P/T
CONDICION CRITERIO CAUSA EFECTO RECOMENDACION

COMISIO AUDITOR

Se a evidenciado que el software no es de propiedad de la empresa y no cuenta con la licencia correspondiente.

Se a vulnerado el PCGA de propiedad y la NC 6

La adquisicin del software no tenia la debida aprobacin a la fecha de compra

Existe la probabilidad de que el propietario se lo lleve el software ya que no cuenta con las garantas ni los respaldos correspondientes Al no contar con dicho sistema los funcionarios estn realizando transacciones indebidas tal como la modificacin del archivo de remuneraciones Afecta a las transacciones que se realicen en el registro histrico al no contar con el sistema de dicha actualizacin la empresa se ve perjudicada de una cantidad de 50.000 $ Perdida de la informacin confidencial de la empresa

Se recomienda que la empresa pueda adquirir su propio software

se a evidenciado que la empresa comercializadora no cuenta con los respectivos niveles de seguridad que garantice la informacin de dicha entidad se ha evidenciado que el auditor interno no cuenta con registros histricos de la transacciones sobre datos relacionados con la base de datos

Con esto se vulnera el art. 15 del inciso b) de acuerdo a las polticas de informtica

Negligencia por parte del director o gerente general

Se recomienda al directorio o gerente general implantar un sistema de ventas que cuente con niveles de seguridad y as resguardar la informacin

Se esta vulnerando el articulo 15 inciso h) segn las polticas de informacin

Negligencia por parte del directorio o gerente general

Se recomienda al directorio o gerente general implantar un sistema que actualice el registro histrico de las transacciones sobre los datos

Se ha evidenciado que no se realizan ningn mantenimiento a la red de base de datos

Con esto se vulnera la NIT 401

Negligencia de los tcnicos informticos del departamento de asistencia

Se recomienda realizar mantenimiento permanente a los equipos de redes

LIC. GERARDO PINTO V.

Pgina 14

AUDITORIA DE LOS SISTEMAS DE INFORMACION RUBRO: BASE DE DATOS

RIESGOS POTENCIALES

El software no es de propiedad de la empresa y no tiene la licencia de funcionamiento correspondiente. Los niveles de seguridad deben adoptar una actitud proactiva a efectos de la evaluacin y restructuracin de los controles internos para tener xito en la tarea por lo tanto el nivel de seguridad en la entidad es un objetivo a evaluar y esta directamente relacionado con la calidad y eficacia de los niveles de seguridad que cuente la empresa. Los encargados de sistemas de cada PC no destruyen la informacin confidencial una vez imprimida y lo desechan en cualquier lado o lo utilizan como papeles de reciclaje lo cual es un gran riesgo que corre la empresa. El auditor interno no cuenta con datos histricos para su respectiva impaccin esto no es conveniente siendo que este pudo haber cometido fraude lo cual no se podr demostrar al no tener el historial de sus transacciones realizadas. Si no se realiza un mantenimiento a las redes esto puede ocasionar o producir riesgos de seguridad de todo tipo como ser prdidas de informacin importantes, acumulacin de diversos virus conocido como gusanos de las computadoras que infecten al sistema operativo. El jefe de sistemas no aplica los procedimientos adecuados que deberan cambiar los passwodrs unas ves al mes para la seguridad de la informacin confidencial que manejan los usuarios.

LIC. GERARDO PINTO V.

Pgina 15

AUDITORIA DE LOS SISTEMAS DE INFORMACION RUBRO: BASE DE DATOS

OBEJETIVOS DE LOS COTROLES Las informaciones confidenciales que fueron imprimidas incorrectamente se tienen que desechar para la propia seguridad de la empresa Los niveles de seguridad deben ser prioridad para la empres pues si se olvida de la seguridad del sistema se corre un gran riesgo de perder informacin importante para la empresa Los encargados de sistemas de cada PC no destruyen la informacin confidencial una ves imprimida y lo desechan en cualquier lado o lo utilizan como papeles de reciclaje Se debe imponer o asegurarse que el auditor interno lleve un historial de sus transacciones que realice dentro de la empresa para que cuando se realice una auditoria externa no tenga serios problemas la empresa Se deben implementar programas de seguridad a la evaluacin de los riesgos que puedan existir, respecto a la seguridad de los mantenimientos de los equipos, programas y procesamientos de datos. El ingreso a los ordenadores conectados en red deben ser restringidos sin previa autorizacin y depende de las polticas que ejecute la empresa.

LIC. GERARDO PINTO V.

Pgina 16

AUDITORIA DE LOS SISTEMAS DE INFORMACION RUBRO: BASE DE DATOS

TECNICAS DE CONTROL OBJEVIBOS DEL CONTROL I El software de la empresa debe ser de propiedad de la misma y contar con la documentacin de respaldo. Prueba de cumplimiento: peticin de la normativa de protocolo y polticas relacionadas al software de la empresa. Comentario: El software no es propiedad de la empresa y no cuenta con la licencia correspondiente. OBJEVIBOS DEL CONTROL II En cuanto a los niveles de seguridad que debe tener la empresa son necesarios tener en cuentas que deben ser muy importantes de ese modo contribuimos los posibles fraudes o afectacin de la informacin que tiene dicho procesador de datos. Prueba de cumplimiento: expuesta por normas del control interno relacionadas con la seguridad de la informtica Comentario: los equipos no cuentan con respectiva seguridad informtica debida para un debido almacenamiento de datos. OBJEVIBOS DEL CONTROL III Deben estar establecidos los protocolos, normas o polticas relacionadas con la distribucin de la informacin confidencial antes de desecharla. Prueba de cumplimiento: hay posibles fraudes con la informacin confidencial de la empresa Comentario: la informacin confidencial debe ser destruida ates de desecharla. OBJEVIBOS DEL CONTROL IV
LIC. GERARDO PINTO V. Pgina 17

AUDITORIA DE LOS SISTEMAS DE INFORMACION RUBRO: BASE DE DATOS

En el caso de el auditor interno de la empresa no cuente con informacin histrica conlleva a que este realice fcilmente sus fraudes pues no hay pruebas que demuestren ducho echo Prueba de cumplimiento: esto es solicitado por impuestos nacionales el cual dice que se debe resguardar la informacin de todas las entidades en lapso de tres aos como mnimo y cinco como mximo. Comentario: es importante contar con historial de informacin ya sea del auditor externo o cualquier departamento de la empresa para evitar cualquier confusin.

OBJEVIBOS DEL CONTROL V Se debe establecer una poltica para poder realizar un mantenimiento permanente al equipo de redes de base de datos. Prueba de cumplimiento: solicitud de informe de cmo funcionan las redes de base de datos una ves realizado los respectivos mantenimientos. Comentario: existen informes de los problemas presentados en la red de base de datos y sus resoluciones, pero no es de gran importancia. OBJEVIBOS DEL CONTROL VI Debe existir una vigilancia constante sobre cualquier accin en la red de base de datos. Prueba de cumplimiento: solicitud de los niveles de accesos a diferentes funciones dentro de la red de base de datos. Comentario: cambiar los paswords por lo menos unas ves al mes.

LIC. GERARDO PINTO V.

Pgina 18

AUDITORIA DE LOS SISTEMAS DE INFORMACION RUBRO: BASE DE DATOS

INFORME DE AUDITORIA INFORMATICA

ALCANCE: La auditoria realizada en la empresa XX Inc. cubre el departamento del personal que se dedica a los procesos informticos en la base de datos, mas revisiones de dicho proceso del cual sus finalidades es dar una opinin sobre el estado de la seguridad fsica de la base de datos, la normativa existente en cuanto a su utilizacin la seguridad de los programas y datos procesados en dichos ordenadores poniendo de manifiesto los riesgos que pueden existir. Esta revisin sea llevada acabo siguiendo procedimientos generalmente aceptados en la realizacin de la auditoria.

RESUMEN

Las entrevistas y pruebas realizadas durante de desarrollo de la auditoria en el Dpto. del personal han revelado la existencia de riesgos potenciales elevados de la inenadecuada adquisicin de los ordenadores, inexistencia de normativas de uso de ordenadores, posible perdida de informacin y manipulacin incorrecta de datos y programas, falta de mantenimiento de la red a su debido tiempo.

Los aspectos detectados que han llevado a esta conclusin son los que se resumen a continuacin:

NORMATIVA

LIC. GERARDO PINTO V.

Pgina 19

AUDITORIA DE LOS SISTEMAS DE INFORMACION RUBRO: BASE DE DATOS

La normativa empresarial sobre la utilizacin de ordenadores conectados en red esta incompleta en cuanto al nmero, periodicidad y lugar de almacenamiento de las copias de seguridad de los datos y programas. El acceso a los ordenadores debe ser restringidos a personas no autorizadas por ejemplo las claves de paswords. Se a comprobado que las normas no incluyen ninguna referencia a este tipo de medidas de seguridad.

SEGURIDAD FISISCA

La continuidad de la actividad de la empresarial en caso de un incendio o un calentamiento, se vera seriamente afectada, al no existir un adecuado ambiente destinado para el servidor. El mantenimiento de las copias de seguridad fuera de las instalaciones de la empresa y la proteccin bajo llave de los ordenadores, serian unas medidas razonables econmicamente y podrn resolver algunas de las situaciones anteriormente expuestas.
PROTECCION DEL SOFTWARE

El software debe ser propiedad de la empresa o con derecho de uso por la empresa (licencia), por ello se debe cumplir las siguientes normas.

Estar al da con las restricciones de uso y copia de software con proteccin de copyright, de no ser as preguntar al responsable. Registrar el software a nombre de la empresa cuando se lo compre. Adquirir solamente productos contenidos en la lista de productos que hayan sido recomendados por el servicio de soporte tcnico.
PROTECCION DE LA INFORMACION La informacin almacenada en los PCs de la empresa es un aspecto valorable que corporativamente reviendo seguir las siguientes normas:

Etiquetar las copias de informacin confide3ncial cuando sean archivadas o se enven fuera del centro. Destruir completamente la informacin confidencial antes de desecharla.
LIC. GERARDO PINTO V. Pgina 20

AUDITORIA DE LOS SISTEMAS DE INFORMACION RUBRO: BASE DE DATOS

Tomar precauciones adicionales si trabajo con la informacin confidencial como son e informacin de clientes. Cambiar los passwords en las aplicaciones confidenciales al menos una ves cada mes Proteger sus ficheros de usos no autorizados especialmente si comparte su PC con otros usuarios Cambiar los passwords de acceso a la RED y el ordenador central por lo menos cada tres meses
PROTECCION DEL HARDWARE:

El PC que est utilizando es propiedad de la empresa y le ha sido asignado para su adecuada utilizacin, debiendo seguir las siguientes normas:

Cerrar el PC si tiene llave cuando lo deje desatendido Retirar la informacin confidencial si es posible antes de que vaya a ser reparado No colocar en las proximidades lquidos ni alimentos Mantenimiento peridico a la red de base de datos
PROTECCION DE LA RED

Se debe tener dos tipos de proteccin: Seguridad fsica:

Se debe areas restringidas para el ingreso a la sal del servidor El ambiente debe ser aislado Control de acceso para el ingreso a la sal del servidor La temperatura del ambiente controlada Medidas de seguridad contra incendios. (extinguidores) Seguridad lgica: Certificacin del cableado de la red para asegurar una comunicacin fluida y confiable Realizacin de back up tanto de software de aplicacin como de base de datos Los usuarios debe poseer cdigo de acceso de informacin de la red Mantener registros de los usuarios que han utilizado la informacin desde la red crear manuales de procedimientos para el uso adecuado de red
LIC. GERARDO PINTO V. Pgina 21

AUDITORIA DE LOS SISTEMAS DE INFORMACION RUBRO: BASE DE DATOS

COMUNICACIONES

Siempre que utilice el PC para comunicarse con otros sistemas, debe proteger su identificacin de usuario y passwords que utilice la revelacin o uso no autorizado, no almacenarlos en el PC salvo que sean de bajo riesgo y estn protegidos frente a accesos no autorizados, es decir encriptados.

RECOMENDACIONES FINALES

DEBE:

Asegurarse que se apliquen las normas para utilizacin de la bese de datos Asegurarse del cuidado y la limpieza de los PC diariamente Asegurarse que esta usando los datos mas adecuados Imprimir la fecha y hora de sus informes Documentar sus propias aplicaciones cuando las pase otra persona asen usadas en forma regular Guardar el software que esta utilizando, los manuales de consulta y cierre del PC cuando deje la oficina limpiar la pantalla cuando deje desatendido su PC proteger su PC de posibles daos o fluctuaciones de corrientes cuando sea necesario aislar el servidor de redes para su correcta proteccin mantener en oficina aislada el servidor proteger el cableado de red para que no cause bajas de red los passwords de entrada a la red deben ser cambiados peridicamente mantener registros de los usuarios que han utilizado la informacin desde de la red crear manuales de procedimientos para el uso adecuado de la red NO DEBE copiar software si se viola los acuerdos de licencia en alguna ocasin se da no compartir su ID de usuario de passwords con otras personas no abrir o intentar reparar su PC mientras no este debidamente calificado para ello no mostrar en pantalla los ID de usuarios, passwords o nmeros de telfonos en su rea de trabajo no mover el PC sin tener la plena seguridad de que este protegido el disco duro
LIC. GERARDO PINTO V. Pgina 22

AUDITORIA DE LOS SISTEMAS DE INFORMACION RUBRO: BASE DE DATOS

no colocar bebidas ni alimentos en las cercanas de su PC o teclado no golpear el PC ni colocar objetos pesados encima del PC

CONCLUSION

Luego de la revisin de todos los aspectos informticos de la empresa hemos determinado que la empresa no cuenta con sistemas de controles de seguridad adecuados, y los accesos al servidor central son fcilmente vulnerados, y en general se encuentra en un descontrol de la seguridad de los sistemas de control de la base de datos y la sensibilidad de la red . Por lo tanto se recomienda al directorio o gerencia general realizar nomas , polticas y controles internos que regulen el uso de la base de datos y acceso a la red.

LIC. GERARDO PINTO V.

Pgina 23