Documente Academic
Documente Profesional
Documente Cultură
El departamento del personal de la empresa MYM STORE S.R.L. dispone de una red de rea local conectada al computador principal de dicha empresa donde se realizan procesos generales.
En este sistema de base de datos formado por un conjunto de computadoras personales se realizan la mayor parte de los procesos informticos correspondientes al departamento.
Para lo cual dispone del software adecuado incluyendo algunas aplicaciones especficas realizadas por una compaa externa de servicios, el director de informtica a dictado el pasado ao normas correctas sobre la utilizacin de computadoras personales.
1. Fases que realizan en esta auditora teniendo en cuenta los recursos humanos relacionados con el procesamiento de la base de datos. 2. Determinar Los riesgos potenciales existentes Los objetivos de control Las tcnicas de control Las pruebas de cumplimiento Las pruebas sustantivas 3. Resumen, conclusin y recomendacin.
Pgina 1
Pgina 2
Pgina 3
y y y y
Inventario de los equipos que posea su departamento (CPU, monitores, impresoras, scanner, etc.) Informacin sobre el software que posee, cada equipo. Historial de informacin completa desde el inicio de nuestra auditoria hasta la fecha de conclusin de la misma. Informacin del personal que realiza el procesamiento de datos.
Pgina 4
CONTENIDO
I. NATURALEZA DEL TRABAJO DE AUIDITORIA II. MARCO NORMATIVO DE REFERENCIA
.. Supervisor
. fecha
..
Revisado y aprobado
fecha
Pgina 5
En esta seccin proporcionamos una descripcin de algunos aspectos clave de nuestra propuesta de servicios de auditora, con el propsito de facilitar la evaluacin de nuestras calificaciones y experiencias, para ello incluimos aspectos tales como nuestro enfoque de auditora, nuestro equipo de trabajo es la metodologa a utilizar en el rea.
II.
y y y y y
Normas de auditora gubernamental aceptadas. Norma internacional de auditora no 400. Norma internacional de auditora no 230. Normativas del control de procesamiento de datos. Polticas en informtica.
III.
OBJETIVOS
Verificar que la informacin sea correctamente organizada en el sistema de archivos electrnicos segn normativas del control de procesamiento de datos, cabe decir en los campos, registros y archivos donde: Un campo es una pieza nica de informacin; un registro es un sistema completo de campos; y un archivo es una coleccin de registros, de existir irregularidades identificar al responsable.
Pgina 6
IV.
ALCANCES
Evaluacin de la direccin de informtica, en lo que corresponde a: capacitacin, planes de trabajo, controles y estndares. Evaluacin de los sistemas
Evaluacin de los diferentes sistemas en operacin (flujo de informacin, procesamientos, organizacin de archivos controles al procesamiento de base de datos) Evaluacin del avance de los sistemas en desarrollo Evaluacin de prioridades de recursos humanos asignados a equipos de computo. Seguridad fsica y lgica de los sistemas, su confidencialidad y su respaldo.
V.
METODOLOGIA
La metodologa de la investigacin a utilizar en nuestra auditoria se presenta a continuacin: y Para la evaluacin de la direccin de informtica se llevara acabo las siguientes actividades.
Solicitud de los estndares utilizados y programa de trabajo. Aplicacin del cuestionario al personal. Anlisis y evaluacin de la informacin obtenida. Elaboracin del informe
Para la evaluacin del sistema de procesamiento de la base de datos como en desarrollo se llevaran a cabo las siguientes actividades.
Pgina 7
Pgina 8
VI.
CARGOS Jefe de Comisin Supervisor
Pgina 9
VII.
Objetivo:
Verificar que la informacin sea correctamente organizada en el sistema de archivos electrnicos segn normativas del control de procesamiento de datos cabe decir en los campos, registros y archivos donde Un campo es una pieza nica de informacin; un registro es un sistema completo de campos; y un archivo es una coleccin de registros, de existir irregularidades identificar al responsable. PROCEDIMIENTOS Prepare el cuestionario para los jefes de cada dpto. de la empresa. Identificar las respuestas positivas y obtenga pruebas sustantivas. Elaborar la planilla de deficiencia para las respuestas negativas. Identifique los riesgos del procesamiento de datos. Preparacin de los objetivos de control de los riesgos identificados Elabore las tcnicas de control para cada objetivo identificado con su respectivo cumplimiento y comentario Prepare el informe de auditoria REF. Hecho Supervisado P/T Por:.. Por:
Pgina 10
VIII.
. FECHA
FECHA
Pgina 11
Objetivo.-
Verificar que la informacin sea correctamente organizada en el sistema de archivos electrnicos segn normativas del control de procesamiento de datos cabe decir en los campos, registros y archivos donde Un campo es una pieza nica de informacin; un registro es un sistema completo de campos; y un archivo es una coleccin de registros, de existir irregularidades identificar al responsable.
Disponer de mecanismos que permitan tener pautas de auditoras completas y automticas relacionadas con el acceso de la base de datos incluyendo la capacidad de generar alertas con el objetivo de:
y Mitigar los riesgos asociados con el manejo inadecuado de los datos y Apoyar el cumplimiento regulatorio y Evitar acciones criminales y Evitar multas por incumplimiento y Las informaciones confidenciales que fueron imprimidas incorrectamente se tiene que desechar para la propia seguridad de la empresa y El jefe de sistemas debe aplicar cambios en los paswords para la seguridad de las informaciones confidenciales, porque el usuario puede dar a conocer a terceras personas. y El ingreso a los ordenadores conectados en base de datos debe ser restringidas sin previa autorizacin y depende de las polticas que ejecuta la empresa. y Se deben implementar programas de seguridad a la evaluacin de los riesgos que puedan existir, respecto a la seguridad de los mantenimientos de los equipos, programas y datos.
Pgina 12
CUESTIONARIO DE CONTROL EXTERNO RUBRO: AUDITORIA A BASE DE DATOS RESPUESTAS PREGUNTAS 1. El software es de propiedad de la empresa y tiene licencia correspondiente? 2. se realiza regularmente copias de seguridad de los ficheros de la informacin almacenada de su PC? 3. El acceso al sistema de ventas cuenta con niveles de seguridad que garantice la informacin de la institucin? el cual deber tener un control administrativo nico para poder delimitar responsabilidades. ? Segn polticas de informtica ( art. 15 inciso b) 4. la preparacin de datos de la empresa debe ser responsabilidad de usuarios y consecuentemente su correccin? 5. se protegen sus ficheros de uso no autorizado especialmente si comparte su PC con otros usuarios? 6. Existe reglamentos claramente especificados para la contratacin del servicio de desarrollo o construccin de software aplicativo? Impuesto en las polticas de informtica ( art. 16) 7. La bese de datos cuenta con informacin sobre datos relevantes en el registro histrico de las transacciones? As como la clave del usuario y fecha en que se realice (normas bsicas de auditoras y control ) segn polticas de informticas (art. 18 inciso h) 8. Se utiliza seguridad del firewall fsico y lgico? 9. Existe un control en los sistemas de ventas para el acceso a la red de la base de datos? 10. El sistema para el acceso de la bese de datos tiene seguridad lgica? 11. cada usuario tiene su respectivo passwords de entrada a los ordenadores conectados en red? 12. Se realiza mantenimiento a la red de la base de datos? 13. Existe el personal adecuado y cuenta con capacitaciones personales sobre el manejo de dicho sistema para el procesamiento de datos? 14. Los controles de procesamiento que realiza la empresa se refiere al ciclo de entradas y salidas de datos? 15. Existe un control interno para el procesamiento de datos? SI NO
Pgina 13
Responsables AUDITORIA DE CONTROL DE SISTEMAS EMPRESA: XX INC. COMERCIALIZADORA DE EQUIPOS DE TELEVISORES RUBRO: BASE DE DATOS PLANILLA DE DEFICIENCIA Ref. P/T
CONDICION CRITERIO CAUSA EFECTO RECOMENDACION
COMISIO AUDITOR
Existe la probabilidad de que el propietario se lo lleve el software ya que no cuenta con las garantas ni los respaldos correspondientes Al no contar con dicho sistema los funcionarios estn realizando transacciones indebidas tal como la modificacin del archivo de remuneraciones Afecta a las transacciones que se realicen en el registro histrico al no contar con el sistema de dicha actualizacin la empresa se ve perjudicada de una cantidad de 50.000 $ Perdida de la informacin confidencial de la empresa
se a evidenciado que la empresa comercializadora no cuenta con los respectivos niveles de seguridad que garantice la informacin de dicha entidad se ha evidenciado que el auditor interno no cuenta con registros histricos de la transacciones sobre datos relacionados con la base de datos
Con esto se vulnera el art. 15 del inciso b) de acuerdo a las polticas de informtica
Se recomienda al directorio o gerente general implantar un sistema de ventas que cuente con niveles de seguridad y as resguardar la informacin
Se recomienda al directorio o gerente general implantar un sistema que actualice el registro histrico de las transacciones sobre los datos
Pgina 14
RIESGOS POTENCIALES
El software no es de propiedad de la empresa y no tiene la licencia de funcionamiento correspondiente. Los niveles de seguridad deben adoptar una actitud proactiva a efectos de la evaluacin y restructuracin de los controles internos para tener xito en la tarea por lo tanto el nivel de seguridad en la entidad es un objetivo a evaluar y esta directamente relacionado con la calidad y eficacia de los niveles de seguridad que cuente la empresa. Los encargados de sistemas de cada PC no destruyen la informacin confidencial una vez imprimida y lo desechan en cualquier lado o lo utilizan como papeles de reciclaje lo cual es un gran riesgo que corre la empresa. El auditor interno no cuenta con datos histricos para su respectiva impaccin esto no es conveniente siendo que este pudo haber cometido fraude lo cual no se podr demostrar al no tener el historial de sus transacciones realizadas. Si no se realiza un mantenimiento a las redes esto puede ocasionar o producir riesgos de seguridad de todo tipo como ser prdidas de informacin importantes, acumulacin de diversos virus conocido como gusanos de las computadoras que infecten al sistema operativo. El jefe de sistemas no aplica los procedimientos adecuados que deberan cambiar los passwodrs unas ves al mes para la seguridad de la informacin confidencial que manejan los usuarios.
Pgina 15
OBEJETIVOS DE LOS COTROLES Las informaciones confidenciales que fueron imprimidas incorrectamente se tienen que desechar para la propia seguridad de la empresa Los niveles de seguridad deben ser prioridad para la empres pues si se olvida de la seguridad del sistema se corre un gran riesgo de perder informacin importante para la empresa Los encargados de sistemas de cada PC no destruyen la informacin confidencial una ves imprimida y lo desechan en cualquier lado o lo utilizan como papeles de reciclaje Se debe imponer o asegurarse que el auditor interno lleve un historial de sus transacciones que realice dentro de la empresa para que cuando se realice una auditoria externa no tenga serios problemas la empresa Se deben implementar programas de seguridad a la evaluacin de los riesgos que puedan existir, respecto a la seguridad de los mantenimientos de los equipos, programas y procesamientos de datos. El ingreso a los ordenadores conectados en red deben ser restringidos sin previa autorizacin y depende de las polticas que ejecute la empresa.
Pgina 16
TECNICAS DE CONTROL OBJEVIBOS DEL CONTROL I El software de la empresa debe ser de propiedad de la misma y contar con la documentacin de respaldo. Prueba de cumplimiento: peticin de la normativa de protocolo y polticas relacionadas al software de la empresa. Comentario: El software no es propiedad de la empresa y no cuenta con la licencia correspondiente. OBJEVIBOS DEL CONTROL II En cuanto a los niveles de seguridad que debe tener la empresa son necesarios tener en cuentas que deben ser muy importantes de ese modo contribuimos los posibles fraudes o afectacin de la informacin que tiene dicho procesador de datos. Prueba de cumplimiento: expuesta por normas del control interno relacionadas con la seguridad de la informtica Comentario: los equipos no cuentan con respectiva seguridad informtica debida para un debido almacenamiento de datos. OBJEVIBOS DEL CONTROL III Deben estar establecidos los protocolos, normas o polticas relacionadas con la distribucin de la informacin confidencial antes de desecharla. Prueba de cumplimiento: hay posibles fraudes con la informacin confidencial de la empresa Comentario: la informacin confidencial debe ser destruida ates de desecharla. OBJEVIBOS DEL CONTROL IV
LIC. GERARDO PINTO V. Pgina 17
OBJEVIBOS DEL CONTROL V Se debe establecer una poltica para poder realizar un mantenimiento permanente al equipo de redes de base de datos. Prueba de cumplimiento: solicitud de informe de cmo funcionan las redes de base de datos una ves realizado los respectivos mantenimientos. Comentario: existen informes de los problemas presentados en la red de base de datos y sus resoluciones, pero no es de gran importancia. OBJEVIBOS DEL CONTROL VI Debe existir una vigilancia constante sobre cualquier accin en la red de base de datos. Prueba de cumplimiento: solicitud de los niveles de accesos a diferentes funciones dentro de la red de base de datos. Comentario: cambiar los paswords por lo menos unas ves al mes.
Pgina 18
ALCANCE: La auditoria realizada en la empresa XX Inc. cubre el departamento del personal que se dedica a los procesos informticos en la base de datos, mas revisiones de dicho proceso del cual sus finalidades es dar una opinin sobre el estado de la seguridad fsica de la base de datos, la normativa existente en cuanto a su utilizacin la seguridad de los programas y datos procesados en dichos ordenadores poniendo de manifiesto los riesgos que pueden existir. Esta revisin sea llevada acabo siguiendo procedimientos generalmente aceptados en la realizacin de la auditoria.
RESUMEN
Las entrevistas y pruebas realizadas durante de desarrollo de la auditoria en el Dpto. del personal han revelado la existencia de riesgos potenciales elevados de la inenadecuada adquisicin de los ordenadores, inexistencia de normativas de uso de ordenadores, posible perdida de informacin y manipulacin incorrecta de datos y programas, falta de mantenimiento de la red a su debido tiempo.
Los aspectos detectados que han llevado a esta conclusin son los que se resumen a continuacin:
NORMATIVA
Pgina 19
SEGURIDAD FISISCA
La continuidad de la actividad de la empresarial en caso de un incendio o un calentamiento, se vera seriamente afectada, al no existir un adecuado ambiente destinado para el servidor. El mantenimiento de las copias de seguridad fuera de las instalaciones de la empresa y la proteccin bajo llave de los ordenadores, serian unas medidas razonables econmicamente y podrn resolver algunas de las situaciones anteriormente expuestas.
PROTECCION DEL SOFTWARE
El software debe ser propiedad de la empresa o con derecho de uso por la empresa (licencia), por ello se debe cumplir las siguientes normas.
Estar al da con las restricciones de uso y copia de software con proteccin de copyright, de no ser as preguntar al responsable. Registrar el software a nombre de la empresa cuando se lo compre. Adquirir solamente productos contenidos en la lista de productos que hayan sido recomendados por el servicio de soporte tcnico.
PROTECCION DE LA INFORMACION La informacin almacenada en los PCs de la empresa es un aspecto valorable que corporativamente reviendo seguir las siguientes normas:
Etiquetar las copias de informacin confide3ncial cuando sean archivadas o se enven fuera del centro. Destruir completamente la informacin confidencial antes de desecharla.
LIC. GERARDO PINTO V. Pgina 20
El PC que est utilizando es propiedad de la empresa y le ha sido asignado para su adecuada utilizacin, debiendo seguir las siguientes normas:
Cerrar el PC si tiene llave cuando lo deje desatendido Retirar la informacin confidencial si es posible antes de que vaya a ser reparado No colocar en las proximidades lquidos ni alimentos Mantenimiento peridico a la red de base de datos
PROTECCION DE LA RED
Se debe areas restringidas para el ingreso a la sal del servidor El ambiente debe ser aislado Control de acceso para el ingreso a la sal del servidor La temperatura del ambiente controlada Medidas de seguridad contra incendios. (extinguidores) Seguridad lgica: Certificacin del cableado de la red para asegurar una comunicacin fluida y confiable Realizacin de back up tanto de software de aplicacin como de base de datos Los usuarios debe poseer cdigo de acceso de informacin de la red Mantener registros de los usuarios que han utilizado la informacin desde la red crear manuales de procedimientos para el uso adecuado de red
LIC. GERARDO PINTO V. Pgina 21
Siempre que utilice el PC para comunicarse con otros sistemas, debe proteger su identificacin de usuario y passwords que utilice la revelacin o uso no autorizado, no almacenarlos en el PC salvo que sean de bajo riesgo y estn protegidos frente a accesos no autorizados, es decir encriptados.
RECOMENDACIONES FINALES
DEBE:
Asegurarse que se apliquen las normas para utilizacin de la bese de datos Asegurarse del cuidado y la limpieza de los PC diariamente Asegurarse que esta usando los datos mas adecuados Imprimir la fecha y hora de sus informes Documentar sus propias aplicaciones cuando las pase otra persona asen usadas en forma regular Guardar el software que esta utilizando, los manuales de consulta y cierre del PC cuando deje la oficina limpiar la pantalla cuando deje desatendido su PC proteger su PC de posibles daos o fluctuaciones de corrientes cuando sea necesario aislar el servidor de redes para su correcta proteccin mantener en oficina aislada el servidor proteger el cableado de red para que no cause bajas de red los passwords de entrada a la red deben ser cambiados peridicamente mantener registros de los usuarios que han utilizado la informacin desde de la red crear manuales de procedimientos para el uso adecuado de la red NO DEBE copiar software si se viola los acuerdos de licencia en alguna ocasin se da no compartir su ID de usuario de passwords con otras personas no abrir o intentar reparar su PC mientras no este debidamente calificado para ello no mostrar en pantalla los ID de usuarios, passwords o nmeros de telfonos en su rea de trabajo no mover el PC sin tener la plena seguridad de que este protegido el disco duro
LIC. GERARDO PINTO V. Pgina 22
CONCLUSION
Luego de la revisin de todos los aspectos informticos de la empresa hemos determinado que la empresa no cuenta con sistemas de controles de seguridad adecuados, y los accesos al servidor central son fcilmente vulnerados, y en general se encuentra en un descontrol de la seguridad de los sistemas de control de la base de datos y la sensibilidad de la red . Por lo tanto se recomienda al directorio o gerencia general realizar nomas , polticas y controles internos que regulen el uso de la base de datos y acceso a la red.
Pgina 23