Universidad Dr. Jose Matias Delgado Facultad de Economia, Empresa y Negocios ---- Auditoria de Sistemas---
TEMA:
“INFORME DE AUDITORIA Y PAPELES DE TRABAJO DE LA EMPRESA PROVEEDORES INDUSTRIALES S.A. DE C.V.”
CATEDRATICA LIC. CAROLINA NADIRE ARTIGA MENJIVAR
ESTUDIANTES
JOSUE SAMUEL VELASQUEZ RIVERA
FECHA DE ENTREGA ANTIGUO CUSCATLAN, SABADO 28 DE MAYO DE 2011
INDICE Concepto PORTADA ÍNDICE HARDWARE Cedula de Hallazgos Programa de Auditoria Hardware Procedimiento 1 Procedimiento 2 Procedimiento 3 Procedimiento 4 Procedimiento 5 Procedimiento 6 Procedimiento 7 Procedimiento 8 SOFTWARE & APLICACIONES Cedula de Hallazgos Programa de Auditoria Software & Aplicaciones Procedimiento 1 Procedimiento 2 Procedimiento 3 Procedimiento 4 Procedimiento 5 Procedimiento 6 Procedimiento 7 Procedimiento 8 Procedimiento 9 Procedimiento 10 INFORMACION Cedula de Hallazgos Programa de Auditoria Información Procedimiento 1 Procedimiento 2 Procedimiento 3 Procedimiento 4 Procedimiento 5 Procedimiento 6 Procedimiento 7 Procedimiento 8 COMUNICACIONES Cedula de Hallazgos Programa de Auditoria Información Procedimiento 1 DICTAMEN DE AUDITORIA INFORMATICA
Pagina I II 1 3 7 12 17 21 25 29 33 37 40 43 46 51 56 59 62 65 68 71 74 77 80 81 83 86 91 94 97 100 103 106 109 110 111 116
2
PROVEEDORES INDUSTRIALES S.A. DE C.V.
HARDWARE CEDULA DE HALLAZGOS Evaluado del 01 de Enero de 2011 al 31 de Marzo de 2011
Centinelas & Asociados
HALLAZG
REFERENCIA
O
A PT
DESCRIPCIÓN TITULO: Carencia de Alarma contra posibles inundaciones internas en las instalaciones que albergan los elementos de Hardware, en horas nocturnas. CONDICION: Se detectó a través de la evaluación que no existe ninguna alarma que pueda dar aviso ante inundaciones como fugas de agua en horas nocturnas lo cual representa un enorme riesgo de pérdida para la empresa. CRITERIO: La empresa debería tener una alarma para evitar cualquier daño provocado por cualquier inundación interna, que pueda colocar en peligro los activos informáticos de la empresa como el personal mismo que hace uso de dichas instalaciones. CAUSA: Falta de previsión por falta del departamento de auditoria interna en cuanto a un riesgo de baja posibilidad
H1
A9.1
pero con un alto impacto para la empresa. EFECTO: Una muy posible pérdida de activos informáticos de la empresa, por daños provocados por inundaciones internas que pudiesen suscitarse, así como riesgo de perder información importante de la empresa, y tal vez una posible demanda laboral por algún deceso causado por algún electrocutamiento por combinación con agua., además de algún incendio de origen eléctrico. RECOMENDACIONES: Recomendamos que se contrate de inmediato un vigilante interno para las horas nocturnas el cual sería una inversión comparada al posible daño que pudiese suceder, el costo estaría estimado por el vigilante por mes sería de $300 en alguna empresa privada de seguridad o bien la adquisición de un sistema de alarma electrónico especializado para la detección de inundaciones la cual sería una inversión única de $3000 más posibles gastos de mantenimiento cada año con n costo aproximado de $300 por cada visita, lo anterior conseguido en alguna empresa
1
privada dedicada a la comercialización de dichas alarmas en el mercado nacional o internacional.
TITULO: Perdida económica y de competencia empresarial por compra de equipos de informáticos, en vez de utilizar la figura de arrendamiento (leasing). CONDICION: Se ha detectado en la evaluación, que la empresa adquiere sus equipos e Hardware de contado y que la mayoría de elementos tiene una antigüedad de 7 años, lo causa cierta lentitud en los procesos internos de la empresa, los que se verían mejorados si la empresa adquiriese equipos informáticos a través de la figura de arrendamiento. CRITERIO: La empresa debería tener su equipo informático bajo la figura de arrendamiento para obtener mejor rendimiento y mayores beneficios en sus procesos internos de información. CAUSA: Falta de una política adecuada en la adquisición de equipo de Hardware para una mayor competitividad
H2
A2.1
empresarial. EFECTO: Posibles pérdidas económicas y competitivas por equipo no actualizado y rápido para facilitar las operaciones internas de información de la empresa y perdidas por ventajas y beneficios producidos por la adopción de arrendamiento de equipo informático. RECOMENDACIONES: Se recomienda a la empresa proveedores Industriales que adopte la figura de arrendamiento en su equipo informático, lo cual le daría mayores ventajas económicas y competitivas a la hora de realizar sus procesos internos y externos de información, la adopción de dicha figura dependería de la cantidad de equipo a invertir, la cual rondaría un valor de $800 mensuales por el conjunto de equipo necesario para el área de informática en cualquier empresa que se dedique al arrendamiento de equipo informático.
2
PROVEEDORES INDUSTRIALES SA DE CV HARDWARE
A1
Programa de Auditoria Centinelas & Asociados Nº
Evaluado del 01 de Enero de 2011 al 31 de Marzo de 2011
PROCEDIMIENTOS
REFERENCIA PT
HECHO POR
FECHA
J&S
24/05/2011
Nombre del Procedimiento: Evaluación de la seguridad en las instalaciones donde se encuentran albergados los equipos de hardware. Objetivo del Procedimiento: Evaluar que los equipos informáticos cumplan con los requerimientos mínimos necesarios de seguridad, tanto en las áreas correspondientes a su debida ubicación y construcción, sistema de aire acondicionado existente, instalaciones eléctricas y suministros de energía, seguridad contra desastres provocados por agua, seguridad de autorización de accesos, detección de humo y fuego, y seguridad en general, para un uso óptimo y eficiente de los recursos de hardware que posee a su disposición la empresa. Evaluar la administración y control sobre el Inventario de Hardware a) Verificar existencia de políticas de adquisición y control de inventario de Hardware 1
A2/A2.2
b) Solicitar y tener el conocimiento sobre las políticas que rigen el control y adquisición de inventarios. c) Verificar los registros de control de inventarios. d) Inspección física de inventario de Hardware
3
Pasa a A1.1 Viene de A1
A1.1 Evaluar la seguridad en las Instalaciones Eléctricas y Suministros de Energía
2
a) Inspeccionar que las instalaciones tengan el cableado debidamente instalado. b) Revisar que el cableado esté respectivamente identificado. c) Revisar que los equipos de cómputo sean independientes de otras instalaciones eléctricas. d) Corroborar existencia de planos de instalación eléctrica actualizada e) Comprobar que existan reguladores de voltaje para cada equipo de cómputo. Verificar existencia de un generador de corriente en caso de corte eléctrico. Evaluar la seguridad en la entrada de personas a las instalaciones del centro de cómputo de la empresa.
3
a) b) c) d)
Evaluar si existe medidas de seguridad. Examinar si existe personal responsable de la seguridad. Observar si las personas son identificadas al entrar a la instalación. Corroborar existencia de restricciones de acceso a personal ajeno.
A3/A3.2
J&S
24/05/2011
A4/A4.1
J&S
24/05/2011
A5/B5.1
J&S
24/05/2011
A6/B6.1
J&S
24/05/2011
Evaluar la seguridad de preparación sobre la detección de fuego y humo
4
a) b) c) d) e)
Inspeccionar la existencia físicas de alarmas contra incendio. Verificar la ubicación de alarmas contra incendio. Corroborar existencia de extintores de incendio. Verificar si existe capacitación de los empleados en el uso de extintores. Revisar si existen planes por daños provocados por el uso de extintores.
Evaluar del óptimo funcionamiento y la temperatura adecuada del sistema de aire acondicionado
5
a) Constatar que el aire acondicionado esté en funcionamiento. b) Comprobar que la temperatura del sistema de aire acondicionado sea la recomendada por el proveedor. c) Inspeccionar existencia de reglas de limpieza de los ductos de ventilación.
4
d) Verificar existencia de un control de humedad. e) Inspeccionar si existe mantenimiento adecuado para el aire acondicionado. Pasa a A1.2 Viene de A1.1
A1.2
Evaluar la adecuada ubicación de las instalaciones que contienen el Hardware
6
a) Verificar que las instalaciones estén a salvo de posible catástrofe natural y sabotaje. b) Observar existencia de tráfico de personas c) Inspeccionar existencia de algún material inflamable dentro de las instalaciones. d) Verificar que exista aseo y limpieza de las instalaciones. e) Inspeccionar la ventilación e iluminación dentro de las instalaciones f) Evaluar el espacio físico adecuado de cada elemento en las instalaciones Evaluar los controles de préstamos de elementos de Hardware y seguridad en el almacenamiento de la información
7
a) b) c) d)
Verificar existencia de controles de préstamos de elementos de Hardware. Observar el almacenamiento físico de la información. Corroborar existencias de copias de archivos. Verificar establecimiento de nivel de usuario.
A7/A7.1
J&S
24/05/2011
A8/A8.1
J&S
24/05/2011
J&S
24/05/2011
J&S
24/05/2011
Evaluar la seguridad en caso de emergencias provocadas por inundaciones
8
a) Corroborar existencia física de alarmas contra inundaciones
A9/A9.1
Evaluar la antigüedad y capacidad de los elementos de Hardware
9
10
1. Verificar la antigüedad de los elementos que componen el Hardware, 2. Revisar modelo y capacidad de los equipos de Hardware. 3. Calificar el nivel de dificultad que puede causar la antigüedad del equipo de Hardware al momento de la realización de procesos en información y comunicación.
A10/A10.1
Evaluar el mantenimiento que se da a los equipos de Hardware
A11/A11.1
a) Comprobar que exista un responsable del mantenimiento del Equipo. de HW. b) Verificar frecuencia de mantenimiento que se da a los equipos de Hardware. c) Comprobar que los mantenimientos a los elementos de Hardware son
24/05/2011
J&S 5
suficientes para su 贸ptimo desempe帽o.
6
PROVEEDORES INDUSTRIALES SA DE CV HARDWARE
A2
Evaluación de la administración y control sobre el Inventario de Hardware
Centinelas & Asociados
Evaluado del 01 de Enero de 2011 al 31 de Marzo de 2011
* No Satisfactorio
*/ Satisfactorio
Fecha:
31/03/2011
** Escaso
// Excelente
Hecho Por:
Samuel P.
Revisado Por:
Josué V.
*** Suficiente Nombre del
Observación del de la administración y control que posee la empresa sobre el inventario de Hardware, el cual consiste
procedimiento:
en verificar a través de procedimientos específicos dichos controles y registros, enfocados en las siguientes áreas tenemos los siguientes: 1. Verificar existencia de políticas de adquisición y control de inventario de Hardware */ 2. Solicitar y tener el conocimiento sobre las políticas que rigen el control y adquisición de inventarios. *** 3. Verificar los registros de control de inventarios. */ 4. Inspección física de inventario de Hardware ***
Objetivo del
Determinar si los controles y registros sobre equipos de Hardware son eficientes y efectivos para llevar un buen control
procedimiento:
sobre cada equipo que posee la empresa, apegado a las políticas que la empresa posee sobre las mismas.
Descripción del
Se realizó una visita técnica a la empresa en la cual se invirtieron 2 horas de trabajo, con la siguiente distribución:
procedimiento
Se realizó una visita al encargado del área informática Lic. Hugo Guzmán el día 24 de Mayo del presente año, en el cual los primeros 10 minutos se constató la existencia de un manual para control y registro de equipo de Hardware. Pasa a A2.1
7
Viene de A2
A2.1 Posteriormente los siguientes 20 minutos se le pidió que nos explicará las principales políticas aplicadas a dicha área, en la 1:30 minuto restantes se verifico la existencia del registro de inventario de Hardware el cual se lleva por computadora en un programa especial para dicha área y se realizó una inspección en la cual se verificaron 5 equipos de cómputo al azar los cuales estaban correctamente identificados con todos sus componentes y periféricos. Resultados del
Gracias a la realización del procedimiento se determinó lo siguiente:
procedimiento
1. Los equipos son adquiridos al contado. pero si los equipos estuvieran bajo la figura de arrendamiento tendría mayores beneficios a la empresa. 2. Existe un manual específico satisfactorio para el control y registro de inventario. Lo cual garantiza que se lleve un control eficiente sobre el inventario de Hardware que posee la empresa. 3. Existe un registro satisfactorio en el registro de inventario de Hardware. Lo cual garantiza que la empresa tiene en su poder los elementos adquiridos y están aptos para ser utilizados por la empresa, el cual se lleva a cabo a través de en un sistema de software específico. 4. Comprobación de existencia de elementos informáticos. Lo cual garantiza que la empresa tiene en su poder el equipo informático adquirido.
Hallazgos
Se determinó a través de la evaluación a dicha área que los equipos de Hardware como computadoras son adquiridas por pago de contado cuando estos se necesitan, indagando podemos observar que algunos equipos tienen 7 años de antigüedad, comenta que los procesos son un tanto lentos por la antigüedad del equipo, pero funcionan en todas sus operaciones, si los equipos fueran arrendados se tuviera mayores beneficios como alta capacidad y equipo actualizado Pasa a A2
H1 8
A2.2
Viene de A2.1 Conclusiones
Se concluye lo siguiente: 1. Los equipos en vez de ser comprados podrĂan ser arrendados con mayores beneficios a la empresa. 2. La empresa posee un excelente control de inventario informĂĄtico.
Recomendaciones
Se recomienda lo siguiente:
1. Mantener el mismo control existente en el registro y control de inventario de Hardware
9
CENTINELAS & ASOCIADOS
HA2
INICIOS DE SESIÓN– HOJA DE EVALUACIÓN INFORMACIÓN DEL EMPLEADO Revisado por: Samuel E Pérez Orellana
Revisado por (opcional):
Fecha:
Período de revisión:
31/03/2011
Josué Rivera Enero a
DIRECTRICES DE REVISIÓN SI
NO
OBSERVACION
EVALUACIÓN
SI 1. ¿Existe alguna de políticas sobre la adquisición y control de inventario de Hardware?
X
2. ¿Se cumple las políticas al momento de adquirir un nuevo equipo?
X
3. ¿Qué tipo de control de Hardware se posee?
Manual
(
En computadora
( X )
NO
)
4. ¿Se tiene de una persona encargada de control y registro de los elementos de Hardware?
X
5. ¿Se registra en el momento cuando es adquirido un nuevo equipo?
X
6. ¿Los equipos son propios o arrendados?
Son propias y adquiridas al contado
Observación: en la realización de la encuesta nos mencionó el Lic. Guzmán (Jefe del Área de Informática, que la empresa todo el equipo lo compra al contado algunos aparatos tienen alrededor de 7 años y algunas veces suelen ser un poco lentos, tendría mejores beneficios si la empresa tuviese su equipo informático bajo la figura de arrendamiento.
10
HA2 Foto de una de las computadoras de la empresa, la cual se aprecia que es un modelo no actualizado.
Captura de la pantalla del sistema de control de inventario de Hardware.
Foto del manual que contiene las pol铆ticas relacionadas con el control, adquisici贸n y registro del inventario de Hardware.
11
PROVEEDORES INDUSTRIALES SA DE CV HARDWARE Evaluación de la seguridad en las instalaciones eléctricas
Centinelas & Asociados
A3
Y suministros de energía Evaluado del 01 de Enero de 2011 al 31 de Marzo de 2011
* No Satisfactorio
*/ Satisfactorio
Fecha:
31/03/2011
** Escaso
// Excelente
Hecho Por:
Samuel P.
Revisado Por:
Josué V.
*** Suficiente Nombre del
Seguridad de las instalaciones eléctricas y suministros de energía , el cual consiste en verificar el estado de las
procedimiento:
adecuadas instalaciones tanto eléctricas como de energía que puedan perjudicar a los activos la empresa en el área informática; entre las áreas a indagar tenemos las siguientes: 1. Inspeccionar que las instalaciones tengan el cableado debidamente instalado. *** 2. Revisar que el cableado esté respectivamente identificado. */ 3. Revisar que los equipos de cómputo sean independientes de otras instalaciones eléctricas. // 4. Corroborar existencia de planos de instalación eléctrica actualizada *** 5. Comprobar que existan reguladores de voltaje para cada equipo de cómputo. // 6.
Verificar existencia de un generador de corriente en caso de corte eléctrico. //
Objetivo del
Determinar si las instalaciones eléctricas y de energía son las más adecuadas para los equipos de Hardware de la
procedimiento:
empresa, y si cumplen algunos requerimientos como mínimo en el área de seguridad.
Descripción del
Se realizó una visita técnica a la empresa en la cual se invirtieron 2 horas de trabajo, con la siguiente distribución:
procedimiento
Se realizó una visita al encargado del área informática el día 24 de Mayo del presente año, en el cual se observó que el Pasa a A.1 12
Viene de A3
A3.1 El cableado está bien instalado en canales plásticos y tubos metálicos, bien ordenado e internamente están clasificados en color negro, blanco y rojo, además pudimos observar que todos los equipos son independientes de otras instalaciones, existe un plano de instalaciones eléctricas y existe regulador por cada equipo computacional, y en caso de irse la energía la empresa cuenta con un generador para dar abasto ante cortes de luz, lo anterior conclusión fue comprobada en el cuestionario proporcionado a los empleados que forman el equipo en el área informática. También se les pregunto acerca de los principales problemas de los equipos, fallas comunes, compras y adquisiciones de hardware entre otros. Resultados del
Gracias a la realización del procedimiento se determinó lo siguiente:
procedimiento
1. El cableado eléctrico están debidamente instalado Lo cual garantiza que no exista algún accidente eléctrico dentro de las instalaciones. 2. El cableado eléctrico está debidamente identificado Lo cual facilita realizar una nueva instalación sin ningún percance y se puede realizar un mantenimiento ordenado del mismo. 3. Existe independencia de otras instalaciones eléctricas Lo cual garantiza que exista una sobre carga en los equipos informáticos y disminuye el riesgo por algún accidente derivado de la energía eléctrica. 4. Existen planos actualizados de las instalaciones eléctricas Lo cual garantiza que todo esté debidamente registrado y ordenado para el momento de realizar alguna evaluación o mantenimiento de los mismos. 5. Existe reguladores de poder por equipo de cómputo, lo que garantiza que no haya ninguna sobresaturación 6.Existencia de generador de corriente lo que garantiza la presencia de energía eléctrica en todo momento. Pasa a A3.2
13
Hallazgos
A3.2
Viene de A3.1 N/A Conclusiones
Se concluye lo siguiente: 1. La empresa presenta una valoración de “Suficiente” conforme a los procedimientos evaluados.
Recomendaciones
Recomendamos que siempre tengan mejoras cada año en el control interno de las instalaciones de energía.
14
CENTINELAS & ASOCIADOS
HA3
SEGURIDAD DEL HARDWARE DEL SISTEMA– HOJA DE EVALUACIÓN INFORMACIÓN DEL EMPLEADO Revisado por: Samuel E Pérez Orellana
Revisado por (opcional):
Fecha:
Período de revisión:
31/03/2011
Josué Rivera Enero a
DIRECTRICES DE REVISIÓN
EVALUACIÓN SI
1. ¿EL cableado se encuentra debidamente instalado?
X
2. ¿Los cables se encuentran debidamente identificados
X
NO
(positivo, negativo, tierra física)? 3. ¿Los contactos de equipo de cómputo están debidamente
X
identificados? 4. ¿Se cuenta con los planos de instalación eléctrica actualizados?
X
5. ¿Se tiene conectado a los contactos de equipo de cómputo otro
X
equipo electrónico? 6. ¿Se tiene instalación, eléctrica de equipo de cómputo independiente
X
de otras instalaciones eléctricas? 7. ¿Se utiliza material antiestático?
X
8. ¿Se encuentran con los planos de instalación eléctrica
X
actualizados? 9. ¿Se tienen reguladores para los equipos de cómputo?
X
10. ¿Los cables están dentro de paneles y canales eléctricos?
X
11. ¿Existen tableros de distribución eléctrica?
X
12. ¿Se tiene generadores de corriente interrumpida?
X
Comentarios adicionales: N/A
15
HA3 Foto de una de las instalaciones Eléctricas dentro de la empresa, la cuales están en unos ductos adecuados
Mapa de circuito eléctrico del área de sistemas informáticos de la empresa.
Foto del Generador de energía con que cuenta la empresa
16
PROVEEDORES INDUSTRIALES SA DE CV HARDWARE Evaluación de la seguridad en la entrada de personas a las
Centinelas & Asociados
A4
Instalaciones del centro de cómputo de la empresa. Evaluado del 01 de Enero de 2011 al 31 de Marzo de 2011
* No Satisfactorio
*/ Satisfactorio
Fecha:
31/03/2011
** Escaso
// Excelente
Hecho Por:
Samuel P.
Revisado Por:
Josué V.
*** Suficiente Nombre del
Seguridad en la entrada de personas a las instalaciones del centro de cómputo de la empresa, la cual consiste en
procedimiento:
verificar que ninguna persona ajena al departamento tenga acceso a dicho centro de cómputo, las áreas que se evaluaron son las siguientes: 1. 2. 3. 4.
Objetivo del procedimiento:
Evaluar si existe medidas de seguridad. */ Examinar si existe personal responsable de la seguridad. // Observar si las personas son identificadas al entrar a la instalación. */ Corroborar existencia de restricciones de acceso a personal ajeno. */
Verificar que ninguna persona ajena al departamento de informática tenga libre entrada al recinto, para constatar la salvaguarda de activos tanto equipos de Hardware como información de carácter importante para la empresa.
Descripción del
Se realizó una visita técnica a la empresa en la cual se evaluó las medidas de seguridad que posee la empresa en el
procedimiento
área informática para evitar que personas ajenas pasen a las instalaciones, se corroboro que existe un guarda de seguridad en dicha área y que se identificaban a las personas que ingresaban a las instalaciones, además de avisos y letreros promulgando la identificación del personal, además se paso un cuestionario para respaldar nuestra observación. Pasa a A4.1 17
Viene de A.4
A4.1 Resultados del
Gracias a la realización del procedimiento se determinó lo siguiente:
procedimiento
1. Existencia de medidas de seguridad Lo cual garantiza que hay un control y restricción sobre las personas que ingresan a dichas instalaciones. 2. Existencia de un guardia de seguridad Lo cual garantiza que no cualquier persona puede ingresar libremente a las instalaciones y la cual debe identificarse y pedir la respectiva autorización para poder pasar.
Hallazgos
N/A
Conclusiones
Se concluye lo siguiente: 1. Existe medidas eficaces para el acceso y restricción a las instalaciones del centro de cómputo.
Recomendaciones
Se recomienda lo siguiente: 1. Mantener el control interno existente el cual el principal es el guarda de seguridad.
18
CENTINELAS & ASOCIADOS
HA4
SEGURIDAD DEL CONTRASEÑAS – HOJA DE EVALUACIÓN INFORMACIÓN DEL EMPLEADO Revisado por: Samuel E Pérez Orellana
Revisado por (opcional):
Fecha:
Período de revisión:
31/03/2011
Josué Rivera Enero a
DIRECTRICES DE REVISIÓN
EVALUACIÓN
SI 1. ¿Se han adoptado medidas de seguridad en la dirección informática?
X
2. ¿Existe una persona responsable de la seguridad?
X
3. ¿Se identifica a la persona que ingresa?
X
NO
4. ¿De qué forma?
Se identifica la entrada con un guarda de seguridad el cual registra a la
persona que ingresa a las instalaciones.
5. ¿Se registra el acceso al cuarto de personas ajenas a la dirección
X
de informática?
Comentarios adicionales:
N/A
19
HA4
Foto que corrobora la existencia de una guarda de seguridad la cual restringe el acceso a personas ajenas al departamento informรกtico.
Foto que muestra un rotulo con aviso de acceso restringido
20
PROVEEDORES INDUSTRIALES SA DE CV HARDWARE Evaluación de la seguridad en la detección de fuego y humo.
Centinelas & Asociados
A5
Evaluado del 01 de Enero de 2011 al 31 de Marzo de 2011
* No Satisfactorio
*/ Satisfactorio
Fecha:
31/03/2011
** Escaso
// Excelente
Hecho Por:
Samuel P.
Revisado Por:
Josué V.
*** Suficiente Nombre del
Evaluación de la seguridad en la detección de fuego y humo, el cual consiste en analizar las medidas de seguridad
procedimiento:
adoptadas por la empresa ante estas posibles eventualidades, entre las áreas a indagar tenemos las siguientes: 1. 2. 3. 4. 5.
Inspeccionar la existencia físicas de alarmas contra incendio. // Verificar la ubicación de alarmas contra incendio. // Corroborar existencia de extintores de incendio. *** Verificar si existe capacitación de los empleados en el uso de extintores. *** Revisar si existen planes por daños provocados por el uso de extintores ***
Objetivo del
Verificar que la empresa posee las distintas medidas de seguridad para detectar humo y evitar un incendio que pueda
procedimiento:
causar pérdidas en los activos informáticos de la empresa Proveedores Industriales S.A. de C.V.
Descripción del
Se realizó una visita técnica a la empresa en la cual se invirtieron 30 minutos de trabajo, en la que aplicando la
procedimiento
observación y confirmando con el personal encargado se pudo corroborar que poseen una alarma contra incendio en dicho departamento , además se visualizó la ubicación de dichas alarmas, y verifico visualmente que la empresa posee 2 extintores contra incendio en dicha área, además del guarda de seguridad, para verificar tales aspectos se pasó un cuestionario enfocado a evaluar que tanta seguridad posee la empresa ante tal catástrofe. Pasa a A5.1
21
Viene de A5
A5.1 Resultados del
Gracias a la realización del procedimiento se determinó lo siguiente:
procedimiento
1. Existencia de alarmas contra incendio Lo cual garantiza dar aviso con anticipación ante un posible incendio. 2. Apropiada ubicación de las alarmas contra incendio Lo cual garantiza que al más mínimo indicio estas se activarían de manera inmediata. 3. Apropiada existencia de extintores contra incendio Lo cual garantiza que al haber fuego estos pueden ser utilizados de inmediato para la salvaguarda de activos. 4. Apropiada capacitación a los empleados sobre el uso de extintores, lo que garantiza una respuesta apropiada ante una emergencia de algún incendio que pueda suscitarse. 5. Apropiados planes por daños provocados por uso de extintores, el cual disminuye los daños por el uso de extintores.
Hallazgos
N/A
Conclusiones
Se concluye lo siguiente: 1. El control interno en esta area es eficiente y eficaz para la detección de humo y fuego.
Recomendaciones
Se recomienda mantener el control interno existente por la empresa para la salvaguarda de activos.
22
CENTINELAS & ASOCIADOS
HA5
RENDIMIENTO – HOJA DE EVALUACIÓN INFORMACIÓN DEL EMPLEADO Revisado por: Samuel E Pérez Orellana
Revisado por (opcional):
Fecha:
Período de revisión:
31/03/2011
Josué Rivera Enero a
DIRECTRICES DE REVISIÓN
EVALUACIÓN
SI
NO
1. ¿Existe alarma para?: a. Detectar fuego (calor o humo) en forma automática
X
b. Avisar en forma manual la presencia del fuego
X
2. ¿Estás alarmas están: a. En el cuarto de máquinas
X
b. En la sala de cintas
X
c. En las bodegas
X
d. En otros lados
X
3. ¿La alarma es perfectamente audible?
X
4. ¿Existen extintores de fuego?
X
5. ¿Se ha adiestrado el personal en el manejo de los extintores?
X
6. ¿Se revisa de acuerdo con el proveedor el funcionamiento de
X
los extintores? 7. Si es que existen extintores automáticos, ¿son activados por los
X
detectores automáticos de fuego? ¿Se tiene bóveda contra incendio?
Comentarios adicionales:
X
N/A
23
HA5
Foto de una de las alarmas contra incendio de la empresa
Foto de una de los extintores que posee a empresa
24
PROVEEDORES INDUSTRIALES SA DE CV HARDWARE Evaluación del óptimo funcionamiento y la temperatura
A6
adecuada del sistema de aire acondicionado
Centinelas & Asociados
Evaluado del 01 de Enero de 2011 al 31 de Marzo de 2011
* No Satisfactorio
*/ Satisfactorio
Fecha:
31/03/2011
** Escaso
// Excelente
Hecho Por:
Samuel P.
Revisado Por:
Josué V.
*** Suficiente Nombre del
Evaluación del óptimo funcionamiento y la temperatura del sistema de aire acondicionado, el cual consiste en analizar el
procedimiento:
control que se lleva a cabo para la salvaguarda de los equipos informáticos, entre las áreas a indagar tenemos las siguientes: 1. 2. 3. 4. 5.
Objetivo del procedimiento:
Constatar que el aire acondicionado esté en funcionamiento.*/ Comprobar que la temperatura del sistema de aire acondicionado sea la recomendada por el proveedor. *** Inspeccionar existencia de reglas de limpieza de los ductos de ventilación. *** Verificar existencia de un control de humedad. *** Inspeccionar si existe mantenimiento adecuado para el aire acondicionado. //
Verificar que la temperatura sea la más adecuada para el buen funcionamiento de los equipos de Hardware existentes en el centro de cómputo de la empresa.
Descripción del
Se realizó una visita técnica a la empresa en la cual se invirtió 45 minutos de trabajo, en la cual se pasó un cuestionario
procedimiento
al encargado de llevar dicho control sobre la temperatura y el aire acondicionado, además de evaluar a través de la observación el estado y la sensación térmica en el centro de cómputo de la empresa Proveedores S.A. de C.V. Pasa a A6.1 25
Viene de A6
A6.1 Resultados del
Gracias a la realización del procedimiento se determinó lo siguiente:
procedimiento
1. Adecuado funcionamiento del aire acondicionado. Lo cual garantiza que los equipos estén en óptimo funcionamiento para evitar sobrecalentamiento en las maquinas informáticas. 2. Adecuada temperatura para los elementos informáticos Lo cual garantiza que los equipos están a una temperatura donde se evite cualquier tipo de deterioro provocado por la misma temperatura. 3. Existencia de mantenimiento y limpieza de los aires acondicionados. Lo cual garantiza que dichos elementos siempre estén trabajando de manera eficiente y eficaz, para colaborar con los equipos informáticos.
Hallazgos
N/A
Conclusiones
Se concluye lo siguiente: 1. La empresa presenta un buen control interno en dicha área, la cual permite una temperatura óptima para el bienestar de los distintos equipos informaticos.
Recomendaciones
Se recomienda lo siguiente: 1. Mantener dicho control interno en favor de la empresa.
26
CENTINELAS & ASOCIADOS
HA6
CONTINGENCIAS– HOJA DE EVALUACIÓN INFORMACIÓN DEL EMPLEADO Revisado por: Samuel E Pérez Orellana
Revisado por (opcional):
Fecha:
Período de revisión:
31/03/2011
Josué Rivera Enero a
DIRECTRICES DE REVISIÓN
EVALUACIÓN
SI 1. ¿La temperatura en la que trabajan los equipos es la recomendada
NO
X
por el proveedor?
2. ¿Los ductos del aire acondicionado están limpios?
X
3. ¿Se controla la humedad de acuerdo con las especificaciones del proveedor?
X
4. ¿De qué forma?
La persona encargada del mantenimiento de las computadoras está pendiente que la temperatura dentro de las instalaciones sea la adecuada para los equipos de Hardware existentes en las instalaciones
5. ¿Con que periodicidad? El encargado menciono que el control sobre la temperatura se realiza periódicamente dos veces al día una por la mañana y otra por la tarde.
Comentarios adicionales:
N/A
27
HA6
Foto del sistema de aire acondicionado
Foto del exterior donde se encuentran instalados los equipos de aire acondicionado
28
PROVEEDORES INDUSTRIALES SA DE CV HARDWARE Centinelas & Asociados
Evaluación de la adecuada ubicación de las instalaciones que contienen el Hardware Evaluado del 01 de Enero de 2011 al 31 de Marzo de 2011.
A7
* No Satisfactorio
*/ Satisfactorio
Fecha:
31/03/2011
** Escaso
// Excelente
Hecho Por:
Samuel P.
Revisado Por:
Josué V.
*** Suficiente Nombre del
Evaluación de la adecuada ubicación de las instalaciones que contiene el Hardware, el cual consiste en verificar que el
procedimiento:
espacio físico destinado para dicho departamento se lo más adecuado posible a las necesidades del mismo para lo cual se evaluara las siguientes áreas: 1. Verificar que las instalaciones estén a salvo de posible catástrofe natural y sabotaje. *** 2. Observar existencia de tráfico de personas */ 3. Inspeccionar existencia de algún material inflamable dentro de las instalaciones. // 4. Verificar que exista aseo y limpieza de las instalaciones. // 5. Inspeccionar la ventilación e iluminación dentro de las instalaciones // 6. Evaluar el espacio físico adecuado de cada elemento en las instalaciones //
Objetivo del
Verificar que las instalaciones que albergan los equipos informáticos sean los más adecuados para el cumplimiento
procedimiento:
laboral de los mismos en un ambiente seguro y ordenado.
Descripción del
Se realizó una visita técnica a la empresa en la cual se invirtió 1hora de trabajo, donde se pasó un cuestionario, además
procedimiento
de la observación sobre distintos aspectos importantes sobre la adecuada ubicación de las instalaciones donde se Pasa a A7.1 29
Viene de A7
A7.1 Evaluaron los aspectos tráfico de personal, aseo y limpieza, ventilación e iluminación y espacio respectivo para cada elemento informático en particular. Resultados del
Gracias a la realización del procedimiento se determinó lo siguiente:
procedimiento
1. Aceptable seguridad contra posibles catástrofes naturales y sabotaje Lo cual garantiza que los activos informáticos tienen menor riesgo de arruinarse ante dichas eventualidades. 2. Bajo tráfico de personas en las instalaciones Lo cual garantiza un orden en dicho lugar y evita cualquier accidente por aglomeración de personal. 3. Aceptable nivel de limpieza en las instalaciones, lo que garantiza que los equipos de hardware estén libre de polvo. 4. Excelente espacio adecuado para cada elemento en las instalaciones, lo que garantiza orden y facilidad al momento de realizar los distintos procesos dentro de las instalaciones.
Hallazgos
N/A.
Conclusiones
Se concluye lo siguiente: 1. La empresa posee unas instalaciones adecuadas para poder llevar a cabo sus actividades productivas con su equipo informático.
Recomendaciones
Recomendamos mantener dicho sistema interno para mantener un buen ambiente dentro de dichas instalaciones.
30
CENTINELAS & ASOCIADOS
HA7
POLÍTICA DE BLOQUEOS– HOJA DE EVALUACIÓN INFORMACIÓN DEL EMPLEADO Revisado por: Samuel E Pérez Orellana
Revisado por (opcional):
Fecha:
Período de revisión:
31/03/2011
Josué Rivera Enero a
DIRECTRICES DE REVISIÓN
EVALUACIÓN
SI 1. ¿Las instalaciones donde se encuentra la computadora está
NO
X
situada a salvo de catástrofes naturales y sabotaje? 2. ¿El Centro de cómputo da al exterior?
X
3. ¿Está el centro de cómputo en un lugar de alto tráfico de personas?
X
4. ¿Se tiene materiales o paredes inflamables dentro del dentro de cómputo?
X
5. ¿Se tienen paredes que despiden polvo?
X
6. ¿Se tiene paredes que no estén adecuadamente selladas?
X
7. ¿Se tienen grandes ventanales orientados a la entrada o salida del sol?
X
8. ¿Existe lugar suficiente para los equipos?
X
9. ¿Esta sobresaturad la instalación?
X
10. ¿Se tiene lugar previsto? este es el adecuado para: Almacenamiento de equipos magnéticos.
X
Formatos y papel para impresora.
X
Mesas de trabajo y muebles
X
Área y mobiliario para mantenimiento.
X
Equipo de telecomunicaciones.
X
Área de programación.
X
Consolas del operador.
X
Fuentes de poder.
X
Comentarios adicionales: N/A
31
HA7
Foto del centro de c贸mputo de la empresa.
32
PROVEEDORES INDUSTRIALES SA DE CV HARDWARE
A8
Evaluación de los controles de préstamo de elementos de
Hardware y seguridad en el almacenamiento de la información
Centinelas & Asociados
Evaluado del 01 de Enero de 2011 al 31 de Marzo de 2011
* No Satisfactorio
*/ Satisfactorio
Fecha:
31/03/2011
** Escaso
// Excelente
Hecho Por:
Samuel P.
Revisado Por:
Josué V.
*** Suficiente Nombre del
Evaluación
procedimiento:
información, donde se evaluara la seguridad ante prestamos, almacenamientos y copias de archivos, lo que se detallan
de los controles de préstamos de elementos de Hardware y seguridad en el almacenamiento de la
en la siguientes áreas: 1. Verificar existencia de controles de préstamos de elementos de Hardware. */ 2. Observar el almacenamiento físico de la información. // 3. Corroborar existencias de copias de archivos. // 4. Verificar establecimiento de nivel de usuario. */ Objetivo del
Evaluar si la seguridad y las medidas de control son eficaces y eficientes en las transacciones de préstamos de
procedimiento:
elementos que integran el hardware de la empresa.
Descripción del
Se realizó una visita técnica a la empresa en la cual se invirtió 1 hora de trabajo, en el cual a través de la observación y
procedimiento
gracias a un cuestionario pre elaborado que se dio al Lic. Hugo Guzmán, se evaluó la forma en que se presta los elementos informáticos así como la copia de archivos, almacenamiento físico de la información y el respectivo establecimiento de nivel de usuario para acceso a los elementos que poseen información vital de la empresa. Pasa a A8.1 33
Viene de A8.1
A8.1 Resultados del procedimiento
Gracias a la realización del procedimiento se determinó lo siguiente: 1. Satisfactorio control de prestamos de elementos de Hardware, Lo que garantiza que la empresa no pierde ninguno de sus activos ni lo da como perdido, en un ambiente responsable. 2. Excelente almacenamiento físico de la información, lo que garantiza que la integridad y calidad de la información. 3. Existencia de copias de archivos, lo cual garantiza que la información posee un sostén ante cualquier perdida. 4. Satisfactorio nivel de usuario, lo que garantiza que la persona que realiza el préstamo de elementos o accede a la información esta debidamente identificado por la empresa.
Hallazgos
N/A.
Conclusiones
Se concluye lo siguiente: 1. La empresa cumple con una valoración de “Suficiente”.
Recomendaciones
Se recomienda mantener dichos controles ya que son efectivos y evitan en lo mayor posible el riesgo de perdidas de elementos informáticos y de información vital de la empresa.
34
CENTINELAS & ASOCIADOS
HA8
EVALUACIÓN TÉCNICA– HOJA DE EVALUACIÓN INFORMACIÓN DEL EMPLEADO Revisado por: Samuel E Pérez Orellana
Revisado por (opcional):
Fecha:
Período de revisión:
31/03/2011
Josué Rivera Enero a
DIRECTRICES DE REVISIÓN
EVALUACIÓN
SI
NO
1. ¿Se controla el préstamo de:
Elementos magnéticos
X
Equipo
X
Software
X
2. ¿Se encuentra con copias de los archivos en un lugar distinto al
X
de la computadora? 3. ¿Se tienen establecidos procedimientos de actualización para
X
dichas copias? 4. Indique el número de copias que se tienen, de acuerdo con la forma en que se clasifica la información se posee 1 copia 5.
¿El departamento de auditoría interna conoce todos los aspectos de
X
los sistemas? 6. ¿se ha establecido un nivel de usuario de la información?
X
Comentarios adicionales: A/N
35
HA8
Foto lugar de almacenamiento de la informaci贸n vital de la empresa.
36
PROVEEDORES INDUSTRIALES SA DE CV HARDWARE
A9
Evaluación de la seguridad en caso de emergencia provocadas por Centinelas & Asociados
inundaciones Evaluado del 01 de Enero de 2011 al 31 de Marzo de 2011
* No Satisfactorio
*/ Satisfactorio
Fecha:
31/03/2011
** Escaso
// Excelente
Hecho Por:
Samuel P.
Revisado Por:
Josué V.
*** Suficiente Nombre del
Evaluación de la seguridad en caso de emergencias provocadas por inundaciones, la cual se basa principalmente en el
procedimiento:
siguiente procedimiento: 1. Corroborar existencia física de alarmas contra inundaciones.
Objetivo del
Evaluar si la empresa Proveedores Industriales S.A. de C.V. Cuenta con algún sistema de alarma contra inundaciones
procedimiento:
para la salvaguarda de sus activos informáticos en las instalaciones que albergan dichos elementos de Hardware.
Descripción del
Se realizó una visita técnica a la empresa el día 24 de mayo del presente año, se realizó una entrevista con el Lic. Hugo
procedimiento
Guzmán en la cual se invirtió 15 minutos de trabajo con el objetivo de conocer si la empresa está preparada para una eventualidad de esta envergadura, en la entrevista se nos manifestó que esta área en particular tiene una limitante muy grave, ya conversando con dicha persona nos manifiesta que el personal de vigilancia que la empresa posee solo da cobertura en jornada diurna laboral, en la noche no existe protección, en nuestra observación solo pudimos encontrar alarmas contra incendios, y todo tipo de herramientas para evitar un mayor siniestro, se pidió conversar con el gerente administrativo sobre tal anomalía y se nos dijo que dicha personas esta incapacitada por problemas de salud. Pasa a A9.1
37
Viene de A9
A9.1 Resultados del
Gracias a la realización del procedimiento se determinó lo siguiente:
procedimiento
1. No existe alarmas contra inundaciones en jornada nocturna, lo anterior representa una seria amenaza a los activos informáticos que posee la empresa auditada, tanto en que puede ser altamente probable la aparición del siniestro como un alto impacto económico e informático si llegase a suceder en un futuro próximo.
Hallazgos
Se ha detectado a través de la respectiva evaluación que la empresa Proveedores Industriales carece de alarma ante posibles inundaciones que puedan suscitarse en la noche, debido a que el personal de seguridad no labora de noche, y la empresa no posee algún tipo de alarma que pueda dar aviso en horas nocturnas, en caso de una posible fuga de agua cerca o dentro de las instalaciones informáticas este podría dañar seriamente los elementos de Hardware y de información, y posiblemente también pudiese ser casa de demanda laboral por cualquier accidente donde se vea involucrado el agua y la electricidad, así mismo como causa de incendio eléctrico.
H1
Conclusiones
La empresa Proveedores Industriales S.A. de C.V. no cuenta con alarma ante inundaciones nocturnas.
Recomendaciones
Recomendamos de forma inmediata colocar algún tipo de seguridad por la noche que vigile las instalaciones dentro de la empresa en horas nocturnas, cuyo caso sería una inversión de aproximadamente de un salario mínimo mensual vigente en El Salvador, o la adquisición de algún equipo sofisticado que detecte cualquier tipo de inundación dentro de las instalaciones en hora nocturna lo cual tendría un costo mayor que la primera alternativa, pero al final ambas soluciones son una inversión importante para evitar posibles daños relevantes en los activos informáticos de la empresa, así como alguna posible demanda laboral por cualquier accidente provocado por la combinación de agua y electricidad, o bien el comienzo de un incendio en las instalaciones de tipo eléctrico.
38
CENTINELAS & ASOCIADOS
HA9
PERDIDA DE CONTRASEÑAS– HOJA DE EVALUACIÓN
INFORMACIÓN DEL EMPLEADO Revisado por: Samuel E Pérez Orellana
Revisado por (opcional):
Fecha:
Período de revisión:
31/03/2011
Josué Rivera Enero a
DIRECTRICES DE REVISIÓN
EVALUACIÓN
SI 1. ¿Se cuenta con alarmas contra inundaciones?
NO X
Comentarios adicionales: Se nos comentó en la entrevista que no se cuenta con algún tipo de alarma contra inundaciones de índole interna que pudiesen suceder en horas nocturnas ya que solo existe personal de seguridad en horas diurnas, la probabilidad de ocurrencia de un fenómeno desfavorable es bajo, más el impacto puede ser muy alto, ya sea por perdida o daños a equipos, perdida de información vital o fallecimiento de algún empleado por combinación de electricidad con agua, el cual produciría una demanda laboral y algún litigio con las autoridades de judiciales.
39
PROVEEDORES INDUSTRIALES S.A. DE C.V.
SOFTWARE & APLICACIONES CEDULA DE HALLAZGOS Evaluado del 01 de Enero de 2011 al 31 de Marzo de 2011 HALLAZGO
REFERENCIA
DESCRIPCIÓN
A PT TITULO: Debilidad de Contraseñas. CONDICION: Las contraseñas son numéricas.
CRITERIO: Las contraseñas deben ser alfanuméricas y de al menos 8 caracteres para ser consideradas seguras.
H1
B4.1
CAUSA: Mal criterio o política de contraseñas. EFECTO: Vulnerabilidades de seguridad a información confidencial. RECOMENDACIONES: Recomendamos gestionar una política de contraseñas segura y pedir desarrollo a la empresa que elaboro el software. TITULO: Cambios de Contraseña. CONDICION: Las contraseñas no se cambian ya que el sistema ni el departamento de informática lo solicitan. CRITERIO: Las contraseñas deben ser cambiadas cada cierto periodo para que puedan ser consideradas seguras.
H2
B10.1
CAUSA: Falta de una política de cambios de contraseña y seguridad del sistema. EFECTO: Vulnerabilidades de seguridad, Memorización de contraseñas de jefaturas por parte de los subalternos. RECOMENDACIONES: Recomendamos validar el sistema para que solicite cambios de contraseña por lo menos cada 3 meses. TITULO: Bitácora de inicios de sesión. CONDICION: Deben existir registros de inicios de sesión por cada usuario en el sistema ERP.
H3
B2.2
CRITERIO: Los registros del personal que inicia sesión dentro del sistema son importantes para deducir responsabilidades en caso de eventualidades. CAUSA: Mala práctica por parte de los desarrolladores del software. EFECTO: No existe un registro de inicios de sesión lo cual genera desorden a la hora de resolver quien hizo operaciones y por
40
qué las hizo en tal equipo. RECOMENDACIONES: Recomendamos implementar una bitácora de inicios de sesión mediante desarrollo por parte del proveedor o por control interno de la empresa. TITULO: Vencimientos de Contraseñas. CONDICION: No existen tiempos máximos de duración de contraseñas lo que puede considerarse como una contraseña eterna.
H4
B4.1
CRITERIO: Las contraseñas tienen que tener una máxima vida útil y luego revalidarse para ser consideradas seguras. CAUSA: Mala práctica por parte de los desarrolladores del software. EFECTO: Memorización por parte del personal operativo de las contraseñas de las jefaturas. RECOMENDACIONES: Recomendamos
establecer un periodo de vencimientos de contraseña e implementarla en los
usuarios del sistema. TITULO: Contingencias. CONDICION: No existen planes de contingencia en la empresa. CRITERIO: Una preparación ante desastres ayuda a minimizar las perdidas.
H5
B6.1
CAUSA: Mala administración por parte del personal de informática. EFECTO: Perdidas de información “Clave” para la empresa. RECOMENDACIONES: Recomendamos implementar una planeación estratégica que considere las debilidades del entorno de la empresa y sobre ella tomar decisiones para enfrentar eventualidades. TITULO: Documentación. CONDICION: No existen manuales de procedimientos ni políticas que regulen las autenticaciones dentro del sistema. CRITERIO: Una buena documentación ayuda al usuario y a cualquier persona en inducción a conocer los parámetros básicos
H6
B2.2
para actuar dentro del sistema así como las normativas impuestas por la organización. CAUSA: No existía la necesidad según la administración de la empresa. EFECTO: No existe una guía clara para los usuarios para actuar ante posibles situaciones y menos para el personal recién contratado. RECOMENDACIONES: Recomendamos elaborar un manual de usuario para el proceso de inicio de sesión del sistema y
41
distribuir una copia de este al personal operativo.
42
Nombre de Empresa: PROVEEDORES INDUSTRIALES SA DE CV
B1
Periodo a Auditar: Enero – Marzo de 2011 Centinelas & Asociados Nº
1
2
3
Programa de Auditoria: Software & Aplicaciones
PROCEDIMIENTOS Nombre del Programa: Evaluación de la situación actual de los equipos que ejecutan el sistema ERP Objetivo del Programa: Evaluar la situación actual de los equipos que ejecutan el sistema ERP, en relación a inicio de sesión de sistemas, la seguridad de contraseñas, los rendimientos, las contingencias aplicadas, las políticas de bloqueo, las perdida de contraseña y los tiempos de vigilancia o permanencia en el sistema de parte de los usuarios. Observar Inicio de Sesión en Sistema ERP. 1. Revisión de manual de usuario del sistema. 2. Solicitar un usuario de pruebas para el sistema. 3. Requerir los reglamentos o normas que se apliquen a los inicios de sesión. 4. Realizar una entrevista grupal con el personal operativo que utiliza el ERP. Seguridad del Hardware del Sistema. 1. Observar Cableado del Equipo. 2. Comprobar especificaciones técnicas de los equipos informáticos. 3. Corroborar instalación y disposición de los equipos. 4. Comprobar antigüedad de los equipos. Seguridad de Contraseñas 1. Verificar la máxima vigencia de las contraseñas. 2. Comprobar el grado de cifrado de una contraseña. 3. Determinar la longitud de mínima y máxima de las claves. 4. Pedir la documentación necesaria que se relacione a las políticas de contraseñas.
REFERENCIA
HECHO POR
FECHA
B2/B2.2
J&S
24/05/2011
B3/B3.1
J&S
24/05/2011
B4/B4.1
J&S
24/05/2011
PT
43
Pasa a B1.1
B1.1
Viene de B1
4
5
6
7
8
9
10
Rendimiento 1. Comprobar el rendimiento del sistema ERP al solicitar contraseñas. 2. Revisar la documentación en caso de clave invalida. 3. Realizar pruebas de rendimiento,
B5/B5.1
J&S
24/05/2011
Contingencias 1. Verificar si existe documentación de procesos para enfrentar eventualidades. 2. Preguntar al personal operativo las acciones que toman al presentarse eventualidades. 3. Verificar los controles de seguimiento de los procesos ante contingencias. Política de Bloqueos. 1. Determinar el umbral de bloqueos por usuario. 2. Conocer que sucede si una cuenta es bloqueada. 3. Preguntar a quien se debe recurrir para liberar cuenta de usuario.
B6/B6.1
J&S
24/05/2011
B7/B7.1
J&S
24/05/2011
Evaluación Técnica 1. Comparar los estándares de cifrado de claves con los de la empresa. 2. Establecer mecanismos de control para revisión de contraseñas. 3. Elaboración de estadísticas de información para verificarlas en un futuro.
B8/B8.1
J&S
24/05/2011
Perdida de Contraseñas 1. Determinar las políticas que se aplican en una situación de olvido de contraseñas. 2. Solicitar una entrevista con el personal encargado de la recuperación de contraseñas. Cambios de Contraseña. 1. Requerir las normas o procedimientos que regulen el cambio de contraseñas. 2. Conocer quien autoriza los cambios de contraseña y el proceso. 3. Identificar si los cambios de contraseña son obligatorios
B9/B9.1
J&S
24/05/2011
B10/B10.1
J&S
24/05/2011
B11/B11.1
J&S
24/05/2011
Tiempos de Vigencia 1. Identificar el tiempo de inicio de sesión y la permanencia en el sistema.
44
2. Requerir los procedimientos necesarios para determinar este tiempo de vigencia en el sistema
45
Nombre de Empresa: PROVEEDORES INDUSTRIALES SA DE CV
B2
Periodo a Auditar: Enero – Marzo de 2011
Centinelas & Asociados
Nombre del Área a Auditar: Observar Inicio de Sesión en Sistema ERP.
* No Satisfactorio
*/ Satisfactorio
Fecha:
31/03/2011
** Escaso
// Excelente
Hecho Por:
Samuel P.
Revisado Por:
Josué V.
*** Suficiente Nombre del
Observación del Inicio de Sesión en Sistema ERP, el cual consiste en verificar el procedimiento que ejecutan los
procedimiento:
usuarios para darse de alta en el sistema, entre las áreas a indagar tenemos las siguientes: 5. Revisión de Manual de Usuario del Sistema.(*) 6. Solicitar un usuario de pruebas para el Sistema.(//) 7. Requerir los reglamentos o normas que se apliquen a los inicios de sesión.(**) 8. Realizar una entrevista grupal con el personal operativo que utiliza el ERP.(//)
Objetivo del
Determinar si los inicios de sesión cumplen los requerimientos del especialista en informática e indagar si existen
procedimiento:
reglamentos que guíen al usuario final en el proceso.
Descripción del
Se realizó una visita técnica a la empresa en la cual se invirtieron 2 horas de trabajo, con la siguiente distribución:
procedimiento
1. 20 minutos en conversaciones de presentación con el personal de informática y el equipo auditor, en el cual se le dejo claro la necesidad de tener un acceso al sistema con el fin de realizar pruebas, se le sugirió también que fuera limitado ya que los procedimientos solamente tenían el fin de comprobar los inicios de sesión del sistema. 2. 20 minutos realizando diversas pruebas al sistema documentadas en una hoja de evaluación, en la cual se
46
B2.1 Precisaban puntos de interés para el equipo auditor. 3. 20 minutos en conversaciones con el personal de informática, en el cual se le preguntaba si poseían manuales o instructivos que orientaran al usuario en el procedimiento de inicios de sesión, se realizaron preguntas también a algunos usuarios para saber su grado de satisfacción con lo que respecta al sistema y los principales problemas que ellos tienen con respecto a este. 4. 1 hora en la entrevista grupal en la cual se abordó una lluvia de ideas de los temas de satisfacción, uso, problemas, recomendaciones entre otros. Resultados del
Gracias a la realización del procedimiento se determinó lo siguiente:
procedimiento
1. El personal conoce en una valoración de “Suficiente” el proceso para iniciar sesión al sistema. Lo cual garantiza que los usuarios comprenden el proceso y lo aplican. 2. El personal está satisfecho en una valoración de “Excelente” con respecto a la complejidad de las contraseñas. Lo cual garantiza que los usuarios no tienen problemas de memoria con respecto a la contraseña que les es asignada. 3. Se determinó en una valoración de “Suficiente” que existen niveles de acceso. Lo cual garantiza que la empresa tiene en cierto grado restringida su información. 4. Se determinó en un valoración de “No satisfactorio” que los usuarios avanzados puedan crear usuarios en el Sistema. Lo cual garantiza que no se están creando usuarios fantasmas o inexistentes.
Hallazgos
Gracias a la realización del procedimiento se obtuvieron los siguiente resultados: 1. No existen manuales o normas que regulen los inicios de sesión. Lo cual supone un riesgo a los usuarios en el momento de surgir dudas en caso de problemas, usuarios nuevos en proceso de introducción, jefes de sección sin
47
B2.2 Normas que dictar a sus empleados.H6 2. No existe una bitácora de inicios de sesión del sistema. Lo cual supone un riesgo a la empresa ya que si se llegara a crear usuarios fantasma no pueden ser detectados, no se sabe quién inicio sesión en que computadora, no se puede determinar responsabilidades de usuarios frente a transacciones.H3 3. No se planean cambiar las políticas de las contraseñas. Lo cual supone un riesgo a la empresa que no se planea cambiar el sistema, no se piensa en innovación y muchos menos en escalabilidad de políticas. Conclusiones
Se concluye lo siguiente: 1. La empresa presenta ciertos problemas en cuanto a la seguridad del procedimiento de inicio de sesión en el sistema. 2. Presenta un grado de descuido en las políticas que deberían normar este procedimiento 3. La empresa tiene que considerar opciones para mejorar su control interno con lo que respecta a este tema.
Recomendaciones
Se recomienda lo siguiente: 1. Elaborar un manual de usuario para el proceso de inicio de sesión del sistema y distribuir una copia de este al personal operativo. 2. Implementar una bitácora de inicios de sesión mediante desarrollo por parte del proveedor o por control interno de la empresa.
48
CENTINELAS & ASOCIADOS
HB2
INICIOS DE SESIÓN– HOJA DE EVALUACIÓN INFORMACIÓN DEL EMPLEADO Revisado por: Samuel E Pérez Orellana
Revisado por (opcional):
Fecha:
Período de revisión:
31/03/2011
Josué Rivera Enero a
DIRECTRICES DE REVISIÓN Complete esta revisión paritaria utilizando la siguiente escala: NA = No aplicable 1 = No satisfactorio 2 = Escaso 3 = Suficiente 4 = Superior a la media 5 = Excelente
EVALUACIÓN (5) = Excelente
(4) = Superior a la media
(3) = Suficiente
(2) = Escaso
(1) = No satisfactorio
La empresa proporciono usuario de prueba El personal conoce a totalidad el procedimiento El usuario conoce que necesita ingresar contraseña La responsabilidad de custodiar la contraseña es clara Existe un manual que indique el proceso de inicio de sesión El sistema operativo influye en el sistema La autenticación es correcta Los usuarios se sienten cómodos con la complejidad de contraseñas Existe una bitácora de sesiones En el futuro se cambiaran las políticas de contraseñas Existen niveles de acceso El jefe inmediato puede crear usuarios El departamento de informática puede crear usuarios Comentarios adicionales:
49
HB2 PANTALLA DE INICIO DE SESION
Nota: Pantalla de inicio de sesi贸n en la que se puede verificar el usuario de prueba otorgado por la empresa.
50
Nombre de Empresa: PROVEEDORES INDUSTRIALES SA DE CV
B3
Periodo a Auditar: Enero – Marzo de 2011 Centinelas & Asociados
Nombre del Área a Auditar: Seguridad del Hardware del Sistema.
* No Satisfactorio
*/ Satisfactorio
Fecha:
31/03/2011
** Escaso
// Excelente
Hecho Por:
Samuel P.
Revisado Por:
Josué V.
*** Suficiente Nombre del
Seguridad del Hardware del Sistema , el cual consiste en verificar el estado de los equipos, su antigüedad, su
procedimiento:
mantenimiento y los periféricos relacionados al Sistema, entre las áreas a indagar tenemos las siguientes: 7. Observar el cableado del Equipo.(*/) 8. Comprobar especificaciones técnicas de los equipos informáticos.(*/) 9. Corroborar instalación y disposición de los equipos.(***) 10. Comprobar antigüedad de los equipos.(*/)
Objetivo del
Determinar la situación actual de los equipos que ejecutan el sistema ERP.
procedimiento: Descripción del
Se realizó una visita técnica a la empresa en la cual se invirtió1 hora de trabajo, con la siguiente distribución:
procedimiento
1. 20 minutos en realizar recorrido de la empresa en busca de una muestra de 10 equipos para aplicar la observación directa de las condiciones del hardware, instalaciones, ubicación de periféricos, protecciones eléctricas, muebles en los que se encuentras dispuestos los equipos, revisión de orden y limpieza, condiciones climáticas que afecten al hardware (Calor o Frio). 2. 20 minutos conversando con el personal de informática de la empresa con respecto al historial de mantenimientos 51
B3.1 También se les pregunto acerca de los principales problemas de los equipos, fallas comunes, compras y adquisiciones de hardware entre otros. 3. 20 minutosverificando capacidades de los equipos de la muestra, espacio de disco duro libre, cantidad de memoria RAM, si se poseían lectores CD/DVD, cantidad de puertos USB, sistema operativo instalado, velocidad de microprocesador, velocidad de bus de transferencia, tarjetas gráficas entre otros. Resultados del
Gracias a la realización del procedimiento se determinó lo siguiente:
procedimiento
1. El cableado eléctrico y de datos presenta una valorización de “Suficiente”. Lo cual garantiza que los equipos tienen la protección estándar para poder operar con normalidad. 2. Las características técnicas de los equipos presentan una valorización de “Suficiente”: Lo cual garantiza que los equipos tanto en disco duro, memoria RAM, microprocesador y sistema operativo instalado son los adecuados para operatividad del sistema. 3. La mezcla de topología de red muestra una valorización de “No Satisfactorio”: Lo cual garantiza que la empresa no tiene mezclas de arquitectura LAN, lo cual estandariza a la empresa en cuando a estructura de datos. 4. Existen impresoras para cada estación de trabajo presenta una valorización de “No Satisfactorio”. Lo cual garantiza que se regula el consumo de tinta, y se controla que los usuarios no ocupen los recursos de la empresa para actividades no laborales.
Hallazgos
N/A
Conclusiones
Se concluye lo siguiente: 1. La empresa presenta una valoración de “Suficiente” conforme a los procedimientos evaluados.
Recomendaciones
N/A
52
CENTINELAS & ASOCIADOS
HB3
SEGURIDAD DEL HARDWARE DEL SISTEMA– HOJA DE EVALUACIÓN INFORMACIÓN DEL EMPLEADO Revisado por: Samuel E Pérez Orellana
Revisado por (opcional):
Fecha:
Período de revisión:
31/03/2011
Josué Rivera Enero a
DIRECTRICES DE REVISIÓN Complete esta revisión paritaria utilizando la siguiente escala: NA = No aplicable 1 = No satisfactorio 2 = Escaso 3 = Suficiente 4 = Superior a la media 5 = Excelente
EVALUACIÓN (5) = Excelente
(4) = Superior a la media
(3) = Suficiente
(2) = Escaso
(1) = No satisfactorio
El cableado del equipo es el más actualizado La estructura cumple los estándares de calidad Existe mezcla de topologías de red Hay indicios de averías en los cables La cantidad de espacio libre en el disco duro es adecuada La cantidad de memoria RAM es la recomendada El sistema operativo es el correcto para el hardware La instalación de las maquinas abarca más del 50 % del espacio del área de trabajo Los computadores son de última generación Las impresoras de reportes son matriciales Existen escáneres para la oficina Hay impresoras para cada estación de trabajo El equipo está protegido contra accidentes eléctricos
53
Comentarios adicionales:
54
HB3 RECURSOS DE EQUIPOS
Nota: Ejemplo de una computadora y los recursos que posee al momento de tomar la instantรกnea.
55
Nombre de Empresa: PROVEEDORES INDUSTRIALES SA DE CV
B4
Periodo a Auditar: Enero – Marzo de 2011 Centinelas & Asociados
Nombre del Área a Auditar: Seguridad de Contraseñas.
* No Satisfactorio
*/ Satisfactorio
Fecha:
31/03/2011
** Escaso
// Excelente
Hecho Por:
Samuel P.
Revisado Por:
Josué V.
*** Suficiente Nombre del
Seguridad de Contraseñas, el cual consiste en verificar la complejidad de las contraseñas, tipos de caracteres admitidos,
procedimiento:
vencimientos y respaldos, las áreas que se evaluaron son las siguientes: 5. Verificar la máxima vigencia de las contraseñas.(*) 6. Comprobar el grado de cifrado de una contraseña.(**) 7. Determinar la longitud de mínima y máxima de las claves.(//) 8. Pedir la documentación necesaria que se relacione a las políticas de contraseñas.(***)
Objetivo del
Establecer un listado de parámetros de la seguridad dentro del sistema.
procedimiento: Descripción del
Se realizó una visita técnica a la empresa en la cual se invirtió20 minutos de trabajo, con la siguiente distribución:
procedimiento
1. 20 minutos en conversaciones con el personal de informática en el cual se les paso una hoja de evaluación en la que se preguntaron aspectos relevantes con respecto a la seguridad de las contraseñas, entre estos aspectos a grandes rasgos se puede mencionar: vencimientos de contraseñas, si la contraseña posee caracteres numéricos, si permite caracteres especiales, si solo se escribe en mayúsculas, minúsculas o combinado, respaldos de contraseñas y si existen políticas de contraseñas documentadas en la empresa. 56
B4.1 Resultados del
Gracias a la realización del procedimiento se determinó lo siguiente:
procedimiento
1. La longitud mínima de la contraseña presenta un valoración de “Excelente”. Lo cual garantiza que el sistema tiene un mínimo de caracteres para ingresar como contraseña y no queda abierto a solo poner 1 carácter. 2. El almacenamiento de la contraseña presenta una valoración de “Excelente”. Lo cual garantiza que las contraseñas se guardan en las bases de datos y solamente el personal de informática tiene acceso a ellas en caso de pérdida o recuperación.
Hallazgos
Gracias a la realización del procedimiento se obtuvieron los siguiente resultados: 1. Debilidad de Contraseñas. Lo cual supone un riesgo al sistema en el rubro de seguridad debido a que solo se están generando contraseñas del tipo numérico, no existen grados de complejidad y mucho menos se cumplen los estándares para garantizar una contraseña segura (símbolos, letras, números, mayúsculas y minúsculas). H1 2. No existen vencimientos de contraseñas: Lo cual supone un riesgo para la seguridad del sistema ya que al no haber vencimientos, la contraseña es eterna y si un usuario malintencionado se memoriza la contraseña de un supervisor o jefe puede tener accesos no autorizados a información confidencial de la empresa.H4
Conclusiones
Se concluye lo siguiente: 1. El sistema presenta serios problemas en cuanto a la seguridad de contraseñas. 2. El sistema presenta serios problemas en cuanto a vencimientos de contraseñas.
Recomendaciones
Se recomienda lo siguiente: 1. Gestionar una política de contraseñas segura y pedir desarrollo a la empresa que elaboro el software. 2. Establecer un periodo de vencimientos de contraseña e implementarla en los usuarios del sistema.
57
CENTINELAS & ASOCIADOS
HB4
SEGURIDAD DEL CONTRASEÑAS – HOJA DE EVALUACIÓN INFORMACIÓN DEL EMPLEADO Revisado por: Samuel E Pérez Orellana
Revisado por (opcional):
Fecha:
Período de revisión:
31/03/2011
Josué Rivera Enero a
DIRECTRICES DE REVISIÓN Complete esta revisión paritaria utilizando la siguiente escala: NA = No aplicable 1 = No satisfactorio 2 = Escaso 3 = Suficiente 4 = Superior a la media 5 = Excelente
EVALUACIÓN (5) = Excelente
(4) = Superior a la media
(3) = Suficiente
(2) = Escaso
(1) = No satisfactorio
La contraseña nunca vence La contraseña tiene vencimiento de 1 año La contraseña posee números La contraseña posee letras La contraseña posee caracteres especiales La contraseña permite espacios en blanco La contraseña solo se escribe en mayúsculas Existe un número mínimo de caracteres para la contraseña Existe un número máximo de caracteres para la contraseña La contraseña se almacena en la base de datos del sistema Existen respaldos de contraseñas La contraseña al ser almacenada es cifrada Existen políticas de contraseñas para los departamentos Comentarios adicionales:
58
Nombre de Empresa: PROVEEDORES INDUSTRIALES SA DE CV
B5
Periodo a Auditar: Enero – Marzo de 2011 Centinelas & Asociados
Nombre del Área a Auditar: Rendimiento.
* No Satisfactorio
*/ Satisfactorio
Fecha:
31/03/2011
** Escaso
// Excelente
Hecho Por:
Samuel P.
Revisado Por:
Josué V.
*** Suficiente Nombre del
Rendimiento, el cual consiste en analizar el desempeño de la aplicación al momento de iniciar sesión, se tomaran
procedimiento:
tiempos y se probara en distintas maquinas, entre las áreas a indagar tenemos las siguientes: 1. Comprobar el rendimiento del sistema ERP al solicitar contraseñas.(*/) 2. Revisar la documentación en caso de clave invalida.(***) 3. Realizar pruebas de rendimiento.(//)
Objetivo del
Analizar el rendimiento de la aplicación en tiempo real.
procedimiento: Descripción del procedimiento
Se realizó una visita técnica a la empresa en la cual se invirtieron 30 minutos de trabajo, con la siguiente distribución: 1. 10 minutos de prueba en la maquina 1, en la que se iniciara sesión 10 veces y se tomaran los tiempos. 2. 10 minutos de prueba en la maquina 2, en la que se iniciara sesión 10 veces y se tomaran los tiempos. 3. 10 minutos de prueba en la maquina 3, en la que se iniciara sesión 10 veces y se tomaran los tiempos.
59
B5.1 Resultados del
Gracias a la realización del procedimiento se determinó lo siguiente:
procedimiento
1. El sistema muestra tiempos de respuesta con valoración de “Excelente”. Lo cual garantiza que valida con rapidez los permisos asignados a los usuarios. 2. La contraseña permite el nombre del usuario con valoración de “No Satisfactorio”.Lo cual garantiza que los usuarios no pueden poner su usuario como clave. 3. Las computadoras no inciden en el rendimiento con valoración de “Excelente”. Lo cual garantiza que no importa donde esté instalado el sistema no afecta su rendimiento por factores externos.
Hallazgos
N/A
Conclusiones
Se concluye lo siguiente: 1. Los tiempos de respuesta para el inicio de sesión en el sistema, desde la autentificación hasta la validación son satisfactorios
Recomendaciones
N/A
60
CENTINELAS & ASOCIADOS
HB5
RENDIMIENTO – HOJA DE EVALUACIÓN INFORMACIÓN DEL EMPLEADO Revisado por: Samuel E Pérez Orellana
Revisado por (opcional):
Fecha:
Período de revisión:
31/03/2011
Josué Rivera Enero a
DIRECTRICES DE REVISIÓN Complete esta revisión paritaria utilizando la siguiente escala: NA = No aplicable 1 = No satisfactorio 2 = Escaso 3 = Suficiente 4 = Superior a la media 5 = Excelente
EVALUACIÓN (5) = Excelente
(4) = Superior a la media
(3) = Suficiente
(2) = Escaso
(1) = No satisfactorio
La computadora se tarda menos de 1 minuto en validar usuario La computadora se tarda menos de 5 minuto en validar usuario El usuario sabe qué hacer si su computadora se congela en el inicio de sesión En la misma computadora se puede iniciar sesión 2 veces Los usuarios sienten lento el inicio de sesión Los campos de contraseña parpadean demasiado La contraseña contiene el nombre del usuario dentro de ella Existen historiales de pruebas de rendimiento
Comentarios adicionales:
61
Nombre de Empresa: PROVEEDORES INDUSTRIALES SA DE CV
B6
Periodo a Auditar: Enero – Marzo de 2011 Centinelas & Asociados
Nombre del Área a Auditar: Contingencias.
* No Satisfactorio
*/ Satisfactorio
Fecha:
31/03/2011
** Escaso
// Excelente
Hecho Por:
Samuel P.
Revisado Por:
Josué V.
*** Suficiente Nombre del
Contingencias, el cual consiste en verificar los procesos que emplea la empresa para enfrentarse a posibles
procedimiento:
eventualidades que afecten el giro normal del negocio, para lograrlo se necesita hacer los siguientes pasos: 1. Verificar si existe documentación de procesos para enfrentar eventualidades.(*) 2. Preguntar al personal operativo las acciones que toman al presentarse eventualidades.(*/) 3. Verificar los controles de seguimiento de los procesos ante contingencias.(**)
Objetivo del
Conocer los planes de la empresa que usa para protegerse ante eventualidades.
procedimiento: Descripción del
Se realizó una visita técnica a la empresa en la cual se invirtió 30 minutos de trabajo, con la siguiente distribución:
procedimiento
1. 30 minutos hablando con el personal administrativo y de informática en cuestión a que medidas tiene la empresa contempladas para hacerle frente a las adversidades naturales, eléctricas, de personal u otros, que puedan afectar la operatividad de la empresa y sobre todo del sistema ERP, se indago si se poseía documentación o manuales de procedimientos para realizar acciones ante estos casos, y si todo el personal estaba claro ante estas normativas y si se tienen los controles administrativos para dar seguimiento ante estas contingencias.
62
B6.1 Resultados del
Gracias a la realización del procedimiento se determinó lo siguiente:
procedimiento
1. La evaluación de las protecciones antivirus posee una valoración de “Suficiente”. Lo cual garantiza que los equipos están correctamente protegidos y poseen las actualizaciones al día. 2. La evaluación de las protecciones anti espía tiene una valoración de “Suficiente”. Lo cual garantiza que los equipos están correctamente protegidos contra ataques. 3. La evaluación de los cortafuegos posee una valoración de “Suficiente”. Lo cual garantiza que los equipos están correctamente protegidos contra ataques.
Hallazgos
Gracias a la realización del procedimiento se obtuvieron los siguiente resultados: 1. No existen planes para contingencias contra desastres. Lo cual supone un riesgo a la empresa ya que se deberían de contar con planificación contra eventualidades, especialmente en nuestro país que sufre de problemas climáticos, terremotos, delincuencia en fin es un área que debería considerarse como vital para aplicar planes.H5
Conclusiones
Se concluye lo siguiente: 1. La empresa presenta serios problemas de planificación contra contingencias.
Recomendaciones
Se recomienda lo siguiente: 1. Implementar una planeación estratégica que considere las debilidades del entorno de la empresa y sobre ella tomar decisiones para enfrentar eventualidades.
63
CENTINELAS & ASOCIADOS
HB6
CONTINGENCIAS– HOJA DE EVALUACIÓN INFORMACIÓN DEL EMPLEADO Revisado por: Samuel E Pérez Orellana
Revisado por (opcional):
Fecha:
Período de revisión:
31/03/2011
Josué Rivera Enero a
DIRECTRICES DE REVISIÓN Complete esta revisión paritaria utilizando la siguiente escala: NA = No aplicable 1 = No satisfactorio 2 = Escaso 3 = Suficiente 4 = Superior a la media 5 = Excelente
EVALUACIÓN (5) = Excelente
(4) = Superior a la media
(3) = Suficiente
(2) = Escaso
(1) = No satisfactorio
La empresa posee planes de contingencia para desastres El personal conoce dichos planes de contingencia Existen planes de contingencia para detección de suplantación de identidad Existen software para liberar contraseñasen la empresa Han existido desastres de perdida de contraseñas Existe un historial de contingencias Se cuentan con protecciones antivirus Se cuenta con protecciones Anti-Spyware Se cuenta con firewall El sistema operativo esta totalmente actualizado Los puertos están protegidos Es posible seguir el rastro de ataques al software El personal de informática monitorea la red Comentarios adicionales:
64
Nombre de Empresa: PROVEEDORES INDUSTRIALES SA DE CV
B7
Periodo a Auditar: Enero – Marzo de 2011 Centinelas & Asociados
Nombre del Área a Auditar: Política de Bloqueos.
* No Satisfactorio
*/ Satisfactorio
Fecha:
31/03/2011
** Escaso
// Excelente
Hecho Por:
Samuel P.
Revisado Por:
Josué V.
*** Suficiente Nombre del
Política de Bloqueos, el cual consiste en verificar los procesos que emplea la empresa para identificar las políticas de
procedimiento:
bloqueos de las cuentas, los umbrales, esto se lograra ejecutando estas acciones: 1. Determinar el umbral de bloqueos por usuario.(//) 2. Conocer que sucede si una cuenta es bloqueada.(*/) 3. Preguntar a quien se debe recurrir para liberar cuenta de usuario. (//)
Objetivo del
Conocer las acciones que toma el personal al momento de tener cuenta bloqueada.
procedimiento: Descripción del
Se realizó una visita técnica a la empresa en la cual se invirtió 30 minutos de trabajo, con la siguiente distribución:
procedimiento
1. 30 minutos realizando pruebas con el usuario que nos proporcionó la empresa y se realizaron diferentes preguntas en una hoja de evaluación que se disponía en la cual se le preguntaba al personal de informática si existía un umbral en las contraseñas, si existían bloqueos y quienes podían desbloquear a los usuarios, con los resultados obtenidos en las pruebas se pudo sacar una mejor apreciación del estado de estas políticas de bloqueos.
65
B7.1 Resultados del
Gracias a la realización del procedimiento se determinó lo siguiente:
procedimiento
1. La evaluación de los umbrales de contraseña posee una valoración de “Satisfactoria”. Lo cual garantiza que las contraseñas tienen por lo menos 3 intentos antes de ser bloqueadas. 2. La evaluación de bloqueo de cuentas de usuario tiene una valoración de “Satisfactoria”. Lo cual garantiza que los usuarios se pueden bloquear a 3 intentos fallidos de contraseña
Hallazgos
N/A.
Conclusiones
Se concluye lo siguiente: 1. La empresa cumple todos los requisitos de la auditoria en el presente periodo con una valoración de “Satisfactorio”
Recomendaciones
N/A
66
CENTINELAS & ASOCIADOS
HB7
POLÍTICA DE BLOQUEOS– HOJA DE EVALUACIÓN INFORMACIÓN DEL EMPLEADO Revisado por: Samuel E Pérez Orellana
Revisado por (opcional):
Fecha:
Período de revisión:
31/03/2011
Josué Rivera Enero a
DIRECTRICES DE REVISIÓN Complete esta revisión paritaria utilizando la siguiente escala: NA = No aplicable 1 = No satisfactorio 2 = Escaso 3 = Suficiente 4 = Superior a la media 5 = Excelente
EVALUACIÓN (5) = Excelente
(4) = Superior a la media
(3) = Suficiente
(2) = Escaso
(1) = No satisfactorio
Existe un umbral de bloqueos de contraseña La cuenta de acceso se bloquea La cuenta de acceso se elimina Las cuentas se desbloquean automáticamente Existen acciones de personal al bloquear su cuenta de acceso Los jefes pueden desbloquear cuentas de acceso Si el personal se va de vacaciones se bloquea su acceso Existen políticas de bloqueo de usuarios Se bloquea una cuenta si se inicia sesión desde otra maquina El personal conoce el umbral de bloqueos
Comentarios adicionales:
67
Nombre de Empresa: PROVEEDORES INDUSTRIALES SA DE CV
B8
Periodo a Auditar: Enero – Marzo de 2011 Centinelas & Asociados
Nombre del Área a Auditar: Evaluación Técnica.
* No Satisfactorio
*/ Satisfactorio
Fecha:
31/03/2011
** Escaso
// Excelente
Hecho Por:
Samuel P.
Revisado Por:
Josué V.
*** Suficiente Nombre del
Evaluación Técnica, el cual consiste en verificar si la empresa siguen un estándar o norma internacional para la
procedimiento:
generación de sus contraseñas, para lograrlo se necesita hacer los siguientes pasos: 1. Comparar los estándares de cifrado de claves con los de la empresa.(***) 2. Establecer mecanismos de control para revisión de contraseñas.(***) 3. Elaboración de estadísticas de información para verificarlas en un futuro. (***)
Objetivo del
Elaborar una estimación de los estándares con la realidad de la empresa en lo que respecta a claves.
procedimiento: Descripción del
Se realizó una visita técnica a la empresa en la cual se invirtió 10 minutos de trabajo, con la siguiente distribución:
procedimiento
1. 10 minutos en verificar si la empresa cumplen con algún estándar de cifrado de contraseñas, esto se hace con el objetivo de conocer si se necesitan técnicos especialistas para visualizar correctamente la clave de un usuario o el sistema tiene su propio algoritmo para generar contraseñas, de no tener ningún estándar a seguir no es considerado como hallazgo debido a la importancia relativa del sistema ERP.
68
B8.1 Resultados del
Gracias a la realización del procedimiento se determinó lo siguiente:
procedimiento
1. La evaluación del cifrado de contraseñas presenta una valoración de “Suficiente”: Lo que garantiza que la empresa no necesita de intervención de terceros para casos de auditoria sobre malversación, mala practica o culpa de transacciones dudosas para romper claves de los usuarios.
Hallazgos
N/A.
Conclusiones
Se concluye lo siguiente: 1. La empresa cumple con una valoración de “Suficiente”.
Recomendaciones
N/A
69
CENTINELAS & ASOCIADOS
HB8
EVALUACIÓN TÉCNICA– HOJA DE EVALUACIÓN INFORMACIÓN DEL EMPLEADO Revisado por: Samuel E Pérez Orellana
Revisado por (opcional):
Fecha:
Período de revisión:
31/03/2011
Josué Rivera Enero a
DIRECTRICES DE REVISIÓN Complete esta revisión paritaria utilizando la siguiente escala: NA = No aplicable 1 = No satisfactorio 2 = Escaso 3 = Suficiente 4 = Superior a la media 5 = Excelente
EVALUACIÓN (5) = Excelente
(4) = Superior a la media
(3) = Suficiente
(2) = Escaso
(1) = No satisfactorio
Las contraseñas siguen los estándares mundiales de cifrado Las contraseñas cumplen el mínimo de seguridad recomendado por IT Existen controles internos que regulen las contraseñas Existen historiales de los controles de contraseñas Se elaboran reportes con la información contenida en los historiales Se puede tener acceso a las estadísticas de años anteriores
Comentarios adicionales:
70
Nombre de Empresa: PROVEEDORES INDUSTRIALES SA DE CV
B9
Periodo a Auditar: Enero – Marzo de 2011 Centinelas & Asociados
Nombre del Área a Auditar: Pérdida de Contraseñas.
* No Satisfactorio
*/ Satisfactorio
Fecha:
31/03/2011
** Escaso
// Excelente
Hecho Por:
Samuel P.
Revisado Por:
Josué V.
*** Suficiente Nombre del
Perdida de Contraseña, el cual consiste en confirmar si existen olvidos de contraseñas por cualquier motivo, entre los
procedimiento:
aspectos que se planean evaluar están los siguientes: 1. Determinar las políticas que se aplican en una situación de olvido de contraseñas.(*/) 2. Solicitar una entrevista con el personal encargado de la recuperación de contraseñas.(//)
Objetivo del
Conocer si existen perdidas de contraseñas en la organización.
procedimiento: Descripción del
Se realizó una visita técnica a la empresa en la cual se invirtió 10 minutos de trabajo, con la siguiente distribución:
procedimiento
1. 10 minutos en verificar si la empresa tienen claro el proceso de recuperación de contraseñas en caso de eventualidades de olvido, perdida o cambios voluntarios que obliguen a cambiar de clave en el sistema ERP, para ello se pasó una hoja de evaluación que contenía una serie de requerimientos que a juicio del especialista de sistemas eran los mínimos recomendados para dar una valoración al proceso.
71
B9.1 Resultados del
Gracias a la realización del procedimiento se determinó lo siguiente:
procedimiento
1. La evaluación del proceso de pérdida y recuperación de contraseñas muestra una valoración de “Satisfactoria”: Lo que garantiza que la empresa y sus empleados tiene clara las políticas para recuperar las contraseñas en cualquier caso de pérdida y olvido.
Hallazgos
N/A.
Conclusiones
Se concluye lo siguiente: 1. La empresa cumple con una valoración de “Suficiente”.
Recomendaciones
N/A
72
CENTINELAS & ASOCIADOS
HB9
PERDIDA DE CONTRASEÑAS– HOJA DE EVALUACIÓN INFORMACIÓN DEL EMPLEADO Revisado por: Samuel E Pérez Orellana
Revisado por (opcional):
Fecha:
Período de revisión:
31/03/2011
Josué Rivera Enero a
DIRECTRICES DE REVISIÓN Complete esta revisión paritaria utilizando la siguiente escala: NA = No aplicable 1 = No satisfactorio 2 = Escaso 3 = Suficiente 4 = Superior a la media 5 = Excelente
EVALUACIÓN (5) = Excelente
(4) = Superior a la media
(3) = Suficiente
(2) = Escaso
(1) = No satisfactorio
Existen perdidas de contraseña en la empresa Un motivo es el olvido de la contraseña Un motivo es la confusión de contraseñas Un motivo es el formateo de la computadora y se pierde la contraseña El personal está claro en el procedimiento para recuperar la contraseña Los jefes tienen los permisos para recuperar contraseñas de los subalternos Solo el personal de informática tiene acceso a la recuperación de contraseñas
Comentarios adicionales:
73
Nombre de Empresa: PROVEEDORES INDUSTRIALES SA DE CV
B10
Periodo a Auditar: Enero – Marzo de 2011 Centinelas & Asociados
Nombre del Área a Auditar: Cambios de Contraseña.
* No Satisfactorio
*/ Satisfactorio
Fecha:
31/03/2011
** Escaso
// Excelente
Hecho Por:
Samuel P.
Revisado Por:
Josué V.
*** Suficiente Nombre del
Cambios de Contraseña, el cual consiste en comprobar si el usuario tiene la libertad de cambiar su contraseña cuando él
procedimiento:
lo desee o se necesite una intervención de terceros, para comprobarlo se necesita hacer los siguientes pasos: 1. Requerir las normas o procedimientos que regulen el cambio de contraseñas.(**) 2. Conocer quien autoriza los cambios de contraseña y el proceso.(***) 3. Identificar si los cambios de contraseña son obligatorios(*)
Objetivo del
Conocer el lapso definido por la empresa para el cambio de claves.
procedimiento: Descripción del
Se realizó una visita técnica a la empresa en la cual se invirtió 30 minutos de trabajo, con la siguiente distribución:
procedimiento
1. 30 minutos hablando con el personal administrativo y de informática en lo cual se logró determinar aspectos como: Si es necesario cambiar la contraseña cada cierto tiempo, Si la contraseña tiene una máxima duración dentro del código del sistema ERP, Si se necesita la intervención del departamento de IT para poder realizar el cambio de contraseñas o si los mismos jefes tienen la libertad para poder cambiarla. Para determinar estos aspectos se utilizó una hoja de evaluación para examinar a totalidad el proceso.
74
B10.1 Resultados del
N/A
procedimiento Hallazgos
Gracias a la realización del procedimiento se obtuvieron los siguiente resultados: 1. Los cambios de contraseña muestra una valoración de “No Satisfactorio”. Lo que supone un riesgo para la empresa ya que puede darse la posibilidad que subalternos conozcan la contraseña de sus jefes y acceder a información privilegiada.H2
Conclusiones
Se concluye lo siguiente: 1. La empresa presenta serios problemas de políticas de cambios de contraseña.
Recomendaciones
Se recomienda lo siguiente: 1. Validar el sistema para que solicite cambios de contraseña por lo menos cada 3 meses.
75
CENTINELAS & ASOCIADOS
HB10
CAMBIOS DE CONTRASEÑAS– HOJA DE EVALUACIÓN INFORMACIÓN DEL EMPLEADO Revisado por: Samuel E Pérez Orellana
Revisado por (opcional):
Fecha:
Período de revisión:
31/03/2011
Josué Rivera Enero a
DIRECTRICES DE REVISIÓN Complete esta revisión paritaria utilizando la siguiente escala: NA = No aplicable 1 = No satisfactorio 2 = Escaso 3 = Suficiente 4 = Superior a la media 5 = Excelente
EVALUACIÓN (5) = Excelente
(4) = Superior a la media
(3) = Suficiente
(2) = Escaso
(1) = No satisfactorio
Es necesario cambiar la contraseña La duración de la contraseña es <= 1 mes La duración de la contraseña es >= 1 mes Existen políticas para los cambios de contraseñas Es necesaria la autorización de un superior para el cambio de contraseñas El usuario puede cambiar la contraseña desde su estación El usuario necesita realizar una solicitud de cambio de contraseña a informática Se tiene un registro de los cambios de contraseña por usuario Al cambiar la contraseña se puede poner la misma otra vez Existen evidencias de ataques al sistema en el momento de cambiar la contraseña
Comentarios adicionales:
76
Nombre de Empresa: PROVEEDORES INDUSTRIALES SA DE CV
B11
Periodo a Auditar: Enero – Marzo de 2011 Centinelas & Asociados
Nombre del Área a Auditar: Tiempos de Vigencia.
* No Satisfactorio
*/ Satisfactorio
Fecha:
31/03/2011
** Escaso
// Excelente
Hecho Por:
Samuel P.
Revisado Por:
Josué V.
*** Suficiente Nombre del
Tiempos de Vigencia, el cual consiste en confirmar si existen tiempos establecidos de permanecía dentro del sistema
procedimiento:
ERP para poder realizarlo se evaluaron las siguientes actividades: 1. Identificar el tiempo de inicio de sesión y la permanencia en el sistema.(//) 2. Requerir los procedimientos necesarios para determinar este tiempo de vigencia en el sistema.(***)
Objetivo del
Definir los tiempos máximos de permanencia en el sistema.
procedimiento: Descripción del
Se realizó una visita técnica a la empresa en la cual se invirtió 10 minutos de trabajo, con la siguiente distribución:
procedimiento
1. 10 minutos conversando con el departamento de informática en lo cual se pasó a complementar una serie de breves preguntas que tenían por objeto conocer si dentro de la empresa se tiene claro la vigencia del horario dentro del sistema ERP en la cual se evaluaba si los turnos eran de Lunes a Viernes, si el sistema disponía de aperturas para los días domingos además de preguntarles a los usuarios si estaban claros de cada uno de los horarios establecidos por la entidad.
77
B11.1 Resultados del
Gracias a la realización del procedimiento se determinó lo siguiente:
procedimiento
1. La evaluación de los tiempos de vigencia muestra una valoración de “Suficiente” lo cual garantiza a la entidad que sus usuarios tienen claros los tiempos de inicio de sesión y su correspondiente finalización.
Hallazgos
N/A.
Conclusiones
Se concluye lo siguiente: 1. La empresa cumple con una valoración de “Suficiente”.
Recomendaciones
N/A
78
CENTINELAS & ASOCIADOS
HB11
TIEMPOS DE VIGENCIA– HOJA DE EVALUACIÓN INFORMACIÓN DEL EMPLEADO Revisado por: Samuel E Pérez Orellana
Revisado por (opcional):
Fecha:
Período de revisión:
31/03/2011
Josué Rivera Enero a
DIRECTRICES DE REVISIÓN Complete esta revisión paritaria utilizando la siguiente escala: NA = No aplicable 1 = No satisfactorio 2 = Escaso 3 = Suficiente 4 = Superior a la media 5 = Excelente
EVALUACIÓN (5) = Excelente
(4) = Superior a la media
(3) = Suficiente
(2) = Escaso
(1) = No satisfactorio
Existen horarios de inicios de sesión Existe duración de turno para el usuario Se puede acceder al sistema el día domingo Existen registros de los inicios de sesión de los usuarios Existen registros de la permanencia en el sistema por parte de los usuarios
Comentarios adicionales:
79
PROVEEDORES INDUSTRIALES S.A. DE C.V.
INFORMACIÓN CEDULA DE HALLAZGOS Evaluado del 01 de Enero de 2011 al 31 de Marzo de 2011 HALLAZGO
REFERENCIA
DESCRIPCIÓN
A PT TITULO: Vulnerabilidad de Seguridad.
CONDICIÓN: El motor no tiene las actualizaciones de seguridad instaladas. CRITERIO: La versión del DBMS que ocupa la empresa debe de estar actualizado con los últimos Service Pack para garantizar
H1
C3.1
que está seguro contra ataques y errores de desbordamiento. CAUSA: Falta de Escalabilidad. EFECTO: Vulnerabilidades de seguridad, desbordamientos de memoria, ataques, visualización de información por parte de terceros. RECOMENDACIONES: Recomendamos actualizar a Service Pack 4 para SQL Server o escalar a un motor más actualizado. TITULO: Rendimiento. CONDICIÓN: Las forma de alimentar la base de datos con información es más eficiente si se hace por medio de comunicación nativa u Oledb.
H2
C5.1
CRITERIO: La comunicación por ODBC está obsoleta lo más actualizado es Nativa o OleDb. CAUSA: El sistema se comunica con el banco de datos por medio de drivers ODBC. EFECTO: Perdida de Rendimiento, El motor debe estar más configurado para ODBC sino no funciona. RECOMENDACIONES: Recomendamos gestionar el cambio de conexión del sistema a los datos para que pueda comunicarse por medio de OleDB o de forma nativa.
80
Nombre de Empresa: PROVEEDORES INDUSTRIALES SA DE CV
C1
Periodo a Auditar: Enero – Marzo de 2011 Centinelas & Asociados Nº
1
2
3
Programa de Auditoria: Información.
PROCEDIMIENTOS Nombre del Programa: Evaluación de la vulnerabilidad del motor de base de datos. Objetivo del Programa: Evaluar la vulnerabilidad del motor de base de datos, en relación a la antigüedad de la base de datos, seguridad del motor de base de datos, niveles de confianza en los usuarios, rendimiento del motor de base de datos, mantenimiento, diagrama de flujo de procesos, respaldo de información, claves de administración y uso remoto de usuarios. Analizar antigüedad de motor de base de datos. 1. Revisión de procedimientos almacenados. 2. Revisión de mantenimientos históricos. 3. Requerir los reglamentos o normas que se utilicen para el manejo de la BD. 4. Preguntar quién es la persona encargada de los mantenimientos de la base de datos. Seguridad de Motor de base de datos. 1. Elaborar pruebas para ingresar a los datos violando normas de seguridad. 2. Solicitar informe de herramientas que usa la empresa para protegerse contra ataques. 3. Monitorear los niveles de acceso a la información. 4. Indagar las vulnerabilidades que pueden afectar al motor de base de datos. Análisis de niveles de confianza en los usuarios. 1. Identificar los procedimientos para asignar cargos y accesos a los usuarios. 2. Conocer los niveles de información de la empresa (operativa, media, confidencial). 3. Determinar los roles de usuario y sus grados de acceso.
REFERENCIA PT
HECHO POR
FECHA
C2/C2.1
J&S
24/05/2011
C3/C3.1
J&S
24/05/2011
C4/C4.1
J&S
24/05/2011
81
Pasa a C1.1
C1.1
Viene de C1
4
5
6
7
8
4. Requerir formas o documentos que muestren la historia del usuario en el sistema. Rendimiento del Motor 1. Medir la cantidad de transacciones que el sistema maneja en la semana. 2. Determinar el nivel de normalización de la base de datos. 3. Revisar tareas de mantenimiento automáticas de la BD y su programación.
C5/C5.1
J&S
24/05/2011
Seguimiento 1. Analizar los procedimientos autorizados por el departamento para dar cumplimiento a la BD. 2. Conocer las áreas de evaluación del seguimiento.
C6/C6.1
J&S
24/05/2011
Mantenimiento de Base de Datos 1. Solicitar historial de mantenimientos. 2. Solicitar registro de amenazas detectadas o reinstalaciones.
C7/C7.1
J&S
24/05/2011
Diagrama de Flujo de Procesos 1. Observar las operaciones de entrada y salida de información. 2. Solicitar documentación anterior del proceso de la información.
C8/C8.1
J&S
24/05/2011
Respaldos de Información. 1. Solicitar el documento que contenga las normas que se relacionen a respaldos de información. 2. Observar la frecuencia de los respaldos de información. 3. Determinar el personal que se encarga de los respaldos de in formación.
C9/C9.1
J&S
24/05/2011
82
Nombre de Empresa: PROVEEDORES INDUSTRIALES SA DE CV
C2
Periodo a Auditar: Enero – Marzo de 2011 Centinelas & Asociados
Nombre del Área a Auditar: Antigüedad de motor de base de datos.
* No Satisfactorio
*/ Satisfactorio
Fecha:
31/03/2011
** Escaso
// Excelente
Hecho Por:
Samuel P.
Revisado Por:
Josué V.
*** Suficiente Nombre del
Analizar antigüedad de motor de base de datos, lo cual consiste en identificar el año y versión del motor de la base de
procedimiento:
datos, para obtener este requerimiento se utilizaran los siguientes criterios: 1. Revisión de procedimientos almacenados.(*/) 2. Revisión de mantenimientos históricos.(***) 3. Requerir los reglamentos o normas que se utilicen para el manejo de la BD.(*) 4. Preguntar quién es la persona encargada de los mantenimientos de la base de datos.(//)
Objetivo del
Indagar en los registros históricos de instalación para conocer la vida de operación de la base de Datos.
procedimiento: Descripción del
Se realizó una visita técnica a la empresa en la cual se invirtió30 minutos de trabajo, con la siguiente distribución:
procedimiento
1. 10 minutos en conversaciones de presentación con el personal de informática y el equipo auditor, en el cual se explicó la necesidad de conocer el motor de base de datos en su totalidad para los demás procedimientos relacionados al riesgo de información y se estableció quien sería la persona de contacto para conocer acerca del DBMS. 2. 20 minutos realizando diversas pruebas al sistema documentadas en una hoja de evaluación, en la cual se
83
C2.1 Precisaban puntos de interés para el equipo auditor, como lo es; la versión del DBMS, el tipo de licenciamiento, los historiales de la base de datos, quien es el personal encargado de administrarlo entre otros. Resultados del
Gracias a la realización del procedimiento se determinó lo siguiente:
procedimiento
1. Se obtuvo todas las generalidades del DBMS con una valoración de “Satisfactorio” Lo cual garantiza que los siguientes procedimientos tendrán una base a la cual recurrir para poder ejecutarse. 2. Existen procedimientos almacenados en una calidad de “Suficiente” Lo cual garantiza que la empresa puede cambiar las formas en como el sistema visualiza la información sin necesidad de volver a actualizar su sistema ERP.
Hallazgos
N/A
Conclusiones
Se concluye lo siguiente: 1. El DBMS cumple con una valoración de “Suficiente” los procedimientos ejecutados, pero si presenta problemas de antigüedad, lo cual no se coloca como hallazgo ya que será mejor desarrollado en los procedimientos de Rendimiento y Seguridad.
Recomendaciones
N/A
84
CENTINELAS & ASOCIADOS
HC2
ANTIGÜEDAD DE BASE DE DATOS– HOJA DE EVALUACIÓN INFORMACIÓN DEL EMPLEADO Revisado por: Samuel E Pérez Orellana
Revisado por (opcional):
Fecha:
Período de revisión:
31/03/2011
Josué Rivera Enero a
DIRECTRICES DE REVISIÓN Complete esta revisión paritaria utilizando la siguiente escala: NA = No aplicable 1 = No satisfactorio 2 = Escaso 3 = Suficiente 4 = Superior a la media 5 = Excelente
EVALUACIÓN (5) = Excelente
(4) = Superior a la media
(3) = Suficiente
(2) = Escaso
(1) = No satisfactorio
El motor de base de datos está basado en tecnología Microsoft. Existen procedimientos almacenados El uso del motor es menor a 3 años. Fue proporcionado por la empresa desarrolladora El motor tiene su correspondiente licencia El licenciamiento venía con Service Pack. En su opinión el motor se ha quedado obsoleto con respecto a las necesidades de la empresa El motor se cae debido a sobresaturación de información. Existe una bitácora de mantenimientos al motor de base de datos Existen manuales para administrar la base de datos de la empresa Existen usuarios de base de datos o se usa el default del motor de base de datos.
Comentarios adicionales: Versión del Motor de Base de Datos: SQL 2000 Standard Edition, Uso del motor: 5 años.
85
Nombre de Empresa: PROVEEDORES INDUSTRIALES SA DE CV
C3
Periodo a Auditar: Enero – Marzo de 2011 Centinelas & Asociados
Nombre del Área a Auditar: Seguridad de Motor de base de datos.
* No Satisfactorio
*/ Satisfactorio
Fecha:
31/03/2011
** Escaso
// Excelente
Hecho Por:
Samuel P.
Revisado Por:
Josué V.
*** Suficiente Nombre del
Seguridad de Motor de base de datos, en el que se pretende identificar las principales vulnerabilidades que tiene el
procedimiento:
motor de base de datos, para obtener este requerimiento se utilizaran los siguientes criterios: 1. Elaborar pruebas para ingresar a los datos violando normas de seguridad.(*/) 2. Solicitar informe de herramientas que usa la empresa para protegerse contra ataques.(*/) 3. Monitorear los niveles de acceso a la información.(**) 4. Indagar las vulnerabilidades que pueden afectar al motor de base de datos.(//)
Objetivo del
Obtener un indicador que nos permita conocer el grado de seguridad del Motor.
procedimiento: Descripción del
Se realizó una visita técnica a la empresa en la cual se invirtió 1 hora de trabajo, con la siguiente distribución:
procedimiento
1. 20 minutos en conversaciones con el personal encargado del mantenimiento de la base de datos en la cual ellos nos explicaban la distribución de los permisos dentro del SQL Server Enterprise Manager, Las bitácoras de acceso que se tienen a ellas, el personal que está autorizado a realizar consultas dentro de la base de datos entre otros. 2. 40 minutos realizando diversas pruebas al sistema documentadas en una hoja de evaluación, en la cual se
86
C3.1 Precisaban puntos de interés en la seguridad e integridad del motor de base de datos, se comprobó si tenía instalado algún Service Pack, y si cumplía con los principales boletines de seguridad contra vulnerabilidadesMS03-031 y MS08040 publicados por Microsoft. Resultados del
Gracias a la realización del procedimiento se determinó lo siguiente:
procedimiento
1. Las protecciones contra virus, troyanosposeen una valoración de “Suficiente” Lo cual garantiza que el motor de base de datos está protegido por antivirus propio y firewall propio. 2. Los niveles de acceso posee un valoración de “Suficiente” Lo cual garantiza que la administración de la base de datos está clasificada de acuerdo a roles de usuario.
Hallazgos
Gracias a la realización del procedimiento se obtuvieron los siguiente resultados: 1. No existe instalado ningún Service Pack que solvente vulnerabilidades del Motor. Lo cual supone un riesgo a la base de datos de ser atacada por personas mal intencionadas, sobre cargar la memoria operativa del motor, y otra serie de riesgos que ponen en alerta la integridad de los datos.
Conclusiones
H1
Se concluye lo siguiente: 1. Las protecciones generales del motor se encuentran al día y esto permite asegurar el equipo por ataques de virus o troyanos.
Recomendaciones
Se recomienda lo siguiente: 1. Actualizar los Service Pack del SQL Server 2000. 2. Escalar a SQL Server 2005.
87
CENTINELAS & ASOCIADOS
HC3
SEGURIDAD DE MOTOR DE BASE DE DATOS – HOJA DE EVALUACIÓN INFORMACIÓN DEL EMPLEADO Revisado por: Samuel E Pérez Orellana
Revisado por (opcional):
Fecha:
Período de revisión:
31/03/2011
Josué Rivera Enero a
DIRECTRICES DE REVISIÓN Complete esta revisión paritaria utilizando la siguiente escala: NA = No aplicable 1 = No satisfactorio 2 = Escaso 3 = Suficiente 4 = Superior a la media 5 = Excelente
EVALUACIÓN (5) = Excelente
(4) = Superior a la media
(3) = Suficiente
(2) = Escaso
(1) = No satisfactorio
El motor de base de datos esta en servidor dedicado El motor de base de datos está protegido por firewall. El motor de base de datos está protegido por un antivirus. Existen bitácoras de acceso al motor El motor de base de datos se puede congelar por ataques de consultas. Cuenta con la actualización para Microsoft MS08-040 El motor tiene instalado algún Service Pack. Existen privilegios de acceso a la base de datos. Cuenta con la actualización para Microsoft MS03-031 Existen caídas del servidor debido a sobre carga de transacciones
Comentarios adicionales:
88
Boletín de seguridad de Microsoft MS08-040 – IMPORTANTE
HC3.1
VULNERABILIDADES EN MICROSOFT SQL SERVER PODRÍAN PERMITIR LA ELEVACIÓN DE PRIVILEGIOS (941203)
Esta actualización de seguridad resuelve cuatro vulnerabilidades de las que se ha informado de forma privada. La más grave de las vulnerabilidades podría permitir a un atacante ejecutar código y tomar el control completo de un sistema afectado. De esta forma, un atacante autenticado podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos administrativos. Esta actualización de seguridad se considera importante para las versiones compatibles de SQL Server 7.0, SQL Server 2000, SQL Server 2005, Microsoft Data Engine (MSDE) 1.0, Microsoft SQL Server 2000 Desktop Engine (MSDE 2000), Microsoft SQL Server 2005 Express Edition, Microsoft SQL Server 2000 Desktop Engine (WMSDE) y Windows InternalDatabase (WYukon). La actualización de seguridad corrige las vulnerabilidades al modificar la manera en que SQL Server administra la reutilización de páginas, al asignar más memoria para la función de conversión, al validar los archivos en disco antes de cargarlos y al validar las instrucciones de inserción. Recomendación. Microsoft recomienda que los clientes instalen la actualización lo antes posible. Problemas conocidos. En el artículo 941203 de Microsoft Knowledge Base se señalan los problemas detectados que pueden experimentar los clientes al instalar esta actualización de seguridad. Se documentan asimismo las soluciones propuestas.
89
Microsoft Security Bulletin MS03-031
HC3.2
CUMULATIVE PATCH FOR MICROSOFT SQL SERVER (815495)
Originally posted: July 23, 2003 Revised: July 24, 2003Summary Who should read this bulletin: System administrators using Microsoft® SQL Server™ 7.0, SQL Server 2000, Microsoft Data Engine (MSDE) 1.0, Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) and SQL Server 2000 Desktop Engine (Windows). Impact of vulnerability: Run code of attacker's choice Maximum Severity Rating: Important Recommendation: System administrators should apply the security patch to affected systems. Affected Software: •
Microsoft SQL Server 7.0
•
Microsoft Data Engine (MSDE) 1.0
•
Microsoft SQL Server 2000
•
Microsoft SQL Server 2000 Desktop Engine (MSDE 2000)
•
Microsoft SQL Server 2000 Desktop Engine (Windows)
90
Nombre de Empresa: PROVEEDORES INDUSTRIALES SA DE CV
C4
Periodo a Auditar: Enero – Marzo de 2011 Centinelas & Asociados
Nombre del Área a Auditar: Análisis de niveles de confianza en los usuarios.
* No Satisfactorio
*/ Satisfactorio
Fecha:
31/03/2011
** Escaso
// Excelente
Hecho Por:
Samuel P.
Revisado Por:
Josué V.
*** Suficiente Nombre del
Análisis de niveles de confianza en los usuarios, en el que se pretende identificar las funciones que realiza el recurso
procedimiento:
humano con respecto al motor de base de datos, para obtener este requerimiento se utilizaran los siguientes criterios: 1. Identificar los procedimientos para asignar cargos y accesos a los usuarios.(***) 2. Conocer los niveles de información de la empresa (operativa, media, confidencial).(***) 3. Determinar los roles de usuario y sus grados de acceso.(*/) 4. Requerir formas o documentos que muestren la historia del usuario en el sistema.(*)
Objetivo del
Determinar las responsabilidades de los usuarios.
procedimiento: Descripción del
Se realizó una visita técnica a la empresa en la cual se invirtió 20 minutos de trabajo, con la siguiente distribución:
procedimiento
1. 20 minutosobteniendo información acerca de los accesos, usuarios, roles y responsabilidades que tienen los usuarios o administradores del DBMS, así como si existe algún tipo de control interno que regule las acciones dentro del motor de Base de Datos.
91
C4.1 Resultados del
Gracias a la realización del procedimiento se determinó lo siguiente:
procedimiento
1. La confianza en la operatividad de los administradores de base de datos muestra una valoración de “Satisfactoria” Lo cual garantiza que no existen problemas de filtración de información y que los empleados realizan sus labores de forma suficiente e integral.
Hallazgos
N/A
Conclusiones
Se concluye lo siguiente: 1. El nivel de confianza muestra una valoración de “Satisfactoria” con respecto al manejo de los administradores de DBMS.
Recomendaciones
N/A
92
CENTINELAS & ASOCIADOS ANÁLISIS DE NIVELES
DE CONFIANZA EN LOS USUARIOS– HOJA DE
EVALUACIÓN
HC4
INFORMACIÓN DEL EMPLEADO Revisado por: Samuel E Pérez Orellana
Revisado por (opcional):
Fecha:
Período de revisión:
31/03/2011
Josué Rivera Enero a
DIRECTRICES DE REVISIÓN Complete esta revisión paritaria utilizando la siguiente escala: NA = No aplicable 1 = No satisfactorio 2 = Escaso 3 = Suficiente 4 = Superior a la media 5 = Excelente
EVALUACIÓN (5) = Excelente
(4) = Superior a la media
(3) = Suficiente
(2) = Escaso
(1) = No satisfactorio
Existen Administradores con control total en DBMS Existen Operadores de DBMS La información está protegida según su grado de confidencialidad por roles o accesos Existen documentación de procesos para la creación de nuevos usuarios de DBMS Existe algún control interno para las entradas, permanencia y salida del DBMS
Comentarios adicionales:
93
Nombre de Empresa: PROVEEDORES INDUSTRIALES SA DE CV
C5
Periodo a Auditar: Enero – Marzo de 2011 Centinelas & Asociados
Nombre del Área a Auditar: Rendimiento del Motor
* No Satisfactorio
*/ Satisfactorio
Fecha:
31/03/2011
** Escaso
// Excelente
Hecho Por:
Samuel P.
Revisado Por:
Josué V.
*** Suficiente Nombre del
Rendimiento del Motor, en el que se busca conocer el estado actual del motor de base de datos con respecto a su
procedimiento:
desempeño, para obtener este requerimiento se utilizaran los siguientes criterios: 1. Medir la cantidad de transacciones que el sistema maneja en la semana.(*/) 2. Determinar el nivel de normalización de la base de datos.(**) 3. Revisar tareas de mantenimiento automáticas de la BD y su programación. (*)
Objetivo del
Medir el desempeño del motor aplicándole pruebas que exijan su máximo esfuerzo.
procedimiento: Descripción del
Se realizó una visita técnica a la empresa en la cual se invirtió 1 Hora de trabajo, con la siguiente distribución:
procedimiento
1. 1 Hora en la que se distribuyó el tiempo en una pequeña charla con el personal encargado del DBMS en la cual se determinó los recursos que posee el motor para interactúa con los datos (Vistas Almacenadas, Procedimientos parametrizados y no parametrizados), la forma en cómo se conecta el Sistema ERP a los datos, esto con el fin de poder analizar si se están aprovechando al 100% la conexión y las transacciones.
94
C5.1 Resultados del
Gracias a la realización del procedimiento se determinó lo siguiente:
procedimiento
1. Los objetos de base de datos muestran una valoración de
“Suficiente” Lo cual garantiza que el DBMS tiene
pregrabado resultados lo cual ayuda a un óptimo rendimiento. Hallazgos
Gracias a la realización del procedimiento se obtuvieron los siguiente resultados: 1. El rendimiento se ve afectado por la forma en cómo se comunican los datos con el sistema Lo cual supone un riesgo a la base de datos ya que puede aprovecharse más la velocidad del motor si se conecta la información que le es introducida por el sistema de forma nativa o por OleDb.
Conclusiones
H2
Se concluye lo siguiente: 1. La empresa presenta problemas con respecto a rendimiento de su motor debido a la forma en cómo se conectan a los datos.
Recomendaciones
Se recomienda: 1. Gestionar el cambio de conexión del sistema a los datos para que pueda comunicarse por medio de OleDB.
95
CENTINELAS & ASOCIADOS
HC5
RENDIMIENTO DEL MOTOR– HOJA DE EVALUACIÓN INFORMACIÓN DEL EMPLEADO Revisado por: Samuel E Pérez Orellana
Revisado por (opcional):
Fecha:
Período de revisión:
31/03/2011
Josué Rivera Enero a
DIRECTRICES DE REVISIÓN Complete esta revisión paritaria utilizando la siguiente escala: NA = No aplicable 1 = No satisfactorio 2 = Escaso 3 = Suficiente 4 = Superior a la media 5 = Excelente
EVALUACIÓN (5) = Excelente
(4) = Superior a la media
(3) = Suficiente
(2) = Escaso
(1) = No satisfactorio
El motor con respecto a la base de datos posee vistas. El motor con respecto a la base de datos posee procedimientos almacenados simples El motor con respecto a la base de datos posee procedimientos almacenados parametrizables El motor soporta más de 1200 transacciones al día. La forma de comunicar el sistema con los datos es por OBDC La forma de comunicar el sistema con los datos es por OLEDB Existen problemas para conectarse remotamente al Motor desde otra ubicación Existen problemas de al momento de generar consultas SQL. Se tiene que estar constantemente vaciando información obsoleta La base de datos está normalizada.
Comentarios adicionales:
96
Nombre de Empresa: PROVEEDORES INDUSTRIALES SA DE CV
C6
Periodo a Auditar: Enero – Marzo de 2011 Centinelas & Asociados
Nombre del Área a Auditar: Seguimiento
* No Satisfactorio
*/ Satisfactorio
Fecha:
31/03/2011
** Escaso
// Excelente
Hecho Por:
Samuel P.
Revisado Por:
Josué V.
*** Suficiente Nombre del
Seguimiento, el cual se refiere a poder llevar un control sobre las operaciones básicas de la base de datos (Inserción,
procedimiento:
Modificación y Eliminación), para obtener este requerimiento se utilizaran los siguientes criterios: 1. Analizar los procedimientos autorizados por el departamento para dar cumplimiento a la BD.(***) 2. Conocer las áreas de evaluación del seguimiento.(**)
Objetivo del
Conocer las políticas de seguimiento de la base de datos.
procedimiento: Descripción del
Se realizó una visita técnica a la empresa en la cual se invirtió 20 minutos de trabajo, con la siguiente distribución:
procedimiento
1. 20 minutos llenando una hoja de requerimientos y en conversaciones con el DBA en la cual se esclarecieron los puntos que se necesitaban evaluar, ya conociendo los roles de los usuarios, el comentaba la forma en como ellos llevan las operaciones de inserción, modificación y eliminación y los diferentes por menores que se consideran antes de realizar una operación de estas de manera manual.
97
C6.1 Resultados del
Gracias a la realización del procedimiento se determinó lo siguiente:
procedimiento
1. El seguimiento de las operaciones del motor muestran una valoración de “Suficiente”Lo cual garantiza que el DBA mantiene grado de responsabilidad a la hora de modificar los datos de manera manual.
Hallazgos
N/A
Conclusiones
Se concluye lo siguiente: 1. El seguimiento presenta una valoración de “Suficiente”con respecto a los procedimientos permitidos por la empresa.
Recomendaciones
N/A
98
CENTINELAS & ASOCIADOS
HC6
SEGUIMIENTO– HOJA DE EVALUACIÓN INFORMACIÓN DEL EMPLEADO Revisado por: Samuel E Pérez Orellana
Revisado por (opcional):
Fecha:
Período de revisión:
31/03/2011
Josué Rivera Enero a
DIRECTRICES DE REVISIÓN Complete esta revisión paritaria utilizando la siguiente escala: NA = No aplicable 1 = No satisfactorio 2 = Escaso 3 = Suficiente 4 = Superior a la media 5 = Excelente
EVALUACIÓN (5) = Excelente
(4) = Superior a la media
(3) = Suficiente
(2) = Escaso
(1) = No satisfactorio
Existe seguimiento de los problemas reportados por los usuarios. El jefe de informática se encarga autorizar el seguimiento Hay seguimiento en las operaciones de inserción Hay seguimiento en las operaciones de modificación Hay seguimiento en las operaciones de eliminación
Comentarios adicionales:
99
Nombre de Empresa: PROVEEDORES INDUSTRIALES SA DE CV
C7
Periodo a Auditar: Enero – Marzo de 2011 Centinelas & Asociados
Nombre del Área a Auditar: Mantenimiento de Base de Datos.
* No Satisfactorio
*/ Satisfactorio
Fecha:
31/03/2011
** Escaso
// Excelente
Hecho Por:
Samuel P.
Revisado Por:
Josué V.
*** Suficiente Nombre del
Mantenimiento de Base de Datos, el cual se refiere a conocer si existen registros sobre las operaciones de
procedimiento:
mantenimiento del DBMS, para obtener este requerimiento se utilizaran los siguientes criterios: 1. Solicitar historial de mantenimientos.(***) 2. Solicitar registro de amenazas detectadas o reinstalaciones,(**)
Objetivo del
Conocer el tipo de mantenimiento de base de datos que maneja la empresa.
procedimiento: Descripción del
Se realizó una visita técnica a la empresa en la cual se invirtió 10 minutos de trabajo, con la siguiente distribución:
procedimiento
1. 10 minutos Se llenó una hoja de requerimientos con ayuda del DBA se solventaron los aspectos de historiales de los mantenimientos a la base de datos, personal encargado, errores que se hallan presentado dentro del transcurso normal de la operación de la empresa, entre otras generalidades.
100
C7.1 Resultados del
Gracias a la realización del procedimiento se determinó lo siguiente:
procedimiento
1. Las operaciones de Mantenimiento muestran una valoración de “Suficiente” Lo cual garantiza que el DBA mantiene un historial sobre las operaciones de mantenimiento de base de datos.
Hallazgos
N/A
Conclusiones
Se concluye lo siguiente: 1. El mantenimiento de base de datos presenta una valoración de “Suficiente” con respecto a los procedimientos permitidos por la empresa.
Recomendaciones
N/A
101
CENTINELAS & ASOCIADOS
HC7
MANTENIMIENTO DE BASE DE DATOS– HOJA DE EVALUACIÓN INFORMACIÓN DEL EMPLEADO Revisado por: Samuel E Pérez Orellana
Revisado por (opcional):
Fecha:
Período de revisión:
31/03/2011
Josué Rivera Enero a
DIRECTRICES DE REVISIÓN Complete esta revisión paritaria utilizando la siguiente escala: NA = No aplicable 1 = No satisfactorio 2 = Escaso 3 = Suficiente 4 = Superior a la media 5 = Excelente
EVALUACIÓN (5) = Excelente
(4) = Superior a la media
(3) = Suficiente
(2) = Escaso
(1) = No satisfactorio
Existe historial de mantenimiento de base de datos Existen registros sobre errores en el DBMS. Han existido reinstalaciones del motor de base de datos. Existen algún servidor de respaldo para enfrentar eventualidades Se registra el nombre del empleado que realizo el mantenimiento o su firma
Comentarios adicionales:
102
Nombre de Empresa: PROVEEDORES INDUSTRIALES SA DE CV
C8
Periodo a Auditar: Enero – Marzo de 2011 Centinelas & Asociados
Nombre del Área a Auditar: Diagrama de Flujo de Procesos.
* No Satisfactorio
*/ Satisfactorio
Fecha:
31/03/2011
** Escaso
// Excelente
Hecho Por:
Samuel P.
Revisado Por:
Josué V.
*** Suficiente Nombre del
Diagrama de Flujo de Procesos, el cual se refiere a identificar como es el proceso lógico de entradas y salidas de
procedimiento:
información, para obtener este requerimiento se utilizaran los siguientes criterios: 1. Observar las operaciones de entrada y salida de información.(***) 2. Solicitar documentación anterior del proceso de la información.(*)
Objetivo del
Definir un programa de todos los procesos que comprende la administración de la base de datos.
procedimiento: Descripción del
Se realizó una visita técnica a la empresa en la cual se invirtió 10 minutos de trabajo, con la siguiente distribución:
procedimiento
1. 10 minutos Se llenó una hoja de requerimientos con ayuda del DBA y personal administrativo para identificar cual es el principal tipo de información que entra a la empresa (información de clientes, proveedores, cuentas por cobrar, inventarios, planillas) y determinar la forma en cómo se visualizan (reportes, salidas a pantalla, impresiones).
103
C8.1 Resultados del
Gracias a la realización del procedimiento se determinó lo siguiente:
procedimiento
1. El Diagrama de Flujo de Procesos muestran una valoración de “Suficiente” Lo cual garantiza que la información sigue un proceso lógico el cual puede ser rastreado fácilmente en caso de eventualidades.
Hallazgos
N/A
Conclusiones
Se concluye lo siguiente: 1. El Diagrama de Flujo de Procesos presenta una valoración de “Suficiente” con respecto a los procedimientos permitidos por la empresa.
Recomendaciones
N/A
104
CENTINELAS & ASOCIADOS
HC8
DIAGRAMA DE PROCESOS– HOJA DE EVALUACIÓN INFORMACIÓN DEL EMPLEADO Revisado por: Samuel E Pérez Orellana
Revisado por (opcional):
Fecha:
Período de revisión:
31/03/2011
Josué Rivera Enero a
DIRECTRICES DE REVISIÓN Complete esta revisión paritaria utilizando la siguiente escala: NA = No aplicable 1 = No satisfactorio 2 = Escaso 3 = Suficiente 4 = Superior a la media 5 = Excelente
EVALUACIÓN (5) = Excelente
(4) = Superior a la media
(3) = Suficiente
(2) = Escaso
(1) = No satisfactorio
Existe información en DBMS acerca de los clientes. Existe información en DBMS acerca de los proveedores. Existe información en DBMS acerca de la contabilidad de la empresa. Existe información en DBMS del recurso humano de la empresa La forma de entrar la información se limita a teclado y selección. Existen reportes de las áreas mencionadas. Existe salidas a impresión de la información contenida en DBMS Los reportes ya impresos necesitan firma para sean aprobados
Comentarios adicionales:
105
Nombre de Empresa: PROVEEDORES INDUSTRIALES SA DE CV
C9
Periodo a Auditar: Enero – Marzo de 2011 Centinelas & Asociados
Nombre del Área a Auditar: Respaldos de Información.
* No Satisfactorio
*/ Satisfactorio
Fecha:
31/03/2011
** Escaso
// Excelente
Hecho Por:
Samuel P.
Revisado Por:
Josué V.
*** Suficiente Nombre del
Respaldos de Información, en el que se pretende identificar el periodo de las copias de respaldo de la información, para
procedimiento:
obtener este requerimiento se utilizaran los siguientes criterios: 1. Solicitar el documento que contenga las normas que se relacionen a respaldos de información. (*) 2. Observar la frecuencia de los respaldos de información. (***) 3. Determinar el personal que se encarga de los respaldos de in formación. (*/)
Objetivo del
Identificar las políticas de respaldos de información.
procedimiento: Descripción del
Se realizó una visita técnica a la empresa en la cual se invirtió 30 minutos de trabajo, con la siguiente distribución:
procedimiento
1. 30 minutos Se llenó una hoja de requerimientos con ayuda del DBA en la cual se le preguntaban aspectos como que tipo de respaldo de información se realizan en la empresa, el periodo que ellos habían estipulado para realizarlos, las normativas o pasos que ellos siguen para ejecutarlos, y su vez conocer que personal es el que se encargar de ejecutarlo y guardarlo.
106
C9.1 Resultados del
Gracias a la realización del procedimiento se determinó lo siguiente:
procedimiento
1. Los respaldos de información muestran una valoración de “Suficiente” Lo cual garantiza que el administrador de base de datos respalda la información crítica de la empresa en un periodo aceptable.
Hallazgos
N/A
Conclusiones
Se concluye lo siguiente: 1. Los respaldos de información presentan una valoración de “Suficiente” con respecto a los procedimientos permitidos por la empresa.
Recomendaciones
N/A
107
CENTINELAS & ASOCIADOS
HC9
RESPALDOS DE INFORMACIÓN– HOJA DE EVALUACIÓN INFORMACIÓN DEL EMPLEADO Revisado por: Samuel E Pérez Orellana
Revisado por (opcional):
Fecha:
Período de revisión:
31/03/2011
Josué Rivera Enero a
DIRECTRICES DE REVISIÓN Complete esta revisión paritaria utilizando la siguiente escala: NA = No aplicable 1 = No satisfactorio 2 = Escaso 3 = Suficiente 4 = Superior a la media 5 = Excelente
EVALUACIÓN (5) = Excelente
(4) = Superior a la media
(3) = Suficiente
(2) = Escaso
(1) = No satisfactorio
Existen respaldos de información en la empresa Los respaldos son del tipo copia completa Los respaldos son almacenados en un lugar diferente al servidor La recuperación de la base de datos a través del respaldo es confiable Toma mas de 30 minutos respaldar la información Se utiliza discos duros externos para almacenar los respaldos Los discos duros externos de copia de base de datos están encriptados Existen planificaciones de copias de seguridad y se asigna al personal que va a realizarlas
Comentarios adicionales: Existen también respaldos del tipo incremental y diferencial
108
PROVEEDORES INDUSTRIALES S.A. DE C.V.
COMUNICACIONES CEDULA DE HALLAZGOS Centinelas & Asociados HALLAZGO
N/A
REFERENCIA A PT
N/A
Evaluado del 01 de Enero de 2011 al 31 de Marzo de 2011 DESCRIPCIÓN
N/A
109
PROVEEDORES INDUSTRIALES S.A. DE C.V. COMUNICACIONES
D1
PROGRAMA DE AUDITORIA Centinelas & Asociados Nº
Para el periodo del 01 de Enero de 2011 al 31 de Marzo de 2011 PROCEDIMIENTOS
REFERENCIA PT
HECHO POR
FECHA
J&S
24/05/2011
Nombre del Procedimiento: Evaluación de la confiabilidad de las redes y tiempo de respuesta del área de comunicaciones de la empresa Proveedores Industriales S. A. de C.V. Objetivo del Procedimiento: Evaluar la velocidad y capacidad de transmisión de información en base al sistema de comunicación que posee la empresa, así como la confiabilidad de las redes y tiempo de respuesta. Evaluación de la velocidad y capacidad de transmisión del área de comunicaciones 1. Verificar el estado del servidor y huésped. 2. Revisar la terminal o estación de trabajo 3. Inspeccionar convertidores de protocolo. 1
D2/D2.2
4. Examinar el tipo de modem que posee la empresa. 5. Inspeccionar los equipos de conexión de terminales. 6. Analizar la topología de la red de la organización. 7. Evaluar el tipo de red de la compañía. 8. Revisar que se tenga un lugar previsto para cada área en general 110
PROVEEDORES INDUSTRIALES S.A. DE C.V. COMUNICACIONES Evaluación de la confiabilidad de las redes y tiempo de repuesta Centinelas & Asociados
D2
Para el periodo del 01 de Enero de 2011 al 31 de Marzo de 2011
* No Satisfactorio
*/ Satisfactorio
Fecha:
31/03/2011
** Escaso
// Excelente
Hecho Por:
Samuel P.
Revisado Por:
Josué V.
*** Suficiente Nombre del procedimiento:
Nombre del Procedimiento: Evaluación de la confiabilidad de las redes y tiempo de respuesta del área de comunicaciones de la empresa Proveedores Industriales S. A. de C.V. para lo cual se evaluara los siguientes aspectos de interés dentro de dicha área tales como los siguientes: 1. Verificar el estado del servidor y huésped.*** 2. Revisar la terminal o estación de trabajo */ 3. Inspeccionar convertidores de protocolo. *** 4. Examinar el tipo de modem que posee la empresa. *** 5. Inspeccionar los equipos de conexión de terminales.*/ 6. Analizar la topología de la red de la organización. */ 7. Evaluar el tipo de red de la compañía. //
Objetivo del
8. Revisar que se tenga un lugar previsto para cada área en general // Verificar si la empresa Proveedores Industriales S.A. de C.V. posee redes de comunicación eficaces y de rápida
procedimiento:
respuesta en el área de comunicaciones. Pasa a D2.1 111
Viene de D2 Descripción del
D2.1
procedimiento
Se realizó una visita técnica a la empresa el día 23 de Mayo del presente año realizando una entrevista con el Lic. Hugo Guzmán, jefe del área informática de la empresa; en la cual se invirtieron 2 horas de trabajo, con la siguiente distribución: 1. 15 minutos en conversaciones de presentación con el personal de informática y el equipo auditor, en el cual se evaluó el estado de servidor y huésped, así como la estación de trabajo, a través de una entrevista. 2. 20 minutos se verifico los convertidores de protocolo así como el modem que posee la empresa a través de una entrevista. 3. 25 minutos en la revisión de conexión de terminales para que sean los óptimos para las necesidades de la empresa. 4. 1 hora para verificar la topología de la red de la organización y evaluar el tipo de red de la compañía. Resultados del
Gracias a la realización del procedimiento se determinó lo siguiente:
procedimiento
1. Optimo estado del servidor y huésped. Lo cual garantiza que excelente velocidad en la comunicación. 2. Satisfactorio estación de trabajo Lo cual garantiza que se puede realizar todas las actividades de forma óptima. 3. aceptable convertidores de protocolo. Lo cual garantiza que la empresa un buen sistema de comunicación en cuanto a protocolo se refiere. 4. Buen estado de conexión de terminales y modem adecuado. Lo cual garantiza que no hay deficiencias en cuanto a conexiones existentes en la red de comunicaciones. 5. Adecuada tipo de red, lo que garantiza que la empresa posee buena velocidad para la transferencia y comunicación.
Pasa a D2.2 112
Viene de D2.1
D2.2 Hallazgos Conclusiones
N/A Se concluye lo siguiente: 1. El estado del servidor y huésped es apropiado para la empresa. 2. terminal o estación de trabajo realiza sus funciones de manera eficiente 3. Existencia de aceptables convertidores de protocolo. 4. Tipo de modem adecuado para las operaciones que posee la empresa. 5. Excelentes equipos de conexión de terminales. 6. Topología de la red adecuada para las necesidades de la organización. 7. Tipo de red satisfactorio para las actividades de comunicación de la compañía. 8. Existencia de un lugar previsto para cada área en general de equipos de comunicación.
Recomendaciones
Se recomienda lo siguiente: Mantener el mismo control interno en dicha área de comunicación porque cumple las actividades de forma efectiva y eficaz.
113
CENTINELAS & ASOCIADOS
HD2
INICIOS DE SESIÓN– HOJA DE EVALUACIÓN INFORMACIÓN DEL EMPLEADO Revisado por: Samuel E Pérez Orellana
Revisado por (opcional):
Fecha:
Período de revisión:
31/03/2011
Josué Rivera Enero a
DIRECTRICES DE REVISIÓN
EVALUACIÓN
SI 1. ¿El estado del servidor y huésped es apropiado para la empresa?
X
2. ¿El terminal o estación de trabajo realiza sus funciones de manera
X
NO
eficiente? 3. ¿Son aceptable los convertidores de protocolo?
X
4. ¿El tipo de modem adecuado para las operaciones que posee la empresa? 5. ¿Están en buen estado lo equipos de conexión de terminales?
X X
6. ¿La topología de la red adecuada para las necesidades de la organización?
X
7. ¿es el tipo de red satisfactorio para las actividades de comunicación de
X
la compañía? 8.¿ Existencia de un lugar previsto para cada área en general de equipos de
X
Comunicación?
Comentarios adicionales:
N/A
114
Foto de equipo de comunicaciones
HD2
115
AUDITORIA EN SISTEMAS COMPUTACIONALES Profesionales en Asesoría, Auditoria Y Consultoría en Sistemas
Antiguo Cuscatlán, 28 de Mayo del 2011
Junta de General de Accionistas Proveedores Industriales S.A. de C.V Presente
De acuerdo con las instrucciones giradas por la junta de accionistas de la empresa Proveedores Industriales S.A. de C.V., me permito remitir a ustedes el dictamen de la auditoría practicada al Centro Informático de la empresa, con especial énfasis en las áreas de Hardware, Software
y aplicaciones, Información y Comunicación en su
respectivo orden, la misma que se llevó a cabo en el periodo comprendido entre 4 de Abril al 27 de año en curso. De los resultados obtenidos durante la evaluación me permito informarles a ustedes los siguientes hallazgos encontrados por nuestro equipo de distinguidos auditores: 1. Carencia de Alarma contra posibles inundaciones nocturnas en las instalaciones, no existe ninguna seguridad para tal evento, recomendamos contratar un vigilante privado nocturno, o adquirir un equipo sofisticado de detección de agua. 2. Pérdida económica y competitiva por falta de adquisición de equipo en la figura de leasing, el equipo es antiguo y en cierta forma es lento a las necesidades de la empresa, recomendamos adquirir dichos equipos en figura de leasing y gozar de los beneficios. 3. Debilidad de contraseña en el Sistema ERP, las contraseñas carecen de un elevado nivel de seguridad, recomendamos gestionar una política de contraseñas cifradas. 4. Falta de Cambios de contraseña, no hay cambios de contraseña de forma periódica, lo que deja libre acceso al personal, recomendamos solicitar cambios de contraseña por lo menos cada 3 meses. 116
5. No existencia de bitácora de inicios de sesión, no se puede responsabilizar individualmente algún fallo o fraude, recomendamos implementar una bitácora de inicio de sesión mediante el sistema o por control interno de la empresa. 6.
Vulnerabilidad de seguridad, el motor de base de datos es antiguo y podría causar vulnerabilidad en seguridad, recomendamos actualizar a Service Pack 4. O cambiar a un motor más actualizado.
De acuerdo con las pruebas realizadas a la administración, funcionamiento y operación y de acuerdo con los criterios de evaluación para el sistema informático de la empresa Proveedores Industriales S.A. de C.V., me permito dictaminar que dicho Sistema Informático se presenta razonablemente a excepción de los hallazgos encontrados y mencionados en el párrafo anterior y recordar que los mismos pueden ser solventados con el cumplimiento de las recomendaciones proporcionadas por nuestra prestigiosa Firma de Auditores. Atentamente _______________________ Lic. Josué S. Velásquez Rivera Urb. Santa Elena, calle Maquilishuat N° 120 costado norte de Embajada de E.E.U.U.
117