Proyecto de Auditoria de Sistemas

Universidad Mariano Gálvez de Guastatoya Facultad de Ingeniería en Sistemas de Información Jornada Sabatina Catedrático: Ing. Allan Morataya Asignatura:

12 vo

Ciclo:

VARIANTE

Auditoria Informática Fecha:

Código: Sábado, 19 de Octubre 2013

Alumno:

CA CARNET:

Semestre:

2do.

Sección: A

Duración en minutos:

A

1890-478

Absoluta Relativa VoBo

Observaciones:

La empresa Atoland S.A., empresa que se dedica al sector financiero, específicamente a otorgar préstamos al consumo, ha sufri do un marcado crecimiento en los últimos años. De acuerdo a lo expresado por la gerencia, este crecimiento explosivo ha generado que la función TI de la empresa fuese adaptándose al crecimiento del negocio de manera adaptativa y no planificada, lo cual les genera miedos a los gerentes respecto a la manera en l a cual se está operando. Para contar con una perfecta descripción de la situación situación actual actual y sus implicancias, implicancias, han decidido contratar a una empresa consultora para que releve y evalúe cómo está operando y se está gestionando la función TI. Luego de la etapa de relevamiento , se ha obtenido la siguiente siguiente información respecto al funcionamiento de la empresa: 

Actualmente en la empresa se utilizan varios equipos de tecnología “estándar”, así como una computadora dedicada en

el proceso de producción (PLC). (PLC). La empresa cuenta con con alrededor de 15 equipos de cómputo, pero actualmente no se cuenta con un inventario detallado de los mismos en el cual se lleve el control de versiones y licencias. Se desea trabajar en líneas base donde se estandarice la instalación de software necesario para los equipos de cómputo y así optimizar el uso de las maquinas. 



Actualmente en la empresa se utiliza equipo de cómputo, la cual sirve para almacenar datos del sistema transaccional, Recursos Humanos, Facturación, así como algunos datos de producción. Estos equipos se encuentran en una fase delicada, por lo que es una excelente oportunidad para mejorar la eficiencia y la velocidad en el procesamiento. No se dispone dentro del departamento de TI un sistema encargado de la realización de las pruebas dentro del ciclo de vida de las aplicaciones, sino que son los mi smos desarrolladores los que la realizan. Los desarrolladores tienen acceso a la publicación de aplicaciones en producción. Los usuarios tienen diferentes claves para el acceso a los diversos sistemas de la empresa además de utilizar correo electrónico externo o en la nube. En cuanto a los procesos administrativos, el personal de TI son 12 personas, incluido un gerente de área. A este geren te responden: un administrador de base de datos, dos personas de soporte técnico, tres operadores, un administrador de usuarios, un administrador de telecomunicaciones y tres programadores. programadores. Si bien cada persona tiene asignado su cargo, en la práctica las posiciones se superponen, lo cual fue evaluado por el gerente como muy bueno, porque esto genera un conocimiento general en el personal, lo cual logra que se solucionen mejor los problemas que se presentan pero no hay procesos definidos en su mayoría, todo funciona hasta ahora y no hay planes de mejora.



Respecto al software se ha detectado: sistema operativo Windows NT, MS Office xp, DBMS Oracle para Unix Vr.1.0, Sistema operativo Linux, MS Exchange 2003, antivirus, un SIG local llamado “TotalOne” (del que se han adquirido tres

módulos: contable, personal y activo fijo) y una aplicación desarrollada por la empresa de gestión de créditos. 

Del relevamiento, también surgió que, exceptuando el software que se encuentra en el servidor Unix (sistema operativo Linux y el DBMS Oracle), todo el software cuenta con licencia de uso. Respecto al software que no tienen licencia, están trabajando con trial´s o versiones de prueba inclusive algunos se encuentran en producción.



La adjudicación de usuarios no es realizada exclusivamente por el administrador de usuarios. La forma de realizarlo es el siguiente: en un formulario pre-impreso y prenumerado, en el cual el usuario llena cuáles son sus datos y cuáles son las aplicaciones y funciones a las cuales necesita tener acceso, luego se firma y se entrega al administrador en turno . Este, en el correr del día, asigna usuario y contraseña y se l a comunica al usuario para que pueda comenzar a trabajar.



Todos los usuarios tienen acceso a e-mail e Internet.



En una etapa pasada, el gerente anterior del centro de cómputo entendía que el personal de informática no tenía nada que hablar con el usuario, por lo que solamente se podían comunicar por un teléfono específicamente dedicado a recibir solicitudes de los usuarios, y por ende el acceso al CPD se encontraba totalmente restringido. Con el cambio de gerencia y dado los problemas generados por la situación anterior, hoy día se cuenta con una política de puertas abiertas. Por lo cual los usuarios son libres de ingresar al CPD.



Diariamente se respaldan solamente los datos de aplicaciones y bases de datos. El respaldo se realiza en doble copia las cuales se guardan en una caja fuerte ignífuga (a prueba de fuego) dentro del centro de cómputos. Los respaldos los realiza el último programador que se retira en el día, acordando entre ellos quién será cada día el encargado.



No se ha identificado la existencia de un plan de contingencia, sin embargo se piensa en la contratación de un sitio alterno.

De acuerdo a la situación detallada anteriormente, el próximo paso se encuentra orientado a la identificación de posibles riesgos existentes no mitigados (no cubiertos y/o sin controles adecuados) y proponer soluciones alternativas para mitigarlos. Por problemas contractuales la empresa consultora sólo realizó el relevamiento y no puede realizar esta otra etapa propuesta, por lo cual

Se pide: a) Analice el Estado Actual de la Empresa b) Analizar las Entrevistas que existen en el documento y en contrar en ella, elementos que denoten RIESGO o VULNERABILIDAD c) Determinar las situaciones o los indicios de RIESGO d) Determinar ¿Qué RIESGOS la empresa está dispuesta a aceptar? (Análisis hipotético de RIESGO - COSTO) e) Determinar dónde se aplicará CONTROL f) Determinar dónde existe necesidad de SEGREGACION DE FUNCIONES g) Establezca las POLÍTICAS que incluiría en el Departamento de TI, Informática o Áreas relacionadas h) Analizar el estado de equipos, infraestructura i) Elabore Conclusiones propias sobre el estado actual de la empresa  j) Elabore Recomendaciones propias hacia la empresa Punteo Mínimo del Documento:

1. Estado Actual de la Empresa 2. Estado de RIESGO o VULNERABILIDAD 2.1 Situaciones o los indicios de RIESGO 2.2 ¿Qué RIESGOS la empresa está dispuesta a aceptar? 3. Aplicación de CONTROL 4. Necesidad de SEGREGACION DE FUNCIONES 5. POLÍTICAS

NOTA. Sea concreto, agregue los aspectos conceptuales y herramientas propuestas en los anexos.