Unidad I - Caso Auditoria de Sistemas v1.pdf
Short Description
Download Unidad I - Caso Auditoria de Sistemas v1.pdf...
Description
CASO: AUDITORIA DE SISTEMAS EN UNA EMPRESA REGIONAL (Este caso ha sido preparado por el docente Martin Valdivia Benites para servir como base para la discusión y desarrollo de lo aprendido en clase y no como una ilustración de la gestión adecuada o inadecuada de una situación determinada). Mercury S.A. es un conglomerado regional farmacéutico con sede en Lima que cuenta con más de 30 años de experiencia en el mercado, que se dedica a la producción y distribución de medicamentos genéricos. El laboratorio usa equipos de fabricación de alta tecnología para cumplir con las normas nacionales e internacionales de laboratorio, fabricación, almacenamiento y comercialización de productos farmacéuticos basado en la norma ISO 9001:2000 y las Buenas Prácticas de Manufactura (BPM). La empresa cuenta con oficinas comerciales en todo Sudamérica El laboratorio cuenta con 4 plantas de producción ubicadas en Perú, Brasil, Colombia y Paraguay. En el año 2008 la facturación de la Empresa a nivel regional ascendió a USD 2,320 millones de dólares. Organización del área de Tecnología de Información En la actualidad, la Gerencia de T.I esta centralizada y orienta sus actividades en brindar soporte de desarrollo, mantenimiento de las aplicaciones y servicios informáticos a las diferentes áreas y ubicaciones de la Empresa a nivel regional. La Gerencia de T.I está ubicado organizacionalmente dentro de la Dirección Financiera. El Ing. Nick Jones esta a cargo de la Gerencia y asumió el cargo el último bimestre del 2009. El área cuenta con 15 personas, divididos en 2 áreas:
Sub-Gerencia de Desarrollo
Sub-Gerencia de Operaciones T.I
El área de Desarrollo esta conformado por 8 Analistas/Programadores de Sistemas que son responsables del mantenimiento de los sistemas de información existentes. A la fecha no existen labores de desarrollo de nuevos sistemas de información. El área esta inmerso en el mantenimiento de los sistemas de información existentes. El personal de desarrollo cuenta con acceso a las Bases de Datos en el ambiente de Producción. Asimismo, el DBA renunció hace 6 meses y aún no se cuenta con un reemplazo para dicho cargo. Esta administración es realizada temporalmente por un Analista/Programador. El área de Operaciones esta conformado por 7 personas encargadas de la administración de la red de datos, la continuidad de las operaciones y el soporte a usuarios. En cada una de las oficinas regionales se cuenta con una persona de soporte informático que tiene el perfil de soporte técnico. Sistemas de Información Los principales procesos de negocio de la farmacéutica están soportados sobre una infraestructura de TI. Los procesos de la compañía tales como la administración del laboratorio, producción, la gestión contable y financiera, logística, almacenes, gestión comercial, ventas y gestión de recursos humanos, se encuentran automatizados por sistemas de información de desarrollo propio. Los sistemas de información han sido desarrollados in-house y tienen una antigüedad aproximada de 11 años. El lenguaje utilizado para el desarrollo de los sistemas de información es el Power Builder. La única excepción a esto lo constituye el sistema de Recursos Humanos que fue adquirido a una empresa ecuatoriana. No se cuentan con los programas fuentes de dicho sistema. En las oficinas comerciales regionales se cuenta con una copia del sistema comercial. Asimismo,
1
en cada una de las plantas se tiene instalado el Sistema de Producción. La información de estos sistemas no se encuentra integrado con el Sistema central en Lima. La arquitectura de funcionamiento del Sistema consiste en que a cada una de las sedes se le ha instalado una copia del sistema. En cada oficina existe una base de datos local. Esto requiere de procesos de transferencia de información desde las oficinas y/o plantas hacia la sede central. Para el soporte del sistema, en cada ubicación se cuenta con una persona que realiza las funciones de soporte informático. Este personal informático tiene acceso a registrar información al sistema de información, teniendo además acceso irrestricto a la Base de Datos de su ubicación. La información procesada en cada una de las ubicaciones es enviada semanalmente vía FTP por el personal informático de cada ubicación. La información recepcionada es procesada por el personal del área de desarrollo de sistemas de la sede central. Debido al alto crecimiento experimentado en los 2 últimos años, la Empresa cuenta con un número inadecuado de licencias de software de uso comercial. La Empresa cuenta con un plan para implantar software con licencia de software libre a nivel de software de ofimática. Plan de Sistemas de Información El departamento cuenta con un Plan de Sistemas elaborado en el año 2004. El Plan define el alineamiento estratégico del plan con el plan estratégico de la empresa, la programación proyectos informáticos, la determinación de prioridades de implantación, las soluciones y proveedores existentes en el mercado y las fichas técnicas de las adquisiciones informáticas. Cada año se elabora un Plan Operativo en el que se basan las actividades anuales del área.
Infraestructura tecnológica El centro de datos central esta conformado por 8 servidores en producción: Un servidor brinda el servicio de los sistemas de información cliente/servidor y almacena la Base de Datos de Producción. Cinco (5) servidores brindan los servicios de red básicos: Directorio Activo, Servidor Web, Correo Electrónico, Antivirus y WSUS. Todos los servidores instalados corren sobre la plataforma Windows 2003 Server. Tambien existe un Servidor instalado sobre Red Hat Linux, que actua como dispositivo de firewall interno de filtrado de paquetes basado en Software. El centro de datos cuenta con controles fiscos y ambientales implantados: Alarma, la cual es activada al finalizar las actividades diarias; detectores de humo y humedad; sistema de extinción automática FM-2000, extintor manual de fuego; equipo de aire acondicionado de confort y un equipos UPS de 5KVA que brinda 30 minutos de disponibilidad. La empresa tiene un parque de 580 PC’s distribuidos en toda la región. Se cuenta con una red WAN corporativa conectado via enlaces VPNs provistos a nivel regional por la empresa Global Crossing. La empresa Telmex brinda el servicio de salida a Internet redundante como ISP a través de un enlace dedicado de 2 Mbps. No existe ninguna restricción en cuanto al acceso al Internet para los usuarios. Seguridad de Información La empresa tiene un proyecto para implementar un Sistema de gestión de Seguridad de la Información basado en la norma ISO 27001. Para ello ha decidido contratar un CISO que jerárquicamente estará a nivel de una Sub-Gerencia. Los perfiles de acceso hacia los sistemas de información son determinados por las Gerencias de cada área del usuario que requiera los accesos, luego estos requerimientos son enviados a la Gerencia de T.I. quien autorizara la creación de la cuenta según el perfil solicitado. Los procedimientos para crear, eliminar usuarios en el sistema, establecer los niveles de seguridad
2
en los sistemas, realizar cambios a los sistemas han sido desarrollados por el personal departamento de operaciones de TI. El acceso lógico hacia la red de datos es a través de una cuenta de usuario y una contraseña de acceso, que son autenticadas contra un el Servidor de Dominio. El acceso de las pc’s clientes a la red de datos de la compañía a es través de asignaciones dinámica de direcciones IP’s. Las actualizaciones relacionadas al antivirus Panda ClientShield se realizan desde uan consola central y actualiza cada equipo de cómputo 3 veces al dia. En la administración del perímetro de seguridad de la red de datos, se cuenta con un Firewall Cisco ASA de inspección de estado que mantiene configuraciones de sesión para restringir accesos externos. No se mantiene una administración total de los dispositivos de borde de red como el router para restringir el acceso desde el exterior. La Web de la Empresa contiene el aplicativo de Ventas Virtuales y que cuenta con una pasarela de Pagos y que hace 4 meses fue afectada por un ataque de defacing. El personal de operaciones tiene acceso a traves de herramientas de acceso remoto a monitorear todos los equipos de la Empresa. Asimismo el Sub-Gerente de Operaciones cuenta con acceso remoto a los servidores desde su casa en caso de alguna emergencia. En lo relacionado a Continuidad de Negocio, se cuenta con un Plan de Contingencias Informáticas incompleto y que requiere ser actualizado. Un tema importante es la realización de pruebas al plan para garantizar su adecuado funcionamiento para lograr una rápida restauración de los servicios informáticos. La Empresa cuenta con un mecanismo de backup, a través del cual se respalda la información de los servidores centrales y de usuarios y se consolida en un servidor especialmente dispuesto para ello. Luego los backups son almacenados en cintas Los backups de información son enviados a un proveedor externo, lo que permite su disponibilidad ante la ocurrencia de una emergencia. En función al caso presentado: 1. Escriba el informe de auditoría de Sistemas 2. Detalle cada una de las observaciones con el sgte. Formato: a. Titulo b. Descripción c. Riesgo d. Recomendación
3
View more...
Comments