auditoria informatica 2014-ejercicio_practico_2014.doc

2014

NELSON SEBASTIAN NUÑEZ JARA

FCE - UNA

31/08/2014

EJERCICIO PRÁCTICO.

EJERCICIO PRÁCTICO DE AUDITORIA.

El Comité de Dirección de la Empresa XYZ, ha considerado necesario conocer cual es la situación actual en la que se encuentra su sistema informático.

Para ello, contrata una Auditoría Informática Externa. Los pasos a seguir por dicha auditoria son los que se expone a continuación.

1. FASES Y PLANIFICACIÓN DE LAS ACTIVIDADES.

1.1 PRIMERA TOMA DE CONTACTO

Se acuerda una fecha para que la dirección de la empresa se reúna con el equipo de auditoria para fijar los objetivos y fines de la auditoria.

En esa reunión además de conocer las características generales de la empresa, se decide que los auditores preparen una carta conjuntamente con la Dirección de la Empresa, informando a los distintos departamentos de la puesta en marcha de la auditoria y solicitando que proporcionen toda la información que les sea requerida.

De esta reunión deduce que la empresa se dedica a la distribución de medicamentos farmacéuticos y que están interesados en conocer la situación actual de su sistema informático teniendo en cuenta problemas de seguridad tanto física como lógica y política de inversiones.

La auditoria se va a realizar exclusivamente sobre los equipos pertenecientes al Dpto. de Informática y no respecto al resto de equipos pertenecientes y situados en otros departamentos.

Para la realizar las distintas tareas que conlleva una auditoria, se ha de considerar que:

El equipo de Auditoría esta formado por tres personas. El tiempo máximo para la realización de la Auditoría será de un mes.

1.2 DEFINICIÓN DEL ALCANCE.El fin de la auditoría es conocer la situación actual del sistema informático, indicando problemas detectados y posibles soluciones.Este estudio se va a realizar centrándose en los siguientes puntos: Normativas de cualquier aspecto relacionado con los equipos informáticos. Seguridad física de los equipos. Seguridad en el acceso y manipulación de datos. Políticas de adquisición de bienes (hardware, software). Organización y eficiencia del personal informático

No se incluirán en esta revisión los ordenadores personales que no pertenecen o dependen directamente del Dpto. de Informática.

1.3 RECURSOS Y TIEMPO.El equipo de auditoría informática estará compuesto por tres personas y el tiempo máximo para realizarla será de un mes.

1.4 PROGRAMA DE TRABAJO: RECOPILACIÓN DE INFORMACIÓN.Se realiza una nueva reunión con la directiva de la empresa para conocer otras características de la empresa (organización, tamaño, etc.). Se deduce que desde el punto de vista informático intervienen 4 agentes diferentes:

a) Director del Dpto. de Informática, encargado de supervisar todas las operaciones.b) Responsable de microinformatica, encargado de que todo funcione correctamente.c) Técnico de mantenimiento, cuya principal misión es poner en marcha los ordenadores averiados.d) Usuarios, resto de trabajadores que utilizan los ordenadores como una herramienta de trabajo.

En esta reunión se dicidió enviar un cuestionario a los directores de cada uno de los Departamentos de la Empresa con el objeto de conocer los equipos informáticos que utilizan y los procesos que se realizan en ellos.

Transcurrida una semana, se reciben y analizan los cuestionarios. De ahí se deduce que: Además del Dpto. de Informática, el Dpto. de Contabilidad y Stock también utilizan normalmente

ordenadores. El 90% de los ordenadores son tipo PC con tres configuraciones básicas. Cinco máquinas actúan de servidores.

A continuación se decide que se envíen cuestionarios a todos los usuarios de ordenadores del Dpto. de Informática para conocer detalles sobre los procedimientos cotidianos que relacionados con la informática, llevan a cabo en su trabajo.

También se decide realizar una serie de entrevistas personales con el director y responsable de microinformática del Dpto. de Informática con el fin de conocer algunos detalles que no se pueden recoger en los cuestionarios.Una vez realizadas las entrevistas y analizados los resultados, se pasarán a identificar los riesgos potenciales y las pruebas a realizar para la verificación dichos riesgos.

Resumen de los resultados de los cuestionarios y entrevistas realizadas:

El Responsable de Microinformática es el encargado de facilitar los nombres de usuario y passwords de entrada a los ordenadores personales a cada usuario.

Las passwords son autorizadas por el director del Dpto. de Informática a partir de las peticiones realizadas por los directores de los otros Dptos. Todas las peticiones se realizan de forma verbal.

No hay normas respecto al uso de las passwords que recojan la necesidad de cambios periódicos de contraseñas o el almacenamiento de las mismas en lugares seguros.

Cada departamento adquiere los PCs y los productos de software que se necesitan para la realización de su trabajo. No se consulta previamente al Dpto. de Informática, tan sólo se informa al responsable de microinformática para que éste incluya el nuevo producto en el inventario.

En el Departamento de Informática existe un servicio que está gestionado por el responsable de microinformática, que se ocupa de facilitar copias de manuales. Es el Dpto. de Informática el encargado de instalar los nuevos productos (aplicaciones, ordenadores, periféricos).

El 90% de las aplicaciones que se utilizan en la empresa son adquiridos a empresas de desarrollo de software. Se mantiene un registro de las facturas, contratos y documentación de los mismos. El 10% restante, se trata de productos desarrollados y verificados por la propia empresa, concretamente por el responsable de microinformática.

En el Departamento de Informática, se mantiene un inventario de todo el hardware de la empresa. En el figuran todos los ordenadores y periféricos de cada departamento y el usuario que tienen asignado. Se tienen archivados los contratos de compra y estos están numerados y ordenados. En este inventario, se utiliza un solo código para registrar cada CPU y monitor.

Esta establecido un sistema de back-up semanal, para los datos más relevantes.

Los ordenadores no disponen de sistemas de alimentación continua.

Las averías en los ordenadores son comunicadas verbalmente a cada director de Dpto. y este se los comunica por escrito al director del Dpto. de Informática. En estos partes no se hace referencia a ningún detalle de la avería.

Apenas existen manuales del software desarrollado por la empresa, y los que hay carecen de formato estándar y son difíciles de comprender.

1.5. IDENTIFICACION DE RIESGOS POTENCIALES.

1) Parece que no existe ninguna normativa respecto al uso de los ordenadores. 2) Los Jefes de los Dptos. pueden adquirir ordenadores personales y productos software sin autorización o

asesoramiento por parte del Dpto. de Informática. Esto puede acarrear problemas de integración con el resto de equipos y escasa rentabilidad si no se realiza un estudio previo de las necesidades.

3) Se pueden producir riesgos de seguridad de todo tipo (acceso a claves o sustitución de identidades, copia de información, copia de aplicaciones, robo de material).

4) Se pueden producir problemas en la comunicación y resolución de averías.5) Problemas en el software desarrollado por la empresa. Excesiva dependencia del equipo de desarrollo,

debiendo verificar el buen funcionamiento personal diferente al que lo ha desarrollado. También es necesario registrar a nombre de la empresa las aplicaciones desarrolladas por y para la organización.

6) Posibles problemas de incongruencia de datos en el inventario si se producen cambios entre monitores y CPUs.

1.6. PRUEBAS Y RESULTADOS.

OBJETIVO DE CONTROL Nº 1: Comprobar la existencia de normas para el uso los ordenadores personales.Prueba de Cumplimiento: Pedir o comprobar la existencia de algún manual o normativa de uso u

obligaciones de los usuarios, en donde se recoja información de todo tipo (como o cuando se deben de encender y apagar equipos, utilización de protectores de pantalla, posible uso para fines particulares de los ordenadores, etc.).

Resultado: Sobre el uso de los ordenadores, no existe ningún manual de buena conducta. Tan sólo hay algunas normas trasmitidas oralmente.

OBJETIVO DE CONTROL Nº 2: Deben estar establecidos criterios adecuados y objetivos para la correcta adquisición de los ordenadores personales y aplicaciones, teniendo en cuenta detalles de integración en el actual sistema y un estudio o análisis de la relación coste/beneficio.Comprobar la existencia de alguna política respecto a estos puntos a nivel directivo. Deben existir todo tipo de formularios, documentos y estudios para la adquisición de ordenadores y aplicaciones.

Prueba 1: Petición de los formularios que deben rellenarse para realizar una adquisición y comprobar su utilización.

Prueba 2: Solicitar toda la información existente respecto a los criterios (si los hubo) de las última/s compra/s de productos (soft o hard).

Prueba 3: Petición de estudios o informes que justificaron la compra de los esos productos.

Resultado: Respecto a la adquisición de nuevos productos (soft o hard) tan sólo se hace una pequeña mención que aparece reflejada en el presupuesto anual de la compañía donde se dice lo siguiente: “Los directores de departamento pueden adquirir nuevos recursos conforme a sus necesidades siempre y cuando se ciñan al presupuesto asignado”. Por tanto se puede concluir señalando que no existe ninguna norma para la adquisición de nuevos productos. Además se puede añadir que no se realizan estudios o análisis sobre la relación coste/beneficio.

OBJETIVO DE CONTROL Nº 3: Debe existir en la Empresa una adecuada política de seguridad para la evaluación de los riesgos respecto a la seguridad de datos, equipos y programas.

Prueba de Cumplimiento: Intentar el acceso a un PC sin proporcionar el password correspondiente. Comprobar que las personas que están trabajando pertenecen al Dpto. Informática y están trabajando en el ordenador que aparece relacionado en el inventario.

Resultado: Se puede acceder fácilmente a la información de los ordenadores puesto que todos tienen la misma palabra de paso salvo un número correlativo. Exceptuando algunos casos, la mayoría de los usuarios no han cambiado la clave asignada por el Dpto. de Informática. Se han encontrado usuarios trabajando en equipos distintos a los asignados en el inventario.

Prueba de Cumplimiento: Comprobar si se recomienda a los usuarios que cambien y guarden sus passwords en lugares seguros.

Resultado: Se les envía una carta donde se les facilita el nombre de usuario y password instándoles a que cambien y guarden esta información en lugar seguro, pero tan sólo el 30% de los usuarios lo hace.

Prueba de Cumplimiento: Comprobar si se puede acceder a todas las carpetas y ficheros contenidos en un ordenador.

Resultado: Una vez validada la entrada, toda la información almacenada en el disco duro es accesible, no existiendo protecciones a nivel local de aplicaciones o ficheros.

Prueba de Cumplimiento: Comprobar si se puede acceder a carpetas y ficheros de otros ordenadores a través de la red.

Resultado: Una vez validada la entrada, se ha comprobado que algunos usuarios tienen compartidos carpetas, pero solo algunos de ellos las tienen protegidas con contraseñas.

Prueba de Cumplimiento: Comprobar si se puede copiar información en las unidades portátiles (disquetes, CD-Ron). Verificar también si se permite la instalación de aplicaciones ( no relacionadas con el trabajo) y hacer copias de cualquiera de las aplicaciones instaladas o utilizadas en la empresa.

Resultado: Respecto a la posibilidad de copiar información, se puede copiar todo lo que se quiera. También es posible instalar aplicaciones sobre los ordenadores. No es posible realizar copias de los discos de instalación de las aplicaciones salvo se pida una autorización expresa al Dpto. de Informática.

Prueba de Cumplimiento: Obtener un listado de los Productos instalados y verificar que todos ellos tienen sus correspondientes contratos, licencias y documentos que justifiquen su compra.

Resultado: No se detectan copias ilegales del software.

Prueba de Cumplimiento: Comprobar si las aplicaciones propias están registradas a nombre de la empresaResultado: No se han registrado ninguna aplicación.

Prueba de Cumplimiento: Solicitar las copias de seguridad y comprobar las fechas y contenido de los volcados de los ficheros de datos actuales. Verificar el lugar físico de almacenamiento de las copias de seguridad.

Resultado: Las copias de seguridad están incompletas, algunas son muy antiguas. Se guardan en un lugar seguro, dentro del Dpto. de Informática.

Prueba de cumplimiento. Desconectar incorrectamente los ordenadores durante una sesión de trabajo.

Resultado: Al no existir fuentes de alimentación continua, algunas aplicaciones han sido capaces de recuperar la información pérdida mientras que en otros casos ésta se ha perdido definitivamente.

OBJETIVO DE CONTROL Nº 4: Registro de los partes de avería y tiempo de respuesta en la resolución de estos problemas.

Prueba de cumplimiento: Solicitar los contratos que se realizaron en su día, tanto de compra como de mantenimiento de equipos y revisar el grado de cumplimiento.

Resultado: Toda la información relacionada con los contratos de mantenimiento y el tiempo de respuesta de estos servicios es el adecuado.

Prueba de cumplimiento: Comprobar si existe formularios para comunicación de averías.Resultado: No existe ningún formato o formulario estándar.

Prueba de cumplimiento: Se ha acordado, previa petición y aprobación de la dirección, la comunicación de una avería en una unidad de CD-Ron.

Resultado: Ha sido necesario comunicarlo dos veces al director del Dpto. de contabilidad para que este informara por escrito al director del Dpto. de Informática. En este escrito no se indicaba ningún detalle del tipo de avería. Han transcurrido 5 días desde la notificación hasta la solución del problema.

OBJETIVO DE CONTROL Nº 5: Documentación o actualización del software adquirido a empresas externas. Manuales, documentación y grado de dependencia del software propio de la empresa respecto al equipo de desarrollo. Registro de aplicaciones propias.

Prueba de Cumplimiento: Solicitar documentación sobre programas comprados y comprobar su actualización.

Resultado: Faltan algunos manuales, otros no están actualizados a las versiones instaladas en los equipos y para algunos de ellos es difícil localizarlos o acceder a ellos. Respecto a las actualizaciones de software, está todo al día.

Prueba de Cumplimiento: Comprobar la existencia de documentación adecuada del software desarrollado por la empresa.

Resultado: Apenas existe documentación y la que existe no sigue ningún estándar de redacción. De hecho, cuando se produce algún tipo de problema, se depende completamente del equipo de desarrollo del Dpto. de Informática.

ELABORAR EL INFORME DE AUDITORIA

Elaborar el informe final que será presentado a los responsables de la empresa. En este informe, como mínimo han de aparecer definido perfectamente el alcance de la auditoría y un resumen con los fallos detectados y posibles recomendaciones. Recuerda seguir los aspectos citados más arriba referidos a las normativas, seguridad física, seguridad de acceso, políticas de adquisición de bienes y organización y eficiencia. Incluir solo a los equipos pertenecientes al Dpto. de Informática.

INFORME DE AUDITORIA INFORMATICA

San Lorenzo, xx de XXX del 201x

Auditoria Informática practicada efectuada al xx de XXX del 201x

al Dpto. de Informática de la Empresa XYZ

Al Comité de Dirección de la Empresa XYZ En uso de su aprobación para la realización de la práctica de Auditoría Informática en el Dpto. de Informática de la Empresa, se procedió a ejecutar el Plan General de la práctica presentado el día lunes xx de XXX del 201x, cuyos detalles de la ejecución se presentan:

I. EQUIPO AUDITOR1- Nelson Núñez2- Juan Pérez3- José Benítez

II. ANTECEDENTES DE LA EMPRESALa empresa se dedica a la distribución de medicamentos farmacéuticos.

III. OBJETIVO DE AUDITORIA1. Conocer la situación actual de su sistema informático teniendo en cuenta problemas de seguridad

tanto física como lógica y política de inversiones.

IV. ALCANCE DEL EXAMEN

Nuestra auditoria, comprende el presente periodo 200x y se ha realizado al Dpto. de Informática de

acuerdo a las Normas de Auditoría Generalmente Aceptadas y demás disposiciones aplicables al efecto.

Se ha realizado centrándose en los siguientes puntos:

• Normativas de cualquier aspecto relacionado con los equipos informáticos.

• Seguridad física de los equipos.

• Seguridad en el acceso y manipulación de datos.

• Políticas de adquisición de bienes (hardware, software).

• Organización y eficiencia del personal informático

No se incluirán en esta revisión los ordenadores personales que no pertenecen o dependen

directamente del Dpto. de Informática.

V. EXPOSICION DE TEMAS ÁREAS AUDITADAS

1. NORMATIVAS DE USO.

1.1. SITUACION ACTUAL

Sobre el uso de los ordenadores, no existe ningún manual de buena conducta. Tan sólo hay algunas

normas trasmitidas oralmente.

1.2. DEBILIDADES Y AMENAZAS

Al no existir normas y procedimientos que indiquen las tareas manuales e informáticas que son

necesarias para realizar y recuperar la capacidad de procesamiento ante una eventual contingencia

(desperfectos de equipos, incendios, cortes de energía con más de una hora), y que determinen los

niveles de participación y responsabilidades del área de sistemas y de los usuarios, se corre el riesgo de

pérdida de información vital o pérdida de la capacidad de procesamiento.

1.3. RECOMENDACIONES

Se recomienda:

Contar con un de manual de funciones para cada puesto de trabajo dentro del área.

Establecer un plan de contingencia escrito, en donde se establezcan los procedimientos manuales

e informáticos para restablecer la operatoria normal y establecer los responsables de cada

sistema.

Efectuar pruebas simuladas en forma periódica, a efectos de monitorear el desempeño de los

funcionarios responsables ante eventuales desastres.

Capacitar al personal.

2. SEGURIDAD FÍSICA DE LOS EQUIPOS.


Se ha solicitar los contratos que se realizaron en su día, tanto de compra como de mantenimiento de equipos.

Toda la información relacionada con los contratos de mantenimiento y el tiempo de respuesta de estos servicios es el

adecuado.

Se ha procedido a comprobar si existen formularios para comunicación de averías.

En este caso no existe ningún formato o formulario estándar.

Se ha acordado, previa petición y aprobación de la dirección, la comunicación de una avería en una unidad de CD-Ron.

Ha sido necesario comunicarlo dos veces al director del Dpto. de contabilidad para que este informara por escrito al director

del Dpto. de Informática. En este escrito no se indicaba ningún detalle del tipo de avería. Han transcurrido 5 días desde la

notificación hasta la solución del problema.


La inexistencia de formularios de comunicación de averías ocasiona falta de agilidad en la

notificación de los problemas y demanda un tiempo considerable entre su conocimiento y su

solución.

Una posible amenaza seria la posibilidad de producir modificaciones erróneas y/o no autorizadas

a los programas o archivos y que las mismas no sean detectadas en forma oportuna.

Debido a la debilidad del servicio de mantenimiento, la continuidad de las actividades

informáticas podría verse seriamente afectadas ante eventuales averías serias de los sistemas o de

los equipos.


Para reducir el impacto sobre los resultados de los efectos y consecuencias probables sugerimos:

Elaborar toda la documentación técnica estándar correspondiente a comunicación de usuarios

respecto a averías o fallas con software o el hardware.

Elaborar un calendario de mantenimiento de rutina periódico.

3. SEGURIDAD EN EL ACCESO Y MANIPULACIÓN DE DATOS.


Respecto al uso de un ordenador se procedió a intentar el acceso sin proporcionar el password correspondiente,

constatándose la facilidad a la información de los ordenadores puesto que todos tienen la misma palabra de paso salvo un

número correlativo. Exceptuando algunos casos, la mayoría de los usuarios no han cambiado la clave asignada por el Dpto.

de Informática.

Así mismo se comprobó el uso de PCs por parte de usuarios en equipos distintos a los asignados en el inventario.


Probable difusión de datos confidenciales.

Alta facilidad para cambios involuntarios o intencionales de datos, debido a la falta de controles internos.

Posibilidad de que adulteraciones voluntarias o involuntarias sean realizadas a los elementos componentes del

procesamiento de datos (programas, archivos de datos, definiciones de seguridad de acceso, etc.) o bien accesos a

datos confidenciales por personas no autorizadas que no sean detectadas oportunamente.


A fin de reducir en lo posible los riesgos detectados, se sugiere:

Establecer normas y procedimientos en los que se fijen responsables, periodicidad y metodología

de control de todos los archivos.

Realizar 2 copias de respaldos de datos de las cuales, una se encuentre en el recinto del área de

informática y otra poder del Jefe de área.

Implementar pruebas sistemáticas semanales de las copias y distribución de las mismas.

4. POLÍTICAS DE ADQUISICIÓN DE BIENES (HARDWARE, SOFTWARE).


Respecto a la adquisición de nuevos productos (software o hardware) tan sólo se hace una pequeña

mención que aparece reflejada en el presupuesto anual de la compañía donde se dice lo siguiente: “Los

directores de departamento pueden adquirir nuevos recursos conforme a sus necesidades siempre y

cuando se ciñan al presupuesto asignado”.


Se puede concluir señalando que no existe ninguna norma para la adquisición de nuevos productos.

Además se puede añadir que no se realizan estudios o análisis sobre la relación coste/beneficio.


Minimizar los efectos, será posible a través de:

Elaborar un informe técnico en el que se justifique la adquisición del equipo, software,

incluyendo un estudio costo beneficio.

elaborar un instructivo con procedimientos a seguir para la selección y adquisición de equipos y

programas.

5. ACTUALIZACIONES.


Se solicitó la documentación sobre programas comprados a fin de comprobar su actualización. Se

evidencio la falta de algunos manuales, otros no están actualizados a las versiones instaladas en los

equipos y para algunos de ellos es difícil localizarlos o acceder a ellos.

Respecto a las actualizaciones de software, está todo al día.

Sobre documentación adecuada del software desarrollado por la empresa, se advirtió que apenas existe

documentación y la que existe no sigue ningún estándar de redacción. De hecho, cuando se produce algún

tipo de problema, se depende completamente del equipo de desarrollo del Dpto. de Informática.


La escasa documentación técnica de cada sistema dificulta la compresión de las normas,

demandando tiempos considerables para su mantenimiento e imposibilitando la capacitación del

personal nuevo en el área.


Elaborar toda la documentación técnica correspondiente a los sistemas implementados y

establecer normas y procedimientos para los desarrollos y su actualización.

Implementar y conservar todas las documentaciones de prueba de los sistemas, como así también

las modificaciones y aprobaciones de programas realizadas por los usuarios.

auditoria informatica 2014-ejercicio_practico_2014.doc

Documents