Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoria CNN
Auditoria CNN
AUDITOR:
Organizacin.
Funciones.
Normas y Polticas.
Capacitacin.
Planes de Trabajo.
Controles.
Condiciones de Trabajo.
Niveles Jerrquicos.
Supervisin.
Operatividad.
Diseo y Estructura de Datos.
Seguridad Lgica.
Niveles de Concurrencia.
Entrada, Salida y Modificacin de Datos.
Integridad y Consistencia de Datos.
Tolerancia y Tratamiento de Fallos.
Procedimientos de Respaldo.
Documentacin y Manuales de Uso.
Licencias Y/O Cumplimientos De Derechos De Autor.
Adquisicin.
Garanta y Accesoria.
Normas y Polticas de Uso Interno.
Documentacin y Manuales de Usuario.
Capacidad de Proceso y Almacenamiento.
Mantenimiento.
Evaluacin de la Seguridad.
Metodologa Utilizada.
A continuacin se presenta la metodologa de investigacin utilizada en el proyecto, para la evaluacin de la empresa
con relacin a sus bases de datos.
1. Para la evaluacin del departamento de tecnologa de informacin se llevaran a cabo las siguientes actividades:
2. Para la evaluacin del SGBD y de las bases de datos se llevaran a cabo las siguientes actividades:
Aplicacin de la entrevista.
Anlisis y evaluacin de la informacin.
Identificacin de desviaciones.
Elaboracin del informe.
Cronograma de Actividades.
Fase
Actividad
Das Estimados
II
Desarrollo de la Auditoria.
Evaluacin Del Departamento De Tecnologa De Informacin.
Evaluacin Del SGBD Y De Las Bases De Datos.
Evaluacin Del Hardware.
Evaluacin De La Seguridad.
14 - 22 /Nov. 2009
III
Revisin Y Pre-Informe.
Discutir Resultados De Entrevistas Y Pruebas Manuales.
Identificar Desviaciones.
Elaborar Borrador De Desviaciones.
Discutir Con Los Auditados Las Desviaciones Encontradas.
26 Nov. - 30 Dic 2009
IV
Informe.
Elaboracin y Presentacin Del Informe.
3 4 Dic. 2009 Auditor Sup.
Introduccin
El presente informe contempla las conclusiones a las que ha llegado nuestra firma de auditores despus de realizar
una evaluacin del Sistema Gestor de Base de Datos (SGBD) actual, usado por la empresa CCN., su administracin,
seguridad, confidencialidad, acceso y uso de los datos a fin de identificar posibles desviaciones que pudieran estarse
presentado y proponer soluciones a las misma para su pronta solucin.
La evaluacin se realiza en cumplimiento del programa de estudios, de la materia de Auditoria Informtica de la
Universidad Dominicana O&M y a peticin del Ing. Jos Natera en fecha del 04 de Diciembre del 2009, como forma
de reforzamiento practico a los conocimientos tericos expuestos en dicha materia. Y previa autorizacin de la
empresa auditada, siguiendo las normas y polticas establecidas por la empresa y las metodologas y tcnicas de
evaluacin internacionales para la realizacin de estos procesos.
Dictamen de Auditoria
Santo Domingo, D.N. a 2 de diciembre del 2009.
Lic. Bekis Mendoza
Gerente Administrativo.
Distinguida Seora:
De acuerdo con la peticin realizada por el Ing. Rafael Encarnacion, de la Universidad Dominicana O&M en la
materia de Auditoria Informtica, de conformidad con el cumplimiento del programa de estudios de dicha universidad
y as mismo, me permito remitir a usted el dictamen de la auditoria practicada al Departamento de IT, enfocada a la
administracin, seguridad, confidencialidad, acceso, y uso de los datos del Sistema Gestor de Base de Datos (SGBD)
y de las Bases de Datos de dicha empresa, misma que se llevo a cabo del 10 de Noviembre al 4 de Diciembre del
ao en curso.
De los resultados obtenidos durante la evaluacin me permito informarle de las siguientes observaciones:
Evaluacin del Departamento de IT: Pudimos comprobar que la capacidad del personal y las funciones que realizan
son llevadas a cabo de una manera eficiente, si bien no se cuentan con normas escritas, el personal demostr
conocer sus funciones.
Evaluacin del SGBD y de las Bases de Datos: Durante esta etapa de evaluacin comprobamos que existan
deficiencias, en la administracin del SGBD y las Bases de Datos, no se haban implementado normas y polticas que
rijan su correcto funcionamiento y operabilidad, provocando que peligren datos de suma importancia para la empresa
y que en algunos casos se pudiera producir la paralizacin parcial o total de ciertas operaciones, pero de igual forma
evidenciamos la disposicin del personal a resolver dichas deficiencias en el mas corto plazo posible.
Evaluacin del Hardware: El hardware utilizado es el correcto para las operaciones que se realizan en la empresa, la
periodicidad de mantenimiento son adecuadas, al igual que la documentacin existente para el mismo.
Evaluacin de la Seguridad: La seguridad presentada en la institucin es de nivel medio tanto fsica como lgica, los
controles de acceso, las polticas y normas de seguridad deben ser revaluadas y en algunos casos implementados,
para asegurar la mxima integridad y confiabilidad de los datos.
De acuerdo con las pruebas realizadas a la administracin, seguridad, confidencialidad, acceso, y uso de los datos
del Sistema Gestor de Base de Datos (SGBD) y de las Bases de Datos y de acuerdo con los estatutos
internacionales establecidos para dicho fin, me permito dictaminar que las desviaciones encontradas en cada una de
las evaluaciones realizadas, deben ser corregidas lo mas pronto posible de acuerdo a los trminos convenidos por
los encargados de su correccin y nuestros auditores durante la identificacin de las mismas,
Enfatizamos que su no solucin a tiempo puede resultar en serios percances al correcto avance presente y futuro de
la empresa.
Att:_______________
Lic.Manuel Cuevas.
Auditor Supervisor.
Situaciones Relevantes
Situaciones
Causas
Solucin
Inoperabilidad de un Manual de
Organizacin Funcional.
Incidencias encontradas no
registradas.
defectuosos no verificada.
procedimientos.
ANEXOS
Entrevista al Personal
Existe un manual de organizacin funcional (MOF)?
No las funciones son asignadas verbalmente.
Es aplicado este manual?
--Los estndares y procedimientos existentes promueven una filosofa adecuada de control?
Por una parte si porque cada quien tiene definida sus tareas pero eso no evita que otros puedan efectuar dado el
caso la tarea de otra persona.
El rendimiento de cada empleado se evala regularmente de acuerdo a estndares establecidos?
Si es medido por medio de la evaluacin del desempeo del personal de la ONAP en conjunto con todo el personal
de la institucin semestralmente.
Existe un plan operativo anual?
No se establecen cada cierto tiempo segn necesidades surgidas.
Existe un plan de entrenamiento y capacitacin continua al personal?
Si, existen capacitaciones en diferentes reas, segn surja la necesidad.
Mediante que interfaz se accede a los datos de la empresa?
Mediante la interfaz propia de las aplicaciones.
Los datos son cargados correctamente en la interfaz grafica?
Si, aunque a veces las consultas de datos tardan un poco.
Tiene cada personal una terminal asignada?
Si, a excepcin del encargado de nomina cuya terminal es compartida por el y su asistente.
Se puede utilizar el Terminal de un compaero para retirar o introducir informacin al sistema?
Solo en el caso de la terminal donde se maneja la nomina, pero solo teniendo el usuario y contrasea necesario.
Tiene el personal de otros departamentos libre acceso a este?
No est prohibido por los encargados el acceso de personal de otros departamentos a este.
Puede el personal de otro departamento retirar informacin de este?
No est prohibido por los encargados.
Existe un sistema de seguridad que regule los accesos al sistema?
Solo contraseas y usuarios.
Se utilizan contraseas de usuario?
En caso de existir discrepancia entre las cintas o discos y su contenido, se resuelven y explican satisfactoriamente
las discrepancias?
Si.
Qu tan frecuentes son estas discrepancias?
Muy raras.
Cuentan los operadores con alguna documentacin en donde se guarden las instrucciones actualizadas para el
manejo de restauraciones?
No, ya quien maneja las restauraciones es el administrador, quien est bien capacitado en la realizacin de este
proceso y con su experiencia no requieren documentarlo.
Existe un control estricto de copias de estos archivos?
Si estos son manejados solo por el administrador.
Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan estos?
No, no son borrados.
Se registra como parte del inventario las nuevas cintas magnticas que recibe el departamento de cmputo?
Si, se registran.
Se realizan auditorias peridicas a los medios de almacenamiento?
Revisiones cada dos semanas.
Se tiene relacin del personal autorizado para manipular la BD?
No est en una relacin fsicamente, pero est claro que solo el administrador puede manipularla.
Existe un programa de mantenimiento preventivo para el dispositivo del SGBD?
Si, mensualmente.
Qu tipo de mantenimiento?
Se le hace una revisin, se analiza con antivirus, se verifica que todo est trabajando de manera ptima.
Poseen un dispositivo de respaldo en caso de algn problema o inconveniente?
No, no existe.
De acuerdo con los tiempos de utilizacin de cada dispositivo del sistema de cmputo, existen equipos capaces de
soportar el trabajo?
Si los equipos son modernos y capaces de soportarlo.
El SGBD tiene capacidad de teleproceso?
Si.
Se ha investigado si los tiempos de repuesta satisfacen a los usuarios?
Si segn los usuarios las respuestas son buenas a excepcin por las consultas realizadas a la nomina que tardan un
poco.
Qu sucedera si no se puede usar el sistema gestor de base de datos?
Se paralizaran ciertas operaciones.
Qu implicaciones tiene el que no se obtenga el sistema gestor y cuanto tiempo podramos estar sin utilizarlo?
Implica el retraso o paralizacin de ciertas operaciones, y el tiempo que tardara en reponerse depende de la
gravedad del problema.
Existe un procedimiento alterno a los problemas que ocasionara?
No, no existe, por lo menos no documentado.
Existe una relacin de controles peridicos a realizar para verificar el cumplimiento del documento?
------Existen medidas a adoptar cuando un soporte vaya a ser desechado o reutilizado?
No.
Existe una relacin del personal autorizado a acceder a los locales donde se encuentren ubicados los sistemas que
tratan datos personales?
No, no existe una relacin fsica pero como he dicho antes se conoce quienes tienen acceso.
Existe una relacin de personal autorizado a acceder a los soportes de datos?
No, no existe, ya que no lo hemos credo necesario.
Existe un perodo mximo de vida de las contraseas?
Si dos meses.
Existe una relacin de usuarios autorizados a acceder a los sistemas y que incluye los tipos de acceso permitidos?
No, no existe.
Los derechos de acceso concedidos a los usuarios son los necesarios y suficientes para el
ejercicio de las funciones que tienen encomendadas, las cuales a su vez se encuentran o deben estar documentadas
en el Documento de Seguridad.?
Si sus derechos son los fundamentales para llevar acabo sus tareas, y si estn documentados.
Hay dadas de alta en el sistema cuentas de usuario genricas, es decir, utilizadas por ms de una persona, no
permitiendo por tanto la identificacin de la persona fsica que las ha utilizado?
No cada persona que se loguea al sistema introduce su propio usuario y contrasea.
En la prctica las personas que tienen atribuciones y privilegios dentro del sistema para conceder derechos de
acceso son las autorizadas e incluidas en el Documento de Seguridad?
Si.
El sistema de autenticacin de usuarios guarda las contraseas encriptadas?
Si, cada sistema trae su proteccin de las contraseas.
En el sistema estn habilitadas para todas las cuentas de usuario las opciones que permiten establecer:
Un nmero mximo de intentos de conexin
Todos los sistemas permite un mximo de tres intentos fallidos despus deber ser intentando el acceso con otro
usuario.
Un perodo mximo de vigencia para la contrasea, coincidente con el establecido en el Documento de Seguridad.
El sistema no establece la necesidad de cambio de contrasea, las mismas son cambiadas manualmente.
Existen procedimientos de asignacin y distribucin de contraseas?
Si, es asignada por el administrador a los usuarios personalmente.
Cmo se crean las contraseas asignadas a los usuarios?
Las contraseas se crean mediante un programa que crea contraseas automticamente de contenido alfanumrico
y de una longitud de 7 cifras.
Aspectos Fsicos
Existen procedimientos para la realizacin de las copias de seguridad?
No.
Se tienen procedimientos que permitan la reconstruccin de un archivo en cinta o disco, el cual fue
inadvertidamente destruido?
No.
Se tienen identificados los archivos con informacin confidencial y se cuenta con claves de acceso?
Si.
Qu medio se utiliza para almacenarlos?
- Mueble con cerradura
- Bveda
- Otro(especifique)
Se encuentran en un cuarto resguardado bajo llaves, al cual solo tienen acceso el administrador y los dueos de la
compaa.
Este almacn est situado: En el mismo edificio del departamento o en otro lugar Cual?
En el mismo edificio.
Se certifica la destruccin o baja de los archivos defectuosos?
No.
Explique la forma en que estn protegidas fsicamente las copias de seguridad (bveda, cajas de seguridad etc.) que
garantice su integridad en caso de incendio, inundacin, terremotos, etc.
Las copias de seguridad estn almacenadas en un cuarto bajo llave, que cuenta con sistemas detectores de humo y
extinguidores, fuera de estos no existen ms proteccin para las mismas
Existen procedimientos que aseguran que, de todos los ficheros con datos de carcter personal, se realiza copia al
menos una vez cada semana?
No.
Hay procedimientos que aseguran la realizacin de copias de todos aquellos ficheros que han experimentado algn
cambio en su contenido?
Si, los Backups realizados cada dos semanas.
Existen controles sobre el acceso fsico a las copias de seguridad?
Si, estas solo son verificadas por el administrador encargado de las misma y su superior.
Slo las personas con acceso autorizado en el documento de seguridad tienen acceso a los soportes que contienen
las copias de seguridad?
Si.
Las copias de seguridad de ficheros de nivel alto incluyen los ficheros cifrados, si estas copias se transportan fuera
de las instalaciones?
No, no son transportadas fuera de la institucin.
Las copias de seguridad de los ficheros de nivel alto se almacenan en lugar diferente al de los equipos que las
procesan?
Si, en discos duros extrables.
Existe un inventario de los soportes existentes?
Si.
Dicho inventario incluye las copias de seguridad?
Si.
Existen procedimientos de actualizacin de dicho inventario?
Si, El inventario esta automatizado y se actualiza cada vez que se ingresa un nuevo soporte.
Existen procedimientos de etiquetado e identificacin del contenido de los soportes?
Si.
Se comprueba que el registro de accesos se encuentra bajo el control directo del responsable de seguridad
pertinente?
No, se comprueba porque esta a cargo de los mismos administradores.