Servicios de Impuestos de Cali - SiCali

Cronograma de trabajo del proyecto de Auditoria a las Bases de Datos

Primera visita de Auditoria a la Base de Datos - SINGLAR S.A

1 Conocer el proceso

1.1 Realizar el levantamiento de la información relacionada con el proceso de gestión de

Tecnología de Información, de tal forma que nos permita:
- Practicas, procesos, procedimientos y políticas de planeación Sep-07
- Estructura organizacional de TI (personas, cargos, funciones y competencias). Sep-07
- Identificar la arquitectura de información (redes, servidores, aplicaciones) Sep-07
- Administración de riesgos y proyectos Oct-07

1.2 Revisar la documentación y practicas existentes relacionada con el proceso de

entrega y continuidad del servicio, tales como:
- Aseguramiento de la continuidad del servicio, políticas, procedimientos y pruebas
de respaldo y restauración. Sep-07

- Administración de la seguridad de los sistemas y bases de datos (roles , permisos

y privilegios de usuarios sobre directorios, bases de datos, aplicativos de misión
critica y el sistema operativo). Sep-07
- Políticas y procedimientos sobre administración de passwords de usuarios. Sep-07
- Políticas y procedimientos para el control de modificaciones Sep-07
- Administración de datos Sep-07
- Administración del ambiente físico. Sep-07
3 Evaluacion de bases de datos

3.01 Identificar los elementos relevantes del diseño de la base de datos y productos
utilizados para accesos y reportes (diagrama de conexión ) Aug-07
3.02 Revisar la documentación de aplicaciones sobre la base de datos. Aug-07

3.03 Revisar la estructura organizacional y descripción de funciones y procedimientos del

personal que soporta la base de datos. Aug-07

Revisar la aplicación de las políticas de administración y procedimientos sobre la base

3.04 de datos, incluyendo procedimientos de seguridad, programas de backup y
procedimientos de recuperación o restauración. Aug-07
3.05 Revisar la documentación de pruebas de recuperaciones o restauraciones. Aug-07
3.06 Revisar la documentación de monitoreo. Aug-07

3.07 Revisar los permisos de acceso hasta nivel de archivos, identificando los propietarios
y perfiles. Aug-07

3.08 Identificar los riesgos relacionados con el acceso lógico y la privacidad a la base de
datos, causados por la relación del Sistema Operativo - DBMS. Aug-07
3.09 Presentar informe resultado primera evaluación Sep-07
 Punto Situacion actual
Organigrama

Descripciones de cargos si formalizar Cumplimiento de los terminos de

pendientes de aprobacion referencia del municipio
Caracterizacion de los procesos de TI
Procediemientos relacionados
Contratacion
Gestion administrativa, compras y
Compras y contratracion servicios generales

Instructivo del comite de

automaitzacion, todos los
requerimientos llegan a este comite,
Solicitud de acceso a aplicaciones y para la evaluacion del requerimiento.
datos Este comite no volvio a ejercer.
Actas de Comite de automatizacion.
- Acta de creacion del comite
Actualmente lo hace solo la Coordinador
Procedimientos de contingencia
Backups Manual de transporte y custodia
Contingencia

Documentacion de aplicaciones
- Manual de usuario
- Manual de instalacion / operacion
- Existesn y se hacen

Gustavo Coronel Redes y servidores

Inventario de :
gcoronelm@sicali.com, tavomario@yahoo.com
- Equipos criticos con

Backups diarios y uno semanal (se envia

el del dia miercoles a CETSA),
Subdirector de TI fullbackup

Respaldo:
Contingencia:
DBA
dquintanaz@sicali.com

Recuperacion BD Pruebas de restaruacion

O&M Ximena Salazar Pedir el procedimiento de comite
O&M alta rotacion en la parte
documental
Jenny Sosa
Documentacion de aplicaciones:
IT Service Ltda.

Existe una propuesta no aprobada, manual de

atribuciones

Revisar con Jenny

Falta de aprobacion

Harwdaware : Servidores

Evidencia: Regsitro de backups y entrega a

transportadorea de medios.

Existe segmentacion de redes de acuerdo con el mapa logico de la red

Convenio con otras bd para curzar informacion.

Telmex: Informe Reporte de disponibilidad

Bogota enlace de 512KB subir hasta 9MB en Bogota
Documentacion de pruebas de salida en Bogota.

Hernan Rodriguez

Copia del archivo deb2diag.log en sqllib de la

maquina de Bogota /Respaldo, se hace cada
15 min. hasta al 1 am y a las 2 am arranca el
backup.
DB2 Monitor (para administracion de BD)
Se hace monitorio de BD, espacios.

Administracion de roles, permisos y privilegos

de usuarios
Administacion de passwords

Documentacion de Datos

Procedimientos de seguridad en BD

Monitorio de Bd
Permisos

Procedimientos son enviados a O&M

Planeacion operativa, ajustada a los
vencimientos de terminos en el manejo del
contrato con el municipio

Se estan realizando estudios para llevar la

aplicacion a .Net, se han realizado casos de
negocio para analisis de factibilidad y
procedimiento para la migracion de las
aplicaciones y de algunos datos. La opcion de
llevar a un ambiente web reduce el riesgo
actual de acceso indebido a codigo fuente en
la arquitectura cliente servidor. Esta
pendiente de aprobacion por la alta gerencia.

Comite de automatizacion,
Validacion del perfil del area con O&M
deberia realizarse con Control Interno
Manejo de proyecto:

1 persona que atiende rentas y predial

2 de industria y comercio
1 en valorizacion
1 para PQR
1 Para gestion
Documentacion tecnica de las aplicaciones, no
esta formalizada, diagramas de entidad
relacion.

El coordinador asiste a las pruebas y valida los

requerimientos
Control de pruebas, se hacen actas de
aceptacion y se anexa el formato Acta de
Entrega de Aplicacion es un formato de facto.

Diseno y Ejecucion de Pruebas nuevo formato

para aplicar a las pruebas.
Cada ingeniero envia a produccion la
aplicacion nueva
Requerimientos del municipio no son
canalizado pero son enviado por distintos
funcionarios del municipio.
Leonardo Soto Subdirector Atvo de Impuestos
Rentas y Catastro
Jose Edgar Gutierrez del Grupo de
Contabilidad
Doris Olga Martinez Asesora de Cobro
Persuasivo
Danilo Renteria del Grupo de Sistemas

Manual de instalacion de Lenix

Incluye todos los modulos en operacion de la
aplicacion. Falta actualizacion de los
manuales de usuario.

Manual tecnico: Manual de instalacion existe

Manual de Lenix Touch:
Diccionario de datos, diagramas de cada
modulo de lenix como inciativa de cada
programador
 Hay procedimiento de caja menor para las subdirecciones,
todos los requerimientos de compras,
Existe un comite de compras, pedir los procedimientos
administrativos.

Pedir el inventario de equipos, documentacion de redes

(Actual)
La documentacion de las redes
cuerdo con el mapa logico de la red
informacion.

a 9MB en Bogota
da en Bogota.
Documentacion de entrega de respaldo
Polizas de seguros de IT

Se transfieren grupos y usuarios de sistema operativos

Existe un formato de Perfiles del Sistema de Informacion

Lenix, los jefes de area Cuando se crea una opcion se
actualiza El Foramto de Noveda de Perfiles del Sistema de
Informacion Lenix
DB2 no maneja usuarios estos los toma del SO, lo susuarios no
tienen shell, hacen cambio de contrasena con vigencia de 30
dias, con mensajes de alerta con 5 dias de anticipacion, para
usuarios del municipio la caducidad vence cada 6 meses.
(controles con usuarios del municipio), el comunicado
delmunicipio lo tiene??? Camilo Torres, sabra?? como
diferencia usuarios del municipio empiezan con "MN", LAs
solcitudes las envias dierctamente a la gerencia de
Sicali( Subdirector Adminstrativo, Profesional Universitario -
iguel Angel Ruiz, Of 0085 del 10 de abril de 2007 que relaciona
una lista de usuarios del municipio..El municipio no relaciona
los usuarios a deshabilitar y el sistema cuando se le vence la
contrasena los inactiva. Se realiza reportes de inactivos del
municipio, reporte de cambios de autorizacion para solicitar la
creacion de usuarios y accesos. Preguntar a Monica
Lopez/Ximena sobre actas de contacto y relaciones autorizadas

Existe undiccionario de datos, que se actualiza el DBA, quien

realiza esta actividad que debe ser realizada por el personal de
desarrollo.

Creacion de usuarios, validar el perfil de los usuarios (que sea

el autorizado, debiera realizar muestras de perfiles en control
interno. Se comunican los traslados de personal de distintas
areas a traves de correos - Formato Solicitud de Clave

db2diag.log + DB2 Monitor + Reporte Espacio Produccion +

Soporte com IBM a traves de la linea de Asistencia Tecnica
(Customer Service Center - 2 Soporte Tecnico, y se tiene con
Redys, instalacion de discos, parches,), en la relacion costo
beneficio seria conveniente revisarlo..
Todas las aplicaciones estan direccionadas con Rawdvice para
diccionar a un mismo sitio.

Formato de requerimiento Lenix es analizado por Jenny y

Monica Lopez Coordinadora de automatizacion.
Cambios de area del municipio no so n reportados para
identificar la validez y actualidad del funcionario.