Informe Preliminar
Enviado por paul0 • 27 de Noviembre de 2012 • 1.471 Palabras (6 Páginas) • 526 Visitas
OBSERVACION Nº 1
Las contraseñas de acceso de los usuarios no están encriptadas
Condición:
Durante la revisión de la base de datos, referidos a las contraseñas de los usuarios para acceder al sistema EXPORTAFÁCIL no se contempló la encriptación de las contraseñas correspondiente al año 2011 en campo contraseña de la tabla usuarios, se detectó la no validación, por ende se almacenan de acuerdo como se registran, esto se hizo a través de una consulta de SQL; esta revisión de datos fue hecha por la comisión de auditoría el día 14-09-12 a las 11:00 am, en un ambiente de pruebas
Criterio:
Según criterio de expertos profesionales, instituciones como ISACA en seguridad de la información se recomienda que se maneje un tipo de encriptación para las contraseñas sean más seguras donde puedan contener letras, números (del tipo binario) y caracteres especiales.
Causa:
No se consideró relevante al momento de la adquisición del Sistema EXPORTAFÁCIL, y por la falta de conocimiento en el tema de seguridad de accesos.
Efecto:
El administrador de la base de datos puede saber la contraseña de todos los usuarios, así podría manipular y ver información que no le corresponde donde puede causar daños a la información del sistema.
Recomendación:
Se recomienda implementar encriptación a las contraseñas de acceso para un mejor control en el almacenamiento de las contraseñas de los usuarios en la base de datos y así permita alcanzar un nivel de seguridad aceptable dentro de las normas y políticas manejadas hoy en día por las diferentes empresas.
OBSERVACION Nº 2
Mala validación en llenado del campo fecha
Contenido:
Durante la revisión de los datos del sistema EXPORTAFÁCIL entre los días 03/08/12 y 09/09/12 al momento de revisar el funcionamiento del FORMULARIO COMPROBANTE se detectó que el campo Fecha donde solo corresponde datos de tipo fecha permite ingresar datos números.
Esta revisión de datos fue hecha por la comisión de auditoría el día 10-09-12 a las 12:20 pm, en un ambiente de pruebas
Criterio:
De acuerdo a los estándares de programación se contempla que en el campo fecha solo se debe poder ingresar datos de tipo fecha.
Causa:
Durante la construcción del sistema EXPORTAFÁCIL, los desarrolladores de la Consultora Encargada no han considerado la validación de los dígitos que se ingresan en el campo RUC del formulario de Guía de Remisión, para restringir el ingreso de datos numérico y/o signos de puntuación.
Efecto:
Durante el 03 de Agosto al 09 de Setiembre del 2012, se han realizado 20 actualizaciones de comprobante de venta como consecuencia de un mal registro de del campo Fecha, teniendo que imprimir nuevos comprobantes de ventas y anulando las anteriores, lo que ha demandado un tiempo de 4 minutos por cada una de estas transacciones, equivalente a 80 minutos y un gasto total equivalente a S/. 25.00.
Recomendación:
Se recomienda al área de sistemas que se contacte con la Consultora Encargada, quien desarrolló el sistema, para que le emita una solicitud de programación en el formulario de la comprobante que permita validar el ingreso de datos correctos en el campo fecha del formulario comprobante. Solo se debe permitir ingresar datos de tipo fecha.
OBSERVACION Nº 3
Tablas de la base datos sin uso
Contenido:
Como resultado de las evaluaciones hechas a la base de datos del sistema EXPORTAFÁCIL se encontró el día 17-09-12 a las 08:20am tablas que actualmente se encuentran con datos, los cuales no han sido ingresados por personal. Estas tablas reciben el nombre de facturas y persona. Se hizo las consultas con la consultora que construyó el sistema, e indicó que estabas tablas no tienen ningún uso.
Criterio:
Las buenas prácticas nos indican que el sistema ERP solo debe de tener tablas a las cuales se le va a dar uso, para poder simplificar el modelo de base datos que se genera, hacer más simples las tareas de hacer consultas a la base de datos.
Causa:
Estas tablas fueron creadas en la base de datos por la Consultora Encargada, consultora que construyó el sistema, y las crearon con fines de pruebas, pero no las eliminaron.
Efecto:
El analista de sistemas de Serpost en dos diferentes ocasiones realizó consultas a cada una de estas tablas, y entregó el resultado de la consulta al gerente general, siendo esta información errónea.
Recomendación:
Se recomienda eliminar de la base de datos a las tablas facturas y persona para evitar futuros errores en consultas.
OBSERVACION Nº4
Formulario consultar pedidos por usuario, no muestra datos
Contenido:
Como resultado de las evaluaciones hechas al sistema SISVEN/Consultar Pedidos por Usuario se detectó el día 15-09-12 a las 10:10 pm que este
...