INFORME AUDITORIA GESTION DE TECNOLOGIA DE LA INFORMACION.
Enviado por lsalinas15 • 8 de Diciembre de 2016 • Informe • 2.431 Palabras (10 Páginas) • 526 Visitas
INFORME AUDITORIA GESTION DE TECNOLOGIA DE LA INFORMACION.
EMPRESA: AUTONICA
Objetivo
El presente documento tiene el objeto de documentar el trabajo de auditoria realizado en un entorno de tecnología de información en la empresa AUTONICA.
Observar la administración actual de la tecnología de información en término de infraestructura, administración de procesos y sistemas de información.
Evidenciar hallazgos considerados como vulnerabilidades o prácticas no adecuadas.
Facilitar recomendaciones respectivas mediantes las cuales será posible superar dichos hallazgos.
Alcance
Obtener una visión general del grado de eficacia respecto al control interno informático vigente en la administración de la tecnología de la información de esta empresa.
Sobre todo controles respecto al acceso a los datos, administración de aplicativos, seguridad física y lógica, políticas, procedimientos y operatividad de módulos de sistemas de información.
Se pretende conocer la integridad de la información, las medidas de seguridad aplicadas en los procesos, acceso a los sistemas de información y resguardo de información física y digital.
Así mismo determinar la situación actual respecto a la administración de redes, servidores e instalación física y su correcto funcionamiento.
Otro propósito es la seguridad de medios electrónicos en el proceso de aplicaciones contables y grado de automatización de estos procesos, facilitando un informe de recomendaciones en base a los hallazgos y deficiencias consideradas. Con la finalidad de que dichas deficiencias sean corregidas y mejorar la gestión informatica en la empresa AUTONICA.
Existen tres aspectos relevantes que se pretenden evaluar:
- Infraestructura o hardware: Especificaciones técnicas, planes de mantenimiento, configuraciones de respaldo y niveles de seguridad.
- Procesos o administración: Manuales técnicos, manuales de usuarios, manual de funciones, Flujo de procesos.
- Software: Estructura del software, Estructura de la base de datos y relación de tablas, Normalización en el diseño de la base de datos, compatibilidad del software con el sistema operativo, niveles de seguridad, planes de mantenimiento de software y reportes varios que se provee.
Procedimientos realizados
Se realizaron entrevista e indagaciones del funcionamiento del sistema de información, e igualmente situación actual de la tecnología de información en la empresa AUTONICA.
Las personas entrevistadas fueron: Ing. Ramón Rodríguez (Jefe de sistemas), Lic. Roberto Galán (Contador), Erika Rugama (Asistente de contabilidad), Alidid Cordero (Asistente de contabilidad), Yader García (Asistente de contabilidad) y Lic. Víctor Miranda (Nomina).
La información evaluada consta de:
1.- Documentación de la gestión informatica actual (manuales de procedimientos, políticas, manuales de usuario, organización de la estructura IT, planes de mantenimiento)
2.- Observación de los niveles de seguridad y métodos de protección ante situaciones que pueden comprometer los datos de la institución (Antivirus, Respaldos, Firewalls, Equipos de seguridad, etc.)
3.- Análisis del funcionamiento y observación de vulnerabilidades en el proceso de registro o manejo de los sistemas automatizados.
Observaciones y debilidades
Es necesario tomar en cuenta que a pesar de ser esta una labor observadora meramente informatica fue notorio cierta debilidad desde un punto de vista de seguridad física, ya que en todas las ocasiones que realice visita en AUTONICA, hacia diferentes áreas en ninguna ocasión fui revisado por Guardas de Seguridad ni se me consulto hacia donde me dirigía, lo que implica una debilidad en vista que podría afirmar que cualquier persona es capaz de ingresar a las instalaciones y obtener una finalidad estimada.
I.- INFRAESTRUCTURA:
1.- La seguridad del datacenter carece de sistema contra incendios.
2.- El acceso al centro de datos se registra con una bitácora manual.
3.- No existe un respaldo a nivel digital de la configuración de los router o switches principales.
4.- La información de los datos son adecuadamente respaldados, tanto internamente como externamente.
5.- El sistema de backup energético del datacenter no es adecuado.
6.- El control de tráfico SONICWALL debe ser más que un firewall.
7.- Se encontró una vulnerabilidad en la seguridad del sistema web (mesa de ayuda-servidor TUCAN), administrada por el DIT. en el sentido que es posible utilizar el evento inspeccionar elemento contenido en los navegadores web mediante el cual es posible tomar la contraseña descrita y observarla en texto plano.
8.- Muchos equipos no tienen licencia Endpoint Security en antivirus, utilizando en segundo plano Avast Free Edition.
9.- El acceso a la información digital no tiene suficiente nivel de seguridad.
II.- ADMINISTRACION
1.- La empresa no cuenta con implementación de normas internacionales estándares de tecnología informatica, necesaria para la administración con mejores prácticas: ITIL, Cobit, etc.
2.- No se facilitó información respecto a cantidad de Pcs instaladas, localización por área y detalles técnicos.
3.- Existe plan de mantenimiento para centro de datos, sin embargo no existe formato de recibido de cumplimiento de dicho trabajo.
4.- Existe normativa respecto al uso de aplicaciones, internet y correo electrónico.
5.- Existe un manual de procedimientos para servicio al Cliente Interno, elaboración de recibos de caja, levantar servidor virtual de respaldo de website AUTONICA, activar espejo de servidor de bases de datos y perfiles de puesto Facturación y Soporte Técnico DIT, actualizados al año 2015. No se mostró manual de procedimientos hacia los servicios de soporte técnicos y rutinas de actividad de programadores.
6.- Los sistemas de información desarrollados en AUTONICA carecen de documentación respecto al análisis, diseño y diagramas de flujo.
7.- Existe un plan de continuidad de negocios adecuado, dicho formato no cuenta con firmas que autoricen este plan de recuperación por desastres.
8.- En el sistema Dynamics GP la ayuda esta soportada por la misma aplicación, y es posible ser obtenida impresa y digital.
9.- El organigrama del área informatica consta de soportes técnicos, analistas programadores y personal de facturación.
...