INFORME AUDITORIA GESTION DE

TECNOLOGIA DE LA INFORMACION.
EMPRESA: autocar
Objetivo
El presente documento tiene el objeto de documentar el trabajo de
auditoria realizado en un entorno de tecnologa de informacin en la
empresa autocar.
Observar la administracin actual de la tecnologa de informacin en
trmino de infraestructura, administracin de procesos y sistemas de
informacin.
Evidenciar hallazgos considerados como vulnerabilidades o prcticas no
adecuadas.
Facilitar recomendaciones respectivas mediantes las cuales ser posible
superar dichos hallazgos.

Alcance
Obtener una visin general del grado de eficacia respecto al control
interno informtico vigente en la administracin de la tecnologa de la
informacin de esta empresa.
Sobre todo controles respecto al acceso a los datos, administracin de
aplicativos, seguridad fsica y lgica, polticas, procedimientos y
operatividad de mdulos de sistemas de informacin.
Se pretende conocer la integridad de la informacin, las medidas de
seguridad aplicadas en los procesos, acceso a los sistemas de
informacin y resguardo de informacin fsica y digital.

As mismo determinar la situacin actual respecto a la administracin

de redes, servidores e instalacin fsica y su correcto funcionamiento.
Otro propsito es la seguridad de medios electrnicos en el proceso de
aplicaciones contables y grado de automatizacin de estos procesos,
facilitando un informe de recomendaciones en base a los hallazgos y
deficiencias consideradas. Con la finalidad de que dichas deficiencias
sean corregidas y mejorar la gestin informatica en la empresa
AUTONICA.
Existen tres aspectos relevantes que se pretenden evaluar:
a.)
Infraestructura o hardware: Especificaciones tcnicas, planes
de mantenimiento, configuraciones de respaldo y niveles de
seguridad.
b.)
Procesos o administracin: Manuales tcnicos, manuales de
usuarios, manual de funciones, Flujo de procesos.
c.)Software: Estructura del software, Estructura de la base de datos y
relacin de tablas, Normalizacin en el diseo de la base de datos,
compatibilidad del software con el sistema operativo, niveles de
seguridad, planes de mantenimiento de software y reportes varios
que se provee.

Procedimientos realizados
Se realizaron entrevista e indagaciones del funcionamiento del sistema
de informacin, e igualmente situacin actual de la tecnologa de
informacin en la empresa AUTONICA.
Las personas entrevistadas fueron: Ing. Ramn Rodrguez (Jefe de
sistemas), Lic. Roberto Galn (Contador), Erika Rugama (Asistente de
contabilidad), Alidid Cordero (Asistente de contabilidad), Yader Garca
(Asistente de contabilidad) y Lic. Vctor Miranda (Nomina).
La informacin evaluada consta de:

1.- Documentacin de la gestin informatica actual (manuales de

procedimientos, polticas, manuales de usuario, organizacin de la
estructura IT, planes de mantenimiento)
2.- Observacin de los niveles de seguridad y mtodos de proteccin
ante situaciones que pueden comprometer los datos de la institucin
(Antivirus, Respaldos, Firewalls, Equipos de seguridad, etc.)
3.- Anlisis del funcionamiento y observacin de vulnerabilidades en el
proceso de registro o manejo de los sistemas automatizados.

Observaciones y debilidades
Es necesario tomar en cuenta que a pesar de ser esta una labor
observadora meramente informatica fue notorio cierta debilidad desde
un punto de vista de seguridad fsica, ya que en todas las ocasiones
que realice visita en AUTONICA, hacia diferentes reas en ninguna
ocasin fui revisado por Guardas de Seguridad ni se me consulto hacia
donde me diriga, lo que implica una debilidad en vista que podra
afirmar que cualquier persona es capaz de ingresar a las instalaciones y
obtener una finalidad estimada.
I.- INFRAESTRUCTURA:
1.- La seguridad del datacenter carece de sistema contra incendios.
2.- El acceso al centro de datos se registra con una bitcora manual.
3.- No existe un respaldo a nivel digital de la configuracin de los router
o switches principales.
4.- La informacin de los datos son adecuadamente respaldados, tanto
internamente como externamente.
5.- El sistema de backup energtico del datacenter no es adecuado.
6.- El control de trfico SONICWALL debe ser ms que un firewall.
7.- Se encontr una vulnerabilidad en la seguridad del sistema web
(mesa de ayuda-servidor TUCAN), administrada por el DIT. en el sentido

que es posible utilizar el evento inspeccionar elemento contenido en los

navegadores web mediante el cual es posible tomar la contrasea
descrita y observarla en texto plano.
8.- Muchos equipos no tienen licencia Endpoint Security en antivirus,
utilizando en segundo plano Avast Free Edition.
9.- El acceso a la informacin digital no tiene suficiente nivel de
seguridad.

II.- ADMINISTRACION
1.- La empresa no cuenta con implementacin de normas
internacionales estndares de tecnologa informatica, necesaria para la
administracin con mejores prcticas: ITIL, Cobit, etc.
2.- No se facilit informacin respecto a cantidad de Pcs instaladas,
localizacin por rea y detalles tcnicos.
3.- Existe plan de mantenimiento para centro de datos, sin embargo no
existe formato de recibido de cumplimiento de dicho trabajo.
4.- Existe normativa respecto al uso de aplicaciones, internet y correo
electrnico.
5.- Existe un manual de procedimientos para servicio al Cliente Interno,
elaboracin de recibos de caja, levantar servidor virtual de respaldo de
website AUTONICA, activar espejo de servidor de bases de datos y
perfiles de puesto Facturacin y Soporte Tcnico DIT, actualizados al
ao 2015. No se mostr manual de procedimientos hacia los servicios
de soporte tcnicos y rutinas de actividad de programadores.
6.- Los sistemas de informacin desarrollados en AUTONICA carecen de
documentacin respecto al anlisis, diseo y diagramas de flujo.
7.- Existe un plan de continuidad de negocios adecuado, dicho formato
no cuenta con firmas que autoricen este plan de recuperacin por
desastres.

8.- En el sistema Dynamics GP la ayuda esta soportada por la misma

aplicacin, y es posible ser obtenida impresa y digital.
9.- El organigrama del rea informatica consta de soportes tcnicos,
analistas programadores y personal de facturacin.

III.- SISTEMAS
1.- El sistema utilizado es Microsoft Dynamics GP en el cual se
encontraron las siguientes debilidades:
a.)
El sistema es estable, sin embargo en algunas ocasiones al
realizar determinadas transacciones se queda colgado.
b.)
En el formulario de General Recibos existe un error que en el
detalle de factura aparecen en ocasiones clientes que no tienen
que ver con la factura, en ese caso se pasa el recibo a histrico y
se llama al DIT para que realice la correccin.
c.)En el formulario de entrada de transacciones existen facturas que
no quedan posteadas. Confirmado en el Super SmartList, donde no
existe la factura ni es devolucin.
2.- La base de datos contiene usuarios adecuadamente protegida con
tablas encriptadas.
3.- Existe roles y permisos asignados que son asignados a los usuarios
mediante perfiles basados en las funciones a desempear.
En los usuarios de apoyo a la contabilidad fue posible observar que los
permisos en los perfiles son muy generales. Existen funcionalidades que

estn habilitadas en el sistema GP para usuarios que no utilizan en el

trabajo normal que desempean.
Ejemplo de esto el usuario Ericka Rugama anteriormente se
desempeaba en otra rea y en la actualidad an tienen los mismos
permisos que ya no utiliza pero con acceso a los mismos.

Recomendaciones
A criterio personal por las caractersticas mismas del DIT cuya funcin
principal es la administracin de la informacin incluyendo esto el
desarrollo y mantenimiento del software y aplicaciones; los procesos de
compras y facturacin deben pertenecer a un departamento diferente.
Ya que en todo caso IT seria juez y parte en el manejo de la informacin.
I.- INFRAESTRUCTURA
1.- El datacenter debe estar correctamente equipado con un adecuado
sistema de climatizacin con aire libre de humedad y un adecuado
sistema contra incendio que permita prevenir un desastre mayor.
2.- El acceso al centro de datos debe ser automatizado con un sistema
de control de acceso por huella o cdigo digital esto permite registrar
horas exactas y discriminar solamente personal autorizado por ser un
rea critica de la empresa.

3.- Los switches y routers, son equipos de comunicacin que deben

poseer un respaldo a nivel de archivo digital, de esta forma en caso del
dao del mismo es posible con esta informacin es posible restaurar en
forma gil los servicios de red.
4.- Es necesario tener documentado procedimientos para la realizacin
de respaldo de las bases de datos de los sistemas de informacin, as
mismo documentar el cumplimiento de los mismos.
5.- En caso de fallas energticas es necesario tener un adecuado
sistema de respaldo ya que en poco tiempo se provocara cada de los
servicios de red y servidores, recomendados tambin tener planes
documentados de mantenimiento de bateras, ups, estabilizadores y
supresores de voltaje.
6.- El equipo de seguridad perimetral UTM (Gestin Unificada de
Amenazas) debe contar con funcionalidades adicionales de un firewall
(administrador de bloqueo y permiso de puertos), se deben extender a
IPS (Sistema de Prevencin de Intrusos) e IDS (Sistema de deteccin de
intrusos), incluyendo actualizaciones en base de datos de amenazas
globalizada en redes externas inteligentes.
Lo que complica explotacin de vulnerabilidades en sistemas internos
por parte de terceros (hackers) con fines de lucro.
7.- En el acceso al sistema web TUCAN, es necesario denegar el evento
click derecho de los navegadores sobre el campo contrasea para evitar
el evento inspeccionar elemento y el cambio de la clave password por
text, de igual forma evitar a los navegadores el registro automtico de
las contraseas. Con esto se evitara el hacking de contraseas a
usuarios que logren acceso a equipos con acceso a este sitio web.
8.- Las plataformas de antivirus free-edition (gratuitos) o crackeados no
son recomendados en un entorno empresarial debido a que carecen de
muchas funcionalidades de seguridad contra antispyware, malware,
spyware y spam, etc. Lo que incurre en una latente vulnerabilidad
interna de explotacin hacia la informacin de la empresa.
Es importante tambin adquirir sistemas operativos y aplicaciones sin
parches, con las ltimas actualizaciones, evitando de esta forma
dificultar la explotacin de vulnerabilidades de sistemas operativos.

9.- En los manuales de procedimiento de tcnicos se contempla la

revisin del impedimento de uso de los dispositivos de almacenamiento
usb. A pesar que existen dichas polticas no tienen cumplimiento
estricto, existen equipos con puertos usb con accesos abiertos.
Existen muchas aplicaciones que pueden controlar el uso de estos
puertos. Uno de ellos es el motor de administracin de las consolas de
antivirus en cuyas reglas es posible configurar que equipos deberan
tener acceso a estos puertos.

II.- ADMINISTRACION
1.- ITIL y COBIT: son lineamientos que forman parte de las buenas
prcticas a nivel de tecnologa informatica, que toda empresa debe
poner en uso a fin de obtener una adecuada administracin en la
gestin informatica.
Ambos son complementarios:
COBIT
sirve
para planear, organizar, dirigir y
controlar toda la funcin informtica dentro de una empresa. Acta
sobre la dirigencia y ayuda a estandarizar la organizacin.
ITIL acta sobre los procesos y, a travs del conjunto de buenas
prcticas que lo conforman, mejorar el servicio que ofrece la
empresa y medirlos (para una mejora continua).

2.- El conocimiento de los Ordenadores instalados, localizacin por rea

y sus capacidades es necesario conocerlos ya que nos permite la
comprensibilidad de las capacidades necesarias para el manejo de los
sistemas de informacin adecuadamente.
3.- La documentacin de planificacin de centro de datos y otros
mantenimientos de carcter general de tecnologa informatica existe
actualmente solamente en documentos digitales, esto es importante
que sea supervisado y recibido por una auditoria interna que certifique
el correcto cumplimiento del mismo, tambin es necesario que toda
esta informacin sea documentada debidamente.
4.- Las normativas respecto al uso de aplicaciones, internet y correo
electrnico, es adecuada pero debe ir acompaada de su debida
supervisin. Los sitios visitados por usuarios que hacen uso de internet
y correo deben ser expuestos en reportes generados por sistemas de
filtros de pginas visitadas, as mismo monitoreo de intento de
instalacin de aplicaciones y envos de correos no comunes. Existen
filtros de contenido que nos facilitan esta informacin, inclusive posible
intentos de personas que pretendan aprovechase de sus permisos a fin
de ser puestos en evidencia y evitar infiltracin de intrusos hacia la
informacin confidencial de la empresa.
5.- Todos los manuales, polticas y procedimientos adems de estas
documentados y autorizados por las autoridades pertinentes deben
estar actualizados siempre, en vista que basado en las experiencias
adquiridas y operatividad del negocio siempre debe estar en constante
actualizacin de nuevas detalles que varan respecto al tiempo y
manejo de los procesos.
6.- Las actividades en el desarrollo y mantenimiento de los sistemas de
informacin no se debe solamente se programar en base a las
necesidades, es necesario siempre tener el personal necesario para
documentar todo manual de uso del mismo; as como la documentacin
del proceso de la ingeniera del software en el anlisis y diseo con sus
respectivo diagrama de flujo de la informacin. Con objeto de que sea
fcil el entendimiento del mismo previo a la codificacin.
Facilitamos con esto que programadores posteriores en el tiempo logren
modificaciones adecuadas a los cdigos fuentes en tiempo y forma
requerida.

7.- Los planes de continuidad de negocios deben ser de conocimiento y

firmados por las autoridades pertinentes, todos los procedimientos a
realizarse en este documento debe ser bien detallados y claros de
forma tal que personas del rea de tecnologa informatica deben saber
exactamente qu hacer en caso de emergencia y situaciones que
pongan en riesgos la informacin de la empresa.
8.- El manual de uso del sistema Dynamics GP, debe facilitarse a los
usuarios de carcter escrito, actualmente solo es posible observarlo en
la ayuda del mismo y debe ser entregada a los usuarios para su
conocimiento pleno.
El mismo comportamiento debe aplicar al resto de sistemas de
informacin en administracin de los usuarios.
9.- Es importante para una empresa grande segmentar las reas del DIT
en: Soportes Tcnicos, Infraestructura, Analistas Programadores, DBA y
Seguridad.
A fin de facilitar adecuadamente y en tiempo respuestas a los usuarios
finales sin afectacin de las operaciones de la empresa.

III.- SISTEMAS
1.- El sistema Dynamics GP en el momento que se desborda
temporalmente como suele suceder en ocasiones, posibilita que no se
actualicen correctamente la informacin en ciertas tablas por lo que
hay que llamar al DIT para realizar dichas correcciones.
Esto podra obedecer a consultas en base de datos bastante pesadas
que generan cuellos de botella o ya sea que el rendimiento del servidor
mismo se logre maximizar y sea necesario incrementar capacidad.

Los errores en la parte lgica del sistema GP en la desincronizacin de

informacin posiblemente obedecen a inconsistencias en la base de
datos o actualizacin de la misma, es necesario que sea analizada por
un DBA (especialista administrador de base de datos) para determinar
el cruce de informacin y su correccin respectiva.
2.- Los usuarios en la base de datos estn debidamente protegidos, sin
embargo a nivel de formularios es necesario tener un mejor control del
acceso de los usuarios no solamente por perfil, sino detenidamente
acorde a su cargo y sus funciones solamente lo necesario.
3.- Es necesario analizar detalladamente los perfiles que se encuentran
de carcter muy general y que representan un riesgo de acceso de
usuarios a los sistemas de informacin, as mismo seguimiento y
actualizacin de dichos permisos en el momento en que el personal sea
reubicado en alguna otra rea acorde a sus funciones.

Elaborado Por
Ing. Lester Salinas