Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
TECNOLOGIA DE LA INFORMACION.
EMPRESA: autocar
Objetivo
El presente documento tiene el objeto de documentar el trabajo de
auditoria realizado en un entorno de tecnologa de informacin en la
empresa autocar.
Observar la administracin actual de la tecnologa de informacin en
trmino de infraestructura, administracin de procesos y sistemas de
informacin.
Evidenciar hallazgos considerados como vulnerabilidades o prcticas no
adecuadas.
Facilitar recomendaciones respectivas mediantes las cuales ser posible
superar dichos hallazgos.
Alcance
Obtener una visin general del grado de eficacia respecto al control
interno informtico vigente en la administracin de la tecnologa de la
informacin de esta empresa.
Sobre todo controles respecto al acceso a los datos, administracin de
aplicativos, seguridad fsica y lgica, polticas, procedimientos y
operatividad de mdulos de sistemas de informacin.
Se pretende conocer la integridad de la informacin, las medidas de
seguridad aplicadas en los procesos, acceso a los sistemas de
informacin y resguardo de informacin fsica y digital.
Procedimientos realizados
Se realizaron entrevista e indagaciones del funcionamiento del sistema
de informacin, e igualmente situacin actual de la tecnologa de
informacin en la empresa AUTONICA.
Las personas entrevistadas fueron: Ing. Ramn Rodrguez (Jefe de
sistemas), Lic. Roberto Galn (Contador), Erika Rugama (Asistente de
contabilidad), Alidid Cordero (Asistente de contabilidad), Yader Garca
(Asistente de contabilidad) y Lic. Vctor Miranda (Nomina).
La informacin evaluada consta de:
Observaciones y debilidades
Es necesario tomar en cuenta que a pesar de ser esta una labor
observadora meramente informatica fue notorio cierta debilidad desde
un punto de vista de seguridad fsica, ya que en todas las ocasiones
que realice visita en AUTONICA, hacia diferentes reas en ninguna
ocasin fui revisado por Guardas de Seguridad ni se me consulto hacia
donde me diriga, lo que implica una debilidad en vista que podra
afirmar que cualquier persona es capaz de ingresar a las instalaciones y
obtener una finalidad estimada.
I.- INFRAESTRUCTURA:
1.- La seguridad del datacenter carece de sistema contra incendios.
2.- El acceso al centro de datos se registra con una bitcora manual.
3.- No existe un respaldo a nivel digital de la configuracin de los router
o switches principales.
4.- La informacin de los datos son adecuadamente respaldados, tanto
internamente como externamente.
5.- El sistema de backup energtico del datacenter no es adecuado.
6.- El control de trfico SONICWALL debe ser ms que un firewall.
7.- Se encontr una vulnerabilidad en la seguridad del sistema web
(mesa de ayuda-servidor TUCAN), administrada por el DIT. en el sentido
II.- ADMINISTRACION
1.- La empresa no cuenta con implementacin de normas
internacionales estndares de tecnologa informatica, necesaria para la
administracin con mejores prcticas: ITIL, Cobit, etc.
2.- No se facilit informacin respecto a cantidad de Pcs instaladas,
localizacin por rea y detalles tcnicos.
3.- Existe plan de mantenimiento para centro de datos, sin embargo no
existe formato de recibido de cumplimiento de dicho trabajo.
4.- Existe normativa respecto al uso de aplicaciones, internet y correo
electrnico.
5.- Existe un manual de procedimientos para servicio al Cliente Interno,
elaboracin de recibos de caja, levantar servidor virtual de respaldo de
website AUTONICA, activar espejo de servidor de bases de datos y
perfiles de puesto Facturacin y Soporte Tcnico DIT, actualizados al
ao 2015. No se mostr manual de procedimientos hacia los servicios
de soporte tcnicos y rutinas de actividad de programadores.
6.- Los sistemas de informacin desarrollados en AUTONICA carecen de
documentacin respecto al anlisis, diseo y diagramas de flujo.
7.- Existe un plan de continuidad de negocios adecuado, dicho formato
no cuenta con firmas que autoricen este plan de recuperacin por
desastres.
III.- SISTEMAS
1.- El sistema utilizado es Microsoft Dynamics GP en el cual se
encontraron las siguientes debilidades:
a.)
El sistema es estable, sin embargo en algunas ocasiones al
realizar determinadas transacciones se queda colgado.
b.)
En el formulario de General Recibos existe un error que en el
detalle de factura aparecen en ocasiones clientes que no tienen
que ver con la factura, en ese caso se pasa el recibo a histrico y
se llama al DIT para que realice la correccin.
c.)En el formulario de entrada de transacciones existen facturas que
no quedan posteadas. Confirmado en el Super SmartList, donde no
existe la factura ni es devolucin.
2.- La base de datos contiene usuarios adecuadamente protegida con
tablas encriptadas.
3.- Existe roles y permisos asignados que son asignados a los usuarios
mediante perfiles basados en las funciones a desempear.
En los usuarios de apoyo a la contabilidad fue posible observar que los
permisos en los perfiles son muy generales. Existen funcionalidades que
Recomendaciones
A criterio personal por las caractersticas mismas del DIT cuya funcin
principal es la administracin de la informacin incluyendo esto el
desarrollo y mantenimiento del software y aplicaciones; los procesos de
compras y facturacin deben pertenecer a un departamento diferente.
Ya que en todo caso IT seria juez y parte en el manejo de la informacin.
I.- INFRAESTRUCTURA
1.- El datacenter debe estar correctamente equipado con un adecuado
sistema de climatizacin con aire libre de humedad y un adecuado
sistema contra incendio que permita prevenir un desastre mayor.
2.- El acceso al centro de datos debe ser automatizado con un sistema
de control de acceso por huella o cdigo digital esto permite registrar
horas exactas y discriminar solamente personal autorizado por ser un
rea critica de la empresa.
II.- ADMINISTRACION
1.- ITIL y COBIT: son lineamientos que forman parte de las buenas
prcticas a nivel de tecnologa informatica, que toda empresa debe
poner en uso a fin de obtener una adecuada administracin en la
gestin informatica.
Ambos son complementarios:
COBIT
sirve
para planear, organizar, dirigir y
controlar toda la funcin informtica dentro de una empresa. Acta
sobre la dirigencia y ayuda a estandarizar la organizacin.
ITIL acta sobre los procesos y, a travs del conjunto de buenas
prcticas que lo conforman, mejorar el servicio que ofrece la
empresa y medirlos (para una mejora continua).
III.- SISTEMAS
1.- El sistema Dynamics GP en el momento que se desborda
temporalmente como suele suceder en ocasiones, posibilita que no se
actualicen correctamente la informacin en ciertas tablas por lo que
hay que llamar al DIT para realizar dichas correcciones.
Esto podra obedecer a consultas en base de datos bastante pesadas
que generan cuellos de botella o ya sea que el rendimiento del servidor
mismo se logre maximizar y sea necesario incrementar capacidad.
Elaborado Por
Ing. Lester Salinas