Preview only show first 10 pages with watermark. For full document please download

Informe De Auditoria Bd Final

Rating
Date

June 2018
Size

1.2MB
Views

9,924
Categories

Information Security Backup Databases Software Evaluation

Transcript

República Bolivariana de Venezuela INFORME PRELIMINAR Auditoría Informática Informática a la Base de Datos del Sistema Integral Integral Venequip Venequip (SIV) en la empresa Venequip S.A. sucursal Barquisimeto. Barquisimeto. Integrantes: Herliana D. Torcate Danny Peña Barquisimeto 01 de Junio de 2013 Índice de Versiones Fecha Versión Descripción Autor 24/05/2013 1.0 Informe Equipo Auditor 24/05/2013 1.0 Revisión de Informe Mailen Camacaro 25/05/2013 1.1 Informe Equipo Auditor 13/06/2013 1.2 Informe final Equipo auditor Índice de Versiones Fecha Versión Descripción Autor 24/05/2013 1.0 Informe Equipo Auditor 24/05/2013 1.0 Revisión de Informe Mailen Camacaro 25/05/2013 1.1 Informe Equipo Auditor 13/06/2013 1.2 Informe final Equipo auditor Índice CARTA DE PRESENTACIÓN ..................... ................................ ...................... ...................... ...................... ...................... ...................... ...................... ...................... ...................... .............. ... 4 CRONOGRAMA DE ACTIVIDADES FASE I ..................... ................................ ...................... ...................... ...................... ...................... ...................... ....................... ................ .... 7 INTRODUCCIÓN ........................................................................................................................................... 8 FASE I: ASPECTOS PRELIMINARES ..................... ................................ ...................... ...................... ...................... ...................... ...................... ...................... ...................... .............. ... 9 IDENTIFICACIÓN DE LA ORGANIZACIÓN ............................ .......................................... ............................ ............................ ............................ ............................. ............................ ................. .... 9 ALCANCE ........................... ......................................... ............................ ............................ ............................ ............................ ............................ ............................ ............................. ............................. ................ 9 OBJETIVO GENERAL ........................... ......................................... ............................ ............................ ............................ ............................ ............................ ............................ ............................. ................. 9 OBJETIVOS ESPECÍFICOS .......................... ......................................... ............................. ............................ ............................ ............................ ............................ ............................ ....................... ......... 10 MATRIZ DE ANÁLISIS............................ .......................................... ............................ ............................. ............................. ............................ ............................ ............................ ......................... ........... 11 PROGRAMA DE AUDITORÍA ............................ ........................................... ............................. ............................ ............................ ............................ ............................ ............................ ................ .. 14 FASE II: DESARROLLO DE LA AUDITORIA ...................... ................................. ...................... ...................... ...................... ...................... ...................... ...................... ............. 16 HALLAZGOS DE LA AUDITORÍA ...................... ................................. ...................... ...................... ...................... ...................... ...................... ....................... ....................... ............... .... 36 CONCLUSIONES Y RECOMENDACIONES ..................... ................................ ...................... ...................... ...................... ...................... ...................... ....................... .............. .. 43 Carta de presentación Barquisimeto, 24 de Mayo de 2013 Ciudadano Ing. Winston Rivero Gerente Nacional de Sistemas deVENEQUIP S.A. Su despacho.Reciba ante todo un cordial saludo. En atención a su solicitud y considerando conversaciones sostenidas entre Ud. y nuestra gerencia, por medio de la presente hacemos llegar nuestra propuesta de servicios profesionales para la realización de la Auditoría Auditoría Informática Informática a la Base Base de Datos del del Sistema Integral Venequip (SIV), de la empresa Venequip S.A. sucursal Barquisimeto la cual Ud. representa, para su análisis y consideración. Es oportuno mencionar que el alcance de los servicios ofrecidos, comprende: Fase I. Etapa Preliminar Fase II. Desarrollo de la Auditoria Fase III. Informe. De igual manera hacemos de su conocimiento algunos aspectos de la auditoria que son de su interés: TIEMPO Y RECURSOS : Hemos estimado que el servicio tendrá una duración de 30 días, el cual será distribuido por persona de la siguiente manera: Categoría SOCIO GERENTE SENIOR ASISTENTE OTROS TOTALES % Tiempo de trabajo 0,36% 9,29% 39,29% 50,71% 0,36% 100,00% Horas-Hombre para la realización de trabajo de Auditoria Bs/Hra (basado en UT) PERSONAL / ACTIVIDADES: Información General SOCIO GERENTE SENIOR ASISTENTE OTROS TOTAL 1 Planificación 8 4 Elaboración de Cuestionario C.I Evaluación del Control Interno 4 Elaboración de Programas de Auditoria Identificación de Riesgos Identificación de Controles Aplicación de Pruebas Evaluación de los Sistemas de Información 4 Revisión de los Papeles de Trabajo. Elaboración del Informe 2 4 Discusión del Informe Entrega y Presentación Final TOTALES 1 26 4 8 40 16 8 8 4 8 4 8 2 110 1 9 12 16 120 36 16 16 8 16 12 8 6 5 1 280 4 8 80 16 8 8 4 8 4 2 142 HONORARIOS PROFESIONALES: Hemos estimado nuestros honorarios profesionales, en la cantidad de Bs 61.418,00los cuales facturemos: GASTOS TOTAL HONORARIOS PROFESIONALES GASTOS ADMINISTRATIVOS MONTO (Bs.) Bs. 29.960,00 Bs. 8.988,00 HONORARIO POR SERVICIO DE AUDITORIA TOTAL Bs. 22.470,00 Bs. 61.418,00 El Impuesto al Valor Agregado, será facturado por aparte en la factura presentada. Por otra parte los gastos de traslados, transporte interno, alojamiento y alimentación de nuestro personal en la Ciudad de Barquisimeto, o cualquier otra localidad que amerite ser visitada para cumplir con los objetivos de la auditoria serán por cuenta de la compañía, y nos serán reembolsadas contra la presentación de las facturas de gastos correspondientes Asimismo, para cualquier información adicional que requiera en relación a la propuesta planteada, favor comunicarse con mi persona a través del número telefónico: xxx-yyyyyyy Sin más por el momento y quedando a su disposición para aclarar o ampliar el contenido de la presente, se despide Atentamente Johanna Simons Cronograma de actividades Fase I Actividad N° 1 2 3 4 5 6 7 Nombre Contacto con el Cliente Entrevista preliminar Solicitud de documentos Determinación del alcance de la auditoría Elaboración de la matriz de análisis de la auditoria Elaboración de programa de elaboración de Auditoría Informática Presupuesto Responsable Johanna Simons Johanna Simons Johanna Simons HerlianaTorcate HerlianaTorcate Semana 1 2 X X X 3 X X Danny Peña X Danny Peña X Introducción En las organizaciones de hoy, la información ha pasado a ser un factor clave para su propia estabilidad, permanencia y escalabilidad, en un mercado tan competitivo donde las exigencias de todo un entorno asociado a las actividades de las organizaciones, que día a día exigen cambios en todos y cada uno de los procesos de negocios , solo sobrevivirán aquellas quienes se adapten y comprendan que estas exigencias van ligadas al crecimiento de los procesos de TI y entiendan que estos juegan un papel protagónico para que el éxito llegue y se quede, por tal motivo, el implementar tecnología para cumplir con tantas exigencia, conlleva a las organizaciones a establecer mecanismos que aseguren el buen desempeño de las funciones para las cuales han sido concebidos, adicionalmente es necesario incorporar dentro de los procesos de una organización métodos que permitan monitorizarlos y que ayuden a garanticen el buen funcionamiento de las soluciones de TI implementadas. La auditoría en informática, es una herramienta que nace para detectar, prevenir y mejorar todos estos procesos medulares de una organización tecnológicamente orientada, siendo la evaluación uno de los aspectos más importantes para que estas actividades de revisión culminen con los resultados esperados por cada uno de sus actores. Consideramos la evaluación como una parte del proceso de mejora y gestión de la calidad en los servicios. A su vez, nos basamos en un tipo concreto de evaluación a través de indicadores. El propósito de esta auditoría informática a la Base de Datos del Sistema Integral Venequip (SIV) en la empresa Venequip S.A. sucursal Barquisimeto es medir el rendimiento de la BD, a través de unos instrumentos de análisis que sirven para evaluarla y para la toma de decisiones referidas ala misma. El modelo de evaluación que utilizamos, se basa en la definición de unos indicadores de rendimiento, que nos ofrecerán información sobre el funcionamiento del servicio y sobre su eficacia. El modelo de evaluación consta de tres fases. Se inicia con el levantamiento de información y delimitación del análisis. Estaríamos en una fase meramente descriptiva, destinada a obtener referencia sobre las distintas variables requeridas para realizar la evaluación de la BD. En una segunda etapa, se procederá a la aplicación de instrumentos y pruebas para obtener los valores o resultados de los indicadores previamente definidos, que nos ofrecerán información sobre el rendimiento y eficacia de la BD. Finalmente se analizaran e interpretaran estos valores, para presentar un informe final a la gerencia general de sistemas de VENEQUIP S.A. FASE I: ASPECTOS PRELIMINARES Identificación de la Organización Venequip, S.A. es una organización venezolana líder en el mercado como distribuidor exclusivo de equipos Caterpillar, entre sus servicios se encuentran la venta, alquiler, repuestos originales y servicio post-venta para maquinaria pesada y equipos industriales. La empresa maneja todos sus procesos a través de un sistema único llamado SIV (Sistema Integral Venequip) que corre en un servidor IBM AS/400 y utiliza el manejador de base de datos IBM/DB2 ubicado en el mismo servidor. Misión Ofrecer lo mejor a nuestros cliente, no solo con nuestros productos sino también con nuestros servicios, manteniéndolos siempre satisfechos con la calidad que caracteriza a nuestra organización. Visión Seguir siendo la empresa líder en cuanto a maquinaria pesadas tanto en producto y servicios, no solo consolidarse en esta rama, sino también tener sistemas de información sólidos y robusto que permitan el buen funcionamiento de toda la organización con el fin de mejorar y brindarle a todos nuestros clientes y al país el mejor servicio. Alcance Auditoría Informática a la Base de Datos del Sistema Integral Venequip (SIV) en la empresa Venequip S.A. sucursal Barquisimeto, período Enero 2012 – Enero 2013. Objetivo General  Realizar una Auditoría Informática a la Base de Datos del Sistema Integral Venequip (SIV) en la empresa Venequip S.A. sucursal Barquisimeto. Objetivos específicos  Diagnosticar la situación actual de la gestión de la base de datos del Sistema Integral Venequip (SIV)  Evaluar el control interno y externo para la base de datos del Sistema Integral Venequip (SIV)  Analizar la información recolectada durante el proceso de Auditoría Informática de Base de Datos  Presentar Informe del proceso de Auditoría Informática de Base de Datos Matriz de Análisis Código MATRIZ DE ANALISIS DE AUDITORIA INFORMATICA DE BASE DE DATOS DE LA EMPRESA VENEQUIP S.A. OBJETIVOS GENERAL ESPECIFICOS DIMENSION INDICADORES INSTRUMENTOS  Realizar una Auditoría Informática de la Base de Datos de la empresa Venequip S.A. del Estado Lara para el Sistema Integral Venequip (SIV)  Diagnosticar la situación Organización actual de la gestión de la base de datos del Sistema Integral Venequip (SIV)     Gestión     Diseño de la BD Evaluar el control (Estructura Física) interno y externo para la base de datos del Sistema Integral Venequip (SIV)    Diseño de la BD (Estructura lógica)    Actualización y Presentación de los datos    Procedimientos de respaldo y recuperación de los datos     Integridad de los datos     Existencia de documentación de objetivos. Existencias de políticas de seguridad y normas en la empresa. Definiciones de cargos. Recursos humanos y materiales. Segregación de funciones. Especificación de la plataforma y el lenguaje usado. Diccionario de Datos Interoperabilidad e integración con otras herramientas Aplicaciones con uso intensivo de consultas Indexación Capacidad para realizar búsquedas Facilidad para juzgar la adecuación de los registros a la búsqueda deseada Esfuerzo requerido en la recuperación Grado de actualización Nivel de crecimiento Fiabilidad y precisión de los datos Existencia de documentación de políticas de respaldo y recuperación Rutinas de copia de seguridad y recuperación Puntos de comprobación Registro de actividades Tasa de pertinencia, precisión o relevancia Integridad de Entidades Integridad de Dominios Integridad Referencial         Entrevistas. Lista de chequeo Observación directa. Observación directa. Entrevistas. Cuestionarios. Listas de Chequeo Pruebas de Software Caja Negra  Actualización y Presentación de los datos    Procedimientos de respaldo y recuperación de los datos  Existencia de documentación de políticas de respaldo y recuperación Rutinas de copia de seguridad y recuperación Puntos de comprobación Registro de actividades Tasa de pertinencia, precisión o relevancia Integridad de Entidades Integridad de Dominios Integridad Referencial Existencia de documentación de políticas de seguridad. Control de acceso. Gestión de archivos de auditoria LOGS. Resultados obtenidos  Informe     Integridad de los datos     Seguridad de acceso a los datos      Analizar la información  Análisis de la información registros a la búsqueda deseada Esfuerzo requerido en la recuperación Grado de actualización Nivel de crecimiento Fiabilidad y precisión de los datos recolectada durante el proceso de Auditoría Informática de Base de Datos  Presentar Informe del proceso de Auditoría Informática de Base de Datos  Presentación del Informe recolectada durante el proceso de Auditoría Informática de Base de Datos  Presentar Informe del proceso de Auditoría Informática de Base de Datos  Presentación del Informe  Informe Programa de Auditoría PROGRAMA DE AUDITORIA EMPRESA: FASE I ACTIVIDAD Etapa Preliminar Entrevista con el cliente Levantamiento Inicial de información Definición de alcance y objetivos de la auditoría Elaboración de la matriz de análisis de auditoría Elaboración del programa de auditoría Elaboración de Presupuesto Elaboración de los procedimientos de auditoría Elaboración de instrumentos de recolección de datos FECHA: 27/05 – 07/06/13 HORAS ESTIMADAS HOJA N° ENCARGADOS  2h 2h Johanna Simons Johanna Simons  4h HerlianaTorcate  4h HerlianaTorcate 4h Danny Peña 4h 4h Danny Peña Johanna Simons 8h HerlianaTorcate, Danny Peña      Programa de Auditoría PROGRAMA DE AUDITORIA EMPRESA: FASE I ACTIVIDAD Etapa Preliminar Entrevista con el cliente Levantamiento Inicial de información Definición de alcance y objetivos de la auditoría Elaboración de la matriz de análisis de auditoría Elaboración del programa de auditoría Elaboración de Presupuesto Elaboración de los procedimientos de auditoría Elaboración de instrumentos de recolección de datos Elaboración de pruebas de SW Desarrollo de la Auditoría Entrevistas con el personal objeto de auditoría Aplicación de instrumentos de recolección de datos al personal objeto de auditoría.  2h 2h Johanna Simons Johanna Simons  4h HerlianaTorcate  4h HerlianaTorcate 4h Danny Peña 4h 4h Danny Peña Johanna Simons 8h HerlianaTorcate, Danny Peña 8h Johanna Simons  2h Herliana Torcate  2h Herliana Torcate  2h Herliana Torcate  4h Danny Peña, Johanna Simons  4h Danny Peña, Johanna Simons  2h Danny Peña, Johanna Simons  4h Danny Peña, Johanna Simons  4h Herliana Torcate 2h 1h Herliana Torcate, Johanna Simons Danny Peña       II III IV FECHA: 27/05 – 07/06/13 HORAS ESTIMADAS HOJA N° ENCARGADOS Observación Directa sobre los procesos auditados en la organización Recopilación de información y documentación relevante al proceso de auditoría Análisis de la información recopilada Determinación y tabulación de resultados Pre-Informe Revisión general de los resultados. Elaboración del Pre-Informe Informe Elaboración de informe final. Presentación del informe.    2h Herliana Torcate  4h Danny Peña, Johanna Simons  4h Danny Peña, Johanna Simons  2h Danny Peña, Johanna Simons  4h Danny Peña, Johanna Simons  4h Herliana Torcate 2h 1h Herliana Torcate, Johanna Simons Danny Peña Observación Directa sobre los procesos auditados en la organización Recopilación de información y documentación relevante al proceso de auditoría Análisis de la información recopilada Determinación y tabulación de resultados Pre-Informe Revisión general de los resultados. Elaboración del Pre-Informe Informe Elaboración de informe final. Presentación del informe. III IV   FASE II: DESARROLLO DE LA AUDITORIA Código: MR-1 Matriz de Riesgo Empresa: Venequip S.A. Sede - Barquisimeto Proceso Riesgo Perdida de los datos almacenados en ella Sobrecarga de la base de datos Perdida del servicio SIV Modificación de los datos sin controles Seguridad de Información en la Robo de la base de datos base de datos No cifrado de la data sensible Ataques externos Ruptura de enlaces o cadenas por fallos d el software soportado Impacto de accesos no autorizados al diccionario Utilización de la base de datos de datos que a un fichero tradicional Ejecución de la Base de Datos SIV Impacto Probabilidad 3 2 1 1 2 3 3 3 1 2 1 3 3 3 2 2 2 1 FASE II: DESARROLLO DE LA AUDITORIA Código: MR-1 Matriz de Riesgo Empresa: Venequip S.A. Sede - Barquisimeto Proceso Riesgo Perdida de los datos almacenados en ella Sobrecarga de la base de datos Perdida del servicio SIV Modificación de los datos sin controles Seguridad de Información en la Robo de la base de datos base de datos No cifrado de la data sensible Ataques externos Ruptura de enlaces o cadenas por fallos d el software soportado Impacto de accesos no autorizados al diccionario Utilización de la base de datos de datos que a un fichero tradicional Dependencias del nivel de conocimientos técnicos del personal que realiza las correspondientes actualizaciones No detección de parada de software Migración de base de datos Interrupción en la exportación de data Interrupción en la Importación de Data Ejecución de la Base de Datos SIV PROCEDIMIENTO DE AUDITORIA INFORMATICA DE: Base de Datos del Sistema Integral Venequip (SIV) ANEXOS Impacto Probabilidad 3 2 1 1 2 3 3 3 1 2 1 3 3 3 2 2 2 1 2 3 2 3 3 1 2 2 PROCEDIMIENTO DE AUDITORIA INFORMATICA DE: Base de Datos del Sistema Integral Venequip (SIV) ANEXOS Procedimientos de Auditoría Código: P1 PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: SECCION DE TRABAJO: Organización BASE DE DATOS Pag.. 1 de 1 EMPRESA: Venequip S.A. Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS REF. P/T 1 Realizar entrevista a José Pablo Pérez Gerente del dpto. de TI E-1 2 Realizar listado de chequeo sobre entrevista E-1 LCH-1 3 Realizar observación directa de los procesos dentro del departamento de cómputo Procedimientos de Auditoría Código: P1 PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: SECCION DE TRABAJO: Organización BASE DE DATOS Pag.. 1 de 1 EMPRESA: Venequip S.A. Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS REF. P/T 1 Realizar entrevista a José Pablo Pérez Gerente del dpto. de TI E-1 2 Realizar listado de chequeo sobre entrevista E-1 LCH-1 3 Realizar observación directa de los procesos dentro del departamento de cómputo REALIZADO POR: REVISADO POR: Procedimientos de Auditoría Código: P2 PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: SECCION DE TRABAJO: Gestión BASE DE DATOS Pag.. 1 de 1 EMPRESA: Venequip S.A. Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS REF. P/T 1 Realizar Listado De chequeo de procedimientos, conocimientos de BD, LCH-2 políticas, manuales de cargos y funciones, conocimiento del lenguaje usado 2 Realizar observación directa de los procesos dentro del departamento de cómputos en cuanto a la gestión por parte del capital humano Código: P2 Procedimientos de Auditoría PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: SECCION DE TRABAJO: Gestión BASE DE DATOS Pag.. 1 de 1 EMPRESA: Venequip S.A. Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS REF. P/T 1 Realizar Listado De chequeo de procedimientos, conocimientos de BD, LCH-2 políticas, manuales de cargos y funciones, conocimiento del lenguaje usado 2 Realizar observación directa de los procesos dentro del departamento de cómputos en cuanto a la gestión por parte del capital humano REALIZADO POR: REVISADO POR: Código: P3 Procedimientos de Auditoría PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: BASE DE DATOS SECCION DE TRABAJO: Diseño de la BD (Estructura Física) Pag.. 1 de 1 EMPRESA: Venequip S.A. Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS 1 Ejecutar prueba de integración con otras herramientas y software 2 Realizar consulta en vivo sobre las tablas con elevada carga de información para medir eficiencia en hora pico. 3 Verificar la existencia de índices y la actualización de los mismos REF. P/T LCH-3 LCH-3 LCH-3 Código: P3 Procedimientos de Auditoría PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: BASE DE DATOS SECCION DE TRABAJO: Diseño de la BD (Estructura Física) Pag.. 1 de 1 EMPRESA: Venequip S.A. Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS 1 Ejecutar prueba de integración con otras herramientas y software 2 Realizar consulta en vivo sobre las tablas con elevada carga de información para medir eficiencia en hora pico. 3 Verificar la existencia de índices y la actualización de los mismos REALIZADO POR: REF. P/T LCH-3 LCH-3 LCH-3 REVISADO POR: Código: P4 Procedimientos de Auditoría PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: BASE DE DATOS SECCION DE TRABAJO: Diseño de la BD (Estructura Lógica) Pag.. 1 de 1 EMPRESA: Venequip S.A. Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS 1 Realizar observación directa de las relaciones de las tablas de BD REF. P/T Código: P4 Procedimientos de Auditoría PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: BASE DE DATOS SECCION DE TRABAJO: Diseño de la BD (Estructura Lógica) Pag.. 1 de 1 EMPRESA: Venequip S.A. Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS 1 Realizar observación directa de las relaciones de las tablas de BD REALIZADO POR: REF. P/T REVISADO POR: Procedimientos de Auditoría PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: BASE DE DATOS Código: P5 SECCION DE TRABAJO: Actualización y presentación de los datos Pag.. 1 de 1 EMPRESA: Venequip S.A. Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS 1 Verificar disponibilidad y capacidad de almacenamiento de la BD REF. P/T LCH-4 Procedimientos de Auditoría PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: BASE DE DATOS SECCION DE TRABAJO: Actualización y presentación de los datos Pag.. 1 de 1 EMPRESA: Venequip S.A. Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS 1 Verificar disponibilidad y capacidad de almacenamiento de la BD REALIZADO POR: Código: P5 REF. P/T LCH-4 REVISADO POR: Procedimientos de Auditoría PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: BASE DE DATOS Código: P6 SECCION DE TRABAJO: Procedimientos de respaldo y recuperación de los datos Pag.. 1 de 1 EMPRESA: Venequip S.A. Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS 1 Revisión de las políticas y procedimientos de respaldo y recuperación de BD 2 Realizar observación directa de los procesos de respaldo dentro del departamento de computo REF. P/T E-2 Procedimientos de Auditoría PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: BASE DE DATOS SECCION DE TRABAJO: Procedimientos de respaldo y recuperación de los datos Pag.. 1 de 1 EMPRESA: Venequip S.A. Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS 1 Revisión de las políticas y procedimientos de respaldo y recuperación de BD 2 Realizar observación directa de los procesos de respaldo dentro del departamento de computo REALIZADO POR: Código: P6 REF. P/T E-2 REVISADO POR: Procedimientos de Auditoría Código: P7 PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: SECCION DE TRABAJO: Integridad de los datos BASE DE DATOS Pag.. 1 de 1 EMPRESA: Venequip S.A. Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS REF. P/T 1 Realizar una verificación de la integridad de los datos tomando ejemplos en E-3 vivo con usuarios finales Procedimientos de Auditoría Código: P7 PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: SECCION DE TRABAJO: Integridad de los datos BASE DE DATOS Pag.. 1 de 1 EMPRESA: Venequip S.A. Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS REF. P/T 1 Realizar una verificación de la integridad de los datos tomando ejemplos en E-3 vivo con usuarios finales REALIZADO POR: REVISADO POR: Procedimientos de Auditoría Código: P8 PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: SECCION DE TRABAJO: Seguridad de acceso a los datos BASE DE DATOS Pag.. 1 de 1 EMPRESA: Venequip S.A. Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS REF. P/T 1 Realizar observación directa de los accesos a la BD desde el punto de vista lógico 2 Realizar observación directa de los accesos a la BD desde el punto de vista físico 3 Realizar entrevista al gerente del dpto. de informática sobre seguridad u E-4 acceso a los datos Procedimientos de Auditoría Código: P8 PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: SECCION DE TRABAJO: Seguridad de acceso a los datos BASE DE DATOS Pag.. 1 de 1 EMPRESA: Venequip S.A. Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS REF. P/T 1 Realizar observación directa de los accesos a la BD desde el punto de vista lógico 2 Realizar observación directa de los accesos a la BD desde el punto de vista físico 3 Realizar entrevista al gerente del dpto. de informática sobre seguridad u E-4 acceso a los datos REALIZADO POR: REVISADO POR: Procedimientos de Auditoría Código: P9 PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: SECCION DE TRABAJO: Análisis de la información BASE DE DATOS Pag.. 1 de 1 EMPRESA: Venequip S.A. Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS REF. P/T 1 Realizar vaciado de datos en hoja de cálculos 2 Realizar gráficas de los datos clasificados 3 Realizar análisis de acuerdo a los datos y gráficas obtenidas Procedimientos de Auditoría Código: P9 PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: SECCION DE TRABAJO: Análisis de la información BASE DE DATOS Pag.. 1 de 1 EMPRESA: Venequip S.A. Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS REF. P/T 1 Realizar vaciado de datos en hoja de cálculos 2 Realizar gráficas de los datos clasificados 3 Realizar análisis de acuerdo a los datos y gráficas obtenidas REALIZADO POR: REVISADO POR: Procedimientos de Auditoría Código: P10 PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: SECCION DE TRABAJO: Presentar informe BASE DE DATOS Pag.. 1 de 1 EMPRESA: Venequip S.A. Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS REF. P/T 1 Entregar informe escrito contentivo de los resultados y conclusiones de la auditoría 2 Realizar presentación oral explicativa del informe Procedimientos de Auditoría Código: P10 PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: SECCION DE TRABAJO: Presentar informe BASE DE DATOS Pag.. 1 de 1 EMPRESA: Venequip S.A. Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS REF. P/T 1 Entregar informe escrito contentivo de los resultados y conclusiones de la auditoría 2 Realizar presentación oral explicativa del informe REALIZADO POR: REVISADO POR: Código: E-1 ENTREVISTA EMPRESA: Venequip S.A. sucursal Barquisimeto N° 1 2 3 4 5 6 PREGUNTAS Tiene el dpto. de informática objetivos definidos, misión y visión dentro de la organización? Los objetivos del dpto. de informática son de entero conocimiento de todo el personal que en el labora? Están publicados los objetivos, misión y visión del dpto. de informática? Estan definidos en el esquema organizacional todos los cargos actualmente en ejecución dentro del dpto.? Se da algún tipo de inducción al nuevo ingreso del personal en cuanto a las políticas y normas del dpto.? Se entrega a todo el personal del dpto. herramientas y/o equipos de trabajo q le permitan desempeñar sus funciones sin ningún tipo de inconveniente? Código: E-1 ENTREVISTA EMPRESA: Venequip S.A. sucursal Barquisimeto N° 1 2 3 4 5 6 PREGUNTAS Tiene el dpto. de informática objetivos definidos, misión y visión dentro de la organización? Los objetivos del dpto. de informática son de entero conocimiento de todo el personal que en el labora? Están publicados los objetivos, misión y visión del dpto. de informática? Estan definidos en el esquema organizacional todos los cargos actualmente en ejecución dentro del dpto.? Se da algún tipo de inducción al nuevo ingreso del personal en cuanto a las políticas y normas del dpto.? Se entrega a todo el personal del dpto. herramientas y/o equipos de trabajo q le permitan desempeñar sus funciones sin ningún tipo de inconveniente? Código: E-2 ENTREVISTA EMPRESA: Venequip S.A. sucursal Barquisimeto N° 1 2 3 4 PREGUNTAS Tiene el dpto. de informática procedimientos escritos y son del conocimiento del personal que administra la base de datos que aseguren la recuperación de la información en caso de alguna perdida de la misma? Tiene el dpto. de informática rutinas establecidas para el respaldo de la BD (diarias, semanales, quincenales o mensuales), cuales? Se lleva bitácora de los resultados de los procesos de respaldo de la BD? Los mismos están actualizados a la fecha de revisión Existe alguna documentación que evidencie que los resultados realizados a la BD son confiables y pueden ser utilizados en cualquier momento? Cuales? Código: E-2 ENTREVISTA EMPRESA: Venequip S.A. sucursal Barquisimeto N° 1 2 3 4 PREGUNTAS Tiene el dpto. de informática procedimientos escritos y son del conocimiento del personal que administra la base de datos que aseguren la recuperación de la información en caso de alguna perdida de la misma? Tiene el dpto. de informática rutinas establecidas para el respaldo de la BD (diarias, semanales, quincenales o mensuales), cuales? Se lleva bitácora de los resultados de los procesos de respaldo de la BD? Los mismos están actualizados a la fecha de revisión Existe alguna documentación que evidencie que los resultados realizados a la BD son confiables y pueden ser utilizados en cualquier momento? Cuales? Código: E-3 ENTREVISTA EMPRESA: Venequip S.A. sucursal Barquisimeto N° 1 2 3 4 5 6 PREGUNTAS Esta usted conforme con los resultados que su sistema entrega al realizar consultas sobre el mismo? La información que su sistema le entrega está acorde con los resultados esperados? La información que su sistema le entrega es razonable o debe usted apelar a otros medios para validar? Se mantienen los mismos resultados obtenidos sobre consultas idénticas realizadas en momentos diferentes? Considera usted que la información que su sistema le ofrece es de fácil interpretación? Cómo considera usted los tiempos de respuesta de las consultas sobre su sistema de información? Código: E-3 ENTREVISTA EMPRESA: Venequip S.A. sucursal Barquisimeto N° 1 2 3 4 5 6 PREGUNTAS Esta usted conforme con los resultados que su sistema entrega al realizar consultas sobre el mismo? La información que su sistema le entrega está acorde con los resultados esperados? La información que su sistema le entrega es razonable o debe usted apelar a otros medios para validar? Se mantienen los mismos resultados obtenidos sobre consultas idénticas realizadas en momentos diferentes? Considera usted que la información que su sistema le ofrece es de fácil interpretación? Cómo considera usted los tiempos de respuesta de las consultas sobre su sistema de información? Código: E-4 ENTREVISTA EMPRESA: Venequip S.A. sucursal Barquisimeto N° 1 2 3 4 5 6 7 8 PREGUNTAS Se mantienen políticas de seguridad de acceso a los datos, están actualizadas? Está la información disponible para todo tipo de usuario? Hay privacidad de datos? Existen niveles de acceso a los datos? Existen políticas sobre la creación, uso y asignación de usuarios? Existen políticas sobre la creación, uso y asignación de password a los usuarios? La BD posee mecanismos de reconstrucción de información a nivel de software? Archivos de rehacer? Posee la BD mecanismos que puedan ser utilizados para rastrear cualquier indicio de acceso no autorizado a los datos? Posee la BD mecanismos que puedan ser utilizados para toda la trazabilidad de las acciones ejecutadas sobre los datos? Logs? Código: E-4 ENTREVISTA EMPRESA: Venequip S.A. sucursal Barquisimeto N° 1 2 3 4 5 6 7 8 PREGUNTAS Se mantienen políticas de seguridad de acceso a los datos, están actualizadas? Está la información disponible para todo tipo de usuario? Hay privacidad de datos? Existen niveles de acceso a los datos? Existen políticas sobre la creación, uso y asignación de usuarios? Existen políticas sobre la creación, uso y asignación de password a los usuarios? La BD posee mecanismos de reconstrucción de información a nivel de software? Archivos de rehacer? Posee la BD mecanismos que puedan ser utilizados para rastrear cualquier indicio de acceso no autorizado a los datos? Posee la BD mecanismos que puedan ser utilizados para toda la trazabilidad de las acciones ejecutadas sobre los datos? Logs? Código: LCH-1 LISTA DE CHEQUEO EMPRESA: Venequip S.A. sucursal Barquisimeto N° 1 2 3 4 5 CARACTERISTICAS A CHEQUEAR Está publicada y actualizada la misión y visión del dpto. ? Conocen todos los empleados del área los objetivos del dpto. ? Está dentro del organigrama del dpto. todos y cada uno de los funcionarios? Dispone el dpto. de formatos de capacitación e inducción al nuevo personal? Todo el personal que labora dentro del dpto. posee sus equipos de trabajo (PC, Laptop)? SI X X X NO X X Código: LCH-1 LISTA DE CHEQUEO EMPRESA: Venequip S.A. sucursal Barquisimeto N° 1 2 3 4 5 CARACTERISTICAS A CHEQUEAR Está publicada y actualizada la misión y visión del dpto. ? Conocen todos los empleados del área los objetivos del dpto. ? Está dentro del organigrama del dpto. todos y cada uno de los funcionarios? Dispone el dpto. de formatos de capacitación e inducción al nuevo personal? Todo el personal que labora dentro del dpto. posee sus equipos de trabajo (PC, Laptop)? SI NO X X X X X Código: LCH-2 LISTA DE CHEQUEO EMPRESA: Venequip S.A. sucursal Barquisimeto N° 1 2 3 4 5 CARACTERISTICAS A CHEQUEAR Tienen definidas las funciones cada uno de los empleados del dpto.? Existe manual de cargos y funciones dentro del dpto. ? Es de total conocimiento el lenguaje utilizado en la BD por el personal que la maneja? Es de pleno conocimiento la plataforma utilizada para la BD por el personal que la opera? Existe un diccionario de datos actualizado y a disposición del personal del dpto. ? SI NO X X X X X Código: LCH-2 LISTA DE CHEQUEO EMPRESA: Venequip S.A. sucursal Barquisimeto N° 1 2 3 4 5 CARACTERISTICAS A CHEQUEAR Tienen definidas las funciones cada uno de los empleados del dpto.? Existe manual de cargos y funciones dentro del dpto. ? Es de total conocimiento el lenguaje utilizado en la BD por el personal que la maneja? Es de pleno conocimiento la plataforma utilizada para la BD por el personal que la opera? Existe un diccionario de datos actualizado y a disposición del personal del dpto. ? SI NO X X X X X Código: LCH-3 LISTA DE CHEQUEO EMPRESA: Venequip S.A. sucursal Barquisimeto N° 1 2 3 4 5 CARACTERISTICAS A CHEQUEAR La BD se integra con otro software o herramienta de terceros? La integración de la BD es nativa? Se tiene documentado los procedimientos de integración? En cuanto a la consulta sobre la BD, se observan tiempos de respuesta satisfactorios en horas de alto trafico de información? Por ejemplo, cierre de mes? Posee la BD índices actualizados sobre las tablas de mayor consulta? SI X NO X X X X Código: LCH-3 LISTA DE CHEQUEO EMPRESA: Venequip S.A. sucursal Barquisimeto N° 1 2 3 4 5 CARACTERISTICAS A CHEQUEAR La BD se integra con otro software o herramienta de terceros? La integración de la BD es nativa? Se tiene documentado los procedimientos de integración? En cuanto a la consulta sobre la BD, se observan tiempos de respuesta satisfactorios en horas de alto trafico de información? Por ejemplo, cierre de mes? Posee la BD índices actualizados sobre las tablas de mayor consulta? SI X NO X X X X Código: LCH-4 LISTA DE CHEQUEO EMPRESA: Venequip S.A. sucursal Barquisimeto N° 1 2 3 4 5 CARACTERISTICAS A CHEQUEAR Está la BD actualizada en su última versión? Se conoce la tasa anual de crecimiento de la BD? En cuanto a la capacidad de almacenamiento, está diseñada la estructura de la BD acorde con la tasa de crecimiento anual de la misma La información almacenada en la BD es de total utilidad para los procesos de negocios? Se migra la información que ya no es relevante a archivos históricos? SI X X NO X X X Código: LCH-4 LISTA DE CHEQUEO EMPRESA: Venequip S.A. sucursal Barquisimeto N° 1 2 3 4 5 CARACTERISTICAS A CHEQUEAR Está la BD actualizada en su última versión? Se conoce la tasa anual de crecimiento de la BD? En cuanto a la capacidad de almacenamiento, está diseñada la estructura de la BD acorde con la tasa de crecimiento anual de la misma La información almacenada en la BD es de total utilidad para los procesos de negocios? Se migra la información que ya no es relevante a archivos históricos? SI X X NO X X X Hallazgos de la Auditoría 1- Aunque la organización cuenta con una misión y visión definida, el dpto. no posee su propia misión y visión, lo que podría traer como consecuencia objetivos poco claros e inalcanzables para el dpto. 2- No existen manuales de procedimiento ni manuales de cargos que faciliten e indiquen las actividades del personal de TI, como consecuencia no se tiene claridad de cuáles son las funciones que cada quien debe ejecutar. 3- Según encuestas realizadas al personal se evidencia que algunos de ellos ejecutan sus labores de forma empírica ya que no poseen el adiestramiento necesario para asegurar Hallazgos de la Auditoría 1- Aunque la organización cuenta con una misión y visión definida, el dpto. no posee su propia misión y visión, lo que podría traer como consecuencia objetivos poco claros e inalcanzables para el dpto. 2- No existen manuales de procedimiento ni manuales de cargos que faciliten e indiquen las actividades del personal de TI, como consecuencia no se tiene claridad de cuáles son las funciones que cada quien debe ejecutar. 3- Según encuestas realizadas al personal se evidencia que algunos de ellos ejecutan sus labores de forma empírica ya que no poseen el adiestramiento necesario para asegurar que las actividades se están haciendo de manera correcta, eso pone en riesgo la fidelidad, disponibilidad e integridad de la información. 4- Según prueba efectuada a la plataforma, se evidencia poca integración de la base de datos del sistema integral Venequip con software diferente al utilizado diariamente, lo que crea un nivel de dependencia elevado ya que se hace difícil la escalabilidad obligando a la empresa a quedar en la obsolescencia a nivel informático 5- Se nota un elevado tiempo de respuesta en las operaciones de consulta a horas pico, esto afecta negativamente la satisfacción de clientes tanto internos como externos. 6- Pese al hallazgo anteriormente descrito se pudo observar resultados confiables en la entrega de la información, y usuarios a gusto con la información recibida. 7- La Base de datos se encuentra actualizada a la última versión disponible en el mercado, sin embargo el diseño lógico de la misma no está desarrollado acorde con la capacidad de crecimiento de los datos, lo que podría ocasionar paradas innecesarias en la productividad por insuficiencia de espacio de almacenamiento. 8- Se evidencio la elaboración de respaldos a la base de datos, sin embargo los mismos están siendo almacenados en el mismo sitio físico de la BD productiva, lo que desvirtúa la intención del mismo y lo convierte en una copia común de la BD. En este punto se evidencia un riesgo de pérdida de la información por desastre natural por ejemplo. 9- Se realizaron pruebas de la integridad de los datos con resultados positivos, lo que se traduce en un diseño adecuado en cuanto a tablas / campos e índices, sin embargo se hace referencia nuevamente al hallazgo 7 de este informe. 10- Se realiza observación directa de las actividades y procesos en el dpto. de TI y se pudo notar un nivel elevado de restricción al acceso del personal ajeno al departamento, esto es favorable para la seguridad de la información y la confidencialidad de los mismos. Análisis de los resultados - En base a la tabulación de los resultados obtenidos de la aplicación de los diferentes instrumentos, se presenta un análisis de la situación. Organización Encuesta 1 100% 80% 60% 40% 20% 0% SI I2 50% I3 100% NO 50% 0% Organización Lista de Chequeo 1 100% 0% - SI I1-I2 0% I3-I4 100% NO 100% 0% - En relación al objetivo específico: “ Diagnosticar la situación actual de la gestión de la base de datos del Sistema Integral Venequip”, en su dimensión Organización se evidencia una debilidad en la comunicación de las políticas, misión y visión dentro del departamento. Gestión Lista de Chequeo 2 100% 80% 60% 40% 20% 0% - SI I1 67% I2 100% I3 100% NO 33% 0% 0% Para la dimensión Gestión se confirma una falta de conocimiento de lo ya establecido como funciones, así como una carencia de capacitación del personal en cuanto al lenguaje y la plataforma de la BD. Estructura Física de la BD Lista de Chequeo 3 100% 80% 60% 40% 20% 0% SI I1 67% I2 100% I3 100% NO 33% 0% 0% - En relación al objetivo específico: “Evaluar el control interno y externo para la base de datos del Sistema Integral Venequip”, en su dimensión Estructura Física de la BD, presenta debilidad para la integración con otras herramientas y colapso en períodos de alto tráfico de información. - Para la dimensión Estructura Lógica de la BD, se nota una estructura lógica robusta que registra tiempos de respuesta aceptable a algunos usuario pero con alta confiabilidad en la generación de resultados. Actualización y presentación de los datos Lista de Chequeo 4 100% 80% 60% 40% 20% 0% SI I1 67% I2 100% I3 100% NO 33% 0% 0% - Para la dimensión Actualización y Presentación de datos, se encontró una BD actualizada a su última versión pero no diseñada acorde al crecimiento de la misma, aun cuando la BD tiene la capacidad. Así mismo se detectó redundancia en los datos almacenados. Procedimientos de Respaldo Etrevista 2 100% 80% 60% 40% 20% 0% - SI I1 50% I2 100% I3 100% I4 100% NO 50% 0% 0% 0% Para la dimensión Procedimientos de Respaldo encontramos debilidad en lo que concierne a respaldo, resguardo y recuperación de la información. Integridad de los datos Entrevista 3 100% 80% 60% 40% 20% 0% SI I1 67% I2 100% I3 100% NO 33% 0% 0% - En relación a la dimensión Integridad de los Datos, Se observa un buen diseño lógico de las tablas que aseguran la integridad de los datos incorporados a la BD Seguridad de Acceso a los datos Etrevista 4 100% 80% 60% 40% 20% 0% - SI I1 50% I2 100% I3 100% I4 100% NO 50% 0% 0% 0% Para la dimensión Seguridad de los datos, los resultados reflejan una fortaleza en esta área, evidenciando buenas prácticas en cuanto a control de acceso a usuarios. Conclusiones Luego de obtener los resultados previamente analizados por nuestro personal plenamente calificado para ello, Herdeca C.A concluye: - Pese a los hallazgos anteriormente descritos, se considera que el objetivo principal de la auditoria a la base de datos de sistema integral Venequip se alcanzó como se había previsto en el acuerdo entre las partes. - Gracias a las oportunidades de mejora que se evidencian en las pruebas adjuntas al presente informe, Venequip sucursal Barquisimeto, tiene ahora en sus manos la posibilidad de implementar mejoras, corregir y mejorar los procesos y procedimientos que le permitan asegurar mucho más la información de la organización. - Venequip sucursal Barquisimeto, en su sistema de base de datos actualmente corre un riesgo de pérdida de información, retardo en la entrega de la información, y disponibilidad de la información con poca fidelidad, situación que pone en peligro la operación correcta de la empresa. - La disponibilidad inoportuna de la información es para una empresa un problema que se puede traducir en perdida de dinero, perdida de posicionamiento en el mercado y bajo nivel de competitividad, al igual que clientes insatisfechos, Venequip debe atacar y solventar en la medida de lo posible cada uno de los hallazgos acá presentados con el fin de obtener una tranquilidad a nivel de la seguridad de la información, y dirigir sus esfuerzos hacia otros horizontes que incrementen la rentabilidad de la organización.

Informe De Auditoria Bd Final

Rating

Date

Size

Views

Categories

Share

Transcript

Forgot your password?.