Proyecto de Auditoria de Sistemas
-
Upload
garcia-jairon -
Category
Documents
-
view
469 -
download
0
Transcript of Proyecto de Auditoria de Sistemas
-
8/14/2019 Proyecto de Auditoria de Sistemas
1/3
Universidad Mariano Glvez de GuastatoyaFacultad de Ingeniera en Sistemas de Informacin
Jornada SabatinaCatedrtico: Ing. Allan Morataya
VARIANTE
Asignatura: Cdigo:
Ciclo: Fecha: Absoluta
Alumno: CA Relativa
Semestre: Seccin: A Duracin en minutos: VoBo
Observaciones:
PROYECTO
SERIE UNICARealizar un anlisis de riesgos para el siguiente caso Debe utilizar la metodologa vista en claseLa empresa Atoland S.A., empresa que se dedica al sector financiero, especficamente a otorgar prstamos al consumo, ha sufr
un marcado crecimiento en los ltimos aos. De acuerdo a lo expresado por la gerencia, este crecimiento explosivo ha genera
que la funcin TI de la empresa fuese adaptndose al crecimiento del negocio de manera adaptativa y no planificada, lo c
les genera miedos a los gerentes respecto a la manera en la cual se est operando.
Para contar con una perfecta descripcin de la situacin actual y sus implicancias, han decidido contratar a una empre
consultora para que releve y evale cmo est operando y se est gestionando la funcin TI. Luego de la etapa de relevamien
se ha obtenido la siguiente informacin respecto al funcionamiento de la empresa:
Actualmente en la empresa se utilizan varios equipos de tecnologa estndar, as como una computadora dedicada
el proceso de produccin (PLC). La empresa cuenta con alrededor de 15 equipos de cmputo, pero actualmente no
cuenta con un inventario detallado de los mismos en el cual se lleve el control de versiones y licencias. Se desea trabaen lneas base donde se estandarice la instalacin de software necesario para los equipos de cmputo y as optimiza
uso de las maquinas.
Actualmente en la empresa se utiliza equipo de cmputo, la cual sirve para almacenar datos del sistema transaccion
Recursos Humanos, Facturacin, as como algunos datos de produccin. Estos equipos se encuentran en una fa
delicada, por lo que es una excelente oportunidad para mejorar la eficiencia y la velocidad en el procesamiento.
No se dispone dentro del departamento de TI un sistema encargado de la realizacin de las pruebas dentro del ciclo
vida de las aplicaciones, sino que son los mismos desarrolladores los que la realizan. Los desarrolladores tienen acce
a la publicacin de aplicaciones en produccin.
Los usuarios tienen diferentes claves para el acceso a los diversos sistemas de la empresa adems de utilizar corr
electrnico externo o en la nube.
En cuanto a los procesos administrativos, el personal de TI son 12 personas, incluido un gerente de rea. A este gere
responden: un administrador de base de datos, dos personas de soporte tcnico, tres operadores, un administrador
usuarios, un administrador de telecomunicaciones y tres programadores. Si bien cada persona tiene asignado su car
en la prctica las posiciones se superponen, lo cual fue evaluado por el gerente como muy bueno, porque esto gen
un conocimiento general en el personal, lo cual logra que se solucionen mejor los problemas que se presentan pero
hay procesos definidos en su mayora, todo funciona hasta ahora y no hay planes de mejora.
Auditoria InformticaA1890-478
12 vo Sbado, 19 de Octubre 2013
CARNET:
2do.
-
8/14/2019 Proyecto de Auditoria de Sistemas
2/3
Respecto al software se ha detectado: sistema operativo Windows NT, MS Office xp, DBMS Oracle para Unix Vr.1
Sistema operativo Linux, MS Exchange 2003, antivirus, un SIG local llamado TotalOne (del que se han adquirido t
mdulos: contable, personal y activo fijo) y una aplicacin desarrollada por la empresa de gestin de crditos.
Del relevamiento, tambin surgi que, exceptuando el software que se encuentra en el servidor Unix (sistema operat
Linux y el DBMS Oracle), todo el software cuenta con licencia de uso. Respecto al software que no tienen licencia, est
trabajando con trials o versiones de prueba inclusive algunos se encuentran en produccin.
La adjudicacin de usuarios no es realizada exclusivamente por el administrador de usuarios. La forma de realizarlo
el siguiente: en un formulario pre-impreso y prenumerado, en el cual el usuario llena cules son sus datos y cules s
las aplicaciones y funciones a las cuales necesita tener acceso, luego se firma y se entrega al administrador en turn
Este, en el correr del da, asigna usuario y contrasea y se la comunica al usuario para que pueda comenzar a trabaja
Todos los usuarios tienen acceso a e-mail e Internet.
En una etapa pasada, el gerente anterior del centro de cmputo entenda que el personal de informtica no tena na
que hablar con el usuario, por lo que solamente se podan comunicar por un telfono especficamente dedicado a rec
solicitudes de los usuarios, y por ende el acceso al CPD se encontraba totalmente restringido. Con el cambio de geren
y dado los problemas generados por la situacin anterior, hoy da se cuenta con una poltica de puertas abiertas. Por
cual los usuarios son libres de ingresar al CPD.
Diariamente se respaldan solamente los datos de aplicaciones y bases de datos. El respaldo se realiza en doble co
las cuales se guardan en una caja fuerte ignfuga (a prueba de fuego) dentro del centro de cmputos. Los respaldos
realiza el ltimo programador que se retira en el da, acordando entre ellos quin ser cada da el encargado.
No se ha identificado la existencia de un plan de contingencia, sin embargo se piensa en la contratacin de un sitio altern
De acuerdo a la situacin detallada anteriormente, el prximo paso se encuentra orientado a la identificacin de posib
riesgos existentes no mitigados (no cubiertos y/o sin controles adecuados) y proponer soluciones alternativas para mitigarl
Por problemas contractuales la empresa consultora slo realiz el relevamiento y no puede realizar esta otra etapa propues
por lo cualAtoland ha decidido contratarlo a usted como profesional universitario para que pueda finalizar el trabajoSe adjunta un inventario informtico para que detecte y proponga soluciones a problemas que puedan suscitarse
Se pide:
a) Analice el Estado Actual de la Empresa
b) Analizar las Entrevistas que existen en el documento y encontrar en ella, elementos que denoten RIESGO o VULNERABILIDA
c) Determinar las situaciones o los indicios de RIESGO
d) Determinar Qu RIESGOS la empresa est dispuesta a aceptar? (Anlisis hipottico de RIESGO - COSTO)
e) Determinar dnde se aplicar CONTROL
f) Determinar dnde existe necesidad de SEGREGACION DE FUNCIONES
g) Establezca las POLTICAS que incluira en el Departamento de TI, Informtica o reas relacionadas
h) Analizar el estado de equipos, infraestructura
i) Elabore Conclusiones propias sobre el estado actual de la empresa
j) Elabore Recomendaciones propias hacia la empresa
Punteo Mnimo del Documento:
-
8/14/2019 Proyecto de Auditoria de Sistemas
3/3
1. Estado Actual de la Empresa
2. Estado de RIESGO o VULNERABILIDAD
2.1 Situaciones o los indicios de RIESGO
2.2 Qu RIESGOS la empresa est dispuesta a aceptar?
3. Aplicacin de CONTROL
4. Necesidad de SEGREGACION DE FUNCIONES
5. POLTICAS
NOTA.
Sea concreto, agregue los aspectos conceptuales y herramientas propuestas en los anexos.