Auditoria Informtica

Indice
1. Introduccin
2. Relevamiento
3. Comunicaciones
1. Introduccin
A. Organizacin Y Administracin Del Area
1. Comit y Plan Informtico
a. Situacin
Con resecto al rele!amiento efectuado" #emos notado lo siguiente$
o %o e&iste un Comit de Informtica o al menos no se encuentra
formalmente esta'lecido.
o %o e&iste ninguna metodolog(a de lanificacin" concecin y)o
seguimiento de royectos.
'. *fectos y)o imlicancias ro'a'les
o Posi'ilidad de +ue las soluciones +ue se imlementen ara
resol!er ro'lemas oerati!os sean arciales" tanto en ,ard-are
como en Soft-are.
o .alta de conocimiento so're las in!ersiones necesarias" ante
nue!as e&igencias o restaciones +ue se de'an imlementar ara
atender la oeratoria de la Cooerati!a.
c. Indice de imortancia esta'lecida
1 / uno 0
d. Sugerencias
o *sta'lecer un Comit de Informtica integrado or reresentantes
de las reas funcionales cla!es / 1erencia Administrati!a"
resonsa'les de las 2reas Oerati!as" resonsa'les de
Informtica y el resonsa'le Conta'le0.
o 3eunirse or lo menos una !ez al mes.
o 4razar los lineamientos de direccin del 2rea de Informtica.
o Imlementar normas y)o rocedimientos +ue aseguren la eficaz
administracin de los recursos informticos" y ermitan el
crecimiento co#erente del rea conforme a la imlementacin de
las soluciones +ue se desarrollen y)o se re+uieran de terceros.
5. Organizacin y Administracin del 2rea
a. Situacin
Con resecto a la organizacin y Administracin del 2rea Informtica" #emos o'ser!ado lo
siguiente$
o *l rea adolece de una estructura organizacional.
o *&iste una e&igua cantidad de funcionarios caacitados" afectados
al rea de sistemas" con lo cual se e!idencia #eterogeneidad de
tareas desarrolladas con una misma ersona.
o Ausencia de manual de funciones ara cada uesto de tra'a6o
dentro del rea.
'. *fectos y)o imlicancias ro'a'les
o 7a escasez de ersonal de'idamente caacitado" aumenta el ni!el
de riesgo de errores al disminuir la osi'ilidad de los controles
internos en el rocesamiento de la informacin8 y limita la cantidad
de soluciones +ue ueden imlementarse en tiemo y forma
oortuna a los efectos de satisfacer los re+uerimientos de las
reas funcionales.
c. 9ndice de imortancia esta'lecida
1 / uno 0
d. Sugerencias
o *sta'lecer una estructura organizacional del rea de la siguiente
manera$
1
er
e
n
ci
a
d
el
2
re
a
In
fo
r
m
t
ic
a.
:
ef
e
d
el
2
re
a.
D
e
s
ar
ro
ll
o
y
m
a
nt
e
ni
m
ie
nt
o
d
e
a
l
ic
a
ci
o
n
e
s.
S
o

or
te
t
c
ni
c
o.
C
e
nt
ro
d
e
at
e
n
ci

n
a
u
s
u
ar
io
s.
O
tr
o
s.
o Se esta'lezca un manual de funciones ara cada uno de los
cargos funcionales en +ue se su';di!ida el rea de cmutos.
<. Seguridad .(sica Y 7gica
1. *ntorno 1eneral
a. Situacin
Durante nuestra re!isin" #emos o'ser!ado lo siguiente$
o %o e&iste una !igilancia estricta del 2rea de Informtica or ersonal de seguridad
dedicado a este sector.
o %o e&iste detectores" ni e&tintores automticos.
o *&iste material altamente inflama'le.
o Carencia de un estudio de !ulnera'ilidad de la Cooerati!a" frente a las riesgos
f(sicos o no f(sicos" incluyendo el riesgo Informtico.
o %o e&iste un uesto o cargo esecifico ara la funcin de seguridad Informtica.
'. *fectos y)o imlicancias ro'a'les
o Pro'a'le difusin de datos confidenciales.
o Alta facilidad ara cam'ios in!oluntarios o intencionales de datos" de'ido a la falta
de controles internos.
o De'ido a la de'ilidad del ser!icio de mantenimiento del e+uio central" la
continuidad de las acti!idades informticas odr(an !erse seriamente afectadas
ante e!entuales roturas y)o deserfectos de los sistemas.
c. 9ndice de imortancia esta'lecida
= / cero 0
d. Sugerencias
A los efectos de minimizar los riesgos descritos" se sugiere$
o *sta'lecer guardia de seguridad" durante #orarios no #a'ilitados ara el ingreso al
2rea de Informtica.
o Colocar detectores y e&tintores de incendios automticos en los lugares
necesarios.
o 3emo!er del Centro de Cmutos los materiales inflama'les.
o Determinar orgnicamente la funcin de seguridad.
o 3ealizar eridicamente un estudio de !ulnera'ilidad" documentando
efecti!amente el mismo" a los efectos de imlementar las acciones correcti!as
so're los untos d'iles +ue se detecten.
5. Auditor(a de Sistema
a. Situacin
o ,emos o'ser!ado +ue la Cooerati!a no cuenta con auditor(a Informtica " ni con
ol(ticas formales +ue esta'lezcan resonsa'les" frecuencias y metodolog(a a
seguir ara efectuar re!isiones de los arc#i!os de auditor(a.
o Ca'e destacar +ue el sistema integrado osee un arc#i!o +ue udiera ser!ir de
auditoria Informtica" el cual no es #a'ilitado or falta de esacio en el disco duro.
'. *fectos y)o imlicancias ro'a'les
o Posi'ilidad de +ue adulteraciones !oluntarias o in!oluntarias sean realizadas a los
elementos comonentes del rocesamiento de datos /rogramas" arc#i!os de
datos" definiciones de seguridad de acceso" etc 0 o 'ien accesos a datos
confidenciales or ersonas no autorizadas +ue no sean detectadas
oortunamente.
c. 9ndice de imortancia esta'lecida
= / cero 0
d. Sugerencias
o *sta'lecer normas y rocedimientos en los +ue se fi6en resonsa'les" eriodicidad
y metodolog(a de control de todos los arc#i!os de auditoria +ue udieran e&istir
como asimismo" de todos los elementos comonentes de los sistemas de
alicacin.
>. Oeraciones de 3esaldo
a. Situacin
Durante nuestra re!isin #emos o'ser!ado +ue$
o *&iste una rutina de tra'a6o de tomar una coia de resaldo de datos en Dis+uete"
+ue se encuentra en el recinto del centro de cmutos" en oder del au&iliar de
informtica.
o Si 'ien e&isten la coia de seguridad" no se oseen normas y)o rocedimientos
+ue e&i6an la rue'a sistemtica de las mismas a efectos de esta'lecer los
m(nimos ni!eles de confia'ilidad.
'. *fectos y)o imlicancias ro'a'les
o 7a Cooerati!a est e&uesta a la erdida de informacin or no oseer un
c#e+ueo sistemtico eridico de los 'ac?;u@s" y +ue los mismas se e&onen a
riesgo or encontrarse en oder del au&iliar de informtica.
c. 9ndice de imortancia esta'lecida
= / cero 0
d. Sugerencias
Ainimizar los efectos" ser osi'le a tra!s de$
o Desarrollar normas y rocedimientos generales +ue ermitan la toma de resaldo
necesarios" utilitario a utilizar.
o 3ealizar > coias de resaldos de datos en Bi de las cuales" una se encuentre en
el recinto del rea de informtica" otra en la sucursal ms cercana y la Cltima en
oder del :efe de rea.
o Imlementar rue'as sistemticas semanales de las coias y distri'ucin de las
mismas.
D. Acceso a usuarios
a. Situacin
De acuerdo a lo rele!ado #emos constatado +ue$
o *&isten ni!eles de acceso ermitidos" los cuales son esta'lecidos conforme a la
funcin +ue cumle cada uno de los usuarios.
o 7os usuarios definidos al rotar o retirarse del local no son 'orrados de los erfiles
de acceso.
o 7as terminales en uso y dado un cierto tio de inacti!idad no salen del sistema.
o *l sistema informtico no solicita al usuario" el cam'io del Pass-ord en forma
mensual.
'. *fectos y)o imlicancia ro'a'les
o *&iste la imosi'ilidad de esta'lecer resonsa'ilidades dado +ue esta se
encuentra di!idida entre el rea de sistema y los usuarios finales.
o 7a falta de seguridad en la utilizacin de los Pass-ord" odr(an ocasionar fraudes
or terceros.
c. 9ndice de imortancia esta'lecida
5 / dos 0
d. Sugerencia
o Imlementar algCn soft-are de seguridad y auditoria e&istente en el mercado o
desarrollar uno roio.
o *sta'lecer una metodolog(a +ue ermita e6ercer un control efecti!o so're el uso o
modificacin de los rogramas o arc#i!os or el ersonal autorizado.
E. Plan de Contingencias
a. Situacin
*n el transcurso de nuestro tra'a6o #emos o'ser!ado lo siguiente$
o Ausencia de un Plan de Contingencia de'idamente formalizado en el 2rea de
Informtica.
o %o e&isten normas y rocedimientos +ue indi+uen las tareas manuales e
informticas +ue son necesarias ara realizar y recuerar la caacidad de
rocesamiento ante una e!entual contingencia / deserfectos de e+uios"
incendios" cortes de energ(a con ms de una #ora 0" y +ue determinen los ni!eles
de articiacin y resonsa'ilidades del rea de sistemas y de los usuarios.
o %o e&isten acuerdos formalizados de Centro de Cmutos aralelos con otras
emresas o ro!eedores +ue ermitan la restauracin inmediata de los ser!icios
informticos de la Cooerati!a en tiemo oortuno" en caso de contingencia.
'. *fectos y)o imlicancia ro'a'le
o Prdida de informacin !ital.
o Prdida de la caacidad de rocesamiento.
c. 9ndice de Imortancia relati!a
1 / uno 0
d. Sugerencias
o *sta'lecer un lan de contingencia escrito" en donde se esta'lezcan los
rocedimientos manuales e informticos ara resta'lecer la oeratoria normal de
la Cooerati!a y esta'lecer los resonsa'les de cada sistema.
o *fectuar rue'as simuladas en forma eridica" a efectos de monitorear el
desemeFo de los funcionarios resonsa'les ante e!entuales desastres.
o *sta'lecer con!enios 'ilaterales con emresas o ro!eedores a los efectos de
asegurar los e+uios necesarios ara sustentar la continuidad del rocesamiento.
C. Desarrollo y mantenimiento de los sistemas de alicaciones
1. *ntorno de Desarrollo y mantenimiento de las alicaciones
a. Situacin
o %o e&iste documentaciones tcnicas del sistema integrado de la
Cooerati!a y tamoco no e&iste un control o registro formal de las
modificaciones efectuadas.
o %o se cuenta con un Soft-are +ue ermita la seguridad de las
li'rer(as de los rogramas y la restriccin y)o control del acceso de
los mismos.
o 7as modificaciones a los rogramas son solicitadas generalmente
sin notas internas" en donde se descri'en los cam'ios o
modificaciones +ue se re+uieren.
'. *fectos y)o imlicancias ro'a'les
o 7a escasa documentacin tcnica de cada sistema dificulta la
comresin de las normas" demandando tiemos considera'les
ara su mantenimiento e imosi'ilitando la caacitacin del
ersonal nue!o en el rea.
o Se incrementa aCn ms la osi'ilidad de roducir modificaciones
errneas y)o no autorizadas a los rogramas o arc#i!os y +ue las
mismas no sean detectadas en forma oortuna.
c. 9ndice de imortancia esta'lecida
1 / uno 0
d. Sugerencias
Para reducir el imacto so're los resultados de los efectos y consecuencias ro'a'les sugerimos$
o *la'orar toda la documentacin tcnica corresondiente a los
sistemas imlementados y esta'lecer normas y rocedimientos
ara los desarrollos y su actualizacin.
o *!aluar e imlementar un soft-are +ue ermita mantener el
resguardo de acceso de los arc#i!os de rogramas y aCn de los
rogramadores.
o Imlementar y conser!ar todas las documentaciones de rue'a de
los sistemas" como as( tam'in las modificaciones y aro'aciones
de rogramas realizadas or los usuarios
5 2rea de Conta'ilidad
a. Situacin
o %o e&iste una !alidacin de la cuenta a donde de'er(a acreditarse
el monto del aorte social.
o 7a conta'ilizacin de cada oeracin se #ace en forma manual"
tanto en la arte de rececin de roductos" como en los
roductos en rocesos.
'. *fectos y)o imlicancias ro'a'les
7a Cooerati!a se encuentra e&uesto a serios riesgos" entre ellos$
o Posi'ilidad de +ue ocurran errores or la falta de conocimiento del
tema conta'le en el rea oerati!a.
o Alto riesgo de +ue el usuario final ueda incurrir en cam'ios no
autorizados en los sistemas" or cuanto +ue el usuario final tiene
acceso irrestricto al mismo.
c. 9ndice de imortancia esta'lecida
= / cero 0
d. Sugerencias
o Imlementar de'idamente los controles internos necesarios ara el
adecuado mane6o del usuario final.
o Imlementar la conta'ilizacin automtica.
2. Relevamiento
3ele!amiento De ,ard-are
*+uiamiento Central
7a cooerati!a cuenta actualmente con un *+uio Central Pentium IG con las siguientes
caracter(sticas$
Procesador Intel Pentium IG de 1.H== m#z
Aemoria$ 3am 15I A<
Almacenamiento$ >E 1< de 1= J 3PA
Cone&in$ *t#ernet 1=)1==
*s un e+uiamiento ideal ara las funciones +ue cumle y su configuracin es aceta'le. 4iene
osi'ilidades de crecimiento y el fa'ricante cuenta con reuestos y mantenimientos +ue garantizan
la 'uena utilizacin del mismo.
*+uiamiento Perifrico
7a cooerati!a cuenta en su casa central con >= PCKs de las cuales el E=L/cincuenta or ciento0
aro&imadamente son Pentium III de EE=A#s con HD A< de memoria y discos de E 1<. *l resto
son de menor orte" ero el ar+ue de comutadoras ersonales es suficientemente ato ara los
re+uerimientos actuales.
7as imresoras$ de sistema /conectadas al e+uio central0 son de marca *son 11M= y *son
15==. Ademas cuentan con e+uios de ,P EH= de c#orro de tintas conectadas a algunos e+uios.
*+uiamiento en Sucursales
7as sucursales cuentan con PCKs AAD N At#lon de ME= A#z" HD de memoria y discos de E 1<.
*+uiamiento #olgadamente ato ara las funciones +ue cumle.
7as sucursales tienen una imresora matricial del sistema y algunos usuarios cuentan con
imresoras a c#orro de tinta.
3. Comunicaciones
*n casa central e&iste una red local /*t#ernet0 conectada al e+uio central /Pentium IG0 y en la
sucursales cuentan con reuters de marca I<A modelo M.=== ara conectarse a la casa central. 7as
transmisiones son con lineas de Antelco.
Ca'leado
*l ca'leado es estructurado y con ca'les del tio O4P categor(a S" tanto en sucursales como en
casa matriz
*n 1eneral no resenta ro'lemas de ca'leado.
3ele!amiento De Soft-are
Soft-are de <ase
*l sistema oerati!o con el +ue cuenta la Pentium IG es el de Pindo-s Ser!er 5=== +ue osee una
imortante estructura de seguridad.
Con sistema de red Pindo-s 5=== con licencia ara E= usuarios. <ase de datos 4ango 1estin
Soft-are de alicacin
Sistema de Conta'ilidad" Control de Aaterias Primas" Control Presuuestarios" 7i'ro IGA /Comras
N Gentas0" Sueldos y :ornales" todos 'a6o sistema 4ango 1estin E.5
Programa De Auditoria

P3O13AAA D* AODI4O3IA
*AP3*SA$ Cy'er ProaFo .*C,A$ ,O:A %Q
.AS* AC4IGIDAD ,O3AS
*S4IAADAS
*%CA31ADOS
I
GISI4A P3*7IAI%A3
Solicitud de Aanuales y Documentaciones.
*la'oracin de los cuestionarios.
3ecoilacin de la informacin organizacional$
estructura orgnica" recursos #umanos"
resuuestos.
I ,s.
RII D*SA33O77O D* 7A AODI4O3IA
Alicacin del cuestionario al ersonal.
*ntre!istas a l(deres y usuarios mas rele!antes de
la direccin.
Anlisis de las cla!es de acceso" control"
seguridad" confia'ilidad y resaldos.
*!aluacin de la estructura orgnica$
deartamentos" uestos" funciones" autoridad y
resonsa'ilidades.
*!aluacin de los 3ecursos ,umanos y de la
situacin Presuuestal y .inanciera$ desemeFo"
caacitacin" condiciones de tra'a6o" recursos en
materiales y financieros mo'iliario y e+uios.
*!aluacin de los sistemas$ rele!amiento de
,ard-are y Soft-are" e!aluacin del diseFo lgico
y del desarrollo del sistema.
*!aluacin del Proceso de Datos y de los *+uios
de Cmutos$ seguridad de los datos" control de
oeracin" seguridad f(sica y rocedimientos de
resaldo.
>5 ,S.
III 3*GISIO% Y P3*;I%.O3A*
3e!isin de los aeles de tra'a6o.
Determinacin del Diagnostico e Imlicancias.
1H ,s.
*la'oracin de la Carta de 1erencia.
*la'oracin del <orrador.
IG I%.O3A*
*la'oracin y resentacin del Informe.
D ,s.

Informe .inal De 7a Auditoria
Cooerati!a Aan De Produccin Agr(cola 7imitada AFo 5.==5
*ncarnacin" 5H de :ulio de 5.==5
SeFores
Cooerati!a Aan de Produccin Agr(cola 7imitada
Atte. Sr. 1erente 7u(s A. PeFa
De nuestra consideracin$
4enemos el agrado de dirigirnos a Od. a efectos de ele!ar a !uestra consideracin el alcance del
tra'a6o de Auditor(a del 2rea de Informtica racticada los d(as 1= al 1D del corriente" so're la 'ase
del anlisis y rocedimientos detallados de todas las informaciones recoiladas y emitidos en el
resente informe" +ue a nuestro criterio es razona'le.
S(ntesis de la re!isin realizada" clasificado en las siguientes secciones$
A. Organizacin y Administracin del 2rea
<. Seguridad f(sica y lgica
C. Desarrollo y mantenimiento de los sistemas de alicaciones
*l contenido del informe #a sido di!idido de la siguiente forma a efectos de facilitar su anlisis.
a. Situacin
Descri'e 're!emente las de'ilidades resultantes de nuestro anlisis.
'. *fectos y)o imlicancias ro'a'les
*nuncian los osi'les riesgos a +ue se encuentran e&uestos las oeraciones realizadas or la
Cooerati!a.
c. Indice de imortancia esta'lecida
Indica con una calificacin del = al > el grado cr(tico del ro'lema y la oortunidad en +ue se de'en
tomar las acciones correcti!as del caso.
= S Alto / acciones correcti!as inmediatas0
1 S Alto / acciones re!enti!as inmediatas0
5 S Aedio / acciones diferidas correcti!as0
> S <a6o / acciones diferidas re!enti!as0
d. Sugerencias
Indicamos a la 1erencia la adocin de las medidas correcti!as tendientes a su'sanar las
de'ilidades comentadas.
SegCn el anlisis realizado #emos encontrado falencias en +ue$
no e&iste un Comit y lan informtico8 falta de organizacin y administracin del rea8 falencias en
la seguridad f(sica y lgica8
no e&iste auditor(a de sistemas8 falta de resaldo a las oeraciones8 accesos de los usuarios8 lan
de contingencias8 y entorno de desarrollo y mantenimiento de las alicaciones.
*l detalle de las deficiencias encontradas" como as( tam'in las sugerencias de solucin se
encuentran esecificadas en el Ane&o ad6unto.
7a aro'acin y uesta en rctica de estas sugerencias ayudarn a la emresa a 'rindar un
ser!icio ms eficiente a todos sus clientes.
Agradecemos la cola'oracin restada durante nuestra !isita or todo el ersonal de la
Cooerati!a y +uedamos a !uestra disosicin ara cual+uier aclaracin y)o amliacin de la
resente +ue estime necesaria.
Atentamente.
Integrantes del 1ruo Auditor