Santo domingo 07 de agosto de 2011

Seora: Ing. Damaris Daz Presidente

Estimada Ingeniera Daz:

Para este primer periodo (mayo-agosto) del ao en curso, presentamos nuestro Plan de Ejecucin de Auditoria (No.01) al Ciclo de Vida del Sistema de Adquisicin de Software del departamento de Informtica del Archivo General de la Nacin. La auditora ser realizada en las siguientes Fases: 1. Fase de Planificacin: Nuestra primera fase incluye el levantamiento de los requerimientos de activos de informacin, de los procesos llevados a cabo al adquirir o modificar un software, as como tambin el alcance de la auditoria a este software o sistema, adems evaluacin de los riesgos y controles identificados en el proceso; y la elaboracin de los programas de trabajo. 2. Fase de Trabajo de Campo: Se refiere a la ejecucin de las pruebas de auditora incluidas en los programas de trabajo preparados en la etapa anterior. 3. Presentacin y Discusin de Resultados: Esta fase comienza a implementarse antes de concluir la fase anterior, ya que al concluir las pruebas de auditoria se coordinara reuniones para dar a conocer los resultados obtenidos.

Saludos, Xenobyte Consulting Comit de Auditores

AUDITORIA INFORMATICA

Informe Final de Auditoria Informtica

Auditoria de Ciclo de Vida Desarrollo de SI & Administracin de Proyecto

Institucin Auditada Archivo General de la Nacin Equipo Auditor Ing. Australia Carolina Almonte Ing. Leidy Bottier Reinoso Ing. Hector Meja Vargas

Fecha de Realizacin

Mayo 2011

Xenobyte Consulting

Indice
Introduccion Objetivos de la Auditoria Alcance de la Auditoria Planificacion de Pre-Auditoria Procedimiento de Auditoria para la recoleccin de datos Hallazgos Clasificacin de las Auditorias Opinin del Comit Auditor

Xenobyte Consulting

INTRODUCCIN
En la Actualidad los Sistemas Informticos constituyen una herramienta bastante poderosa para la mejora de rendimiento de toda organizacin empresarial. Del mismo modo, no solo se trata de adquirir tecnologa, sino que tambin es necesario saber darle el uso adecuado de acuerdo a los Requerimientos particulares de un determinado usuario o grupos de usuarios. La Auditoria Informtica, es un punto clave en este sentido, debido a que, si bien es cierto, ayuda a detectar errores y sealar riesgos en determinadas reas o procesos, su objetivo est orientado a brindar soluciones, planteando mtodos y procedimientos de control de los sistemas de informacin que son vlidos para cualquier empresa u organizacin por pequea que esta sea. El auditor informtico ha de velar por la correcta utilizacin y proteccin de los activos de informacin de la institucin o empresa. Cabe resaltar que para la realizacin de una auditoria informtica eficaz, es necesario un involucramiento en cada uno de las actividades o servicios que realiza la institucin o empresa en su ms amplio sentido. El presente informe realizado, plantea un estudio riguroso de los diversos factores que pueden estar influyendo en las operaciones de la institucin auditada, a fin de brindar las soluciones y recomendaciones pertinentes y necesarias.

Xenobyte Consulting

Objetivos de la Auditora
Objetivo General Objetivos Especficos 1- Verificar, controlar y funcionamiento del software. supervisar el

Recolectar y evaluar la evidencia para determinar si los sistemas de informacin y los recursos relacionados protegen adecuadamente los activos, manteniendo la integridad y disponibilidad de los datos y del sistema, proviniendo informacin relevante y confiable, logrando de forma efectiva las metas organizacionales, usando eficientemente los recursos y poniendo en prctica los controles internos para una buena aplicacin de los objetivos del departamento e institucin, operacionales y de control garantizando que sern alcanzados y que los eventos y situaciones conflictivas y no deseadas sean evitados o detectados y a la vez corregidos a tiempo y de forma oportuna.

2Incrementar la satisfaccin de los usuarios que utilizan el software (Seguridad de personal, Acceso lgico). 3Minimizar existencias de riesgo en el uso de la informacin (Extraccin de Informacin, modificacin, prdida, etc). 4Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la propuesta de solucin. 5Determinar si existen garantas suficientes para proteger los accesos no autorizados a la informacin reservada de la institucin y la integridad de la misma. 6Determinar si el proceso de generacin de la copia de respaldo es fiable y garantiza la recuperacin de la informacin en caso de necesidad.

Xenobyte Consulting

Alcance de la Auditoria
El alcance de nuestra auditoria abarcara los procesos y procedimientos que se llevan acabo en el departameto Informtica del Archivo General de la Nacin (AGN). La misma se realizar sobre un Software de Sistema Integral Automatizado de Biblioteca de la Universidad de Colima (SIABUC 8), que actualmente est siendo implementado. Nuestra auditoria esta principalmente enfocada a los siguientes puntos: Ciclo de Vida Desarrollo de SI Administracin de Proyectos Polticas y Procedimientos Estructura Gerencial y Gestin de Proyectos Administracin de Personal Estudio de Factibilidad Gestin de Costos y Calidad Proveedores de Servicios

Inventario informtico del departamento, las instalaciones realizadas en el rea de informacin propuestas, seguridad del entorno fsico, ubicacin, etc. Funcionamiento del software de las maquinas o servidores existentes, as como la adquisicin de los programas con los que cuenta el departamento. Comprobar lo seguridad y vulnerabilidades en la red, as como, determinar que la funcin de la misma est claramente definida.

Xenobyte Consulting

Planificacin de Pre auditoria

Habilidades y Recursos Tcnicos de la informacin necesarios, dedicado a los sistemas de Informacin computarizados.

La tecnologa de la Informacin del AGN est dirigida por un Gerente Informtico, debajo de esta gerencia se encuentran: Encargado de Base de Datos Encargado de Programacin Encargado de Redes Encargado de Seguridad Lgica Encargado de Seguridad Fsica Soporte tcnico

Proteccin del Sistema implementado. La proteccin del sistema se evala en 3 partes. Seguridad Lgica Seguridad Fsica Control de cambios El detalle de la situacin de cada uno de estos puntos es el siguiente: Seguridad Lgica: Al entrar un empleado al departamento de Informtica, se enva un formulario desde el mismo hacia el Help-Desk (Mesa de Ayuda), solicitndole los accesos a los diferentes mens del sistema que sern necesarios para poder realizar sus labores. Este formulario es enviado por correo electrnico como constancia de lo que le fue solicitado al departamento de tecnologa. El perfil que se le proporciona al usuario entrante es heredado desde uno que pertenezca al rea en donde va a realizar el trabajo. En caso de salida de un usuario (por vacaciones o enfermedad) mantienen siempre el perfil de ese usuario activo.

Las claves de la red se administran de la siguiente manera: Longitud mnima de 6 caracteres No caduca Se bloquea al tercer intento y para activar debe de llamar o enviar un correo al Help Desk. Caracteres alfanumricos

Xenobyte Consulting

Seguridad Fsica El acceso al cuarto de los servidores actualmente, es a travs de carn electrnico. A esta rea tiene acceso el Gerente de Informtico. El cuarto de los servidores est protegido con un sistema de cmaras de seguridad, extintor especial para equipos informtico, alarma contra incendio, aire acondicionado independiente, 2 UPS, Planta elctrica. Control de Cambio: Los cambios al sistema se solicitan formalmente a travs de un help desk de aqu se evalan estadsticamente las reclamaciones y pedidos para los cambios, enviando un correo con el requerimiento del mismo. Se evala el cambio para saber si se trata de cambio en los parmetros del sistema o si se trata de cambios de programacin, una vez que se ha determinado cual es la necesidad de los usuarios se procede con el cambio

Nivel de Dependencia del Sistema: Hardware: Red tipo estrella, cableada con fibra ptica Las conexiones de Internet son provistas por WINTELECON y CODETEL Cuentan con aproximadamente 18 usuarios dentro de la red, en el departamento La Base de datos utilizada para sistema es Access El sistema trabaja bajo una plataforma de Windows Server 2003 Utilizan el sistema operativo Windows XP para las computadoras de los usuarios. Como sistema de oficina utilizan Microsoft Office 2003. Kaspersky como programa de Antivirus, el mtodo para actualizarlo es a travs de 3 servidores, desde el departamento de Informtica. El correo electrnico se maneja a travs de DeskNow para el correo interno y Google Apps para el correo pblico. Cuentan con un solo servidor para el sistema en el departamento.

Polticas generales predeterminadas para la ejecucin, uso e implementacin del sistema SIABUC 8. Recursos humanos Se requiere de personal tcnico para realizar las labores de digitalizacin y de especialistas para la administracin de la red y configuracin de servidores. Por supuesto es indispensable el personal bibliotecario que registrar los metadatos de cada uno de los recursos de informacin.

Xenobyte Consulting

Informacin a digitalizar La riqueza de una biblioteca digital es su contenido, para lo cual se tiene que identificar y seleccionar previamente cual es el material que va a ser digitalizado. Puede tratarse de alguna coleccin especial que est libre de derechos, o bien, que se cuente con el permiso de l, o los autores. Infraestructura tecnolgica Para la digitalizacin de informacin se requerirn de computadoras, cmaras digitales o escneres y software de procesamiento de textos o imgenes y de OCR (Optical Character Recognition). Para el almacenamiento de los archivos digitales que conforman el acervo de la Biblioteca Digital, se requiere contar con una computadora servidor con suficiente capacidad de disco duro y velocidad de procesamiento, tambin se requerir de una buena configuracin de red y acceso a internet. Debe tomarse en cuenta que el texto completo y las imgenes digitalizadas ocupan un espacio considerablemente mayor en disco duro que las simples fichas.

Localidades e Instalaciones a Auditar La instalacin a auditar est ubicada en la calle Modesto Daz #3 zona Universitaria, Santo Domingo, Republica Dominicana, en el 2do piso.

Polticas, Estndares, Procedimientos existentes en el departamento. En el departamento de Informtica existen 3 reas que poseen polticas, estndares.

Procedimientos de Auditoria para la recoleccin de datos

EL enfoque de la auditoria para identificar, verificar y comprobar los controles, est basado en la proteccin de los activos de informacin y sus instalaciones.

Controles de Acceso Lgico, equipos, e Instalaciones. Control de acceso lgico. Los usuarios que se encuentran en el departamento de Hemeroteca-Biblioteca tienen: Un solo Usuario y password para acceder al sistema Tienen una sola computadora asignada para el login Constan de un perfil especifico dentro del sistema con permisos asignados previos Tienen una poltica establecida para el uso de internet, solicitando el acceso a este mediante una carta o comunicacin, hacia el departamento de Informtica, as como tambin enviando un ticket a travs del help desk,

Xenobyte Consulting

donde se justifica las razones del uso, quedando como constancia la solicitud de la misma. El empleado al salir de vacaciones o motivos de enfermedad, de la jornada de trabajo por tiempo x, el usuario de este queda activo. El acceso de empleado que termina su contrato de trabajo, es cerrado, toda informacin que ha sido manejada por este usuario, se le realiza una copia por parte del departamento de informtica. Solo el usuario autorizado del departamento tiene el perfil de acceso a la base de datos del sistema o software implementado. Para accesar al wireless con dispositivo inalmbrico es necesario entrar al dominio del servidor.

Control de Equipos. Para mantener el control de equipos y dispositivos existentes, realizan un inventario cada 4 meses. Al averiarse cualquier equipo de tecnologa, se llena un ticket en el help desk para que el departamento de informtica asista, si el equipo requiere de un traslado para ser reparado o remplazado por otro, se le sustituye por un equipo provisional. Solo el usuario asignado puede manejar el servidor existente en el departamento en el que se encuentra el sistema o software implementado. No es permitido el extraer algn equipo tcnico del departamento, asi como moverlo del lugar donde se encuentra.

Controles Fsicos y Ambientales Utilizan Card ID para el acceso fsico al departamento Tienen instalacin de cmaras de video en el departamento Usan guardias de Seguridad en las puertas, los cuales se encargan de revisar todo tipo de material saliente por cada empleado. Poseen alarmas ante incendios, extractor de oxigeno, detector de humo y extintores. No es permitido cambiar manualmente por parte de los usuarios finales la temperatura del aire acondicionado, esto es asignado a las personas de mantenimiento.

Xenobyte Consulting

Hallazgos
A la fecha de revisin en nuestra auditoria hemos podido encontrar que El centro de datos actual cuenta con los controles ambientales apropiados, entre ellos estn: El Sistema de extincin de incendios basado en FM200, Deshumificador, Redundancia elctrica basada en UPS y generador elctrico propio, Extintores de mano, y Detector de humo. Tambien hemos podido apreciar que el departamento trabaja bajo una implementacin de software que ha sido adquirido por la institucin comprando una licencia y la aplicacin, todo esto bajo un contrato.
IMPACTO PARA LA INSTITUCION No poseer un ambiente de pruebas permanente, deja descubierto el riesgo de que no se realicen las pruebas para todas modificaciones efectuadas a los sistemas, antes de estos cambios llegar al ambiente de produccin.

REA

OPORTUNIDAD DE MEJORA

RECOMENDACION

Adquisicin, desarrollo y mantenimiento del sistema de aplicacin

No existe permanentemente un ambiente de prueba para los cambios a los sistemas de aplicacin. A la fecha de la revisin, el departamento de tecnologa de informacin no cuenta con un ambiente de prueba permanente para que se realicen las mismas antes de los cambios a los sistemas ser pasados al ambiente de produccin.

Establecer un ambiente permanente de pruebas en el que puedan someterse todos los cambios, antes de ser colocado en el ambiente de produccin. Para asegurar adecuadamente el ciclo de desarrollo de sistemas de aplicacin, las mejores prcticas implican la existencia de tres ambientes permanentes: Desarrollo Prueba Produccin

Administracin de Proyectos

No existe un manual de Al no existir un manual de procedimientos general para polticas y procedimiento todos los proyectos. general de todos los proyectos debidamente formalizada por la gerencia, los proyectos no estaran cumpliendo con la misin y visin de la institucin.

Crear manuales de polticas y procedimientos para la creacin de proyecto. De esta manera, se podr tener un mayor nivel de aseguramiento ya que se est cumpliendo con los objetivos de la Institucin as como tambin la actualizacin peridica de dicho manual.

Xenobyte Consulting

Administracin de Proyectos

Inexistencia de Metodologa o Estndar: No existe una metodologa de administracin de proyectos, que le sirva como directriz al rea administracin de proyecto.

No poseer metodologas y estndares la institucin no tiene marco de referencia de calidad que le impulsen a buenas prcticas y directrices.

Adoptar estndares en gestin de proyecto como CMMI que es una aproximacin a la mejora de procesos que proporciona a las organizaciones los elementos esenciales para desarrollar unos procesos efectivos. ISO que esta orientada a gestionar la calidad. Realizar Planes de Negocios que contemple con claridad la factibilidad y fiabilidad de los proyectos, para que los directivos obtengan una visin ms clara de la magnitud de los proyecto.

Administracin de Proyectos

El Plan de Negocio, no se plante correctamente donde se tena que determinar la viabilidad econmico- financiera del proyecto.

Al no contener un Plan de negocio no se tiene previsto la inversin del proyecto y la institucin tiene riegos de prdidas econmicas que atrasaran la implementacin de dicho proyecto.

Planeacin de la Continuidad del Negocio

No est implementado un Plan de Recuperacin en Caso de Desastres A la fecha de la revisin, la Entidad cuenta con un plan de continuidad del negocio, no as con un plan de recuperacin en caso de desastres implementado que soporte dicho plan de continuidad.

La inexistencia de un plan de recuperacin en caso de desastres inhabilita a la institucin a recuperar los activos de informacin , los cuales son imprescindibles en un negocio. Sin un plan de recuperacin en caso de desastres (DRP por sus siglas en ingls), un plan de continuidad del negocio no puede ser razonablemente efectivo. En el caso de que se presenten eventos inesperados, el plan de continuidad del negocio no tendra la efectividad necesaria y se vera altamente afectada la continuidad de las operaciones y la imagen de la empresa ante el pblico.

Dar un alto nivel de prioridad a la confeccin de un plan de recuperacin en caso de desastres que de apoyo al plan de continuidad del negocio. Dicho plan debe ser confeccionado de acuerdo a las mejores prcticas de la industria y adaptado a la infraestructura de la institucion, de manera que responsa eficientemente en los casos de que se necesite. Dicho plan debe estar acompaado de una planificacin de su mantenimiento y pruebas peridicas mediante las cuales se asegure su efectividad.

Xenobyte Consulting

Seguridad de Acceso

No existen implementadas medidas para el cambio frecuente de contraseas y fortaleza de las mismas, as como tampoco cuentan las polticas relacionadas documentadas.

Cuando las medidas de seguridad no estn formalmente Implementadas ni establecidas, existe el riesgo de que su implementacin no se realice de manera consistente, La formalizacin de las polticas crea el compromiso de quienes la aplican a respetar las mimas

Deben implementarse controles de seguridad tales como: Cambio peridico de contraseas. Contraseas fuertes. Bloqueo segn intentos fallidos. No reutilizacin de contraseas recientes. Deben revisarse las polticas de seguridad y asegurarse de que las mismas reflejen lo que est implementado. Aquello que est implementado y se considere buena prctica, debe pasar a ser parte de las polticas, las cuales deben ser comunicadas y normalmente deben ser objeto de mantenimiento.

Seguridad de Acceso

No estn activadas las pistas de auditora para todas las aplicaciones utilizadas por la Institucin. A la fecha de la revisin, segn nuestra indagacin, no todas las aplicaciones tienen activadas las pistas de auditora.

Las pistas de auditora se constituyen en un control detectivo mediante el cual se pueden detectar ventos importantes que pueden ser el preaviso a situaciones que atenten contra la confidencialidad y disponibilidad de la informacin, as como contra la continuidad de las operaciones. Cuando no se cuenta con las pistas de auditora de ciertas aplicaciones no se puede dar un seguimiento adecuado a la utilizacin de las mismas, por lo que es difcil anticiparse a posibles eventos o detectar acciones que ya tuvieron un efecto sobre dichas aplicaciones y la informacin que maneja.

Debe adquirirse la capacidad de almacenamiento necesaria para que se activen las pistas de auditora que se consideren apropiadas luego de un estudio detallado sobre cules aplicaciones y eventos sern objeto de seguimiento continuo.

Xenobyte Consulting

Los backups que se realizan estn almacenados en el mismo lugar que se encuentran los servidores. Seguridad de Informacin

En caso de desastres naturales como por ejemplo terremotos, toda la informacin puede perderse, esto podra causarle un caos a la institucin, ya que si no existen backtup en otros servidores o dispositivos porttiles que se encuentren fuera de las reas donde se ejecutan los mismos, no existira manera de recuperar esos activos de informacin.

Se recomienda que los backups sean almacenados en una localidad externa, como podra ser en una caja de seguridad de banco o entidad similar que le pueda gestionar la seguridad de los datos ante cualquier situacin.

rea de personal

La institucin no cuenta con un comit informtico debidamente estructurado que pueda trazar las reglas ni directrices correspondientes al departamento. A la fecha de la revisin solo hemos encontrado a un gerente informtico, un administrador de redes, un administrador de base de datos, y un soporte tcnico.

Esto puede impactar la institucin de sobre manera, ya que debe existir quien represente de manera ejecutiva esta parte tan importante que es el procesamiento de la informacin, as como tambin las instrucciones deben de pasar nivel por nivel organizadamente.

Se recomienda que se conforme un Comit Informtico que se encuentre debidamente estructurado, contando a su vez con un personal debidamente capacitado para cada una de las posiciones a ocupar, evitando asa conflictos de implementaciones y modificaciones tanto al departamento como a las aplicaciones y sistemas.

Adquisicin de software o aplicaciones

La institucin ha comprado un software que no ha sido recomendado por ningn comit Informtico ya que cacere del mismo, este recibe una actualizacin anual que requiere de una nueva compra, a la vez la institucin debe esperar a que la nueva licencia sea enviada no al mismo tiempo que la actualizacin del software.

El nivel de produccin es afectado notablemente ya que: la institucin se encuentra haciendo una inversin aadida, ningn comit revisa el contrato que exige el pago de cada actualizacin del software, as como tambin se ve afectado el nivel de produccin ya que al no llegar a tiempo la licencia de la aplicacin, el trabajo que se ejecuta se mantiene paralizado, provocando esto prdida de tiempo y costo.

Se recomienda una revisin del contrato de la adquisicin del software as como evaluar si el mismo es conveniente y eficiente para la elaboracin del trabajo del departamento. Luego tomar en consideracin la adquisicin de un nuevo software que permita la actualizacin gratuita va internet, evitando as el retraso de recibir la vigencia de la licencia.

Xenobyte Consulting

Clasificacin de las Auditorias

Excelente: Controles robustos, roles y responsabilidades definidas, riesgo financiero Low , ninguna excepcin, p y p actualizados y vigentes, no existen puntos prioritarios, monitoreo preventivo de controles, medicin de riesgos. Oportunidad de mejora: Incumplimientos polticas y procesos, Riesgo financiero Mdium, Falta de procedimientos y desactualizacin de p y p, Oportunidades reservadas en revisin ambiente de control, Uno o varios puntos prioritarios. Bajo Nivel deseado: Ambiente de control dbil, no segregacin de funciones, Excesivos errores o excepciones, Riesgo financiero High, Polticas y procesos Inexistentes, Varios puntos prioritarios.

Xenobyte Consulting

Opinin del Comit Auditor

Al finalizar nuestro Plan de Auditoria, hemos concluido que los controles internos relativos al Ciclo de Vida de desarrollo de Sistemas y Administracin de proyectos lo cual hace referencia al proyecto de adquisicin de Software del departamento de Informtica del AGN, se encuentra en BAJO NIVEL DESEADO, ya que no logra cumplir con los controles necesarios para la principal necesidad de toda institucin, como es la proteccin de la informacin bajo pistas de auditora.

Xenobyte Consulting