Informe de Auditoria Bd Final

June 8, 2018 | Author: Danny Peña | Category: Information Security, Backup, Databases, Software, Evaluation
Report this link


Description

República Bolivariana de Venezuela INFORME PRELIMINARAuditoría Informática a la Base de Datos del Sistema Integral Venequip (SIV) en la empresa Venequip S.A. sucursal Barquisimeto. Integrantes: Herliana D. Torcate Danny Peña Barquisimeto 01 de Junio de 2013 Índice de Versiones Fecha 24/05/2013 24/05/2013 25/05/2013 13/06/2013 Versión 1.0 1.0 1.1 1.2 Informe Descripción Autor Equipo Auditor Mailen Camacaro Equipo Auditor Equipo auditor Revisión de Informe Informe Informe final Índice CARTA DE PRESENTACIÓN ........................................................................................................................... 4 CRONOGRAMA DE ACTIVIDADES FASE I ....................................................................................................... 7 INTRODUCCIÓN ........................................................................................................................................... 8 FASE I: ASPECTOS PRELIMINARES ................................................................................................................ 9 IDENTIFICACIÓN DE LA ORGANIZACIÓN .................................................................................................................... 9 ALCANCE ........................................................................................................................................................... 9 OBJETIVO GENERAL ............................................................................................................................................. 9 OBJETIVOS ESPECÍFICOS ...................................................................................................................................... 10 MATRIZ DE ANÁLISIS.......................................................................................................................................... 11 PROGRAMA DE AUDITORÍA ................................................................................................................................. 14 FASE II: DESARROLLO DE LA AUDITORIA .................................................................................................... 16 HALLAZGOS DE LA AUDITORÍA ................................................................................................................... 36 CONCLUSIONES Y RECOMENDACIONES ..................................................................................................... 43 Carta de presentación Barquisimeto, 24 de Mayo de 2013 Ciudadano Ing. Winston Rivero Gerente Nacional de Sistemas deVENEQUIP S.A. Su despacho.Reciba ante todo un cordial saludo. En atención a su solicitud y considerando conversaciones sostenidas entre Ud. y nuestra gerencia, por medio de la presente hacemos llegar nuestra propuesta de servicios profesionales para la realización de la Auditoría Informática a la Base de Datos del Sistema Integral Venequip (SIV), de la empresa Venequip S.A. sucursal Barquisimeto la cual Ud. representa, para su análisis y consideración. Es oportuno mencionar que el alcance de los servicios ofrecidos, comprende: Fase I. Etapa Preliminar Fase II. Desarrollo de la Auditoria Fase III. Informe. De igual manera hacemos de su conocimiento algunos aspectos de la auditoria que son de su interés: TIEMPO Y RECURSOS : Hemos estimado que el servicio tendrá una duración de 30 días, el cual será distribuido por persona de la siguiente manera: Categoría SOCIO GERENTE SENIOR ASISTENTE OTROS TOTALES % Tiempo de trabajo 0,36% 9,29% 39,29% 50,71% 0,36% 100,00% será facturado por aparte en la factura presentada. . 29.I Evaluación del Control Interno Elaboración de Programas de Auditoria Identificación de Riesgos Identificación de Controles Aplicación de Pruebas Evaluación de los Sistemas de Información Revisión de los Papeles de Trabajo.00 Bs. Elaboración del Informe Discusión del Informe Entrega y Presentación Final TOTALES SOCIO GERENTE SENIOR ASISTENTE OTROS TOTAL 1 8 4 9 12 16 120 36 16 16 8 16 12 8 6 5 280 4 4 2 4 1 26 4 8 40 16 8 8 4 8 4 8 2 110 4 8 80 16 8 8 4 8 4 2 1 142 1 HONORARIOS PROFESIONALES: Hemos estimado nuestros honorarios profesionales.418.Horas-Hombre para la realización de trabajo de Auditoria Bs/Hra (basado en UT) PERSONAL / ACTIVIDADES: Información General Planificación Elaboración de Cuestionario C.00los cuales facturemos: GASTOS TOTAL HONORARIOS PROFESIONALES GASTOS ADMINISTRATIVOS HONORARIO POR SERVICIO DE AUDITORIA TOTAL MONTO (Bs. en la cantidad de Bs 61.960.00 Bs. 22. 8.00 Bs.) Bs.00 El Impuesto al Valor Agregado.418. 61.988.470. y nos serán reembolsadas contra la presentación de las facturas de gastos correspondientes Asimismo. se despide Atentamente Johanna Simons . favor comunicarse con mi persona a través del número telefónico: xxx-yyyyyyy Sin más por el momento y quedando a su disposición para aclarar o ampliar el contenido de la presente. o cualquier otra localidad que amerite ser visitada para cumplir con los objetivos de la auditoria serán por cuenta de la compañía. alojamiento y alimentación de nuestro personal en la Ciudad de Barquisimeto. transporte interno. para cualquier información adicional que requiera en relación a la propuesta planteada.Por otra parte los gastos de traslados. Cronograma de actividades Fase I Actividad N° 1 2 3 4 5 6 7 Semana 1 2 X X X Nombre Contacto con el Cliente Entrevista preliminar Solicitud de documentos Determinación del alcance de la auditoría Elaboración de la matriz de análisis de la auditoria Elaboración de programa de elaboración de Auditoría Informática Presupuesto Responsable Johanna Simons Johanna Simons Johanna Simons HerlianaTorcate HerlianaTorcate Danny Peña Danny Peña 3 X X X X . Introducción En las organizaciones de hoy. A su vez. por tal motivo. Consideramos la evaluación como una parte del proceso de mejora y gestión de la calidad en los servicios. destinada a obtener referencia sobre las distintas variables requeridas para realizar la evaluación de la BD. se basa en la definición de unos indicadores de rendimiento. para presentar un informe final a la gerencia general de sistemas de VENEQUIP S. que nos ofrecerán información sobre el funcionamiento del servicio y sobre su eficacia. Finalmente se analizaran e interpretaran estos valores. a través de unos instrumentos de análisis que sirven para evaluarla y para la toma de decisiones referidas ala misma.A. la información ha pasado a ser un factor clave para su propia estabilidad. En una segunda etapa. se procederá a la aplicación de instrumentos y pruebas para obtener los valores o resultados de los indicadores previamente definidos. El propósito de esta auditoría informática a la Base de Datos del Sistema Integral Venequip (SIV) en la empresa Venequip S. que día a día exigen cambios en todos y cada uno de los procesos de negocios . el implementar tecnología para cumplir con tantas exigencia.A. La auditoría en informática. nos basamos en un tipo concreto de evaluación a través de indicadores. conlleva a las organizaciones a establecer mecanismos que aseguren el buen desempeño de las funciones para las cuales han sido concebidos. en un mercado tan competitivo donde las exigencias de todo un entorno asociado a las actividades de las organizaciones. sucursal Barquisimeto es medir el rendimiento de la BD. permanencia y escalabilidad. que nos ofrecerán información sobre el rendimiento y eficacia de la BD. solo sobrevivirán aquellas quienes se adapten y comprendan que estas exigencias van ligadas al crecimiento de los procesos de TI y entiendan que estos juegan un papel protagónico para que el éxito llegue y se quede. adicionalmente es necesario incorporar dentro de los procesos de una organización métodos que permitan monitorizarlos y que ayuden a garanticen el buen funcionamiento de las soluciones de TI implementadas. El modelo de evaluación consta de tres fases. siendo la evaluación uno de los aspectos más importantes para que estas actividades de revisión culminen con los resultados esperados por cada uno de sus actores. Estaríamos en una fase meramente descriptiva. es una herramienta que nace para detectar. prevenir y mejorar todos estos procesos medulares de una organización tecnológicamente orientada. El modelo de evaluación que utilizamos. . Se inicia con el levantamiento de información y delimitación del análisis. no solo con nuestros productos sino también con nuestros servicios.A. . sucursal Barquisimeto. sino también tener sistemas de información sólidos y robusto que permitan el buen funcionamiento de toda la organización con el fin de mejorar y brindarle a todos nuestros clientes y al país el mejor servicio.A. es una organización venezolana líder en el mercado como distribuidor exclusivo de equipos Caterpillar. entre sus servicios se encuentran la venta.FASE I: ASPECTOS PRELIMINARES Identificación de la Organización Venequip. sucursal Barquisimeto. Objetivo General  Realizar una Auditoría Informática a la Base de Datos del Sistema Integral Venequip (SIV) en la empresa Venequip S. Alcance Auditoría Informática a la Base de Datos del Sistema Integral Venequip (SIV) en la empresa Venequip S. manteniéndolos siempre satisfechos con la calidad que caracteriza a nuestra organización. Visión Seguir siendo la empresa líder en cuanto a maquinaria pesadas tanto en producto y servicios. S. repuestos originales y servicio post-venta para maquinaria pesada y equipos industriales. período Enero 2012 – Enero 2013. alquiler.A. Misión Ofrecer lo mejor a nuestros cliente. no solo consolidarse en esta rama. La empresa maneja todos sus procesos a través de un sistema único llamado SIV (Sistema Integral Venequip) que corre en un servidor IBM AS/400 y utiliza el manejador de base de datos IBM/DB2 ubicado en el mismo servidor. Objetivos específicos    Diagnosticar la situación actual de la gestión de la base de datos del Sistema Integral Venequip (SIV) Evaluar el control interno y externo para la base de datos del Sistema Integral Venequip (SIV) Analizar la información recolectada durante el proceso de Auditoría Informática de Base de Datos  Presentar Informe del proceso de Auditoría Informática de Base de Datos .  Listas de Chequeo  Pruebas de Software Caja Negra .  Cuestionarios.  Entrevistas. OBJETIVOS GENERAL ESPECIFICOS DIMENSION INDICADORES INSTRUMENTOS  Realizar una Auditoría Informática de la Base de Datos de la empresa Venequip S. Gestión Diseño de la BD  Evaluar el control (Estructura Física) interno y externo para la base de datos del Sistema Integral Venequip (SIV) Diseño de la BD (Estructura lógica)  Observación directa.  Especificación de la plataforma y el lenguaje usado.  Recursos humanos y materiales.  Definiciones de cargos.  Diccionario de Datos  Interoperabilidad e integración con otras herramientas  Aplicaciones con uso intensivo de consultas  Indexación  Capacidad para realizar búsquedas  Facilidad para juzgar la adecuación de los  Entrevistas.  Existencias de políticas de seguridad y normas en la empresa.  Segregación de funciones.A.A.  Lista de chequeo  Observación directa.Matriz de Análisis Código MATRIZ DE ANALISIS DE AUDITORIA INFORMATICA DE BASE DE DATOS DE LA EMPRESA VENEQUIP S. del Estado Lara para el Sistema Integral Venequip (SIV)  Diagnosticar la situación Organización actual de la gestión de la base de datos del Sistema Integral Venequip (SIV)  Existencia de documentación de objetivos.  Control de acceso.Actualización y Presentación de los datos registros a la búsqueda deseada  Esfuerzo requerido en la recuperación  Grado de actualización  Nivel de crecimiento  Fiabilidad y precisión de los datos  Existencia de documentación de políticas de respaldo y recuperación  Rutinas de copia de seguridad y recuperación  Puntos de comprobación  Registro de actividades  Tasa de pertinencia. precisión o relevancia  Integridad de Entidades  Integridad de Dominios  Integridad Referencial  Existencia de documentación de políticas de seguridad.  Gestión de archivos de auditoria  LOGS.  Resultados obtenidos Procedimientos de respaldo y recuperación de los datos Integridad de los datos Seguridad de acceso a los datos  Analizar la información  Análisis de la información . recolectada durante el proceso de Auditoría Informática de Base de Datos  Presentar Informe del proceso de Auditoría Informática de Base de Datos  Presentación del Informe  Informe . Johanna Simons Johanna Simons HerlianaTorcate HerlianaTorcate Danny Peña Danny Peña Johanna Simons HerlianaTorcate. Danny Peña Johanna Simons 2h 2h Herliana Torcate Herliana Torcate .Programa de Auditoría PROGRAMA DE AUDITORIA EMPRESA: FASE I FECHA: 27/05 – 07/06/13 HORAS ESTIMADAS 2h 2h 4h 4h 4h 4h 4h 8h 8h HOJA N° ENCARGADOS II ACTIVIDAD Etapa Preliminar  Entrevista con el cliente  Levantamiento Inicial de información  Definición de alcance y objetivos de la auditoría  Elaboración de la matriz de análisis de auditoría  Elaboración del programa de auditoría  Elaboración de Presupuesto  Elaboración de los procedimientos de auditoría  Elaboración de instrumentos de recolección de datos  Elaboración de pruebas de SW Desarrollo de la Auditoría  Entrevistas con el personal objeto de auditoría  Aplicación de instrumentos de recolección de datos al personal objeto de auditoría.  Elaboración del Pre-Informe Informe  Elaboración de informe final. 2h Herliana Torcate 4h Danny Peña. Johanna Simons 4h 4h 2h 1h Danny Peña. Johanna Simons 4h 2h Danny Peña. Johanna Simons Danny Peña .III IV  Observación Directa sobre los procesos auditados en la organización  Recopilación de información y documentación relevante al proceso de auditoría  Análisis de la información recopilada  Determinación y tabulación de resultados Pre-Informe  Revisión general de los resultados.  Presentación del informe. Johanna Simons Danny Peña. Johanna Simons Herliana Torcate Herliana Torcate. Sede .A.FASE II: DESARROLLO DE LA AUDITORIA Código: MR-1 Matriz de Riesgo Empresa: Venequip S.Barquisimeto Proceso Ejecución de la Base de Datos SIV Riesgo Impacto 3 2 1 1 2 3 3 2 2 2 2 3 3 Probabilidad 3 1 2 1 3 3 3 2 1 3 1 2 2 Perdida de los datos almacenados en ella Sobrecarga de la base de datos Perdida del servicio SIV Modificación de los datos sin controles Seguridad de Información en la Robo de la base de datos base de datos No cifrado de la data sensible Ataques externos Ruptura de enlaces o cadenas por fallos del software soportado Impacto de accesos no autorizados al diccionario Utilización de la base de datos de datos que a un fichero tradicional Dependencias del nivel de conocimientos técnicos del personal que realiza las correspondientes actualizaciones No detección de parada de software Migración de base de datos Interrupción en la exportación de data Interrupción en la Importación de Data . PROCEDIMIENTO DE AUDITORIA INFORMATICA DE: Base de Datos del Sistema Integral Venequip (SIV) ANEXOS . A. Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS REF.Procedimientos de Auditoría Código: P1 PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: SECCION DE TRABAJO: Organización BASE DE DATOS Pag. 1 de 1 EMPRESA: Venequip S. de TI E-1 2 Realizar listado de chequeo sobre entrevista E-1 LCH-1 3 Realizar observación directa de los procesos dentro del departamento de cómputo REALIZADO POR: REVISADO POR: . P/T 1 Realizar entrevista a José Pablo Pérez Gerente del dpto.. 1 de 1 EMPRESA: Venequip S. LCH-2 políticas..Procedimientos de Auditoría Código: P2 PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: SECCION DE TRABAJO: Gestión BASE DE DATOS Pag. conocimiento del lenguaje usado 2 Realizar observación directa de los procesos dentro del departamento de cómputos en cuanto a la gestión por parte del capital humano REALIZADO POR: REVISADO POR: .A. P/T 1 Realizar Listado De chequeo de procedimientos. conocimientos de BD. Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS REF. manuales de cargos y funciones. 3 Verificar la existencia de índices y la actualización de los mismos REF.. 1 de 1 EMPRESA: Venequip S.A.Procedimientos de Auditoría PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: BASE DE DATOS Código: P3 SECCION DE TRABAJO: Diseño de la BD (Estructura Física) Pag. P/T LCH-3 LCH-3 LCH-3 REALIZADO POR: REVISADO POR: . Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS 1 Ejecutar prueba de integración con otras herramientas y software 2 Realizar consulta en vivo sobre las tablas con elevada carga de información para medir eficiencia en hora pico. Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS 1 Realizar observación directa de las relaciones de las tablas de BD REF. 1 de 1 EMPRESA: Venequip S. P/T REALIZADO POR: REVISADO POR: .A.Procedimientos de Auditoría PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: BASE DE DATOS Código: P4 SECCION DE TRABAJO: Diseño de la BD (Estructura Lógica) Pag.. 1 de 1 EMPRESA: Venequip S.A. Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS 1 Verificar disponibilidad y capacidad de almacenamiento de la BD REF.. P/T LCH-4 REALIZADO POR: REVISADO POR: .Procedimientos de Auditoría PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: BASE DE DATOS Código: P5 SECCION DE TRABAJO: Actualización y presentación de los datos Pag. 1 de 1 EMPRESA: Venequip S. Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS 1 Revisión de las políticas y procedimientos de respaldo y recuperación de BD 2 Realizar observación directa de los procesos de respaldo dentro del departamento de computo REF.. P/T E-2 REALIZADO POR: REVISADO POR: .Procedimientos de Auditoría PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: BASE DE DATOS Código: P6 SECCION DE TRABAJO: Procedimientos de respaldo y recuperación de los datos Pag.A. Procedimientos de Auditoría Código: P7 PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: SECCION DE TRABAJO: Integridad de los datos BASE DE DATOS Pag.. P/T 1 Realizar una verificación de la integridad de los datos tomando ejemplos en E-3 vivo con usuarios finales REALIZADO POR: REVISADO POR: . Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS REF.A. 1 de 1 EMPRESA: Venequip S. .Procedimientos de Auditoría Código: P8 PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: SECCION DE TRABAJO: Seguridad de acceso a los datos BASE DE DATOS Pag. de informática sobre seguridad u E-4 acceso a los datos REALIZADO POR: REVISADO POR: . 1 de 1 EMPRESA: Venequip S.A. P/T 1 Realizar observación directa de los accesos a la BD desde el punto de vista lógico 2 Realizar observación directa de los accesos a la BD desde el punto de vista físico 3 Realizar entrevista al gerente del dpto. Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS REF. Procedimientos de Auditoría Código: P9 PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: SECCION DE TRABAJO: Análisis de la información BASE DE DATOS Pag. 1 de 1 EMPRESA: Venequip S. P/T 1 Realizar vaciado de datos en hoja de cálculos 2 Realizar gráficas de los datos clasificados 3 Realizar análisis de acuerdo a los datos y gráficas obtenidas REALIZADO POR: REVISADO POR: .. Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS REF.A. Procedimientos de Auditoría Código: P10 PROCEDIMIENTO DE AUDITORIA IMFORMATICA DE: SECCION DE TRABAJO: Presentar informe BASE DE DATOS Pag. Sucursal Barquisimeto UNIDAD Y/O DEPARTAMENTO: Departamento IT AREA: Procesamiento de Datos PERIODO DE DESDE HASTA REVISION N° PROCEDIMIENTOS REF.A. P/T 1 Entregar informe escrito contentivo de los resultados y conclusiones de la auditoría 2 Realizar presentación oral explicativa del informe REALIZADO POR: REVISADO POR: . 1 de 1 EMPRESA: Venequip S.. misión y visión del dpto.? Se entrega a todo el personal del dpto. de informática? Estan definidos en el esquema organizacional todos los cargos actualmente en ejecución dentro del dpto. de informática objetivos definidos.Código: E-1 ENTREVISTA EMPRESA: Venequip S. misión y visión dentro de la organización? Los objetivos del dpto. sucursal Barquisimeto N° 1 2 3 4 5 6 PREGUNTAS Tiene el dpto. herramientas y/o equipos de trabajo q le permitan desempeñar sus funciones sin ningún tipo de inconveniente? . de informática son de entero conocimiento de todo el personal que en el labora? Están publicados los objetivos.? Se da algún tipo de inducción al nuevo ingreso del personal en cuanto a las políticas y normas del dpto.A. de informática rutinas establecidas para el respaldo de la BD (diarias.Código: E-2 ENTREVISTA EMPRESA: Venequip S.A. semanales. quincenales o mensuales). sucursal Barquisimeto N° 1 PREGUNTAS Tiene el dpto. de informática procedimientos escritos y son del conocimiento del personal que administra la base de datos que aseguren la recuperación de la información en caso de alguna perdida de la misma? Tiene el dpto. cuales? Se lleva bitácora de los resultados de los procesos de respaldo de la BD? Los mismos están actualizados a la fecha de revisión Existe alguna documentación que evidencie que los resultados realizados a la BD son confiables y pueden ser utilizados en cualquier momento? Cuales? 2 3 4 . A. sucursal Barquisimeto N° 1 2 3 4 5 6 PREGUNTAS Esta usted conforme con los resultados que su sistema entrega al realizar consultas sobre el mismo? La información que su sistema le entrega está acorde con los resultados esperados? La información que su sistema le entrega es razonable o debe usted apelar a otros medios para validar? Se mantienen los mismos resultados obtenidos sobre consultas idénticas realizadas en momentos diferentes? Considera usted que la información que su sistema le ofrece es de fácil interpretación? Cómo considera usted los tiempos de respuesta de las consultas sobre su sistema de información? .Código: E-3 ENTREVISTA EMPRESA: Venequip S. sucursal Barquisimeto N° 1 2 3 4 5 6 7 8 PREGUNTAS Se mantienen políticas de seguridad de acceso a los datos.Código: E-4 ENTREVISTA EMPRESA: Venequip S. uso y asignación de password a los usuarios? La BD posee mecanismos de reconstrucción de información a nivel de software? Archivos de rehacer? Posee la BD mecanismos que puedan ser utilizados para rastrear cualquier indicio de acceso no autorizado a los datos? Posee la BD mecanismos que puedan ser utilizados para toda la trazabilidad de las acciones ejecutadas sobre los datos? Logs? .A. uso y asignación de usuarios? Existen políticas sobre la creación. están actualizadas? Está la información disponible para todo tipo de usuario? Hay privacidad de datos? Existen niveles de acceso a los datos? Existen políticas sobre la creación. A. sucursal Barquisimeto N° 1 2 3 4 5 CARACTERISTICAS A CHEQUEAR Está publicada y actualizada la misión y visión del dpto. posee sus equipos de trabajo (PC. ? Está dentro del organigrama del dpto. de formatos de capacitación e inducción al nuevo personal? Todo el personal que labora dentro del dpto. Laptop)? SI NO X X X X X . todos y cada uno de los funcionarios? Dispone el dpto. ? Conocen todos los empleados del área los objetivos del dpto.Código: LCH-1 LISTA DE CHEQUEO EMPRESA: Venequip S. sucursal Barquisimeto N° 1 2 3 4 5 CARACTERISTICAS A CHEQUEAR Tienen definidas las funciones cada uno de los empleados del dpto.Código: LCH-2 LISTA DE CHEQUEO EMPRESA: Venequip S.A.? Existe manual de cargos y funciones dentro del dpto. ? Es de total conocimiento el lenguaje utilizado en la BD por el personal que la maneja? Es de pleno conocimiento la plataforma utilizada para la BD por el personal que la opera? Existe un diccionario de datos actualizado y a disposición del personal del dpto. ? SI NO X X X X X . cierre de mes? Posee la BD índices actualizados sobre las tablas de mayor consulta? SI X NO X X X 5 X . se observan tiempos de respuesta satisfactorios en horas de alto trafico de información? Por ejemplo. sucursal Barquisimeto N° 1 2 3 4 CARACTERISTICAS A CHEQUEAR La BD se integra con otro software o herramienta de terceros? La integración de la BD es nativa? Se tiene documentado los procedimientos de integración? En cuanto a la consulta sobre la BD.Código: LCH-3 LISTA DE CHEQUEO EMPRESA: Venequip S.A. sucursal Barquisimeto N° 1 2 3 CARACTERISTICAS A CHEQUEAR Está la BD actualizada en su última versión? Se conoce la tasa anual de crecimiento de la BD? En cuanto a la capacidad de almacenamiento. está diseñada la estructura de la BD acorde con la tasa de crecimiento anual de la misma La información almacenada en la BD es de total utilidad para los procesos de negocios? Se migra la información que ya no es relevante a archivos históricos? SI X X NO X 4 5 X X .Código: LCH-4 LISTA DE CHEQUEO EMPRESA: Venequip S.A. Se nota un elevado tiempo de respuesta en las operaciones de consulta a horas pico. sin embargo los mismos están siendo almacenados en el mismo sitio físico de la BD productiva. 2. como consecuencia no se tiene claridad de cuáles son las funciones que cada quien debe ejecutar. y usuarios a gusto con la información recibida.No existen manuales de procedimiento ni manuales de cargos que faciliten e indiquen las actividades del personal de TI.Según prueba efectuada a la plataforma. . lo que podría ocasionar paradas innecesarias en la productividad por insuficiencia de espacio de almacenamiento.Según encuestas realizadas al personal se evidencia que algunos de ellos ejecutan sus labores de forma empírica ya que no poseen el adiestramiento necesario para asegurar que las actividades se están haciendo de manera correcta. lo que podría traer como consecuencia objetivos poco claros e inalcanzables para el dpto. 4.La Base de datos se encuentra actualizada a la última versión disponible en el mercado.Hallazgos de la Auditoría 1. disponibilidad e integridad de la información.Aunque la organización cuenta con una misión y visión definida. se evidencia poca integración de la base de datos del sistema integral Venequip con software diferente al utilizado diariamente. lo que crea un nivel de dependencia elevado ya que se hace difícil la escalabilidad obligando a la empresa a quedar en la obsolescencia a nivel informático 5. 6. lo que desvirtúa la intención del mismo y lo convierte en una copia común de la BD. no posee su propia misión y visión. sin embargo el diseño lógico de la misma no está desarrollado acorde con la capacidad de crecimiento de los datos. el dpto. eso pone en riesgo la fidelidad. 3. En este punto se evidencia un riesgo de pérdida de la información por desastre natural por ejemplo. esto afecta negativamente la satisfacción de clientes tanto internos como externos. 7.Se evidencio la elaboración de respaldos a la base de datos. 8.Pese al hallazgo anteriormente descrito se pudo observar resultados confiables en la entrega de la información. Se realizaron pruebas de la integridad de los datos con resultados positivos.Se realiza observación directa de las actividades y procesos en el dpto. . 10. lo que se traduce en un diseño adecuado en cuanto a tablas / campos e índices. esto es favorable para la seguridad de la información y la confidencialidad de los mismos. de TI y se pudo notar un nivel elevado de restricción al acceso del personal ajeno al departamento. sin embargo se hace referencia nuevamente al hallazgo 7 de este informe.9. Análisis de los resultados En base a la tabulación de los resultados obtenidos de la aplicación de los diferentes instrumentos. se presenta un análisis de la situación. Organización Encuesta 1 100% 80% 60% 40% 20% 0% SI NO I2 50% 50% I3 100% 0% Organización Lista de Chequeo 1 100% 0% SI NO I1-I2 0% 100% I3-I4 100% 0% - . - En relación al objetivo específico: “Diagnosticar la situación actual de la gestión de la base de datos del Sistema Integral Venequip”. misión y visión dentro del departamento. en su dimensión Organización se evidencia una debilidad en la comunicación de las políticas. Estructura Física de la BD Lista de Chequeo 3 100% 80% 60% 40% 20% 0% SI NO I1 67% 33% I2 100% 0% I3 100% 0% . así como una carencia de capacitación del personal en cuanto al lenguaje y la plataforma de la BD. Gestión Lista de Chequeo 2 100% 80% 60% 40% 20% 0% SI NO I1 67% 33% I2 100% 0% I3 100% 0% - Para la dimensión Gestión se confirma una falta de conocimiento de lo ya establecido como funciones. - Para la dimensión Estructura Lógica de la BD. presenta debilidad para la integración con otras herramientas y colapso en períodos de alto tráfico de información. se nota una estructura lógica robusta que registra tiempos de respuesta aceptable a algunos usuario pero con alta confiabilidad en la generación de resultados.- En relación al objetivo específico: “Evaluar el control interno y externo para la base de datos del Sistema Integral Venequip”. en su dimensión Estructura Física de la BD. Actualización y presentación de los datos Lista de Chequeo 4 100% 80% 60% 40% 20% 0% SI NO I1 67% 33% I2 100% 0% I3 100% 0% . Procedimientos de Respaldo Etrevista 2 100% 80% 60% 40% 20% 0% SI NO I1 50% 50% I2 100% 0% I3 100% 0% I4 100% 0% - Para la dimensión Procedimientos de Respaldo encontramos debilidad en lo que concierne a respaldo. resguardo y recuperación de la información. Así mismo se detectó redundancia en los datos almacenados.- Para la dimensión Actualización y Presentación de datos. aun cuando la BD tiene la capacidad. Integridad de los datos Entrevista 3 100% 80% 60% 40% 20% 0% SI NO I1 67% 33% I2 100% 0% I3 100% 0% . se encontró una BD actualizada a su última versión pero no diseñada acorde al crecimiento de la misma. - En relación a la dimensión Integridad de los Datos. los resultados reflejan una fortaleza en esta área. evidenciando buenas prácticas en cuanto a control de acceso a usuarios. Se observa un buen diseño lógico de las tablas que aseguran la integridad de los datos incorporados a la BD Seguridad de Acceso a los datos Etrevista 4 100% 80% 60% 40% 20% 0% SI NO I1 50% 50% I2 100% 0% I3 100% 0% I4 100% 0% - Para la dimensión Seguridad de los datos. . en su sistema de base de datos actualmente corre un riesgo de pérdida de información. Venequip sucursal Barquisimeto. tiene ahora en sus manos la posibilidad de implementar mejoras. Venequip sucursal Barquisimeto. Herdeca C. retardo en la entrega de la información. Venequip debe atacar y solventar en la medida de lo posible cada uno de los hallazgos acá presentados con el fin de obtener una tranquilidad a nivel de la seguridad de la información. perdida de posicionamiento en el mercado y bajo nivel de competitividad. se considera que el objetivo principal de la auditoria a la base de datos de sistema integral Venequip se alcanzó como se había previsto en el acuerdo entre las partes. situación que pone en peligro la operación correcta de la empresa. La disponibilidad inoportuna de la información es para una empresa un problema que se puede traducir en perdida de dinero. Gracias a las oportunidades de mejora que se evidencian en las pruebas adjuntas al presente informe. corregir y mejorar los procesos y procedimientos que le permitan asegurar mucho más la información de la organización. y dirigir sus esfuerzos hacia otros horizontes que incrementen la rentabilidad de la organización.Conclusiones Luego de obtener los resultados previamente analizados por nuestro personal plenamente calificado para ello. - - - . al igual que clientes insatisfechos. y disponibilidad de la información con poca fidelidad.A concluye: Pese a los hallazgos anteriormente descritos. estos a su vez deben estar al alcance de las personas que en el laboran. misión y visión. La organización debe incorporar al dpto. esto garantiza que la organización dispone de personal calificado para atender cualquier requerimiento. - - - - . esto permite asegurar que habrá estándares y no quedara a disposición de cada quien la forma como en el dpto. de TI. tiempo de cumplimiento de las mismas. de ejecutan las actividades.Recomendaciones: Según nuestra experiencia y citando las mejores prácticas en el mercado en cuanto a la gestión de seguridad de la información presentamos nuestras recomendaciones: - Se debe elaborar un plan de acción inmediato que involucre al personal TI y OYM. Se recomienda continuar con los niveles de seguridad en cuanto al acceso de los usuarios no autorizados al dpto. Se recomienda un rediseño lógico de la BD con la finalidad de ajustar su topología acorde con el crecimiento que muestra en la actualidad. donde se establezcan las soluciones con sus responsables. de cada de los hallazgos negativos que en el presente informe se detallan. Se debe incorporar un plan de adiestramiento continuo al personal que labora dentro del departamento. de TI políticas. así como manuales de cargos y procedimiento.


Comments

Copyright © 2024 UPDOCS Inc.