auditoria tarea

3

Click here to load reader

Upload: helyc-figueredo-martinez

Post on 09-Jul-2016

8 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: auditoria tarea

1.- Dentro del Alcance de la Auditoría Informática, la separación de funciones tiene que ver queuna sola persona realice todas las actividades de una operación o transacción.

En realidad la separación de las funciones, estas tienen que ver con una perfecta definición de laseparación de responsabilidades de las operaciones.

2.- Entre los objetivos de la Auditoría Informática está la verificación de la normativa general dela organización en el ámbito informático.

La auditoría informática no solo tiene por objetivo la verificación de la normativa general de laorganización, de hecho podríamos mencionar algunos objetivos adicionales;

• Validar los mecanismos de control de la función informática.• Validar las normas técnicas y operativas de la organización.• Evaluar los niveles de eficiencia de los sistemas y equipos informáticos.• Evaluar el apoyo real que presta la informática al logro de las metas y objetivos estratégicos de

la organización.

3.-Considerando los Síntomas de Necesidad para solicitar una Auditoría y tomando en cuenta losaspectos necesarios para Iniciar un estudio de auditoría. Indique según sus observaciones ylevantamiento de información que ha realizado en los diferentes departamentos donde estándesarrollando su Proyecto IV, los síntomas para solicitar una auditoría y señale que elementosdebe tener a la mano para iniciar el estudio. Argumente su respuesta.

Los síntomas que nos indicaría la necesidad de solicitar una Auditoría en los departamentos donde sedesarrolla nuestro proyecto socio tecnológico son tres; Descoordinación, Insatisfacción del Usuario eInseguridad.Manifestaciones:

Descoordinación;• Atraso en los despachos.• Niveles bajos de abastecimiento.• Fallas en la codificación de productos.

Insatisfacción de los Usuarios;• Largos tiempos de respuestas.• Respuestas del sistema ineficientes.• Inconsistencia de la la información.• No disponibilidad de productos.• Presencia en anaqueles de productos vencidos.

Inseguridad;• Fallas graves en los planes de contigencia.• No integridad de datos.• Perdida de mercancia.• Perdida de comercia por robos o hurtos.• Inestabilidad de los sistemas informáticos (cuelgues, latencia, desconexión entre otros).

Page 2: auditoria tarea

4.- Explique que tipo de Control Interno Informático (Preventivo, Detectivo y Correctivo, tanto anivel de hardware como de software) se maneja en el área del negocio donde se desarrolla suProyecto Socio Tecnológico IV.

5. Describa la situación geográfica de los sistemas (software y hardware) de la comunidad donde

Tipo Preventivo Detectivo CorrectivoHardware

Software

+Los equipos estraté-gicos de procesamien-to de datos se ubican en espacios restringi-dos, y protegidos por puertas de seguridad que cuentan con vigi-lancia de vídeo.+Creación y configu-ración de servicios de seguridad de redes, (fortinet). +Instalación y confi-guración de equipos y sistemas de protección y respaldo eléctrico.+ Creación y configu-ración de un servicio de backup de datos.+ Mantenimiento pre-ventivos de los servi-dores de datos (elimi-nación de datos cache y temporales).

+En caso de que se de-tecte la presencia de personal no autorizados en las áreas destinadas a los equipos y sistemas estratégicos de proce-samiento de datos será reportados a la gerencia de seguridad integral y puestos a la orden de sus respectivos supervi-sores.+Seguimiento de los re-porte generados por el servidor de seguridad de red datos (fortinet).+Al presentarse un inci-dente o falla que afecta-se los equipos y siste-mas de backup eléctri-co, se procederá a la re-paración o remplazo del mismo.

+En caso de accesos no autorizados a la red de datos de PDVAL-Portuguesa, se proce-de a identificar las ip desconocidas y agre-garlas a la lista negra para denegarle el ac-ceso a la red.+ Reparar las fallas que se presentasen en los equipos de protec-ción y backup eléctri-cos.+ Al presentarse un in-cidente o falla que afectase el hardware de alguno de los ser-vidores de procesa-miento de datos se ac-tiva un personal téc-nico que deberá en el corto plazo tomar las decisiones necesarias para restaurar los ser-vicios y datos del sis-tema.

+Segregación de las funciones de los usua-rios (asignación de ro-les y responsabilida-des).+Cada campo de las bases de datos, respon-de a un formato defini-do (numérico, alfabéti-co, alfanumérico). +Todos los campos de datos importantes de-ben estar completos.+Los datos deben ser compatibles con los datos permanentes.+Identificación (ID) de los documentos o lotes procesados.

+Seguimiento de los re-portes semanales de se-guridad de los sistemas de procesamiento de da-tos.+Revisión de las bitáco-ras de acceso de los sis-temas de procesamien-tos.+El registro de la acti-vidad diaria para detec-tar errores u omisiones de los registros al siste-ma.

+ En caso de un acce-so por parte de un usuario que haga usos de las contraseñas y usuarios no signados serán sancionados y puestos a la orden de la respectiva gerencia.+En caso de que se ingrese tipo de datos no definido en la BD se procederá a corre-girlo manualmente desde el SGBD.

Page 3: auditoria tarea

desarrollan su PST IV?Situación geográfica de los sistemas– Donde están los centros de procesos de datos.Los centros de datos son de carácter descentralizado, y se ubican en los distintos Centros deDistribución Regional, hay en total ocho servidores, dos por cada CDR.

– Responsables de cada CPD.Coordinación Regional de Tecnologías de Información, Comunicación y Apoyo Técnico.

– Estándares de trabajo de cada CPD.• Arquitectura de Hardware.

CPU: Marca HP, Modelo Prodesk 400 g1Procesador: i3, frecuencia 3.8 GHz Ram: 8 GB DDR3

• Arquitectura de software.S.O: UBUNTU Server 14.04Servidor: Apache 2Lenguaje de aplicación: html, PHP5, csc. SGBD: mysql

• Comunicación y redes de datosLos servidores están asociados en redes LAN a dispositivos FORTINET en cada CDR queresguardan la seguridad de datos por la implementación de; bloqueos de puertos, de listasnegras de direcciones, NATeo, y proxy de red.

Nota: Prof Yanmar las dos ultimas preguntas (4,5) formuladas, serán compartidas con el grupo deproyecto, por que son características técnicas compartidas.