trabajo final de Auditoria informática Miguel ángel Milton

UNIVERSIDAD ADVENTISTA DOMINICANA

VICERRECTORÍA ACADÉMICA

FACULTAD DE INGENIERÍA Y TECNOLOGÍA

AUDITORIA A LA BASE DE DATOS DE LA INSTITUCIÓN UNAD

Por

Miguel Ángel Milton Florián

Profesor

Estanislao de la Cruz

Sonador, Piedra Blanca, Provincia Monseñor Nouel

República Dominicana

2014

INDICE

1.    INTRODUCCIÓN.. 1

1.1.     Origen del Estudio. 1

1.2.     Objetivo General. 2

1.3.     Alcance y Naturaleza. 2

1.4.      metodología.. 3

2.    CONCLUSIONES y RECOMENDACIONES.. 4

INTRODUCCIÓN

El presente informe contempla las conclusiones a las que ha llegado nuestra firma de auditores después de realizar una evaluación del Sistema Gestor de Base de Datos (SGBD) actual, usado por la empresa UNAD., su administración, seguridad, confidencialidad, acceso y uso de los datos a fin de identificar posibles desviaciones que pudieran estarse presentado y proponer soluciones a las misma para su pronta solución.

La evaluación se realiza en cumplimiento del programa de estudios, de la materia de Auditoria Informática de la Universidad Adventista Dominicana y a petición  del Ing. Miguel A. Milton en fecha del 18 de Abril del 2014, como forma de reforzamiento practico a los conocimientos teóricos expuestos en dicha materia. Y previa autorización de la empresa auditada, siguiendo las normas y políticas establecidas por la empresa y las metodologías y técnicas de evaluación internacionales para la realización de estos procesos.

1.1  Origen De La Auditoria:

La presenta auditoria se realiza en cumplimiento del programa de estudios, de la materia de Auditoria Informática de la Universidad Adventista Dominicana y a petición  del Ing. Miguel A. Milton en fecha del 18 de Abril del 2014, como forma de reforzamiento practico a los conocimientos teóricos expuestos en dicha materia. La misma está basada en el modelo de la guía de auditoria, Aplicada al área de base de datos de la institución elegida, la empresa UNAD.

1.2  Objetivo General:

Realizar una evaluación del sistema gestor de base de datos (SGBD) actual usado por la empresa, su administración, seguridad, confidencialidad, acceso, uso de los datos.

1.3  Objetivos Específicos:

·       Determinar la capacidad del personal que administra el SGBD.

·       Evaluar el diseño y estructura de los datos.

·       Evaluar los niveles de acceso.

·       Evaluar los planes de contingencia.

·       Evaluar la integridad de los datos.

·       Evaluar la confiabilidad de los datos.

·       Evaluar la confidencialidad de los datos.

·       Determinar la veracidad de la información contenida en el SGBD.

1.4  Alcance y Naturaleza

El alcance del proyecto comprende la evaluación de los siguientes puntos:

Evaluación del SGBD y de las Bases de Datos en cuanto a su:

Operatividad, Diseño y Estructura de Datos, Niveles de Concurrencia, Entrada, Salida y Modificación de Datos, Integridad y Consistencia de Datos, Tolerancia y Tratamiento de Fallos, Procedimientos de Respaldo, Documentación y Manuales de Uso, Licencias Y/O Cumplimientos De Derechos De Autor.

1.5  Metodología Utilizada.

A continuación se presenta la metodología de investigación utilizada en el proyecto, para la evaluación de la empresa con relación a sus bases de datos.

Para la evaluación del SGBD y de las bases de datos se llevaran a cabo las siguientes actividades:

Elaboración de entrevista al DBA, Aplicación de la entrevista al DBA, Elaboración de pruebas manuales, Aplicación de las pruebas manuales, Análisis y evaluación de la información, Identificaron de las desviaciones, Elaboración del informe.

CONCLUSIONES Y RECOMENDACIONES

De acuerdo con la petición realizada por el Ing. Miguel A. Milton, de la Universidad Adventista Dominicana  en la materia de Auditoria Informática, de conformidad con el cumplimiento del programa de estudios de dicha Universidad y así mismo, me permito remitir a ustedes el dictamen de la auditoría practicada al Departamento de IT, enfocada a la administración, seguridad, confidencialidad, acceso, y uso de los datos del Sistema Gestor de Base de Datos (SGBD) y de las Bases de Datos de dicha empresa, misma que se llevó a cabo del 18 de Abril al 5 de mayo del año en curso.

De los resultados obtenidos durante la evaluación me permito informarle de las siguientes observaciones:

Evaluación del Departamento de IT: Pudimos comprobar que la capacidad del personal y las funciones que realizan son llevadas a cabo de una manera eficiente, si bien no se cuentan con normas escritas, el personal demostró conocer sus funciones.

Evaluación del SGBD y de las Bases de Datos: Durante esta etapa de evaluación comprobamos que existían deficiencias, en la administración del SGBD y las Bases de Datos, no se habían implementado normas y políticas que rijan su correcto funcionamiento y operabilidad, provocando que peligren datos de suma importancia para la empresa y que en algunos casos se pudiera producir la paralización parcial o total de ciertas operaciones, pero de igual forma evidenciamos la disposición del personal a resolver dichas deficiencias en el más corto plazo posible.

Evaluación de la Seguridad: La seguridad presentada en la institución es de nivel medio tanto física como lógica, los controles de acceso, las políticas y normas de seguridad deben ser revaluadas y en algunos casos implementados, para asegurar la máxima integridad y confiabilidad de los datos.

De acuerdo con las pruebas realizadas a la administración, seguridad, confidencialidad, acceso, y uso de los datos del Sistema Gestor de Base de Datos (SGBD) y de las Bases de Datos y de acuerdo con los estatutos internacionales establecidos para dicho fin, me permito dictaminar que las desviaciones encontradas en cada una de las evaluaciones realizadas, deben ser corregidas lo más pronto posible de acuerdo a los términos convenidos por los encargados de su corrección y nuestros auditores durante la identificación de las mismas,

Enfatizamos que su no solución a tiempo puede resultar en serios percances al correcto avance presente y futuro de la empresa.

No se cuenta con un equipo de respaldo para el SGBD en caso de que ocurra un inconveniente.

No lo habían tomado en cuenta, ya que no se han presentado irregularidades en las revisiones mensuales que se realizan al mismo.

Es recomendable tener un equipo de respaldo aunque sea con los mínimos requerimientos, ya que si algo le ocurre al equipo que posee el SGBD se paralizarían las actividades de la empresa.

Periodo de cambio de contraseñas demasiado extenso.

Las contraseñas son cambiadas cada dos meses.    

Nos parece que el tiempo estimado para el cambio de contraseñas es muy extenso y no cumple con los estándares internacionales para el cambio de las mismas, que es como mínimo de 30 días, recomendamos su cambio por lo menos cada 30 días no solo para cumplir con los estándares, sino también para asegurar la confidencialidad e integridad de los datos.

El lugar de almacenamiento de los archivos confidenciales y los backups, se encuentran dentro de la misma empresa.

La empresa no dispone de una sucursal o espacio físico fuera de la institución para almacenar dichos documentos y copias.

Recomendamos a la empresa, que dentro de su presupuesto incluya la adquisición o arrendamiento de un espacio físico que le permita guardar dichos archivos y backups a parte del espacio destinado actualmente para dicha operación, y que de este modo asegure la disponibilidad de dicha información en caso de un desastre o percance ajeno a la empresa.

Situaciones, Causas, Solución

Inoperatividad de un Manual de Organización Funcional. 

No ha sido desarrollado por el departamento, ya que consideran que cada quien conoce su función.

Se debe crear el Manual de Organización Funcional vía escrita, aunque cada quien parezca conocer sus asignaciones, para evita la usurpación de funciones, además servirá de referencia para futuros empleados.

No existe un plan de operativo anual.

No lo han creado porque las actividades básicas son consideradas rutinarias y las especiales las desarrollan conforme surgen.      Se debe crear un plan de operativo anual para así poder establecer con anticipación las actividades que serán realizadas en el periodo de un año y así poder mantener la organización de la empresa.

Manejo inadecuado de los datos de la nómina.       

Los datos de nómina son manejados por el encargado de nómina y su asistente, pero ambos utilizan la misma PC para acceder a ellos.   Se recomienda la instalación del software destinado al manejo de la nómina en otra PC, porque en caso de que la PC que contiene el software actualmente tenga algún problema, atrasaría las actividades relacionadas con esta aun teniendo un respaldo de la información que contiene dicha PC.

Tiempos de respuestas extensos a la hora de realizar consultas. Entienden que es por la gran cantidad de información que poseen.

Antes que nada, deben de verificar que la red esté en óptimas condiciones para que la información pueda fluir de manera adecuada y realizar una revisión profunda de las sentencias de consultas a fin de optimizarlas.

Procedimientos de control que regulen la redundancia de datos no implementados.

Tales procedimientos de control no han sido definidos. Recomendamos definir y poner en práctica un conjunto de normas y procedimientos de control que garanticen la reducción de redundancia de datos.

Situaciones, Causas, Solución

Alta de verificación de los controles y las relaciones que se realizan. Todos estos controles y las relaciones quedan establecidos en el diseño de la Base de Datos.

Estos controles y las relaciones deben ser verificados cada cierto tiempo aunque en el diseño se haya establecido, para saber y darse cuenta si se están realizando de una manera óptima y si satisface a los usuarios de la mejor manera.

Procedimientos formales para la operación del SGBD no estipulados.

El administrador del SGBD no los ha creado.        

Se debe realizar un documento que les sirva como parámetro a los usuarios, ya que si en algún momento se sienten confundidos o bien tienen alguna duda, puedan tener un apoyo.

Tiempos de verificación de archivos validos muy extenso, alrededor de cada 2 semanas.

Se considera que el volumen de transacciones no es tan alto como realizar dicha verificación más a menudo.

Creemos que el tiempo dedicado a esta tarea debe de ser mayor, alrededor de la mitad del tiempo en que se realiza actualmente, es decir, debe ser por lo menos semanalmente para garantizar la mínima perdida de datos y aumentar la confiabilidad de los mismos frente a fallos inesperados del sistema.

No se cuenta con un equipo de respaldo para el SGBD en caso de que ocurra un inconveniente.

No lo habían tomado en cuenta, ya que no se han presentado irregularidades en las revisiones mensuales que se realizan al mismo.

Es recomendable tener un equipo de respaldo aunque sea con los mínimos requerimientos, ya que si algo le ocurre al equipo que posee el SGBD se paralizarían las actividades de la empresa.

Incidencias encontradas no registradas.      

No existen normas que requieran su registro.         

Recomendamos el registro de las incidencias encontradas, en un documento ya sea escrito o digital, a fin de tener un control de las mismas y sirvan para referencias futuras y mejoras en el mantenimiento y optimización de los procesos. Así como la creación de normas y políticas que velen por su correcto cumplimiento.

Situaciones, Causas,  Solución

No existen medidas que regulen los procedimientos a realizar cuando un soporte es desechado y como consecuencia, no se borran los archivos de los dispositivos de almacenamientos al ser desechados.

No se han creado dichas medidas

Es recomendable que se creen medidas que regulen tales procedimientos para desechar los soportes debido a que su incorrecto desecho puede provocar que información privada llegue a donde no tiene que llegar.

No se mantiene un registro de las personas autorizadas a manejar los soportes (Backups).

Como solo los administradores tienen acceso a los mismos no han visto necesario que se cree un registro.

Aunque solo los administradores tengan acceso a los soportes, es importante que se cree dicho registro a fin que sirva de control sobre el uso que se da a los mismos.

Periodo de cambio de contraseñas demasiado extenso.

Las contraseñas son cambiadas cada dos meses.    

Nos parece que el tiempo estimado para el cambio de contraseñas es muy extenso y no cumple con los estándares internacionales para el cambio de las mismas, que es como mínimo de 30 días, recomendamos su cambio por lo menos cada 30 días no solo para cumplir con los estándares, sino también para asegurar la confidencialidad e integridad de los datos.

El lugar de almacenamiento de los archivos confidenciales y los backups, se encuentran dentro de la misma empresa. La empresa no dispone de una sucursal o espacio físico fuera de la institución para almacenar dichos documentos y copias.

Recomendamos a la empresa, que dentro de su presupuesto incluya la adquisión o arrendamiento de un espacio físico que le permita guardar dichos archivos y backups a parte del espacio destinado actualmente para dicha operación, y que de este modo asegure la disponibilidad de dicha información en caso de un desastre o percance ajeno a la empresa.

Destrucción de los archivos defectuosos no verificada.

No se han establecido dichos procedimientos.

Recomendamos que se certifiquen dichos procedimiento, para asegurar que los archivos están realmente defectuosos, y que no por el contrario se trate de una fuga de información por parte de personal mal intencionado.