INFORME AUDITORIA GESTION DE TECNOLOGIA DE LA INFORMACION.

...

III.- SISTEMAS

1.- El sistema utilizado es Microsoft Dynamics GP en el cual se encontraron las siguientes debilidades:

- El sistema es estable, sin embargo en algunas ocasiones al realizar determinadas transacciones se queda colgado.

- En el formulario de General Recibos existe un error que en el detalle de factura aparecen en ocasiones clientes que no tienen que ver con la factura, en ese caso se pasa el recibo a histórico y se llama al DIT para que realice la corrección.

- En el formulario de entrada de transacciones existen facturas que no quedan posteadas. Confirmado en el Super SmartList, donde no existe la factura ni es devolución.

2.- La base de datos contiene usuarios adecuadamente protegida con tablas encriptadas.

3.- Existe roles y permisos asignados que son asignados a los usuarios mediante perfiles basados en las funciones a desempeñar.

En los usuarios de apoyo a la contabilidad fue posible observar que los permisos en los perfiles son muy generales. Existen funcionalidades que están habilitadas en el sistema GP para usuarios que no utilizan en el trabajo normal que desempeñan.

Ejemplo de esto el usuario Ericka Rugama anteriormente se desempeñaba en otra área y en la actualidad aún tienen los mismos permisos que ya no utiliza pero con acceso a los mismos.

Recomendaciones

A criterio personal por las características mismas del DIT cuya función principal es la administración de la información incluyendo esto el desarrollo y mantenimiento del software y aplicaciones; los procesos de compras y facturación deben pertenecer a un departamento diferente. Ya que en todo caso IT seria juez y parte en el manejo de la información.

I.- INFRAESTRUCTURA

1.- El datacenter debe estar correctamente equipado con un adecuado sistema de climatización con aire libre de humedad y un adecuado sistema contra incendio que permita prevenir un desastre mayor.

2.- El acceso al centro de datos debe ser automatizado con un sistema de control de acceso por huella o código digital esto permite registrar horas exactas y discriminar solamente personal autorizado por ser un área critica de la empresa.

3.- Los switches y routers, son equipos de comunicación que deben poseer un respaldo a nivel de archivo digital, de esta forma en caso del daño del mismo es posible con esta información es posible restaurar en forma ágil los servicios de red.

4.- Es necesario tener documentado procedimientos para la realización de respaldo de las bases de datos de los sistemas de información, así mismo documentar el cumplimiento de los mismos.

5.- En caso de fallas energéticas es necesario tener un adecuado sistema de respaldo ya que en poco tiempo se provocaría caída de los servicios de red y servidores, recomendados también tener planes documentados de mantenimiento de baterías, ups, estabilizadores y supresores de voltaje.

6.- El equipo de seguridad perimetral UTM (Gestión Unificada de Amenazas) debe contar con funcionalidades adicionales de un firewall (administrador de bloqueo y permiso de puertos), se deben extender a IPS (Sistema de Prevención de Intrusos) e IDS (Sistema de detección de intrusos), incluyendo actualizaciones en base de datos de amenazas globalizada en redes externas inteligentes.

Lo que complica explotación de vulnerabilidades en sistemas internos por parte de terceros (hackers) con fines de lucro.

7.- En el acceso al sistema web TUCAN, es necesario denegar el evento click derecho de los navegadores sobre el campo contraseña para evitar el evento inspeccionar elemento y el cambio de la clave password por text, de igual forma evitar a los navegadores el registro automático de las contraseñas. Con esto se evitaría el hacking de contraseñas a usuarios que logren acceso a equipos con acceso a este sitio web.

8.- Las plataformas de antivirus free-edition (gratuitos) o crackeados no son recomendados en un entorno empresarial debido a que carecen de muchas funcionalidades de seguridad contra antispyware, malware, spyware y spam, etc. Lo que incurre en una latente vulnerabilidad interna de explotación hacia la información de la empresa.

Es importante también adquirir sistemas operativos y aplicaciones sin parches, con las últimas actualizaciones, evitando de esta forma dificultar la explotación de vulnerabilidades de sistemas operativos.

9.- En los manuales de procedimiento de técnicos se contempla la revisión del impedimento de uso de los dispositivos de almacenamiento usb. A pesar que existen dichas políticas no tienen cumplimiento estricto, existen equipos con puertos usb con accesos abiertos.

Existen muchas aplicaciones que pueden controlar el uso de estos puertos. Uno de ellos es el motor de administración de las consolas de antivirus en cuyas reglas es posible configurar que equipos deberían tener acceso a estos puertos.

II.- ADMINISTRACION

1.- ITIL y COBIT: son lineamientos que forman parte de las buenas prácticas a nivel de tecnología informatica, que toda empresa debe poner en uso a fin de obtener una adecuada administración en la gestión informatica.

Ambos son complementarios:

- COBIT sirve para planear, organizar, dirigir y controlar toda la función informática dentro de una empresa. Actúa sobre la dirigencia y ayuda a estandarizar la organización.

- ITIL actúa sobre los procesos y, a través del conjunto de buenas prácticas que lo conforman, mejorar el servicio que ofrece la empresa y medirlos (para una mejora continua).

2.- El conocimiento de los Ordenadores instalados, localización por área y sus capacidades es necesario conocerlos ya que nos permite la comprensibilidad de las capacidades necesarias para el manejo de los sistemas de información adecuadamente.

3.- La documentación de planificación de centro de datos y otros mantenimientos de carácter general de tecnología informatica existe actualmente solamente en documentos digitales, esto es importante que sea supervisado y recibido por una auditoria interna que certifique el correcto cumplimiento del mismo, también es necesario que toda esta información sea documentada debidamente.

4.- Las normativas respecto al uso de aplicaciones, internet y correo electrónico, es adecuada pero debe ir acompañada