Universidad Mariano Glvez de Guastatoya

Facultad de Ingeniera en Sistemas de Informacin

Jornada Sabatina Catedrtico: Ing. Allan Morataya
Asignatura: Ciclo: Alumno: Semestre: 2do. Seccin: A Auditoria Informtica Sbado, 19 de Octubre 2013 CA CARNET: Duracin en minutos: VARIANTE Cdigo:

1890-478
Absoluta Relativa VoBo

12 vo

Fecha:

Observaciones:

PROYECTO

SERIE UNICA Realizar un anlisis de riesgos para el siguiente caso. Debe utilizar la metodologa vista en clase.
La empresa Atoland S.A., empresa que se dedica al sector financiero, especficamente a otorgar prstamos al consumo, ha sufrido un marcado crecimiento en los ltimos aos. De acuerdo a lo expresado por la gerencia, este crecimiento explosivo ha generado que la funcin TI de la empresa fuese adaptndose al crecimiento del negocio de manera adaptativa y no planificada, lo cual les genera miedos a los gerentes respecto a la manera en la cual se est operando. Para contar con una perfecta descripcin de la situacin actual y sus implicancias, han decidido contratar a una empresa consultora para que releve y evale cmo est operando y se est gestionando la funcin TI. Luego de la etapa de relevamiento, se ha obtenido la siguiente informacin respecto al funcionamiento de la empresa: Actualmente en la empresa se utilizan varios equipos de tecnologa estndar, as como una computadora dedicada en el proceso de produccin (PLC). La empresa cuenta con alrededor de 15 equipos de cmputo, pero actualmente no se cuenta con un inventario detallado de los mismos en el cual se lleve el control de versiones y licencias. Se desea trabajar en lneas base donde se estandarice la instalacin de software necesario para los equipos de cmputo y as optimizar el uso de las maquinas. Actualmente en la empresa se utiliza equipo de cmputo, la cual sirve para almacenar datos del sistema transaccional, Recursos Humanos, Facturacin, as como algunos datos de produccin. Estos equipos se encuentran en una fase delicada, por lo que es una excelente oportunidad para mejorar la eficiencia y la velocidad en el procesamiento. No se dispone dentro del departamento de TI un sistema encargado de la realizacin de las pruebas dentro del ciclo de vida de las aplicaciones, sino que son los mismos desarrolladores los que la realizan. Los desarrolladores tienen acceso a la publicacin de aplicaciones en produccin. Los usuarios tienen diferentes claves para el acceso a los diversos sistemas de la empresa adems de utilizar correo electrnico externo o en la nube. En cuanto a los procesos administrativos, el personal de TI son 12 personas, incluido un gerente de rea. A este gerente responden: un administrador de base de datos, dos personas de soporte tcnico, tres operadores, un administrador de usuarios, un administrador de telecomunicaciones y tres programadores. Si bien cada persona tiene asignado su cargo, en la prctica las posiciones se superponen, lo cual fue evaluado por el gerente como muy bueno, porque esto genera un conocimiento general en el personal, lo cual logra que se solucionen mejor los problemas que se presentan pero no hay procesos definidos en su mayora, todo funciona hasta ahora y no hay planes de mejora.

Respecto al software se ha detectado: sistema operativo Windows NT, MS Office xp, DBMS Oracle para Unix Vr.1.0, Sistema operativo Linux, MS Exchange 2003, antivirus, un SIG local llamado TotalOne (del que se han adquirido tres mdulos: contable, personal y activo fijo) y una aplicacin desarrollada por la empresa de gestin de crditos.

Del relevamiento, tambin surgi que, exceptuando el software que se encuentra en el servidor Unix (sistema operativo Linux y el DBMS Oracle), todo el software cuenta con licencia de uso. Respecto al software que no tienen licencia, estn trabajando con trials o versiones de prueba inclusive algunos se encuentran en produccin.

La adjudicacin de usuarios no es realizada exclusivamente por el administrador de usuarios. La forma de realizarlo es el siguiente: en un formulario pre-impreso y prenumerado, en el cual el usuario llena cules son sus datos y cules son las aplicaciones y funciones a las cuales necesita tener acceso, luego se firma y se entrega al administrador en turno . Este, en el correr del da, asigna usuario y contrasea y se la comunica al usuario para que pueda comenzar a trabajar.

Todos los usuarios tienen acceso a e-mail e Internet. En una etapa pasada, el gerente anterior del centro de cmputo entenda que el personal de informtica no tena nada que hablar con el usuario, por lo que solamente se podan comunicar por un telfono especficamente dedicado a recibir solicitudes de los usuarios, y por ende el acceso al CPD se encontraba totalmente restringido. Con el cambio de gerencia y dado los problemas generados por la situacin anterior, hoy da se cuenta con una poltica de puertas abiertas. Por lo cual los usuarios son libres de ingresar al CPD.

Diariamente se respaldan solamente los datos de aplicaciones y bases de datos. El respaldo se realiza en doble copia las cuales se guardan en una caja fuerte ignfuga (a prueba de fuego) dentro del centro de cmputos. Los respaldos los realiza el ltimo programador que se retira en el da, acordando entre ellos quin ser cada da el encargado.

No se ha identificado la existencia de un plan de contingencia, sin embargo se piensa en la contratacin de un sitio alterno.

De acuerdo a la situacin detallada anteriormente, el prximo paso se encuentra orientado a la identificacin de posibles riesgos existentes no mitigados (no cubiertos y/o sin controles adecuados) y proponer soluciones alternativas para mitigarlos. Por problemas contractuales la empresa consultora slo realiz el relevamiento y no puede realizar esta otra etapa propuesta, por lo cual Atoland ha decidido contratarlo a usted como profesional universitario para que pueda finalizar el trabajo. Se adjunta un inventario informtico para que detecte y proponga soluciones a problemas que puedan suscitarse.

Se pide: a) Analice el Estado Actual de la Empresa b) Analizar las Entrevistas que existen en el documento y encontrar en ella, elementos que denoten RIESGO o VULNERABILIDAD c) Determinar las situaciones o los indicios de RIESGO d) Determinar Qu RIESGOS la empresa est dispuesta a aceptar? (Anlisis hipottico de RIESGO - COSTO) e) Determinar dnde se aplicar CONTROL f) Determinar dnde existe necesidad de SEGREGACION DE FUNCIONES g) Establezca las POLTICAS que incluira en el Departamento de TI, Informtica o reas relacionadas h) Analizar el estado de equipos, infraestructura i) Elabore Conclusiones propias sobre el estado actual de la empresa j) Elabore Recomendaciones propias hacia la empresa Punteo Mnimo del Documento:

1. Estado Actual de la Empresa 2. Estado de RIESGO o VULNERABILIDAD 2.1 Situaciones o los indicios de RIESGO 2.2 Qu RIESGOS la empresa est dispuesta a aceptar? 3. Aplicacin de CONTROL 4. Necesidad de SEGREGACION DE FUNCIONES 5. POLTICAS

NOTA. Sea concreto, agregue los aspectos conceptuales y herramientas propuestas en los anexos.