Facultad de Ingeniería de Sistemas, Computación y Telecomunicaciones
“EMPRESA ACEROS AREQUIPA ”
CURSO: AUDITORIA INFORMÁTICA
PROFESOR: ING. RODRÍGUEZ SULCA, JUAN CARLOS
CICLO: X
PRESENTADO POR:
ARIAS MAURICIO ANGIE MADELEINE BARRIENTOS VENTURA JEAN CARLOS ARGUEDA JORGE
Lima – Perú
INFORME DE AUDITORIA I.
ORIGEN DE LA AUDITORIA
El examen especial sobre la base de datos de la empresa Aceros Arequipa S.A., es una acción de control programada, que se efectúa a mérito de la directiva N° 00122-2014-CP/GSI de fecha 25 de Febrero del 2014, que ha sido emitido por la Gerencia de Control de Sistemas Informáticos. Por lo cual se comunica al Departamento de Auditoria de Sistemas la programación de la acción de control, regresándose el Cronograma de actividades con el Código N° 56170-2014-145, del Plan Anual de Control 2014. II.
ANTECEDENTES
CORPORACIÓN ACEROS AREQUIPA S.A. nace en el año 1964, en la ciudad de Arequipa (Planta número 1), con razón social Aceros Arequipa S.A. En 1982 pone en marcha la planta de Pisco (Planta número 2) y el 31 de Diciembre de 1997 se fusiona con la empresa Aceros Calibrados S.A. dando origen a la Corporación Aceros Arequipa S.A. (C.A.A.S.A.). Actualmente la empresa se dedica a la fabricación de Hierro Esponja, palanquillas de acero, barras helicoidales, alambrón de construcción y aceros calibrados en sus plantas de Pisco y a la fabricación de barras de construcción, perfiles y platinas en sus plantas de Pisco y Arequipa. Teniendo una capacidad de 550,000 toneladas de productos terminados al año. En Lima, Corporación Aceros Arequipa cuenta con oficinas administrativas, así como almacenes para la distribución de los productos antes mencionados así como la comercialización de planchas y bobinas laminadas en frío (LAF), laminadas en caliente (LAC) y Zincadas, además de clavos, alambres recocidos y abrasivos. Actualmente en la compañía laboran 1086 personas y la distribución es 189 personas en la planta de Arequipa, 764 en la de Pisco y 133 en la ciudad de Lima, aproximadamente el 35% de este personal labora en las áreas administrativas. Los principales productos con los que cuenta Corporación Aceros Arequipa S.A. son: • Barras de Construcción • Perfiles • Alambrón (para construcción y trefilería) • Planchas y bobinas laminadas en frío y en caliente • Acero Calibrado • Clavos • Pernos de Fortificación • Abrasivos
2
Los mercados a los que se orientan los productos de Aceros Arequipa son el mercado de la construcción tanto en Bolivia como Perú, el mercado metal mecánico y así como el mercado minero. La persona de contacto es el Ing. Luis Bedoya Jiménez como Coordinador Corporativo de Calidad Total y representante de la dirección para la certificación ISO 9001 1. ORGANIGRAMA
2. AMBITO DEL SECTOR Aceros Arequipa tiene como principal objetivo dedicarse a la fabricación de fierro corrugado, alambrón para la construcción, perfiles de acero y otros derivados del hierro y del acero que comercializa en el territorio nacional, y en menor proporción, exporta al mercado boliviano, en todas las presentaciones requeridas. Siendo el mercado del acero en el Perú abastecido fundamentalmente por 2 empresas entre las cuales se encuentra Aceros Arequipa, además de ocupar el liderazgo en el año 2013.
3. RESPONSABLES DE LA INSTITUCION Ing. Omar Flores Riva Ing. Fernando Bustamante C. Ing. Jaime Torres Vázquez Tec. Juan Almeyda Napa
3
Gerente del Área Informática Jefe de Gerencia de Proyectos Jefe de Área del TI Jefe de Soporte e Infraestructura
4. ASUNTOS A EXAMINAR En el presente informe se examina los siguientes puntos entorno a la base de datos: La seguridad de Acceso de los usuarios y sus privilegios a la base de datos. Las políticas y procedimientos que ejecutan en el área, para la conservación y protección de la base de datos. Las políticas de seguridad implantadas para la protección de los datos en la empresa Aceros Arequipa. Las políticas de respaldo y restauración para la administración de datos.
III.
OBJETIVOS Y ALCANCES DE EXAMEN 1. ALCANCES El examen especial llevado a cabo de conformidad de la Directiva N°00122-2014-
CP/GSI que se efectuó entre el 03 al 08 de marzo del 2014, comprendiendo la revisión de documentos y verificación en situ, así como las pruebas necesarias para verificar el cumplimiento de los procedimientos que se han establecido en la empresa en relación con la base de datos, a fin de determinar a fin de determinar que se haya cubierto todos los puntos necesarios que permitan una correcta y efectiva ejecución de los mismos. 2. OBJETIVOS Evaluar la confiabilidad, integridad y seguridad de la base de datos de la empresa Aceros Arequipa.
IV.
Obtener un conocimiento integral de la seguridad aplicada a la base de datos. Formular las recomendaciones pertinentes que correspondan con la mejora de la gestión administrativa del área Informática.
COMUNICACIÓN DEL HALLAZGO Durante el trabajo de campo se determinaron hallazgos de auditoria, los mismos que fueron comunicados a los funcionarios responsables, dándoles la oportunidad de ejercer su derecho a réplica, por los que sus comentarios fueron evaluados y considerados en el presente informe.
4
V.
OBSERVACIONES Como resultado del examen especial sobre la seguridad de la base de datos, habiendo revisado la administración de usuarios y sus privilegios, las políticas de seguridad, respaldo y restauración; además de verificaciones en situ realizado a la empresa Aceros Arequipa S.A., se han determinado las observaciones siguientes.
1. LA DIRECCIÓN DEL ÁREA DE INFORMATICA Y SISTEMAS DE LA EMPRESA ACEROS AREQUIPA , NO CUENTA CON UN PLAN DE ADMINISTRACION DE USUARIOS Y PRIVILEGIOS, SITUACION QUE EXPONE LA INTEGRIDAD DE LOS DATOS ANTE UNA ALTERACION, ROBO O MAL USO POR UNA MALA ADMINISTRACION DE CUENTAS DE USUARIO. CONDICIÓN: En la revisión en situ que se realizó el día 03 de marzo del 2014 el área de Sistemas de la Empresa Aceros Arequipa S.A., se encontró que contaba con un procedimiento establecido para administración de los usuarios y sus respectivos privilegios. Se encontró que los existía el usuario administrador con clave por default para el acceso de la base de datos. Se encontró que se podía acceder directamente a la base de datos mediante acceso web local al ingresar una ruta y la clave del administrador. No existía un procedimiento para la administración de cuentas de usuarios de los responsables del área ni de los usuarios en general.
CRITERIO:
Dominio: “Entregar y Dar Soporte”:
DS5 DS5.3
Garantizar la Seguridad de los Sistemas Administración de la identidad “Asegurar que todos los usuarios (internos, externos y temporales) y su
actividad en sistemas de TI (aplicación de negocio, entorno de TI, operación de sistemas, desarrollo y mantenimiento) deben ser identificables de manera única. Permitir que el usuario se identifique a través de mecanismos de autentificación. Confirmar que los permisos de acceso del usuario, al sistema y los datos están en línea con las necesidades del negocio definidas y documentadas y que los requerimientos de trabajo estén adjuntos a las identidades del usuario. Asegurar que los derechos de acceso del usuario se soliciten por la gerencia del usuario, aprobados por el responsable del sistema e implementado por la persona responsable de la seguridad. Las identidades del usuario y los derechos de accesos se mantienen en un repositorio central. Se despliegan técnicas efectivas en coste y procedimientos rentables, y se mantienen actualizados para establecer la identificación del usuario, realizar la autentificación y habilitar los derechos de acceso”.
5
DS5.3
Administración de Cuentas de Usuario “Garantizar que la solicitud, establecimiento, emisión, suspensión,
modificación y cierre de cuentas de usuarios y de los privilegios relacionados, sean tomados en cuenta por un conjunto de procedimientos de la gerencia de cuentas de usuario. Deben incluirse un procedimiento de aprobación que describa al responsable de los datos o del sistema otorgando privilegios de acceso. Estos procedimientos deben aplicarse a todos los usuarios, incluyendo administradores (usuarios privilegiados), usuarios externos e internos, para casos normales y de emergencia. Los derechos y obligaciones relativos al acceso a los sistemas e información de la empresa deben acordarse contractualmente para todos los tipos de usuario. Realizar revisiones regulares de la gestión de todas las cuentas y los privilegios asociados”.
CAUSA: Lo expuesto se debe a que los funcionarios encargados respectivos del área Informática y Sistemas de la empresa Aceros Arequipa, no han cumplido con establecer los procedimientos necesarios para la administración de los usuarios así como sus respectivos privilegios que deben ser asignados a cada uno de ellos.
EFECTO: Lo mencionado podría traer como consecuencia la siguiente: Acceso a información privilegiada y confidencial integra de la empresa Aceros Arequipa. Alteración de Datos por usuarios con demasiados privilegios Robo de Información Mala administración de creación, modificación, suspensión y cierre de los usuarios
DETERMINACION DE RESPONSABILIDAD: De conformidad con lo establecido en la Primera y Novena Disposición Final del Decreto Ley N° 26162 y Ley N° 27785, respectivamente; se determina Responsabilidad Administrativa al ING. Jaime Torres Vázquez, Jefe del Área del TI, por haber realizado una gestión deficiente en relación a la elaboración de un Procedimiento de Administración de usuarios y Privilegios, así como incumplir con sus funciones inherentes al cargo. .
6
CONCLUSIONES Se observa que no se viene cumplimiento con los procedimientos necesarios para el uso o acceso correcto a la base de datos y sistema en uso, poniendo en riesgo la integridad de los datos ante alteración, robo o mal uso debido a una mala administración de las cuentas y privilegios.
RECOMENDACIÓN Definir e implementar procedimientos para la administración de los usuarios. Asignar correctamente los permisos y privilegios a los usuarios que interactúen con la base de datos y el sistema, además de mantener usuarios únicos. Restringir el acceso a la base de datos desde cualquier maquina local.
2. LA DIRECCIÓN DEL ÁREA DE INFORMATICA Y SISTEMAS DE LA EMPRESA ACEROS AREQUIPA NO CUENTA CON UN PLAN DE SEGURIDAD, RESPALDO Y RESTAURACION PARA LA ADMINISTRACION DE DATOS, EXPONIENDO AL ALTERACIÓN Y ROBO DE INFORMACION, PÉRDIDA DE INFORMACIÓN ANTE AUN INCIDENTE. CONDICION: En la revisión In Situ que se realizó en la oficina de Sistemas de la empresa Aceros Arequipa, se encontró que no se cumplía con los procedimientos de seguridad de la información y planes de continuidad. No existen procedimientos para el almacenamiento que cumplan con las políticas de la organización y requerimientos regulatorios. No poseen un medio de inventario de los archivos almacenados, los cuales garanticen el acceso a los mismos. No existen políticas de eliminación tanto de archivos, software y hardware. No existen políticas para el respaldo de sistemas, aplicaciones y datos alineados con el plan de continuidad y requerimientos del negocio. No consideran un plan de seguridad para la administración de datos.
CRITERIO: Lo expuesto trasgrede lo indicado en las normas y procedimientos internacionales basados en los “Objetivos de Control para la información y tecnologías relacionada – COBIT”, cuarta edición publicado en el año 2009 donde se menciona que:
Dominio: “Entregar y dar soporte” DS11 Administración de Datos DS11.5 Respaldo y Restauración “Definir e implementar procedimientos de respaldo y restauración de
los sistemas, aplicaciones, datos y documentación en línea con los requerimientos de negocio y el plan de continuidad.”
7
DS11 DS11.6
Administración de Datos Requerimientos de Seguridad para la Administración de Datos “Definir e implementar las políticas y procedimientos para identificar y
aplicar los requerimientos de seguridad aplicables al recibo, procesamiento, almacén y salida de los datos para conseguir los objetivos de negocio, las políticas de seguridad de la organización y requerimientos regulatorios.”
CAUSA: Lo expuesto se debe a una deficiente gestión en el la integridad, exactitud, disponibilidad y protección de los datos necesarios en el sistema, al no haber implementado políticas de respaldo de seguridad, respaldo y restauración mínimas necesarias en el área de informática de la empresa Aceros Arequipa donde el encargado es el Ing. Omar Flores Riva.
EFECTO: Esta situación puede traer como consecuencia en primer lugar que la información se encuentre vulnerable a pérdida y/o mal uso de esta, lo cual perjudicaría a la empresa económicamente. También conllevaría que la empresa tenga que implementar medidas de recuperación de la información causando demora en los procesos internos y externos. Pérdida considerable de información en caso de algún siniestro y no se pueda restablecer la información por falta de archivos de respaldo.
DETERMINACIÓN DE RESPONSABILIDAD: De conformidad con lo establecido en el COBIT, se denomina responsabilidad administrativa al Gerente del área de informática y sistemas el Ing. Omar Flores Riva, al director del área de TI el Ing. Fernando Bustamante C. por haber realizado una gestión deficiente e incumplir con sus funciones en prever la administración de datos.
CONCLUSIONES:
Como resultado de la revisión In situ realizada al Área de Informática se concluye: Que existe una deficiente gestión al no contar con Planes de Continuidad, Plan de Seguridad para la administración de datos, poniendo en alto riesgo la pérdida de los recursos de información. Lo expuesto infringe el marco de normas y procedimientos internaciones basados en los “Objetivos de Control para la información y tecnologías relacionadas - COBIT”, Edición 4.1 publicada en el año 2009, en el Dominio
8
Entregar y Dar Soporte, DS11 Administración de datos - DS11.5 Respaldo y Restauración, DS11.6 Requerimientos de Seguridad para Administración de Datos. Lo expuesto infringe PNTP-ISO/IEC 27001:2008 EDI. Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de seguridad de la información. Se observa que no existe una correcta política de respaldo y restauración de los sistemas.
Lo expuesto infringe NTP-ISO/IEC 17799:2007 EDI. Tecnología de la información. Código de buenas prácticas para la gestión de seguridad de la información
RECOMENDACIONES:
VI.
Definir e implementar procedimientos para el archivo de almacenamiento y retención de los datos, de forma efectiva y eficiente para conseguir los objetos de negocio. La política de seguridad de la organización y los requerimientos regulatorios. Definir e implementar procedimientos de respaldo y restauración de los sistemas, aplicaciones, datos y documentación con los requerimientos de negocio y el plan de continuidad. Definir e implementar las políticas y procedimientos para identificar y aplicar los requerimientos de seguridad, políticas de seguridad de la organización y requerimientos regulatorios.
RECOMENDACIONES Aquí se coloca las recomendaciones generales. ANEXOS Si hubiese alguien que tenga imágenes colocarlas aquí.
VII.
9