INSTITUTO POLITÉCNICO NACIONAL

Transcripción

1 INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS AUDITORÍA AL MÓDULO DE INVENTARIOS DEL ERP MACROPRO SEMINARIO DE TITULACIÓN AUDITORÍA DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES T E S I N A Q U E P A R A O B T E N E R E L T I T U L O D E : LICENCIADO EN CIENCIAS DE LA INFORMÁTICA P R E S E N T A N : M O J I C A M A R T Í N E Z M A R Í A I S A B E L P É R E Z N Ú Ñ E Z M A R Í A F E R N A N D A R E Y E S F L O R E S L U C I A A Z U C E N A R O S A L E S S A N T A R O S A B E A T R I Z A S E S O R MÉICO D.F. AGOSTO, 2010

2 TESINA IPN ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA UNIDAD CULHUACAN QUE PARA OBTENER EL TITULO DE: LICENCIADO EN CIENCIAS DE LA INFORMÁTICA POR LA OPCION DE SEMINARIO DE TITULACION: AUDITORIA DE LAS TECNOLOGIAS DE INFORMACIÓN Y COMUNICACIONES Vigencia: DE S/ESIME_CUL/2009/38/10 DEBERA DESARROLLAR: Mojica Martínez María Isabel Pérez Núñez María Fernanda Reyes Flores Lucia Azucena Rosales Santa Rosa Beatriz AUDITORÍA AL MÓDULO DE INVENTARIOS DEL ERP MACROPRO INTRODUCCIÓN Las buenas prácticas informáticas dentro de las empresas requieren de ser aplicadas por la misma, para la optimización de sus procesos y cumplimiento de los objetivos de dicha empresa por lo que la aplicación de una auditoria a los sistema integrales que existan, brindara múltiples beneficios a la misma en función de proporcionar métricas que sean factibles para que la empresa cumpla con las buenas prácticas, las cuales son estándares de metodologías reconocidas como lo es NIST. Por lo que aplicar esta metodología a un sistema ERP es de gran utilidad para evaluar un modulo como lo es el de control de inventarios. CAPITULADO I. Introducción a la Auditoría II. Seguridad informática en un ERP III. NIST para ERP IV. Auditoría al módulo de inventarios del ERP MACROPRO de la empresa Central de Suspensiones Gómez SA. De C.V. ASESORES Fecha: México D.F Agosto del 2010 M. EN C. RAYMUNDO SANTANA ALQUICIRA ING. MIGUEL ANGEL MIRANDA Director del Seminario HERNANDEZ Asesor M. EN C. LUIS CARLOS CASTRO MADRID Jefe de la carrera de Ingeniería en Computación 1

3 OBJETIVO Auditar el módulo de inventario refaccionaria del ERP "MACROPRO" en la empresa "Central de Suspensiones Gómez S.A. de C.V." en un periodo de un mes, para determinar sí el sistema es el causante de las pérdidas en el Inventario. PROBLEMÁTICA DEL PROYECTO Se han detectado faltantes en el inventario del almacén por lo que ha generado incongruencia en el control de inventarios que se lleva en el sistema contra lo que se tiene de control de inventarios físico. JUSTIFICACIÓN Al realizar la auditoría a la empresa Central de Suspensiones Gómez S.A. de C.V. apoyada con la metodología de NIST ayudará a detectar los riesgos y vulnerabilidades que la empresa tiene, sugiriendo nuevos controles en el módulo de inventarios que logren reducir, y corregir las irregularidades. ALCANCE Revisar y verificar de acuerdo con la metodología de NIST correspondiente para el módulo de inventarios los controles internos que existan y los que hagan falta. I I 2

4 INDICE CAPÍTULO I. INTRODUCCIÓN A LA AUDITORÍA Antecedentes de la auditoría Concepto de auditoría Objetivo de la auditoría Importancia de la auditoría Características de la auditoría Tipos de auditoría Auditoría Informática Generalidades Seguridad Informática en las empresas Funciones del auditor informático Metodologías Fases de la Auditoría Beneficios Auditoría a Servicios informáticos Concepto de servicio informático Clasificación de Servicios Informáticos Definición de Auditoría en los servicios informáticos Importancia de la auditoría en los servicios informáticos La auditoría y los servicios informáticos actuales. 19 CAPÍTULO II. SEGURIDAD INFORMÁTICA EN UN ERP Concepto de ERP Características de un ERP Objetivos del ERP Componentes de un ERP Controles de riesgos en un ERP Metodologías para auditar un ERP.. 27 CAPÍTULO III. NIST PARA ERP Antecedentes de NIST Guía de Implementación Técnica de Seguridad en los ERP Introducción Alcance de evaluación a un modulo de un ERP Características de la guía II

5 CAPÍTULO IV. AUDITORÍA AL MÓDULO DE INVENTARIOS DEL ERP MACROPRO DE LA EMPRESA CENTRAL DE SUSPENSIONES GÓMEZ S.A. DE C.V Introducción a la Empresa Estado Actual Descripción de Problemática Solución Planeación Ejecución de la Auditoría Análisis de Riesgos Resultados Conclusiones. 56 ANEOS: 57 ANEO A. Organigrama de la empresa Central de Suspensiones Gómez S.A. DE C.V ANEO B. Diagramas de procesos y flujos de datos 59 ANEO C. Cedula única de Auditoría.. 61 ANEO D. Plan de Trabajo. Cronograma.. 62 ANEO E. Carta de Planeación ANEO F. Checklist aplicado en base a Guía de Implementación Técnica de seguridad de los ERP ANEO G. Orden de auditoría 70 ANEO H. Carta de Requerimientos ANEO I. Marco Conceptual 73 ANEO J. Evidencias. 74 ANEO K. Mapa de Riesgos. 85 ANEO L. Reporte de Observaciones de Auditoría Externa.. 86 ANEO M. Oficio de Envío (Informe Ejecutivo) 89 ANEO N. Informe Final ANEO O. Supervisión de la Integración del expediente de auditoría III

6 INDICE DE FIGURAS INDICE DE TABLAS. 96 GLOSARIO. 97 BIBLIOGRAFIA IV

7 CAPITULO I INTRODUCCIÓN A LA AUDITORÍA 6

8 1.1 Antecedentes de la auditoría CAPÍTULO I. INTRODUCCIÓN A LA AUDITORÍA La auditoría surgió de la necesidad de las revisiones contables que se desarrollaban en el área financiera de una empresa comercial esto tuvo lugar en Inglaterra donde creció y floreció en el año 1862 hasta 1905 hacia por el año 1900 se introdujo a estados unidos. En un principio la auditoría de aquel entonces hacía hincapié a ciertos objetivos principalmente a la detección y prevención de errores sin embargo, en los años siguientes hubo un cambio en el objetivo de la auditoría, continuó desarrollándose, no sin oposición, hasta aproximadamente En este tiempo "Existía un cierto grado de acuerdo en que el auditor podía y debería no ocuparse primordialmente de la detección de fraude". Paralelamente al crecimiento de la auditoría a medida que los auditores independientes se apercibieron de la importancia de un buen sistema de control interno y su relación con el alcance de las pruebas a efectuar en una auditoría independiente, se mostraron partidarios del crecimiento de los departamentos de auditoría dentro de las organizaciones de los clientes, que se encargaría del desarrollo y mantenimiento de unos buenos procedimientos del control interno, independientemente del departamento de contabilidad general. Progresivamente, las compañías adoptaron la expansión de las actividades del departamento de auditoría interna hacia áreas que están más allá del alcance de los sistemas contables. Y ante la creciente complejidad de las estructuras empresariales y la creciente dinámica de los mercados y las interrelaciones de las empresas con sus mercados, la auditoría ha tenido que ir ampliando su campo de aplicación y salir del entorno Contable y Financiero, para abordar otras áreas operativas y funcionales de las empresas. También ha tenido que abarcar toda la diversidad de empresas y organismos públicos y privados que componen el tejido industrial, económico y social de nuestra sociedad. Por lo que, según el ámbito en que se aplique, hay que hablar de Auditoría Contable, Auditoría Financiera, Auditoría de Gestión, que comprende las dos anteriores, y, desde hace algunos años, de auditoría de los Sistemas de Información. Los primeros antecedentes de la función de la auditoría de la información se sitúan entre finales de la década de los años 70 y principios de los 80. Realizado auditorías de la información a finales de los años 70, aunque en aquel momento no utilizó este término. Según la primera referencia al término se remonta a 1982 con Robert Taylor, el cual en un documento de esa misma fecha establece que se trata de una auditoría de las actividades formales de la información y sus efectos en la organización, los beneficios y facilidades que proporciona a las personas en la realización de sus trabajos. 7

9 Se consideran entre los factores que permitieron el surgimiento y desarrollo de la auditoría de la información, los siguientes: El desarrollo y proliferación de los estudios de necesidades en el ámbito internacional en las décadas de los años 80 y 90. El énfasis que ha tenido en los servicios de información la contabilidad y el valor del dinero Concepto de auditoría Proceso metodológico y formal para evaluar y valorar la confianza que se puede depositar en el área a auditar dentro de la empresa, lo cual se refleja en un informe donde se estipula la situación real del área auditada. Este proceso consiste en recolectar evidencia para analizarla y poder determinar si el sistema de información, área de TI o cualquier otro activo de la empresa realicen las operaciones de la empresa acorde a los objetivos del negocio y el manejo de la información así como el flujo de la misma. 1.3 Objetivo de la auditoría Su objetivo radica en la ayuda que brinda para los directivos de la empresa, para que ésta realice sus funciones de la mejor forma posible con procesos seguros a diferentes niveles, desde estratégicos hasta operacionales. El manejo de la información de forma clara y autentica resulta de una buena auditoría donde surgen las recomendaciones de buenas prácticas como apoyo para lograr que la información cumpla con las características debidas, así como la satisfacción de controles, políticas, objetivos del negocio; bajo la guía de una adecuada metodología durante la auditoría para la optimación de los recursos acorde al tipo de auditoría aplicada. Por lo que la auditoría se vuelve necesaria, ya sea interna o externa, como parte de las actividades para la conservación de un buen funcionamiento de la empresa y que ésta tenga las características de: Eficiencia Eficacia Rentabilidad Seguridad 1.4 Importancia de la auditoría. La importancia de llevar a cabo una auditoría dentro de una organización trae consigo una serie de beneficios reales para las situaciones que afecten la seguridad, integridad, confidencialidad de la información de cada organización. 8

10 Llevar a cabo una auditoría dentro de una organización es muy importante, porque sin la práctica de una auditoría no se tiene la plena seguridad de que la información, los activos, los recursos y los procesos dentro de la misma sean reales y confiables. Una auditoría además, evalúa el grado de eficiencia y eficacia con que se desarrollan las tareas administrativas y el grado de cumplimiento de los planes y orientaciones de la organización. Es la auditoría que define con bastante razonabilidad, la situación real de la empresa. 1.5 Características de la auditoría. Es objetiva: significa que es imparcial, tiene una actitud mental independiente, sin influencias personales ni políticas. Es Sistemática y profesional: La auditoría debe ser cuidadosamente planeada y llevada a cabo por profesionales conocedores del ramo que cuentan con la capacidad técnica y profesional requerida, los cuales se atienen a las normas de auditoría establecida. El desarrollo de la auditoría se lleva a cabo cumpliendo en forma estricta los pasos que contienen las fases del proceso de la auditoría, existen diversas metodologías, normas, y buenas prácticas para llevar a cabo el proceso con detalle en cada unidad auditada. Es constructiva: es decir, siempre buscara mejorar y/o corregir debilidades, que se encuentren amenazando a la organización. las Finaliza con la elaboración de un informe escrito que contiene los resultados de la auditoría practicada, el cual debe conocer de previo la persona auditada, para que tenga a bien hacer las correspondientes observaciones del mismo; además el informe contiene las conclusiones y debilidades tendientes a la mejora de las debilidades encontradas. 1.6 Tipos de auditorías A continuación se presenta una clasificación de diferentes tipos de auditorías, las cuales se encuentran clasificadas por diferentes factores. Por el origen de quien hace su aplicación: Externa Interna 9

11 Por el área en donde se hacen: Auditoría Financiera Auditoría Administrativa Auditoría Operacional Auditoría Gubernamental Auditoría Integral Auditoría de Sistemas Por área de especialidad: Auditoría Fiscal Auditoría Laboral Auditoría Ambiental Auditoría Médica Auditoría a Inventario Auditoría a Caja Chica Auditoría en Sistemas Especializadas en Sistemas Computacionales: Auditoría Informática Auditoría con la Computadora Auditoría sin la Computadora Auditoría a la Gestión Informática Auditoría alrededor de la computadora Auditoría en seguridad de sistemas Auditoría a sistemas en red son: A continuación mencionamos los principales tipos de Auditoría, estos a) Auditoría financiera: Es el examen de los estados financieros de una empresa, con la finalidad de emitir una opinión profesional sobre los estados financieros en su conjunto, es decir que presentan o no razonablemente la posición financiera de la empresa y sus resultados de sus operaciones b) Auditoría operativa: Es la auditoría de las causas relativas nuevas, se ocupa de estudiar si las medidas necesarias han sido tomadas cautelosamente, dentro de esta auditoría se encuentra: Auditoría General.- es el examen constructivo de una empresa o ente. Auditoría Administrativa.- es el examen que se realiza para ver la veracidad de los estados financieros. La extensión de todas las operaciones no incide en el área financiera. También la Auditoría operativa es el examen en la que una empresa o parte de ella con la finalidad de evaluar deficiencia, efectividad y 10

12 economía de sus actividades en función de los objetivos o metas trazadas, comprendiendo básicamente la evaluación de los controles administrativos. c) Auditoría gubernamental: Es aquella que se aplica en las entidades públicas y es efectuada por la Contraloría General de la República y otros organismos u oficinas de Auditoría Interna, su objetivo principal es la de valuar los recursos humanos y financieros de acuerdo a los objetivos vigentes. d) Según el personal: Auditoría interna.- es aquella que un profesional de auditoría que labora. en la misma empresa auditada, evalúa el desempeño y cumplimiento de actividades, operaciones y funciones y emitir un dictamen de carácter doméstico sobre las actividades de la empresa. Auditoría externa.- se refiere a los exámenes de Auditoría que realiza las firmas independientes a la empresa auditada. e) Auditoría fiscal: Consiste en verificar el cumplimiento de las leyes fiscales, revisando el correcto y oportuno pago de los diferentes impuestos y obligaciones fiscales de los contribuyentes desde el punto de vista físico (SHCP), direcciones o tesorerías de hacienda estatales o tesorerías municipales. f) Auditoría informática: Evalúa y comprueba los controles y procedimientos informáticos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo el uso de software. 1.7 Auditoría Informática Generalidades Concepto La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. También permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y 11

13 barreras, que obstaculizan flujos de información eficientes. Características La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoría de Inversión Informática. Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas. Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoría de Organización Informática. Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial. De otra manera: cuando se realiza una auditoría del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas. Importancia Las auditorías son necesarias por diversos motivos, y entre los más importantes podemos citar los siguientes: Ofrecer la seguridad a los propietarios de las empresas, o a las partes interesadas en las organizaciones auditadas (accionistas), o a los responsables de sus actividades, de la fiabilidad de los estados financieros que se les presentan, en la medida indicada por el auditor en su informe. Ofrecer la seguridad a otros posibles usuarios de los estados financieros, de la fiabilidad de los estados financieros que se les presentan, en la medida indicada por el auditor en su informe. Estos usuarios pueden ser: acreedores, entidades financieras, personal, Hacienda Pública, inversores potenciales e instituciones supranacionales. Cuando se realiza una venta o cambio de titularidad o liquidación de una empresa, es necesario conocer la fiabilidad de la valoración de dicha empresa. Cuando se quiere acceder a subvenciones, o intervenir en proyectos de desarrollo o producción, promovidos por instituciones públicas nacionales o supranacionales, suele haber el requisito que obliga a 12

14 efectuar una auditoría lo más completa posible. Según los países y el ámbito en que se mueve la empresa, hay obligación legal de efectuar auditorías de forma periódica Seguridad Informática en las empresas El garantizar que los recursos informáticos de una compañía estén disponibles para cumplir sus propósitos, es decir, que no estén dañados o alterados por circunstancias o factores externos, es una definición útil para conocer lo que implica el concepto de seguridad informática. En términos generales, la seguridad puede entenderse como aquellas reglas técnicas y/o actividades destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de robo, pérdida o daño, ya sea de manera personal, grupal o empresarial. En este sentido, es la información el elemento principal a proteger, resguardar y recuperar dentro de las redes empresariales. La importancia de la seguridad informática en las empresas es por la existencia de personas ajenas a la información, también conocidas como piratas informáticos o hackers, que buscan tener acceso a la red empresarial para modificar, sustraer o borrar datos. Tales personajes pueden, incluso, formar parte del personal administrativo o de sistemas, de cualquier compañía Funciones del auditor informático Las funciones que el auditor informático debe realizar contemplan un amplio abanico de actividades objetivas, algunas de las cuales se enumeran a continuación: Verificación del control interno, tanto de las aplicaciones como de los sistemas informáticos, centrales y periféricos. Análisis de la gestión de los sistemas de información desde un punto de vista de riesgo de seguridad, de gestión y de efectividad de la gestión. Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de las aplicaciones. Esta función, que la vienen desempeñando los auditores informáticos, están empezando ya a desarrollarla los auditores financieros. Auditoría del riesgo operativo de los circuitos de información. Análisis de la gestión de los riesgos de la información y de la seguridad implícita. Verificación del nivel de continuidad de las operaciones (a realizar conjuntamente con los auditores financieros). Análisis del estado tecnológico de la instalación revisada y de las 13

15 consecuencias empresariales que un desfase tecnológico pueda acarrear. Diagnóstico sobre el grado de cobertura que dan las aplicaciones a las necesidades estratégicas y operativas de información de la organización. Revisar y juzgar los controles implantado en los sistemas de información para verificar su adecuación a las órdenes e instrucciones de la Dirección, requisitos legales, protección de la confidencialidad y cobertura ante errores y fraudes. Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e información. El auditor evalúa y comprueba en determinado tiempo, los controles y procedimientos informáticos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo el uso de software de auditoría y otras técnicas asistidas por la computadora Metodologías Todas las metodologías existentes desarrolladas y utilizadas en la auditoría, se puede agrupar en dos grandes familias: Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización del trabajo, están diseñadas par producir una lista de riesgos que pueden compararse entre sí con facilidad por tener asignados unos valores numérico. Están diseñadas para producir una lista de riesgos que pueden compararse entre si con facilidad por tener asignados unos valores numéricos. Estos valores son datos de probabilidad de ocurrencia de un evento que se debe extraer de un riesgo de incidencias donde el número de incidencias tiende al infinito. Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base al experiencia acumulada. Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para usar el checklist/guía). Basadas en métodos estadísticos y lógica borrosa, que requiere menos recursos humanos / tiempo que las metodologías cuantitativas. Metodologías en Auditoría Informática. Las metodologías de auditoría informática son de tipo cualitativo/subjetivo. Se puede decir que son subjetivas por excelencia. Están basadas en profesionales de gran nivel de experiencia y formación, capaces de dictar recomendaciones técnicas, operativas y jurídicas, que exigen en gran profesionalidad y formación continua. Se clasifican en dos tipos las metodologías para la auditoría informática: Controles Generales.- Son el producto estándar de los auditores profesionales. El objetivo aquí es dar una opinión sobre la fiabilidad de los datos del computador para la auditoría financiera, es resultado es escueto y forma parte del informe de auditoría, en donde se hacen notar 14

16 las vulnerabilidades encontradas. Están desprestigiadas ya que dependen en gran medida de la experiencia de los profesionales que las usan. Metodologías de los auditores internos.- Están formuladas por recomendaciones de plan de trabajo y de todo el proceso que se debe seguir. También se define el objetivo de la misma, que habrá que describirlo en el memorando de apertura al auditado. De la misma forma se describe en forma de cuestionarios genéricos, con una orientación de los controles a revisar. El auditor interno debe crear sus metodologías necesarias para auditar los distintos aspectos o áreas en el plan auditor. En la actualidad existen tres tipos de metodologías de auditoría informática: R.O.A. (RISK ORIENTED APPROACH), diseñada por Arthur Andersen. CHECKLIST o cuestionarios. AUDITORÍA DE PRODUCTOS (por ejemplo, Red Local Windows NT; sistemas de Gestión de base de Datos DB2; paquete de seguridad RACF, etc.). En sí las tres metodologías están basadas en la minimización de los riesgos, que se conseguirá en función de que existan los controles y de que éstos funcionen. En consecuencia el auditor deberá revisar estos controles y su funcionamiento Fases de la Auditoría Las fases que presenta una auditoría informática son las siguientes: (Ver figura 1.1) Fase I: Conocimientos del Sistema Fase II: Análisis de transacciones y recursos Fase III: Análisis de riesgos y amenazas Fase IV: Análisis de controles Fase V: Evaluación de Controles Fase VI: El Informe de auditoria Figura 1.1 Fases de la Auditoría. 15

17 Fase I: Conocimientos del Sistema: Aspectos Legales y Políticas Internas. Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluación. Características del Sistema Operativo. Organigrama del área que participa en el sistema Manual de funciones de las personas que participan en los procesos del sistema. Informes de auditoría realizadas anteriormente Características de la aplicación de computadora Manual técnico de la aplicación del sistema Funcionarios (usuarios) autorizados para administrar la aplicación Equipos utilizados en la aplicación de computadora Seguridad de la aplicación (claves de acceso) Procedimientos para generación y almacenamiento de los archivos de la aplicación. Fase II: Análisis de transacciones y recursos: Definición de las transacciones. Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y estos en subprocesos. La importancia de las transacciones deberá ser asignada con los administradores. Análisis de las transacciones. Establecer el flujo de los documentos En esta etapa se hace uso de los diagramas de flujo, ya que facilita la visualización del funcionamiento y recorrido de los procesos. Análisis de los recursos. Identificar y codificar los recursos que participan en el sistemas Relación entre transacciones y recursos. Fase III: Análisis de riesgos y amenazas: Identificación de riesgos. Daños físicos o destrucción de los recursos. Pérdida por fraude o desfalco. Extravío de documentos fuente, archivos o informes. Robo de dispositivos o medios de almacenamiento. Interrupción de las operaciones del negocio. Pérdida de integridad de los datos. Ineficiencia de operaciones. Errores. Identificación de las amenazas: Amenazas sobre los equipos. Amenazas sobre documentos fuente. Amenazas sobre programas de aplicaciones. Relación entre recursos/amenazas/riesgos. La relación entre estos elementos deberá establecerse a partir de la observación de los recursos en su ambiente real de funcionamiento. 16

18 Fase IV: Análisis de controles: Codificación de controles. Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificación de los controles debe contener una codificación la cual identifique el grupo al cual pertenece el recurso protegido. Relación entre recursos/amenazas/riesgos. La relación con los controles debe establecerse para cada tema (Recurso/Amenaza/Riesgo) identificado. Para cada tema debe establecerse uno o más controles. Análisis de cobertura de los controles requeridos. Este análisis tiene como propósito determinar si los controles que el auditor identificó como necesarios proveen una protección adecuada de los recursos. Fase V: Evaluación de Controles: Objetivos de la evaluación. Verificar la existencia de los controles requeridos. Determinar la operatividad y suficiencia de los controles existentes Plan de pruebas de los controles. Incluye la selección del tipo de prueba a realizar. Debe solicitarse al área respectiva, todos los elementos necesarios de prueba. Pruebas de controles. Análisis de resultados de las pruebas. Fase VI: El Informe de auditoría: Informe detallado de recomendaciones. Evaluación de las respuestas. Informe resumen para la alta gerencia. Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso del área. Introducción: objetivo y contenido del informe de auditoría. Objetivos de la auditoría. Alcance: cobertura de la evaluación realizada. Opinión: con relación a la suficiencia del control interno del sistema evaluado. Hallazgos. Recomendaciones. Fase VII: Seguimiento de las Recomendaciones: Informes del seguimiento. Evaluación de los controles implantados Beneficios Los beneficios que brinda la auditoría informática son: 17

19 Contar con una comprensión de la situación actual de la entidad, y de sus procesos de control. Obtener una visión independiente sobre vulnerabilidades, exposiciones y el nivel de diseño de controles y los Riesgos. Recibir un plan de mitigación de los principales factores de riesgo (considerando vulnerabilidades e impactos) para resolver las exposiciones de control identificadas y mitigar tales riesgos. Mejora de la imagen pública de la empresa. Genera confianza en los usuarios sobre la seguridad y control de los servicios de TI. Optimiza las relaciones internas y del clima de trabajo. Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros). Genera un balance de los riesgos en TI. Realiza un control de la inversión en un entorno de TI, a menudo impredecible. Aporta un aumento en la productividad y mejora el rendimiento. 1.8 Auditoría a Servicios informáticos Concepto de servicio informático Servicio: Es un conjunto de actividades que buscan responder a las necesidades de un cliente o de alguna persona común. Informática: Es la ciencia aplicada que abarca el estudio y aplicación del tratamiento automático de la información, utilizando sistemas computacionales, generalmente implementados como dispositivos electrónicos. Servicio informático: Es un conjunto de actividades o aplicaciones enfocadas a brindar un servicio específico que procesa automáticamente la información, para cumplir con las expectativas del cliente Clasificación de servicios informáticos La clasificación de los servicios informáticos o catalogo de servicios informáticos se compone de los siguientes puntos: (Ver Figura 1.2) Servicios Aplicaciones Software Hardware Figura 1.2 Catalogo de servicios. 18

20 Hardware. Corresponde a todas las partes físicas y tangibles de una computadora, cualquier elemento físico involucrado. Software. Conjunto de instrucciones o programas que forman el sistema del computador. Aplicaciones. Está diseñado y escrito para realizar tareas específicas personales empresariales o científicas. Servicios. Es un conjunto de actividades que buscan responder a las necesidades de un cliente o de alguna persona común Definición de Auditoría en los servicios informáticos. Auditar servicios informáticos es una tarea compleja, pero no imposible, existen metodologías que ayudan a cada uno de los servicios, a ser auditados, ya que en la informática existen miles de servicios que ofrecen una automatización en los procesos de las organizaciones y que obviamente son distintos. Existen diversas instituciones que establecen guías y normas que ayudan a realizar adecuadamente las auditorías dentro de cada servicio informático Importancia de la auditoría en los servicios informáticos. La importancia de llevar a cabo una auditoría dentro de un servicio informático, es fundamental ya que se logran detectar vulnerabilidades, estabilizar los sistemas, corregir las fallas y ampliar las medidas de seguridad, así como salvaguardar los activos de las empresas que ofrecen y demandan servicios informáticos. Como se sabe llevar a cabo una auditoría dentro de una empresa y dentro de cada servicio informático no es nada sencillo, pero es esencial que se implanten dichas auditorías para la mejora constante del servicio así como de la empresa La auditoría y los servicios informáticos actuales. Con el paso del tiempo se han ido aumentando diversos servicios informáticos que estandarizan y engloban de una forma más practica el tratamiento de la información, como ejemplo tenemos a los ERP, que tan solo implantando uno de estos servicios dentro de una organización, manipula de forma completa, los proceso habidos dentro de la misma y que realizan con facilidad la administración y control de la empresa. 19

21 Las Compañías, Corporaciones e Instituciones han implementado controles, roles y responsabilidades, orientados a garantizar la integridad, consistencia, exactitud y confiabilidad de la información, que requieren que sean revisados y/o auditados en base a modelos de control tales como COSO, COBIT, ITIL, NIST, ISO17999, BS Los objetivos de la Auditoría Informática, es proveer apoyo a los auditores, desarrollar revisión de tecnología, desarrollar investigaciones asociadas a fraudes, brindar soporte de evaluaciones de riesgos durante los proyectos de tecnología y brindar asesoría de alto impacto a la gerencia. La auditoría dentro de estos servicios tiene que actualizarse y crear nuevos márgenes y guías para cada uno de los nuevos servicios y así lograr una excelente revisión de cada servicio. 20

22 CAPITULO II SEGURIDAD INFORMÁTICA EN UN ERP 21

23 2.1 Concepto de ERP Enterprise Resourse Planning: CAPÍTULO II SEGURIDAD INFORMÁTICA EN UN ERP Se define como un sistema de gestión de información que integran y automatizan muchas de las practicas de negocio asociadas con los aspectos operativos o productivos de una empresa estructurado que busca satisfacer la demanda de soluciones de gestión, empresarial, basado en el concepto de una solución completa que permita a las empresas unificar las diferentes áreas de productividad de la misma. 2.2 Características de un ERP Los sistemas de ERP se presentan como tecnología adaptativa y han demostrado hasta ahora ser una buena solución ante la gran demanda de manejo de información y aprovechamiento de las tecnologías. Las siguientes características nos lo permiten: (Ver figura 2.1) Integración: El objetivo de un sistema ERP es integrar todos los procesos de la empresa, entendiéndola como una serie de áreas que se relacionan entre sí. Este enfoque permite una mayor eficiencia, reducción de tiempo y costes. Una base de datos centralizada es la que suele facilitar el flujo de información entre los diferentes módulos. Es importante destacar que en un sistema ERP los datos se ingresan una sola vez para su utilización en el sistema. Estos deben ser consistentes, completos y comunes. De esta forma se evita la duplicidad de información. Modularidad: Cada área funcional de la empresa se corresponde con un módulo del sistema de gestión. Estos módulos aunque independientes comparten información entre sí mediante una base de datos centralizada, lo que facilita la personalización y adaptabilidad por una lado, y por otro la facilidad de integración. Es habitual que cada módulo utilice un software específico para su funcionalidad. Adaptabilidad: Gracias a la modularidad y capacidad de integración de las funcionalidades un sistema ERP es fácilmente adaptable a las necesidades de cada empresa, permitiendo una total configuración. Aunque existe esta posibilidad de adaptación, muchas veces para abaratar costes la empresa utiliza una solución más genérica, en vez de personalizar un desarrollo, lo que le obliga a modificar algunos de sus procesos para alinearlos con los del sistema ERP. 22

24 Modularidad Integración Adaptabilida d Características de un ERP Figura 2.1. Características de un ERP. 2.3 Objetivos del ERP Los principales objetivos de estos sistemas ERP son: Optimización de todos los procesos de nuestra empresa. Acceso de toda nuestra información de forma precisa, segura, rápida y verdadera (integridad de datos). Compartir información entre todas las secciones y componentes de la organización y de nuestra empresa para mayor eficiencia. Eliminación de datos y operaciones ya no necesarias para el correcto funcionamiento y optimización y renovación de las servibles. El propósito más importante en un ERP, es dar todo nuestro apoyo a los clientes del negocio, respuestas rápidas y eficientes a sus problemas así como un inmejorable manejo de información, que sea lo suficientemente útil para que permita la toma de las mejores decisiones y la disminución de los costes totales de operación para ambos. 2.4 Componentes de un ERP Los componentes o módulos básicos en los que se divide un ERP son los siguientes: (Ver figura 2.2) MRP CRM FRM HRM SCM 23

25 Figura 2.2. Módulos de un sistema de planificación de recursos empresariales (ERP). MPR (Material Requierement Planning) En español significa planificador de las necesidades de material, es decir, es un módulo de planificación de materiales y gestión de inventarios que responde a las siguientes preguntas: Qué orden producir? Cuánto producir? Cuándo producir? Mediante este sistema se garantiza la prevención y solución de errores en el aprovisionamiento de materias primas, el control de la producción y la gestión de órdenes, ya que su objetivo es disminuir el volumen de existencia a partir de lanzar la orden de compra o fabricación en el momento adecuado según los resultados del programa maestro de producción. Es un sistema que puede determinar de forma sistemática el tiempo de respuesta (aprovisionamiento y fabricación) de una empresa para cada producto. Para ello el sistema trabaja con dos parámetros básicos: tiempos y capacidades. El sistema MRP calculará las cantidades de producto terminado a fabricar, los componentes necesarios y las materias primas a comprar para poder satisfacer la demanda del mercado. 24

26 Este tipo de sistemas son utilizados para empresas que tengan ciertas características en cuanto a la forma de producción y especificaciones del producto. CRM (Customer Realatioship Management) Los sistemas de administración de la relación con el cliente busca entender y anticipar las necesidades de los clientes existentes y también de los potenciales, que actualmente se apoya en soluciones tecnológicas que facilitan su aplicación, desarrollo y aprovechamiento como parte de una estrategia de negocio centrada en los clientes. La cual está basada en la satisfacción de los clientes y también a los sistemas informáticos que dan soporte a esta estrategia. Se refiere a la administración de todas las interacciones que pueden tener un negocio y sus clientes. Se enfoca en la optimización del ciclo de vida del cliente en su totalidad. Además, CRM es un término de la industria de la información que reúne, metodologías, software y las capacidades del internet para administrar de una manera eficiente y rentable las relaciones de un negocio con sus clientes. FRM (Finance Resource Management) Los sistemas de administración de recursos financieros (FRM), son sistemas que surgen de la necesidad de integrar todo tipo de datos contables como son las proyección de ventas, el ingreso y los activos tomando como base estrategias alternativas de producción y mercadotecnia así como la determinación de los recursos que se necesitan para lograr estas proyecciones. HRM (Human Resource Management) Los sistemas de administración de recursos humanos (HRM), son parte de una estrategia entre la gestión de recursos humanos y la tecnología de información. Combina los recursos Humanos y en particular sus actividades administrativas con los medios puestos a su disposición por la informática, y se refieren en particular a las actividades de planificación y tratamiento de datos para integrarlos en un único sistema de gestión. Su función principal es recolectar información relacionada con las características personales y profesionales de cada empleado, historial laboral, hasta los detalles como las remuneraciones y el puesto que ocupan dentro de la empresa. 25

27 SCM (Supply Chain Management) Los sistemas de gestión de la configuración de software (SCM,) es el término utilizado para describir el conjunto de operaciones de producción y logística cuyo objetivo final es la entrega de un producto a un cliente. Esto quiere decir, que la gestión de la configuración de software (SCM) incluye las actividades asociadas desde la obtención de materiales para la transformación del producto, hasta su colocación en el mercado. Los sistemas de gestión de la configuración de software (SCM) utilizan los conceptos de e-business y tecnologías Web para coordinar y optimizar los procesos de ámbito empresarial en todas y cada una de las áreas de su empresa: desde el proveedor hasta el cliente. 2.5 Control de riesgos en un ERP Debido a que los ERP son sistemas integrales y que uno de sus objetivos es procesar gran cantidad de información en tiempo real a usuarios simultáneos como parte de sus funciones, es necesario tener en cuenta que surgen riesgos que los ERP sin controles pueden llegar a ser exitosos. Por lo que es necesario conocer toda la información respecto a los riesgos que surgen y aplicar medidas preventivas, correctivas. Las complejidades técnicas surgen: El sistema reside en varios equipos. La óptima coordinación es un desafío. Fiabilidad y disponibilidad de los datos. El sistema permite la configuración flexible, personalización mantenimiento. y Riesgos empresariales clave: Amplia experiencia necesaria para el funcionamiento eficaz. Significativos cambios de personal y estructuras organizativas. Transición de las funciones de usuarios a las funciones tradicionales de empowerment. Entornos de sistemas On-line y en tiempo real requieren de un entorno empresarial continuo. El esfuerzo de capacitación de un gran número de usuarios. Desafío a un entorno totalmente integrado en los diferentes procesos de negocio existentes entre las unidades de negocio. Riesgos Técnicos: Falta de experiencia en implementación y gestión de la tecnología informática distribuida. 26

28 El incremento de accesos remotos por los usuarios y externos. Múltiples interfaces y conversiones de datos de sistemas heredados y otros software comerciales suelen ser necesarios. IS debe hacer la transición a una organización que puede soportar un entorno de computación distribuida. Los controles de riesgos pueden surgir estableciendo mecanismos de control, durante la implementación del sistema ya que el control es amplio dentro de la configuración. 2.6 Metodologías para auditar un ERP La realización de una auditoría de un ERP puede ser compleja, por lo que es necesario dividir la auditoría en partes pequeñas que apoyen los objetivos generales de la auditoría. CIS Una de las metodologías usadas para la auditoría es CIS que significa Center for Internet Security el cual proporcionan una lista de controles que se pueden enumerar en un checklist para que sean verificadas. Su misión es establecer y promover el uso de normas basadas en el consenso para elevar el nivel de seguridad y privacidad en los sistemas conectados a Internet, y para garantizar la integridad de los negocios, gobierno y funciones basadas en Internet privados y las transacciones en que la sociedad depende cada vez más. CEI es una organización independiente, regulada por una Junta Directiva de voluntarios, no es propiedad o está controlado en su totalidad o parcialmente por cualquier corporación o entidad gubernamental. NIST National Institute of Standards and Technology Misión del NIST consiste en promover la innovación y la competitividad industrial EE.UU. por la ciencia que avanza la medición, normas, y la tecnología en formas que mejoren la seguridad económica y mejorar nuestra calidad de vida. Aunque la guía del NIST está enfocada para su uso en agencias federales estadounidenses, su lectura y conclusiones pueden resultar interesantes para otros entornos, tanto gubernamentales como privados. COBIT Information Systems Audit and Control Association COBIT brinda un modelo de procesos genéricos que representa todos los procesos que normalmente se encuentran en las funciones equivalentes entre los modelos de procesos COBIT y las áreas de enfoques del gobierno de TI. 27

29 Se enfoca en qué se requiere para lograr una administración y un control adecuado de TI, y se posiciona en un nivel alto. COBIT ha sido alineado y armonizado con otros estándares y mejores prácticas más detalladas de TI. COBIT actúa como un integrador de todos los elementos guía, resumiendo los objetivos clave bajo un mismo marco de trabajo integral que también se aliena con los requerimientos de gobierno y de negocio. 28

30 CAPITULO III NIST PARA ERP 29

31 3.1 Antecedentes de NIST CAPÍTULO III NIST PARA ERP El Instituto Nacional de Normas y Tecnología (NIST por sus siglas en inglés, National Institute of Standards) es una agencia de la Administración de Tecnología del Departamento de Comercio de los Estados Unidos. La misión de este instituto es promover la innovación y la competencia industrial en Estados Unidos mediante avances en metrología, normas y tecnología de forma que mejoren la estabilidad económica y la calidad de vida. Como parte de esta misión, los científicos e ingenieros del NIST continuamente refinan la ciencia de la medición (metrología) creando una ingeniería precisa y una manufacturación requerida para la mayoría de los avances tecnológicos actuales. También están directamente involucrados en el desarrollo y pruebas de normas hechos por el sector privado y agencias de gobierno. El NIST fue originalmente llamado Oficina Nacional de Normas (NBS por sus siglas en inglés), un nombre que tuvo desde 1901 hasta El progreso e innovación tecnológica de Estados Unidos dependen de las habilidades del NIST, especialmente si hablamos de cuatro áreas: biotecnología, nanotecnología, tecnologías de la información y fabricación avanzada. La serie 800 del NIST son una serie de documentos de interés general sobre Seguridad de la Información. Estas publicaciones comenzaron en 1990 y son un esfuerzo de industrias, gobiernos y organizaciones académicas para todos los interesados en la seguridad. 3.2 Guía de Implementación Técnica de Seguridad en los ERP Introducción Este documento contiene los procedimientos que permiten al personal cualificado llevar a cabo una Revisión de Disponibilidad de Seguridad (Security Readiness Review, SRR) a un ERP. Esta lista se va a utilizar para las implementaciones de ERP para las que no existen listas de productos específicos. La Revisión de Disponibilidad de Seguridad evalúa el cumplimiento junto con la Agencia de Defensa de Sistemas de Información (Defense information Systems Agency s, DISA) con la Guía de Implementación Técnica de Seguridad en los ERP. En el Campo de Operaciones de Seguridad de DISA (FSO) lleva a cabo la Revisión de Disponibilidad de Seguridad del ERP para proporcionar un nivel 30

32 mínimo de seguridad a DISA, conjunto de comandos, y otros del Departamento de Defensa (DoD) las organizaciones que sus aplicaciones son razonablemente segura contra los ataques que pondría en peligro su misión. La complejidad de las aplicaciones de misión crítica más se opone a una revisión de seguridad completa de todas las funciones de seguridad posibles y vulnerabilidades en el marco de tiempo asignado para un SRR ERP. No obstante, la SRR ayuda a las organizaciones frente a las vulnerabilidades de ERP más comunes e identificar aseguramiento de la información (IA), cuestiones que plantean un riesgo inaceptable para las operaciones. Idealmente, los controles de IA se integran en el ciclo de vida completo, incluyendo las fases relacionadas con la recogida de requisitos, diseño, desarrollo, garantía de calidad y pruebas. La Revisión de Disponibilidad de Seguridad del ERP típicamente ocurre cuando una aplicación ERP se encuentra en producción - es decir, cuando el ciclo ya se ha completado. Muchas de las conclusiones de la Revisión de Disponibilidad de Seguridad del ERP pueden ser solucionadas con las modificaciones de las funciones de seguridad, que se asignan a los usuarios y personal de apoyo, o con la modificación de los parámetros del sistema ERP. Separación de las funciones hallazgos pueden requerir modificaciones a los roles y responsabilidades del puesto Alcance de evaluación a un modulo de un ERP Como ya se menciono anteriormente, ésta guía permite hacer la revisión de forma integral a los aspectos necesarios del ERP para medir su nivel de seguridad en la información. Para poder realizar una evaluación con los resultados aproximados a la exactitud, es recomendable realizar una auditoría por secciones, es decir, delimitar la revisión en donde solo se audite por módulos los elementos que se consideren necesarios dentro de este tema. Para la revisión de la seguridad de la información dentro de un Modulo de ERP, la Guía de Implementación Técnica de Seguridad en los ERP proporciona las métricas aplicables para evaluar los elementos que a continuación se enlistan junto con las métricas que les corresponden a cada uno. Bases de Datos: ERP000700, ERP000720, ERP000730, ERP013900, ERP013350, ERP Estas métricas están enfocadas a la verificación de las características que se tienen para el manejo de la base de datos y el control sobre la información critica que contiene. El mantenimiento de la base de datos se evalúa en medida de la validez que tenga la misma. 31

33 Configuraciones Iniciales: ERP000800, ERP001500, ERP002000, ERP Métricas basadas para la comprensión y análisis de los parámetros establecidos dentro de la configuración de servidores, aplicación, conexiones remotas, etc.los parámetros que se evalúan son específicamente a la forma en que se tienen los controles para el flujo de información a través de los medios establecidos. Controles de acceso: ERP001100, ERP001150, ERP001200, ERP001850, ERP003850, ERP011400, ERP011400, ERP011500, ERP Métricas enfocadas a la evaluación de medidas de seguridad para el acceso y el uso de operaciones necesarias para cada usuario. Así como de los procesos de autorización a operaciones innecesarias. Controles de seguridad: ERP001000, ERP011100, ERP Se enfocan en verificar si los requisitos de seguridad que se deban aplicar dentro del área auditada, para el ERP se cumplen y la medida en que lo éstos lo hacen como son los software de seguridad que dan apoyo para que estos controles se puedan cumplir. Cambios en el ERP: ERP000860, ERP002100, ERP Evaluación de la administración de cambios, actualizaciones en el ERP donde se tenga en cuenta las necesidades que deben cubrir y que demande la seguridad, para que no afecten o dañen software o hardware. Se revisan las vías de comunicación que se tengan para dar a conocer y difundir los cambios que se tengan en mente y que llegue toda la información integra sobre los mismos a la dirección. Cuentas de usuarios: ERP000820, ERP001700, ERP003100, ERP003200, ERP003400, ERP003600, ERP003950, ERP013450, ERP013900, ERP013910, ERP013920, ERP003000, ERP004000, ERP Métricas que revisan las características que las cuentas de usuarios tienen para determinar el nivel de vulnerabilidad que se genere por las deficiencias que existen en la administración de éstas. La importancia de esas métricas radica en conocer los perfiles de usuarios existentes en base de datos así como los privilegios que tengan Funciones del ERP: ERP007000, ERP009300, ERP010000, ERP001400, ERP Ayudan a verificar los procesos de recuperación, de eliminación de objetos innecesarios. Así como del monitoreo de las operaciones por acceso de todos los usuarios del módulo. 32

34 3.3 Características de la Guía Una Revisión de Disponibilidad de Seguridad del ERP abarca todos los componentes del lado servidor de una aplicación, incluyendo, pero no necesariamente limitarse a los siguientes elementos que apoyen la solicitud: Aplicación del código servidor Web (s) servidor de base de datos (s) Directorio y el dispositivo de autenticación (s) (por ejemplo, los controladores de dominio Windows, RADIUS, etc) Firewall (s) Red y la configuración enclave necesarias para apoyar la aplicación Plataformas de sistemas operativos para cualquiera de los anteriores Durante una revisión completa al ERP, una SRR se realiza en cada uno de los componentes de la lista, además de la SRR ERP en sí. Por ejemplo, si una infraestructura de ERP consistía en un extremo de servidor web adelantado que se ejecutan en Windows y una base de datos de backend que se ejecuta en UNI, la revisión completa constaría de Web Server, base de datos, Windows y UNI SRR. También se debe realizar una prueba de la penetración. Si esta revisión es una prueba de la Seguridad y la evaluación (ST & E) de validación o una-renovación de la acreditación y las revisiones actuales existen para estos componentes, sólo la prueba de resistencia tiene que ser completado en el momento de la revisión de ERP. Una revisión actual se define como una revisión a cabo con base en el STIG actual. Se revisan también se consideran no estar al día si el sistema operativo o el componente se ha reinstalado ya que la SRR pasado. Algunos elementos se encuentran fuera del ámbito de aplicación de la SRR ERP. Estos incluyen: Configuración y el comportamiento de los clientes del explorador Web Metodología de desarrollo de aplicaciones Dado que la seguridad es sólo tan fuerte como su eslabón más débil, una revisión de seguridad completa que implicar tanto a los componentes de cliente y servidor de la aplicación ERP, pero en el caso de los navegadores web, el revisor no tiene acceso a todos los clientes potenciales que pueden acceder la aplicación. Por lo tanto, no es posible incluir estos navegadores web en la revisión. Afortunadamente, las organizaciones que cumplan con los requisitos que figuran en el navegador de aplicaciones de escritorio de la Guía de Implementación Técnica de Seguridad (Security Technical Implementation Guide, STIG) deben estar protegidas contra los ataques basados en la aplicación conocida de los navegadores. Los desarrolladores de aplicaciones de forma independiente debería velar por sus aplicaciones funcionarán correctamente con los navegadores compatibles con STIG (que no es validado durante el SRR general). 33

35 Asimismo esta lista no se preocupa con el proceso de desarrollo, que por supuesto es fundamental para garantizar la seguridad del producto final. Sin embargo, la estructura de los equipos de desarrollo y configuración, incluyendo sus funciones y responsabilidades están en el ámbito. Las funciones y las responsabilidades deben estar claramente definidas, y los roles de seguridad construido de tal forma que sean puestos en práctica. Esto se pondrá a prueba durante el proceso de Revisión de Disponibilidad de Seguridad. La Revisión de Disponibilidad de Seguridad del ERP examina la solicitud en un solo punto en el tiempo, muy probablemente en la producción o justo antes de la liberación. Para obtener altos niveles de fiabilidad para aplicaciones críticas de misión de gran tamaño, las organizaciones tal vez desee considerar certificación de aplicaciones en el marco del National Information Assurance Partnership (NIAP). Si la solicitud contiene una solución de vigilancia, los resultados de la ST & E de la solución de protección deben incluirse como parte de la ST & E para la aplicación. El ámbito de aplicación de la revisión mediante esta lista de comprobación terminará a principios de la solución de protección. Esta lista no es una evaluación apropiada para sistemas que realizan el nivel de procesamiento de múltiples clasificados. Sólo NSA dispositivos aprobados en la configuración aprobados son apropiados en estos ambientes. Este tipo de controles están fuera del alcance de esta revisión. 34

36 CAPITULO IV AUDITORÍA AL MÓDULO DE INVENTARIOS DEL ERP MACROPRO DE LA EMPRESA CENTRAL DE SUSPENSIONES GÓMEZ S.A. DE C.V. 35

37 CAPÍTULO IV AUDITORÍA AL MÓDULO DE INVENTARIOS DEL ERP MACROPRO DE LA EMPRESA CENTRAL DE SUSPENSIONES GÓMEZ S.A. DE C.V. 4.1 Introducción de la empresa Datos de Referencia: Nombre de la Empresa.- Central de Suspensiones Gómez S.A. de C.V. Dirección.- Calzada Ermita Iztapalapa No Colonia Jacarandas Delegación Iztapalapa, C.P México, D.F. Número de Trabajadores: Actualmente laboran Cuarenta. Clasificación de la Empresa: Mediana Empresa ventas mensuales de 7500 unidades. por volumen de Giro de la Empresa: Compra-Venta de refacciones nuevas para automóviles. Representante Legal: María Guadalupe Gómez Valente. Tipo de Capital.- Variable. Teléfono y Antecedentes: La empresa se fundó en 1973 bajo la razón social de Servicio Mojica cuando el señor Felipe Mojica Rojas inicio con una refaccionaría y con taller mecánico. En el año de 1983 se cambia la razón social a Suspensiones Gómez y su representante legal también cambia por el de su esposa María Guadalupe Gómez Valente. En el año de 1990 se inaugura Central de Suspensiones Gómez el cual es solo refaccionaría, especialistas en suspensiones de automóviles; con el que ahora su represéntate legal es Abraham Mojica Gómez; a partir de ese año se brinda servicio a domicilio dentro del Distrito federal y zona metropolitana. 36

38 Estructura Organizacional: La empresa cuenta con una estructura funcional que se divide en los siguientes departamentos: (Ver Anexo A) Ventas, que a su vez se divide en el departamento de Servicio y el departamento de Personal de Mostrador. Finanzas, que se divide en el Departamento Administrativo y el Departamento Contable. Almacén. El departamento de almacén no se divide, solo tiene bajo su cargo dos puestos más que detallaremos sus funciones a continuación: GERENTE DE ALMACÉN.- José Espinoso, se encarga de supervisar las entradas y salidas de la mercancía de acuerdo a lo que sus empleados le reportan. Con responsabilidad, dirige, vigila y organiza las operaciones de almacenamiento y expediciones de material de las diferentes campañas. Personal de Almacén.- Encargados de realizar inventarios para detectar los faltantes de mercancía para realizar un nuevo pedido. Almacenista.- Es el encargado de realizar el inventario de la mercancía. Ayudante de almacén.- Se encarga de acomodar la mercancía recibida así como el de ayudar con los inventarios de esta. 4.2 Estado Actual La empresa Central de Suspensiones Gómez S.A. de C.V. cuenta con el sistema ERP MACROPRO para el manejo y control de sus operaciones; fue implantado hace 8 años debido a que con el paso del tiempo la empresa se vio en la necesidad de utilizar el ERP para obtener un mayor rendimiento y mejor control en sus actividades. La versión del software del ERP que está actualmente instalada es la Los módulos que aplica la empres son: Contabilidad Bancos Nomina Inventario de refacciones Compra de refacciones cuentas por pagar venta de refacciones cuentas por cobrar 37

39 Características del sistema: Las características que ofrece MACROPRO a la empresa son los siguientes: Contabilidad automatizada: Sin Cierres Mensuales Reportes Definibles Configurado de acuerdo a sus necesidades Integración total con sus módulos de: Ventas, Compras e Inventario Contabilidad, Bancos, Nomina y Activos Fijos Cuentas por cobrar y Cuentas por pagar Cajas, Caja rápida, Caja de pagos y Sucursales en Línea El módulo de ventas sistematiza las siguientes funciones: Cambios a las listas de precio Control de ofertas y descuentos Elaboración de cotizaciones Control de pedidos y backorder Remisiones y Facturación Documentación de facturas (ventas a plazos) Venta directa a público (punto de venta) Autorización de créditos Control de productos obsoletos y sustitutos Cortes de caja Cancelación de facturas Contabilización de las ventas del día Elaboración del depósito de las ventas de contado Devoluciones parciales Análisis de la eficiencia en el surtido de pedidos Registro de anticipos Registro de notas de cargo, descuentos y bonificaciones Control de la cobranza Control de pago de comisiones Análisis de cheques devueltos Análisis gráfico de las ventas. El módulo de inventarios sistematiza las siguientes funciones: Entrega y Salida de mercancía Confirmación de embarques para facturación automática Traspasos entre almacenes y tiendas Surtido de pedidos de sucursales Preparación, toma y análisis de los inventarios físicos Cálculo de los niveles de inventario (Máximo, Re orden y Mínimo) Cálculo del ABC o importancia del artículo Control de Lotes y Fechas de Caducidad Análisis y auditoría de costos, existencias, niveles de inventario, etc. 38

40 El módulo de compras sistematiza las siguientes funciones: Generación de los sugeridos o previos de compra Control de órdenes de compra y backorder Captura de remisiones y facturas de proveedor Determinación del costo del producto Control de pedidos, cálculo de aranceles, prorrateo de fletes y gastos aduanales en mercancías de importación Cancelación de compras Devoluciones parciales al proveedor Captura de anticipos y pagos Registro de cargos, descuentos y bonificaciones Análisis de eficiencia de los proveedores Análisis de cuentas por pagar El módulo de inventarios sistematiza las siguientes funciones: Control de expedientes de empleados Elaboración de nóminas semanales, quincenales, catorcenales, decenales o mensuales Impresión de los recibos de nómina Cálculo del ISPT, IMSS, SAR, INFONAVIT e impuesto estatal Impresión de reportes para declaraciones mensuales, bimestrales y anuales Cálculo de vacaciones, aguinaldo, reparto de utilidades, finiquitos y otras nóminas especiales Análisis de nóminas por departamentos, categorías, turnos y otros parámetros Control de descuentos por préstamos y ahorro Usuarios Cuenta con 18 usuarios a los cuales se asignan privilegios de acuerdo al departamento en que se encuentran, los tipos de usuarios son: Mostrador: tiene privilegios limitados, por lo cual solo tiene acceso a realizar ventas, facturación y consulta de existencias. Administración: posee privilegio de agregar, modificar, cancelar registros, es decir, registrar compras, cargar cuentas por cobrar, cuentas por pagar, cancelaciones de facturas, devoluciones y notas de crédito. Contabilidad: puede consultar, compras registradas, cuentas por cobrar generadas, así como las cuentas por pagar, cancelaciones de facturas, devoluciones y notas de crédito. Así mismo se encarga de la gestión de estados financieros. 39

41 Superusuario: es el administrador del sistema, el cual tiene acceso a todos los módulos del ERP y es el único que puede tener acceso a la parte de nomina. Especificaciones técnicas del ERP Información sobre la instalación de ERP Sistema ERP Nombre del ERP MACROPRO Versión 2.10 Fecha de caducidad de licencia 1 año Base de datos de datos Sistema ACUCORP Liberación Versión 4 Nombre Vision Host Servidor Linux Owner Host de datos Sistema Operativo Linux Centos Tipo de Máquina Arquitectura del procesador Nombre del servidor: Linux Centos Red-Hat (cliente-servidor) ID de la plataforma Linux Tabla 4.1 Especificaciones técnicas del ERP. Descripción general del servidor Nombre de la aplicación de servidor OS Nivel Opinión (Si o No) ERP Cliente servidor Software instalado y la fabricación Software Nivel SRR Software Realizado (Si o No) Linux Centos Linux Basado en red-hat ACUCORP Base de datos no Tabla 4.2 Descripción general del Servidor. 40

42 Flujo de trabajo del módulo de Inventario de Refacciones Las actividades que se llevan a cabo en relación al módulo de Inventario de refacciones son las siguientes: 1. Se levanta una orden de compra y este genera un backorder de compra (respaldo de la compra). 2. El proveedor indica cuando provee el producto. 3. El proveedor suministra. 4. Se revisan los productos (no debe haber más del producto ordenado). 5. El personal del almacén coteja el producto contra lo que se ordena. 6. Entrada al sistema ERP en el módulo de inventarios: Existen 3 formas de ingresar la entrada al sistema: a. Directamente en el módulo de inventarios se genera una entrada de los nuevos productos. b. A través del módulo de compras (por seguridad). c. A través de una remisión o factura de compra. i. Remisión: El proveedor te entrega el producto pero no te entrega la factura, (no se tiene una cuenta por pagar en el sistema). Se descarga el backorder de la orden de compra por medio de una nota de remisión de compra, para que ya no se cuente como pendiente ese backorder. ii. Genera entradas directamente al inventario, con el costo que se acordó en la orden de compra. iii. No genera una cuenta por pagar porque el proveedor no te está entregando una factura. d. Te surte y te entrega la factura, genera la entrada por medio de la factura, te genera la cuenta por pagar, al momento de firmar al proveedor se tiene en cuenta que se tiene ya una cuenta por pagar, y dicha cuenta al ingresarla al sistema tiene una fecha de emisión y una de vencimiento de acuerdo a los días de crédito que te ofrece el proveedor. 7. Se etiqueta la mercancía entrante. 8. Se acomoda en almacén mercancía etiquetada. 9. Ventas solicita producto. 10. Se verifica existencia en almacén. 11. Se efectúa venta, registrando como salida de producto del almacén. Para observar el diagrama de procesos y diagramas de Flujo del Módulo de Inventario de Refacciones ver Anexo B. 4.3 Descripción de problemática Dentro de la empresa "Central de Suspensiones Gómez S.A. de C.V." se han detectado faltantes en el inventario del almacén lo que ha generado incongruencia en el control de inventarios que se lleva en el sistema contra lo que se tiene de control de inventarios físico. Lo cual ha demostrado un déficit 41

43 en un punto muy importante para le empresa, ya que es vital llevar el adecuado control de inventarios para reducir al porcentaje mínimo las incidencias de este tipo, como podría ser el que no se registren bien las entradas y salidas de los productos que se venden. 4.4 Solución Nuestro equipo auditor se vio en la tarea de realizar una auditoría al Módulo de Inventarios del ERP MACROPRO para otorgarles recomendaciones conforme a la Guía de NIST, Guía de Implementación Técnica de Seguridad en los ERP Dicha guía nos proporcionó la orientación necesaria para la evaluación de procedimientos que permiten llevar a cabo una revisión de aptitud de seguridad en la implementación del ERP. Aunado al proceso que requirió la auditoría fue necesaria la documentación que avalara cada función realizada antes durante, así como la presentación de los resultados para mayor detalle consultar Anexo C, donde se presenta la Cédula Única de Auditoría, la cual contiene la documentación en orden consecutivo de la misma Planeación Durante la etapa de planeación se logro identificar el trabajo a ejecutar por el equipo auditor, permitió el seguimiento de los avances que éste va obteniendo; delimita las responsabilidades, evitando duplicación de funciones en la auditoría y establece los procedimientos específicos por desarrollar. La planeación de la auditoría se llevo a cabo del 2 al 9 de Agosto del 2010, la cual comprendió los siguientes puntos: Creación de plan de trabajo Para el plan de trabajo se realizo el cronograma de actividades a desarrollar en el cual se fijo su duración y encargado de cada una. Las actividades definidas fueron las siguientes: Creación de plan de trabajo. Junta con la dirección para proponer Auditoría. Redacción de carta de planeación. Creación de Cedula Única de Auditoría. Entrega de Carta de Planeación de Auditoría. Junta Inicial con gerencia para obtener información de la empresa. Entrevista con el administrador del sistema ERP. Determinación de la Guía, basada en NIST. Establecer los requerimientos para auditar. 42

44 Definición de roles dentro del equipo para realizar la auditoría. Solicitud de cita para la aplicación del Checklist. Aplicación del Checklist al módulo de Inventario de Refacciones. Análisis de resultados. Realizar reportes y graficas. Redacción del informe final. Entrega de resultados a la empresa. Asimismo se estableció que el periodo en el que se realizaría la auditoría a la empresa sería del 2 de Agosto al 20 de Agosto del (Ver Anexo D) Junta con la gerencia para proponer auditoría El equipo auditor se reunió en una junta con la Gerente de la empresa, María Isabel Mojica Gómez, el día miércoles 4 de agosto del año en curso para proponer la auditoría a la empresa. Elaboración y aceptación de carta de Planeación La base de la Carta de Planeación es el Programa Anual de Control y Auditoría (PACA). En esta, se describió los antecedentes del área a auditar, tipo de auditoría que el equipo auditor llevo a cabo, el objetivo de dicha auditoría, el alcance, la posible problemática a la que pueda enfrentarse el equipo auditor y la estrategia que se tiene. También se indica los nombres completos del personal asignado a la auditoría y su cargo dentro de esta. La carta fue firmada por la persona que elaboró la carta, que corresponde al jefe del grupo auditor, y la persona que da el visto bueno a la carta. La carta de planeación explica las diferentes actividades a realizar dentro de la auditoría, responsabilidades y autorizaciones para la realización de la misma. Para más detalle (Ver Anexo E) Junta Inicial Se llevo a cabo una junta inicial con la Gerente de la empresa quien nos dio una introducción a la empresa, explicándonos su flujo de procesos y el principal problema con el que se enfrentan. Posteriormente, nos presento a Herlo Corona quien es administrador del sistema ERP. Determinación de Guía NIST (Checklist) Para el levantamiento de la información de la auditoría se determino el checklist basado en la metodología de NIST, Guía de Implementación Técnica de Seguridad en los ERP, del cual solo usamos 47 métricas que consideramos aplicables para la auditoría del módulo de Inventarios. (Ver Anexo F) 43

45 Dicha guía nos oriento en la evaluación de procedimientos que permiten llevar a cabo una revisión de aptitud de seguridad en la implementación del ERP. Redacción de Orden de Auditoría La práctica de la auditoría se realizó mediante un mandato escrito que se denomina Orden de Auditoría, con las siguientes características: a) Dirigirse al director de la empresa. b) Citar a los auditores que practicarán la revisión, incluyendo al responsable del área de auditoría. c) Describir de manera general los alcances de los aspectos y el periodo por revisar. d) Estar firmada por el titular del Órgano Interno de Control o de Control Interno, o por quien éste haya designado para tal fin. La orden de auditoría se entregó a quien iba dirigida, obteniendo de esta persona el acuse de recibo en una copia de la misma. Además se turnará copia a las instancias que lo requieran. (Ver Anexo G) Elaboración y aceptación de carta de requerimientos Se elaboro una carta de requerimientos para solicitar la información y documentación necesaria para auditar el módulo de Inventarios del ERP MACROPRO. (Ver anexo H) La información que se solicito fue: Procesos del Módulo. Lista de usuarios que tienen acceso al Módulo. Configuraciones iniciales del ERP. Controles y /o Políticas de acceso al Módulo. Documentación de actualizaciones. Permiso para acceso al Módulo con una cuenta de tipo administrador. Permiso para acceso a internet. Permiso para acceso al servidor y presencia del administrador del ERP para poder realizar las pruebas a la BD. Redacción de Marco conceptual Se realizó de acuerdo al área a auditar. Este documento denominado Marco Conceptual, contiene los siguientes datos: identificación de la auditoría; área a auditar; objetivo que se persigue; universo, muestra por revisar y procedimientos que se desahogarán durante el desarrollo del trabajo, así como la conclusión a la que llegó el equipo auditor una vez concluida la revisión de acuerdo con las especificaciones. (Ver Anexo I) 44

46 Con el Marco Conceptual se logro identificar el trabajo a ejecutar por parte de equipo auditor, permitió el seguimiento de los avances que éste va obteniendo; delimitó las responsabilidades, evitando duplicación de funciones en la auditoría y establece los procedimientos específicos por desahogar. Su integración dentro de los papeles se inserta en los procedimientos ejecutados en cada rubro revisado Ejecución de la Auditoría Una vez concluida la planeación, el equipo auditor se dedico a compilar la información y documentación que se requirió. El objetivo de la etapa de ejecución fue obtener evidencia suficiente del área que se auditó, para así contar con los elementos suficientes que permitieron al equipo auditor determinar el grado de razonabilidad de las situaciones observadas, la veracidad de la documentación revisada y la confiabilidad de los sistemas y registros examinados, y con ello emitir una opinión sólida, sustentada y válida. A continuación se explican las actividades realizadas durante la ejecución de la auditoría que comprenden el periodo del 09 al 13 de Agosto del año en curso. Aplicación de Guía NIST: El levantamiento de la información de la auditoría se baso en la metodología de NIST, basándonos en la Guía de Implementación Técnica de Seguridad en los ERP, donde solo usamos ciertas métricas que consideramos aplicables para este caso. Entrevistas: Realizamos entrevistas al personal clave como parte del levantamiento de información, las cuales fueron efectuadas a: Gerente: María Isabel Mojica Gómez. Administrador de ERP: Herlo Corona. Recepción de Información: De la documentación solicitada en la carta de requerimientos solo la que se menciona a continuación en forma de lista fue entregada. Configuraciones iniciales del ERP. Documentación de actualizaciones. 45

47 Diagrama de Procesos del Módulo. La siguiente lista muestra la información que no se nos fue entregada: Lista de usuarios que tienen acceso al Módulo. Controles y /o Políticas de acceso al Módulo. La información que se requirió y no se entrego fue debido a que no se contaba con la documentación y porque no se tenía conocimiento de su existencia. Realización de Pruebas: Para la realización de las siguientes pruebas fue necesaria la participación del Administrador del ERP, para la supervisión y la ayuda necesaria. NO. PRUEBAS EVIDENCIAS 1 Intento de acceso al sistema con cuenta de usuario de tipo administrador y contraseña errónea. 2 Revisión de Configuración Inicial del ERP. Nunca se bloqueó el acceso después de 3 intentos Contraseñas de 5 caracteres Alfanuméricos. Parámetros de seguridad correctas para Servidor y Cliente delgado. 3 Revisión de la información de la BD. BD indexada solo se puede consultar mediante el ERP. 4 Operaciones dentro del Módulo. Pantallas del Módulo. 5 Perfiles de usuarios. 4 tipos de perfiles. Tabla 4.3 Pruebas realizadas. Para visualizar las evidencias a más detalle que fueron detectadas durante la realización de las pruebas, (Ver Anexo J) donde se muestran las pantallas de configuraciones en el servidor referente a los perfiles de usuarios, configuraciones del ERP e interfaces del Módulo de Inventarios. Hallazgos Los hallazgos encontrados fueron los siguientes dentro del Módulo de Inventarios. En la siguiente tabla se muestran la relación de los hallazgos con su causa y efecto. 46

48 Hallazgo Causa Efecto Concentración de actividades en el administrador. Controles Débiles en el procedimiento de administración de usuarios. No existe Depto. de TI se contrató un servicio de Outsourcing en TI. No se tiene el conocimiento completo. Al tener una falla grave en el Módulo y el administrador no se pueda localizar, las posibilidades de pérdida de información critica se incrementan. Usuarios que no sean necesarios se encontraran en la BD como usuarios activos. Exceso de Confianza entre los usuarios. El personal se presta sus contraseñas para tener acceso al ERP cuando otro usuario se ausenta. Pérdida de información por error. Falta de administración de la documentación existente. Falta de Manual de usuario. Nivel de seguridad medio en Contraseñas. No existe registro de auditorías anteriores al Módulo. Soporte Técnico al Módulo y de Actualización cada 6 meses. Falta de documentación de Políticas y controles de procesos y procedimientos del Módulo. La documentación la tiene la empresa consultora del ERP y la empresa refaccionaria no la ha solicitado. Usuarios del sistema con más de 3 años son los que capacitan a nuevos usuarios. Se configuraron solo con 5 caracteres alfanuméricos, derivado del exceso de confianza. Se creía que no es necesaria una rutina de evaluación al Módulo. Estipularon ambas empresas en el contrato que la asistencia técnica sería cada 6 meses. No se tienen diagramas de procesos para el Módulo ni sobre políticas y controles sobre el mismo. Cuando se requiera revisarla en caso de emergencia esta no estará accesible. Usuarios con el manejo incorrecto de los procesos de entradas al Módulo. Entrada fácil a intrusos al descifrar la contraseña de usuarios. No se enriquece políticas ni controles para los procesos del Módulo. Si surge un problema en el ERP antes de ese lapso aumenta la probabilidad de pérdidas de información. No se aplican correctamente. Tabla 4.4 Hallazgos encontrados. 47

49 4.4.3 Análisis de Riesgos Se realizo un análisis de riesgos de los hallazgos localizados durante la ejecución de la auditoría, cuyo fin fue determinar la valoración de los mismos. Elegimos la metodología de COBIT debido a que es una de las más utilizadas y recomendadas para llevar el análisis de riesgos. A continuación, se muestra el Análisis de Riesgos: Nombre del Activo: ERP MACROPRO, MÓDULO INVENTARIO DE REFACCIONES. Central de Suspensiones Gómez S.A de C.V. FECHA: 11 de Agosto de Características del sistema Nombre del ERP: MACROPRO Talleres La versión del software del ERP MACROPRO que actualmente tienen instalada es la Los módulos que utiliza la empresa son los siguientes: Contabilidad Bancos Nomina Inventario de refacciones Compra de refacciones cuentas por pagar venta de refacciones cuentas por cobrar Para llevar el control de sus operaciones cuentan con el ERP MACROPO, el cual se implanto desde hace 8 años. El ERP es administrado por el Outsourcing consultor Conectivo quien es el distribuidor del mismo, el sistema ERP no ha sido auditado durante este tiempo. Identificación de amenazas Amenazas Fuentes: Amenazas de origen Humano: No hay servicio de TI hasta que el pueda atender al ERP. Acceso fácil al módulo de usuarios inactivos. Ataques a la integridad de la información de forma accidental. 48

50 Información no accesible en caso necesario. Usuarios cometen fallas en los procesos del módulo. Entrada fácil a intrusos. Políticas y controles débiles en aspectos de seguridad. Fallas acontecidas antes de la fecha de soporte acordada. Deficiencias en el uso de las políticas y controles. Amenazas de origen Natural: Terremotos. Amenazas Ambientales: Incendio. Fallos de luz. Ubicación de hardware. Identificación de vulnerabilidades potenciales No existe una segregación de funciones del administrador del sistema. Poco énfasis en control de usuarios activos y no activos. Préstamo de contraseñas. Documentación desordenada. Usuarios con antigüedad capacitan a nuevos usuarios. Configuración débil en seguridad de password. Falta de cultura en aspectos de auditoría en informática. Mantenimiento eventual. Las políticas y controles de los procesos del módulo no están documentadas. Análisis de Controles Controles Preventivos: Existe documentación sobre la instalación del ERP. Se cuenta con documentación sobre las actualizaciones habidas en el ERP. Existen políticas de seguridad en el acceso al ERP. Existen privilegios en base al nivel y tipo de usuario. Existe encriptación de datos. Se cuenta con respaldos de información. Controles Detectivos: Conteo de registros. Controles Correctivos. 49

51 Determinación de la Probabilidad NIVEL DE PROBABILIDAD Alta Media VULNERABILIDADES V1. No existe una segregación de funciones del administrador del sistema. V2. Poco énfasis en control de usuarios activos y no activos. Alta V3. Préstamo de contraseñas. Media V4. Documentación desordenada. Media V5. Usuarios con antigüedad capacitan a nuevos usuarios. Media V6. Configuración débil en seguridad de password. Alta V7. Falta de cultura en aspectos de auditoría en informática Media V8. Mantenimiento eventual. Alta V9. Las políticas y controles de los procesos del módulo no están documentadas. Tabla 4.5 Determinación de la Probabilidad. Análisis de Impacto AMENAZAS Integri dad Nivel de Impacto Disponibi lidad Confidenci alidad A1. No hay servicio de TI hasta que el pueda atender al ERP. M A B A2. Acceso fácil al módulo de usuarios inactivos. A M A A3. Ataques a la integridad de la información de forma accidental. A M A A4. Información no accesible en caso necesario. B A M A5. Usuarios cometen fallas en los procesos del módulo. M B M A6. Entrada fácil a intrusos. A M A A7. Políticas y controles débiles en aspectos de seguridad. M M M A8. Fallas acontecidas antes de la fecha de soporte acordada. M A B A9. Deficiencias en el uso de las políticas y controles. M B M Tabla 4.6 Análisis de Impacto. Alto= A Medio= M Bajo= B 50

52 Determinación del riesgo Amenaza / Vulnerabilidad V1. No existe una segregación de funciones del administrador del sistema / A1. No hay servicio de TI hasta que el pueda atender al ERP. V2. Poco énfasis en control de usuarios activos y no activos / A2. Acceso fácil al módulo de usuarios inactivos. V3. Préstamo de contraseñas / A3. Ataques a la integridad de la información de forma accidental. V4. Documentación desordenada / A4. Información no accesible en caso necesario. V5. Usuarios con antigüedad capacitan a nuevos usuarios / A5. Usuarios cometen fallas en los procesos del módulo. V6. Configuración débil en seguridad de password / A6. Entrada fácil a intrusos. V7. Falta de cultura en aspectos de auditoría en informática / A7. Políticas y controles débiles en aspectos de seguridad. V8. Mantenimiento eventual / A8. Fallas acontecidas antes de la fecha de soporte acordada. V9. Las políticas y controles de los procesos del módulo no están documentadas / A9. Deficiencias en el uso de las políticas y controles. Probabilidad Impacto Nivel del Riesgo Alto Medio Bajo Alto Medio Bajo Tabla 4.7 Determinación del Riesgo. 51

53 Probabilidad: Alto=1.0 Medio=0.5 Bajo=0.1 Impacto: Alto=100 Medio=50 Bajo=10 Escala de riesgo: Alto (> 50 a 100); media (> 10 a 50) de baja (1 a 10) Elaboración del Mapa de Riesgos: Al finalizar el análisis de riesgos, se identificó, evaluó y jerarquizó el nivel de riesgo de los diferentes hallazgos encontrados durante la ejecución de la auditoría, que de materializarse podrían afectar significativamente a la empresa. En el mapa de riesgos visualizamos la relación del grado de impacto y la probabilidad de ocurrencia detectando los siguientes riesgos: (Ver Anexo K) Capacitación deficiente, este riesgo es debido a que los usuarios con mayor antigüedad capacitan a los nuevos usuarios, es podría causar que los usuarios cometan fallas en los procesos del módulo. Contraseñas débiles, su configuración es débil en la seguridad del password, su impacto en caso de suceder seria alto ya que daría acceso al sistema a intrusos. Ignorancia en aspecto de auditoría en informática, su probabilidad es alta ya que la falta de cultura en aspectos de auditoría en informática provoca políticas y controles débiles en aspectos de seguridad informática. Documentación incompleta, esto es porque no se encuentran las políticas y controles de los procesos del módulo documentadas lo que provocaría deficiencias en el uso de estas, la probabilidad de que ocurra es alta. Interrupción del proceso del módulo, este riesgo es considerado alto, debido a que no existe una segregación de funciones del administrador del sistema lo que causa que si falla el servicio de TI se tendrá que esperar a que el administrador pueda atender a la empresa para arreglar el ERP. Falta a la confidencialidad por parte de usuarios inactivos, este riesgo es alto debido al poco énfasis en el control de usuarios activos y no activos lo que permitiría el acceso fácil al módulo de usuarios inactivos. Déficit en la disponibilidad de la documentación, es un riesgo alto ya que no se encuentra en orden lo que impediría ser consultada cuando sea necesario. Mantenimiento eventual, es un riesgo alto porque podrían existir fallas acontecidas antes de la fecha de soporte acordada dentro del módulo. Pérdida de información, es el riesgo más alto que se identificó, se puede dar debido al exceso de confianza que existe dentro de los empleados para el préstamo de contraseñas, lo cual puede afectar la integridad de la información por ataques con dolo o accidentales. 52

54 4.4.4 Resultados La etapa de resultados de la auditoría se llevo a cabo del 13 de Agosto al 20 de Agosto del presente año. Durante la etapa de resultados se elaboraron los documentos denominados cédulas de trabajo, en los que se asientan los datos referentes al análisis, comprobación y conclusión sobre las operaciones examinadas del módulo de Inventario de Refacciones. Dichos documentos son base de las observaciones, conclusiones y recomendaciones del trabajo realizado. Los resultados de la auditoría realizada se clasificaron de la siguiente manera conforme a la ejecución de la misma: Observaciones y Recomendaciones: La evaluación de los resultados emitió una opinión que fue plasmada en cédulas de observaciones donde se describen las irregularidades apreciadas, sus causas y efectos y las recomendaciones que el equipo auditor propone para solucionar las problemáticas detectadas. (Ver Anexo L) Una vez realizada la evaluación al módulo de Inventario de Refacciones podemos recomendar lo siguiente para mejorar la seguridad en el mismo: No. Observación Causa Efecto Recomendaciones Concentración de actividades en el administrador. Controles Débiles en el procedimiento de administración de usuarios. Exceso de Confianza entre los usuarios. No existe Departamento de TI y se contrató un servicio de Outsourcing en TI. No se tiene el conocimiento completo. El personal se presta sus contraseñas para tener acceso al ERP cuando otro usuario se ausenta. Al tener una falla grave en el Módulo y el administrador no se pueda localizar, las posibilidades de pérdida de información critica se incrementan. Usuarios que no sean necesarios se encontraran en la BD como usuarios activos. Pérdida de información por error. Segregar funciones en el manejo del sistema ERP, es decir, crear un puesto de TI, dentro de la empresa. Crear una política que administre las cuentas de usuario. Crear políticas que refuercen las seguridad del acceso al ERP. 53

55 Falta de administración de la documentación existente. Falta de Manual de usuario. Nivel de seguridad medio en Contraseñas. No existe registro de auditorías anteriores al Módulo. Soporte Técnico al Módulo y de Actualización cada 6 meses. Falta de documentación de Políticas y controles de procesos y procedimientos del Módulo. La documentación la tiene la empresa consultora del ERP y la empresa refaccionaria no la ha solicitado. Usuarios del sistema con más de 3 años son los que capacitan a nuevos usuarios. Se configuraron solo con 5 caracteres alfanuméricos, derivado del exceso de confianza. Se creía que no es necesaria una rutina de evaluación al Módulo. Estipularon ambas empresas en el contrato que la asistencia técnica sería cada 6 meses. No se tienen diagramas de procesos para el Módulo ni sobre políticas y controles sobre el mismo. Cuando se requeriría revisarla en caso de emergencia esta no estará accesible. Usuarios con el manejo incorrecto de los procesos de entradas al Módulo. Entrada fácil a intrusos al descifrar la contraseña de usuarios. No se enriquece políticas ni controles para los procesos del Módulo. Sí surge un problema en el ERP antes de ese lapso aumenta la probabilidad de pérdidas de información. No se aplican correctamente. Mantener en orden la documentación del sistema, así como las copias de respaldo de dicha documentación. Actualizar manuales de usuario, así mismo deben capacitar con anticipación al personal nuevo que tenga que manipular el sistema ERP. Crear y documentar una política que instruya a los usuarios sobre que es una contraseña fuerte. Realizar auditorías informáticas por lo menos cada año Elaborar un calendario de mantenimiento de rutina periódico al sistema. Crear y documentar los procesos críticos del módulo, sus diagramas, políticas, especificaciones y controles Tabla 4.8. Observaciones. Presentación del Informe Final: Concluida la etapa de ejecución de la auditoría, el equipo auditor comunicó a la gerencia general y al administrador del sistema ERP los resultados determinados durante su intervención a través del Informe de Auditoría. El informe se conformo de los siguientes puntos: a) Oficio de Envío (Informe Ejecutivo) 54

56 Fue el documento mediante el cual se oficializó el envío del informe de a la gerencia general y al administrador del sistema ERP. En este documento se resumió la problemática plasmada en las observaciones. Como informe ejecutivo, describe de manera clara y precisa los principales problemas que enfrenta el módulo de Inventario de Refacciones del ERP MACROPRO. (Ver Anexo M) b) Cuerpo del Informe En este apartado se dio a conocer los resultados de los trabajos realizados de manera breve; su estructura se encuentra conformada de la siguiente manera: introducción, objetivo, alcance, resultados, limitantes y conclusión. Es el documento formal de hallazgos y recomendaciones. Para mayor detalle sobre las recomendaciones realizadas a la empresa por cada hallazgo, consultar (Ver Anexo N) c) Observaciones En este apartado se incluyen todas las cédulas de observaciones comentadas y firmadas por el personal responsable del área auditada, por el responsable directo del área de auditoría como evidencia de la supervisión que realizó y de la formalización de su envío al área auditada. Entrega de auditoría: Previo a la reunión se entregó una presentación de la auditoría en donde se muestra de forma secuencial las actividades realizadas durante la misma. Cierre de la Auditoría: Presentamos en la empresa los hallazgos así como las recomendaciones determinadas para que se validaran por parte del cliente. Además, para llevar a cabo el control de las auditorías se emplearon dos formatos: Cédula Única de Auditoría y Supervisión de la Integración del expediente de auditoría. Cédula única de auditoría, por medio de este documento se concentró la información general que se derivó de la revisión: datos de identificación. Supervisión de la Integración del expediente de auditoría, parte importante de la ejecución del trabajo de auditoría fue alcanzar los 55

57 objetivos planteados para la revisión, por ello se evaluó la auditoría como tal, mediante un cuestionario sencillo, el cual elaboró el jefe de grupo de la auditoría; este documento es el de Supervisión de la Integración del expediente de auditoría, el cual hace referencia a los puntos que se tomaron en cuenta para seguir el correcto procedimiento para una mejor evaluación. En este cuestionario se destacó la planeación de la auditoría, la elaboración de roles de trabajo, el cumplimiento de la Guía NIST y la ejecución de los trabajos. Para mayor detalle Ver Anexo O. 4.5 Conclusiones En la actualidad, los sistemas de TI se han convertido en las herramientas más poderosas para cualquier organización, puesto que apoyan la toma de decisiones, generando un alto grado de dependencia, así como una elevada inversión en ellas. Las organizaciones estructuran su información en sistemas de TI, y debido a ello, es de vital importancia que éstos funcionen de forma correcta e ininterrumpida para la productividad y supervivencia futura de una organización. Por lo anterior, se puede afirmar que la supervivencia y el éxito de un organismo están directamente relacionados a la administración adecuada de su información, la tecnología de información y de los controles de evaluación de la eficacia y eficiencia de sus sistemas de TI. Para poder verificar que lo anterior se encuentre de manera adecuada y asi determinar si la inversión que se ha hecho en los recursos informáticos cumple con los objetivos organizacionales, existe la auditoría informática que se encarga de valorar los controles y la seguridad de los recursos informáticos para determinar su eficiencia y de ser necesario brinda sugerencias constructivas de acuerdo a las buenas prácticas, porque en caso de no contar con ellos de forma eficiente implica gastos excesivos en la resolución de problemas, y eso a su vez pérdidas financieras. Como resultado del proyecto de auditoría que se realizó al Módulo de Inventario de Refacciones del ERP MACROPRO encontramos que no es el causante en las diferencias entre el almacén y el sistema de la empresa Central de Suspensiones Gómez S.A. de C.V., por lo tanto, se concluye que el factor humano tiene un papel importante en esas diferencias. Como complemento a los resultados obtenidos en este proyecto, se propusieron sugerencias para crear y fortalecer controles y/o políticas de seguridad al módulo auditado, que de ser aplicadas se optimizaría la gestión los recursos relacionados al mismo. 56

58 ANEOS 57

59 ORGANIGRAMA GENERAL CENTRAL DE SUSPENCIONES GÓMEZ S.A. de C.V. ANEO A DIRECTOR VENTAS ALMACEN FINANZAS SERVICIO ALMACENISTAS PERSONAL ADMIMISTRATIVO PERSONAL DE MOSTRADOR PERSONAL CONTABLE Organigrama General ORGANIGRAMA DEL DEPARTAMENTO DE ALMACÉN ALMACEN ALMACENISTA AYUDANTE DE ALMACEN Organigrama del departamento de almacén. 58

60 ANEO B Diagrama de Procesos del módulo de Inventario de Refacciones 59

61 Diagramas de Flujo de Datos Módulo de inventario de Refacciones 60

62 Cedula única de Auditoría ANEO C Número de auditoría: AE- 08/10 Rubro o aspecto auditado: Módulo de Inventarios de Refacciones. Área /Empresa: Central de Suspensiones Gómez S.A de C.V. Fecha de Inicio: 02 de Agosto de Fecha de Conclusión: 20 de Agosto de A A.1 A.2 A.3 A.4 A.5 A.6 A.7 Í N D I C E Concepto PLANEACIÓN Índice Cédula Única de Auditoría Supervisión de la Integración del expediente de auditoría Carta de Planeación Cronograma Marco conceptual Carta de Requerimientos Carpeta Páginas B B.1 B.2 B.3 INFORMES Oficio de envío de Informe y Reportes de Observaciones Informe de Auditoría Reporte de Observaciones de Auditoría Externa C C.1 EJECUCIÓN Orden de auditoría

63 Plan de Trabajo. Cronograma ANEO D 62

64 Carta de Planeación ANEO E No. de orden de auditoría A01-10-CSG Fecha: 2/08/2010 Área a auditar Clave y rubro auditado: Módulo de Inventarios de Refacciones del ERP Controles generales de la operación informática Antecedentes No se cuenta con antecedentes de auditorías en éste rubro efectuadas a la empresa. Tipo de auditaría y objetivo Auditar el módulo de inventario refacciones del ERP "MACROPRO" en la empresa "Central de Suspensiones Gómez S.A. de C.V." en un periodo de un mes, para determinar si el sistema es el causante de las pérdidas en el Inventario. Alcance Revisar y verificar los controles internos que existan y los que hagan falta de acuerdo con la metodología NIST el módulo de inventario de refacciones. Problemática La falta y/o inoportuna presentación de la documentación solicitada, sería factor de desfasamiento y posible disminución de l os alcances determinados en la auditoría. Estrategia Su inicio se formalizará mediante la orden y la firma del acta respectiva, en ese mismo acto será entregada la solicitud de información; la cual, una vez proporcionada, será analiza cuantitativa y cualitativamente a efecto de realizar las pruebas sustantivas y de cumplimiento. Posterior al análisis y demás procedimientos y técnicas de auditoría aplicados, se recabará únicamente la documentación que sustente los hallazgos detectados que deberán ser incluidos en el Reporte e Informe de Observaciones. La auditoría está planeada y calendarizada sistemáticamente; su ejecución se realiza conforme a los preceptos y técnicas establecidos en la Guía de Implementación Técnica de Seguridad en los ERP de NIST, las Normas de Auditoría generalmente aceptadas y los formatos para tal efecto establecidos; el análisis cuantitativo y cualitativo de la información, así como las entrevistas y/o cuestionarios a aplicados a los responsables de la función, servirán para identificar, entre otros aspectos los puntos críticos de los controles generales en la preparación, entrada, tratamiento, actualización y salida de datos, así como los controles de seguridad y documentales. Personal Comisionado Nombre Iniciales Firma Cargo Pérez Núñez María Fernanda pnmf Jefe de grupo auditor Mojica Martínez María Isabel mmmi Auditor Reyes Flores Lucia Azucena rflz Auditor Rosales Santa Rosa Beatriz rsrb Auditor elaboró visto bueno María Fernanda Pérez Núñez (Jefe de Grupo) Raymundo Santana Alquicira (Auditor Coordinador) 63

65 ANEO F Checklist aplicado en base a Guía de Implementación Técnica de seguridad de los ERP Base de Datos Clave Lista de Instrucciones SI NO Comentarios ERP El DBA se encargará de la base de datos (s) relacionados con las aplicaciones ERP son compatibles con la base de datos. La base de datos es compatible con el ERP, Dicha base de datos está creada en cobol con especificaciones basadas en la misma. ERP El DBA se encargará de la base de datos específica de ERP no se comparte con otras bases de datos o aplicaciones. El ERP contiene una sola base de datos, pero algunos programas toman cierta información para otras aplicaciones (ejemplo, imprimir las etiquetas con códigos de barras, desde otro software, label matrix) ERP El DBA se asegurará que el cifrado está habilitado en todas las contraseñas. Desde el cliente delgado toda la información entre la cliente y el servidor esta encriptada. ERP ERP ERP000850: La Oficina de Auditoría Interna revisará las funciones de diccionario de datos una vez al mes para garantizar que sólo los identificadores de usuario adecuadas ejerza esta función. La Oficina de Auditoría Interna garantizará los datos de auditoría de aplicaciones ERP es capturada y mantenida por un año. La Oficina de Auditoría Interna y Administrador de ERP se asegurará que todos los archivos instalados con la aplicación, o creados por la aplicación, están protegidos desde el nivel de acceso al sistema o la modificación por usuarios no autorizado al sistema. La revisión es dependiendo a si las necesita la dirección o cuando hay falla No existe documentación como tal de auditorías anteriores. Si están protegidos, desde el firewall, también con los permisos de usuario en el servidor. ERP El Administrador de ERP se asegurará que la aplicación no almacene las credenciales de autenticación en los equipos cliente después de una sesión termina. Si genera un archivo con la información de cada sesión abierta. 64

66 Configuraciones Iniciales ERP La Oficina de Auditoría Interna y Administrador de ERP se asegurará de parámetros del sistema, que se encuentran en los archivos de sistema operativo, se han establecido correctamente antes de que el sistema ERP se pone en producción. Se revisa minuciosamente toda la implantación del ERP. ERP ERP El IAM se asegurará una guía de clasificación actualizada a la fecha existe para la aplicación. El Administrador de ERP proporcionará procedimientos documentados para las actualizaciones de software Existe documentación de actualizaciones. Existe la documentación, pero no se tiene ordenada. No existe una copia para la empresa. ERP El Administrador de ERP y los desarrolladores se asegurará que la aplicación no incluye una excepción de error explícito y capacidad de manejo. Administración de Cuentas de Usuarios Si tiene un módulo explicito de errores. ERP La Oficina de Auditoría Interna se asegure la eliminación de cuentas de usuario por defecto, el cambio de sus contraseñas para las contraseñas generadas, antes de pasar a la aplicación a la producción. Las cuentas de usuario, solo se modifican no se eliminan se cambian el nombre de usuario y su contraseña ERP La Oficina de Auditoría Interna, SA, y el administrador se asegurará de ID de usuarios ERP están deshabilitados después de 60 días de inactividad. Se modifican los ID de usuarios. ERP La Oficina de Auditoría Interna garantizará identificadores de usuario de aplicación son únicas. Cada usuario tiene su identificador único. ERP ERP La Oficina de Auditoría Interna garantizará una información como el nombre y acceso a la información relacionada NO se asocia a cada identificador de usuario. El Administrador de ERP se encargará de la cuentas del sistema están desactivadas después de tres intentos fallidos de ingresar. Se cuenta con la información correspondiente de cada usuario asociada con su identificador. Las cuentas no se desactivan solo se modifican y no se bloquean. 65

67 La Oficina de Auditoría Interna ERP garantizará a los usuarios sin privilegios no son capaces de realizar funciones privilegiadas. Existen privilegios por niveles. ERP La Oficina de Auditoría Interna garantizar que los cambios a los identificadores de funciones y los privilegios o atributos que se registran. Se registran los identificadores así como los privilegios. ERP La Oficina de Auditoría Interna revisará las funciones de diccionario de datos una vez al mes para garantizar que sólo los identificadores de usuario adecuadas ejerza esta función. La revisión es dependiendo a si las necesita la dirección o cuando hay falla ERP La Oficina de Auditoría Interna revisará el acceso de administrador para el transporte y el cambio en el sistema una vez al mes con el fin de asegurar que todos los identificadores de usuario son válidos. La revisión es dependiendo a si las necesita la dirección o cuando hay falla ERP ERP La Oficina de Auditoría Interna revisará el acceso del desarrollador una vez al mes con el fin de garantizar que sólo los identificadores de usuario autorizado tiene acceso a este. La Oficina de Auditoría Interna garantizará todas las cuentas de ERP están protegidos por contraseñas seguras, no predeterminada. La revisión es dependiendo a si las necesita la dirección o cuando hay falla Las contraseñas cuentan con cinco caracteres. ERP La Oficina de Auditoría Interna garantizará contraseñas de cuentas de usuario del Departamento de Defensa se ajusten a la directiva de contraseñas y cada usuario se le instruye sobre la política después de recibir una contraseña temporal. Existe una política sobre contraseñas solo que debe especificarse que debe contener más de ocho caracteres. ERP La Oficina de Auditoría Interna garantizara a los usuarios Contraseñas diferentes a las ultimas Cinco contraseñas y parámetros del Sistema se establece para hacer cumplir la misma. No se aplica ya que no existe una política que indique que deben 66

68 ERP ERP La Oficina de Auditoría Interna garantizará contraseñas de cuentas de usuario expira cada 90 días. La oficina de Auditoría interna y el administrador se asegurará que las contraseñas ERP son de un mínimo de ocho caracteres, por lo menos un carácter no alfanumérico (especial) de caracteres, un número y los pará s del si a se establece en la aplicación misma. Las contraseñas no expiran Las contraseñas solo cuentan con 5 caracteres Controles de Seguridad ERP ERP ERP La Oficina de Auditoría Interna garantizar los controles de seguridad, requisitos, responsabilidades y procedimientos documentados. El Administrador de ERP y SA se encargará de la interfaz de aplicación son identificados y protegidos. El Administrador de ERP y la oficina de Auditoría interna pretenderán que todas las actualizaciones de software de seguridad o la funcionalidad de seguridad de software y aplicaciones se registran. Existen controles de seguridad para los procedimientos Si están protegidos. Se documenta cada actualización de software de seguridad. Controles de Acceso ERP ERP ERP La Oficina de Auditoría Interna garantizará función de aplicación de control de acceso basado impone la separación de funciones. La Oficina de Auditoría Interna garantizará todos los mecanismos de seguridad disponibles de control se utilizan en una defensa por capas. La Oficina de Auditoría Interna, SA y el administrador de ERP se asegurará de que el acceso al mecanismo, que permite controlar el sistema de acceso, se restringe a los encargados de administrar la seguridad para ese sistema. Toda la administración del ERP recae sobre el agente de Outsourcing. Existen tres capas. 1. Firewall. 2. login del cliente delgado. 3. login de usuario del ERP. Si existe un control de acceso. ERP La Oficina de Auditoría Interna se asegurará que procesos innecesarios por defecto no están siendo utilizados y que las funciones tienen el acceso necesario al menos privilegiado. Cada función tiene una actividad en específico y es usada para su fin. 67

69 ERP El Administrador de ERP y la Oficina de Auditoría Interna se encargará de la aplicación de los usuarios no pueden sustraerse a la interfaz de usuario pretende acceder a los recursos en su infraestructura de apoyo. Existe solo la interfaz de consulta para los usuarios limitados. ERP El administrador de la aplicación ERP se asegure de la eliminación de privilegios ad hoc de consulta de los usuarios a través de la aplicación del cliente. Existe el servicio y también están protegidos. ERP La Oficina de Auditoría Interna no permite el acceso a las operaciones o los objetos de autorización no se utiliza con un propósito definido. Solo están activadas las transacciones autorizadas. ERP La Oficina de Auditoría Interna garantizará violaciones de seguridad se revisan y se reconcilió basado en los requisitos de acceso y necesidades de seguridad de cada individuo. Cada operación en el sistema tiene registro del usuario, si se agregó, modificó o canceló un registro y se hace mal uso de las actividades Cambios en el ERP ERP La Oficina de Auditoría Interna y Administrador de ERP se asegurará de cambios en el sistema son revisadas y aprobadas por la Junta de Revisión de Cambio (CRB) antes de su aplicación. Cada cambio se documenta y se aprueba por la administración. ERP El Administrador de ERP y la Oficina de Auditoría Interna revisarán todos los cambios del sistema y de personalización antes de su aplicación en la producción para asegurar que no pongan en peligro la seguridad del sistema. Se instala, se verifica. ERP La Oficina de Auditoría Interna garantizará todos los cambios de producción de software, hardware y las vías de comunicación son controlados a través de un proceso de control de cambios. Si están controlados, todos los cambios se realizan a petición del administrador del ERP. Antes de pasar a producción se hacen todas las pruebas pertinentes y en ocasiones se regresa el programa a producción varias veces para que haga las correcciones. Van documentados y probados antes de ponerse en producción. 68

70 ERP El Administrador de ERP se encargará que la aplicación ERP de código, sus cambios son seguidos y documentados. Si, promedio cada dos meses hay correcciones y todas son documentadas. Funciones del ERP ERP La Oficina de Auditoría Interna y SA se asegurará que en la aplicación se revisan los registros de todos los días. Como Outsourcing no se revisan periódicamente. Si hubiera un departamento de TI, debe ser una tarea programada. ERP La Oficina de Auditoría Interna y Administrador de ERP garantizará el proceso de solicitud elimina objetos temporales de la memoria o el disco antes de la aplicación termina. Se hace manual con una rutina en el sistema para borrar temporales. ERP La Oficina de Auditoría Interna y Administrador de ERP se asegurará que la aplicación no modifica los archivos de datos fuera del alcance de la solicitud. Otros El ERP no modifica archivos. ERP ERP La Oficina de Auditoría Interna garantizará el acceso a la información, bienes y recursos sólo se conceden a los usuarios para apoyar a las organizaciones sólo o módulos sobre una "necesidad de conocimiento". El Administrador de ERP y la oficina de Auditoría interna garantizaran que las actividades de los administradores son controlar la evidencia de mal uso de privilegios No se proporciona información de ningún tipo. Si, es muy importante saber si un usuario esta abusando de los privilegios que tiene Cada operación en el sistema tiene registro del usuario, si se agregó, modificó o canceló un registro 69

71 Orden de Auditoría ANEO G Central de Suspensiones Gómez S.A. de C.V. Orden No. AE-08/10 Asunto: México D.F.02 de Agosto de 2010 Señor Jesús Mojica Gómez Director de Central de Suspensiones Gómez S.A. de C.V. P r e s e n t e Con objeto de revisar y verificar los controles internos, la seguridad, integridad, disponibilidad y confidencialidad de la información había dentro del sistema implantando en dicha empresa, llamado MACROPRO y específicamente al módulo de inventario de refacciones. Con la ayuda de la metodología NIST se llevará a cabo la revisión No. AE-08/10. Para tal efecto, se servirá proporcionar a los CC. Auditores: Pérez Núñez María Fernanda, Mojica Martínez María Isabel, Reyes Flores Lucia Azucena, Rosales Santa Rosa Beatriz, los registros, reportes, informes, correspondencia y demás efectos relativos a sus operaciones y de consecución de metas que estimen necesarios, así como suministrarles todos los datos e información que soliciten para la ejecución de la auditoría. Comunico a usted que la auditoría revisara y verificara los controles internos que existan y los que hagan falta de acuerdo con la metodología NIST en el módulo de inventario de refacciones se practicará a los conceptos de correspondiente al periodo. 70

72 Central de Suspensiones Gómez S.A. de C.V. Orden No. (2) - 2 Asimismo, le agradeceré girar sus instrucciones a quien corresponda a efecto de que el personal comisionado tenga acceso a las instalaciones de la empresa y se le brinden las facilidades necesarias para la realización de su cometido. Y queda apercibido que de no dar las facilidades necesarias, oponerse a la práctica de la auditoría o no proporcionar en forma completa y oportuna los informes, datos y documentos a los auditores comisionados. A t e n t a m e n t e Jefe de Grupo auditor. Pérez Núñez María Fernanda. C.c.p. (11) 71

73 Carta de Requerimientos ANEO H 09 de Agosto del 2010 Jesús Mojica Gómez Director Estimado Herlo: Por medio de la presente te solicitamos de la forma más atenta nos proporciones la siguiente Información como parte de las actividades que requiere la auditoría que estaremos realizando en los próximos días al Módulo de Inventarios del ERP: Procesos del Módulo. Lista de usuarios que tienen acceso al Módulo. Configuraciones iniciales del ERP. Controles y /o Políticas de acceso al Módulo. Documentación de actualizaciones. Permiso para acceso al Módulo con una cuenta de tipo administrador. Permiso para acceso a internet. Permiso para acceso al servidor y presencia del administrador del ERP. para poder realizar las pruebas a la BD. Pedimos el apoyo para entregar esta información en un lapso no mayor a 3 días a partir de la fecha de solicitud, ya sea entrega en archivo y / o Fotocopias. Atentamente María Fernanda Pérez Núñez 72

74 Marco Conceptual ANEO I EMPRESA Central de Suspensiones Gómez S.A. de C.V. No. de auditoría: Tipo de auditoría: A01-10-CSG Específica Área auditar: a Módulo de Inventarios de Refacciones del ERP Fecha: Auditor: 02/Agosto/2010 PNMF; MMMI Rubro: Controles internos para el módulo de Inventario de Refacciones. Objetivo: Auditar el módulo de inventario refacciones del ERP "MACROPRO" en la empresa "Central de Suspensiones Gómez S.A. de C.V." en un periodo de un mes, para determinar si el sistema es el causante de las pérdidas en el Inventario. Universo: La totalidad de los recursos de tecnología de información involucrados en los controles internos para el módulo de Inventarios de Refacciones. Muestra: Se seleccionaron la totalidad de los recursos de tecnología de información del periodo de 2 Agosto al 20 de Agosto del 2010; el universo auditable corresponde al 100%. Procedimientos: Para la realización de la auditoría, fue elaborada una Carta de Planeación, el Cronograma de Actividades y un Programa Específico de Auditoría, que detalla secuencial y cronológicamente las etapas de planeación, ejecución e informe de resultados. Las técnicas para su ejecución serán el estudio general, el análisis, la inspección, la confirmación, la investigación, la declaración, la observación y, los ordenamientos establecidos en la Guía de Implementación Técnica de Seguridad en los ERP de NIST, las Normas de Auditoría, el Catálogo de Formatos para la Realización de Auditorías, Revisiones, Verificaciones e Inspecciones. Conclusión: Se darán a conocer las observaciones con sus causas, efectos, fundamento legal y recomendaciones correctivas y preventivas propuestas, en los Reportes de Observaciones de Auditoría Interna y el Informe de Auditoría respectivo, al finalizar la intervención. 73

75 Evidencias ANEO J Nivel de seguridad de los usuarios A continuación se muestran las pantallas en las que se puede apreciar las interfaces del ERP MACROPRO, el acceso al Menú de seguridad con el que cuenta para la gestión de usuarios del Módulo Auditado. Menú de utilerías del sistema El usuario inserta la clave de seguridad Aquí se muestra la encriptación Nota: estas evidencias fueron resultado de las pruebas que se realizaron con la cuenta de Supe usuario. 74

76 Perfiles de usuarios Logs de operaciones con relación a usuarios La siguiente tabla muestra los perfiles definidos por la empresa: No. Perfil Privilegios Características 1 Administrador 4 Agregar, modificar, consultar en todo el ERP 2 Contabilidad 3 Agregar, modificar, consultar en todo el ERP excepto Nomina 3 Mostrador 2 Agregar, consultar en módulo de ventas 4 Supe usuario 5 Agregar, modificar, eliminar y consultar en todo el ERP La prioridad 80 solo es para vendedores donde tiene activada la parte de clientes, facturación, consultas y reportes. Que operaciones estan abiertas al usuario ejemplo: 90 y 98 no tiene acceso a esta opción 75

77 Ejemplo: vendedores tiene solamente las opciones de agregar, cambiar por tener 80. Número de usuario La prioridad 85 está protegida porque no puede borrar por tener el tipo de prioridad el usuario. Servidor y Cliente delgado Como se puede apreciar en la siguiente pantalla, la configuración inicial del servidor mostrado los protocolos de seguridad con los que fue levantado el servicio. Puertos abiertos

78 Esta pantalla muestra la configuración inicial del servidor y los medios de comunicación con el cliente delgado. Configuración de Puertos en el servidor Puertos FTP SSH SMTP SNTP DNS HTTPS UDP Todos los paquetes saldrán enmascarados El servidor por correr en ambiente Linux incrementa los niveles de seguridad, sin embargo no queda exento del riesgo pero estas pantallas son importantes para evidenciar que las configuraciones del Servidor son confiables para el control adecuado de riesgos en la integridad, confiabilidad de la información que se gestiona en el Módulo de Inventarios de refacciones. 77

79 En este archivo se define la configuración del cliente delgado y la versión de la base de datos que se utiliza. Termial servidor Encriptado Definición de la versión de B.D (Acucobol) Definición de parámetros que va a utilizar el programa Esta pantalla nos muestra los perfiles de usuarios creados para la empresa así como la descripción de cada uno y su nivel de privilegio asignado. 78

80 Evidencia BD Usuarios dados de alta en el ERP En esta pantalla se muestra el folio de la operación que realizo cada usuario y la fecha en que la realizo: Compra Entrada Numero de usuario (compras) Folio de la operación En esta pantalla se ve que usuario ingresó una operación al sistema. 79

81 Consulta de artículos en existencia Consulta de artículos faltantes Entrada en el Inventario 80

82 Consulta de orden de venta Se muestra la factura por la venta de artículos Evidencia Operaciones en el Módulo Interfaces del Módulo 81

83 En las siguientes pantallas se muestra el módulo de compras donde se generan reportes. 82

84 Existe evidencia de documentación de las actualizaciones 83

85 Las carpetas que muestran la evidencia de que se guardan las actualizaciones al sistema ERP en uno de los servidores del administrador. 84

86 85

87 Mapa de Riesgos ANEO K 86