El documento presenta los resultados de una auditoría realizada al sistema de ventas de la empresa Coral Hipermercados. Se identificaron 7 problemas principales relacionados con la seguridad y control de acceso al sistema, como el acceso no autorizado al centro de datos, usuarios realizando transacciones fuera de su rol, y falta de seguimiento de transacciones. Se proporcionan recomendaciones para cada problema con el objetivo de mejorar los controles de seguridad e integridad de datos en el sistema.
2. ANTECEDENTES Coral Hipermercados comienza su vida empresarial en 1943 se dedica a la comercialización de cueros y el muy conocido café cubanito. En 1975 se construye la compañía “Coral Hipermercados Cia.ltda” con la fabrica Adhepalst Abraza empresas encargadas de la producción de artículos de cuero, pegamentos, pinturas, espumas, colchones, telas, hilos ,etc. Distribución y venta de artículos con más de 300.000 ítems en sus almacenes.
3. MISIÓN Coral hipermercados tiene como misión ayudar y fortalecer a nuestros clientes en su gestión de compra, minimizando costos ofreciendo productos y servicios de calidad. Ofrecer una solución global a todas las necesidades de los clientes.
4. VISIÓN Nuestra visión esta enmarcada con el objetivo de ser el más grande y principal proveedor, al mismo tiempo ser el mayor generador de servicios, a nivel local y nacional.
5. ANALISIS PREVIO Las aplicaciones estan realizadas en Oracle Forms 6i, en cada aplicación se generan puntos de control de acceso. Para los reportes se utiliza la herramienta Oracle Reports 6i Para el almacenamiento de Datos usa la Base De Datos Oracle 9i Anteriormente se usaba el lenguaje de cobol y la plataforma AIX para el almacenamiento de datos y generación de aplicaciones. Con las cuales no había como llevar un buen control de seguridad, por ese motivo se realizo el cambio a las herramientas que se utiliza hoy en día.
6. OBJETIVO GENERAL Realizar la auditoria del Sistema de Ventas, lo que respeta los puntos de control y seguridad para el acceso de los usuarios al sistema, estén funcionando adecuadamente y a su vez brinden seguridad y confianza para las demás áreas de trabajo.
7. OBJETIVOS ESPECÍFICOS 1.- Determinar los aplicativos que se manejan y el funcionamiento que tienen en cada área de trabajo de la empresa. 2.- Verificar la integridad de los datos determinando si se han alterado datos durante una transacción ya sea accidental o intencionalmente. 3.- Realizar una autentificación en la cual se confirmara de la identidad de un usuario, garantizar el acceso a recursos únicamente a usuarios autorizados. 4.- Verificar que cada regla de la política de seguridad se aplique correctamente y que todas las medidas tomadas conformen un todo coherente
8. ALCANCE 1.- Garantizar que la empresa lleve un control total de la seguridad tanto en acceso a aplicaciones y a los datos que se manejan brindando confianza a quienes trabajan sobre los mismos. 2.- Tener un control de integridad de los registros, 3.- Controlar los permisos y roles de los usuarios que sean los mismos que deben tener para acceder a las aplicaciones. 4.-Llevar el control del flujo de la información y quienes la generan se realice de una forma correcta y adecuada. Garantizando la confiabilidad e integridad de los datos para los usuarios de los sistemas.
9. PROBLEMAS ENCONTRADOS EN LA EMPRESA 1.- Cualquier empleado ingresa al centro de computo en donde se encuentran los servidores a realizar algún tipo de trabajo. 2.- Usuarios realizan transacciones no permitidas en el rol que tienen. 3.- Acceso a información confidencial por parte de usuario a través de aplicaciones a las cuales no poseen acceso. 4.- Entre usuarios se prestan o intercambian las contraseñas. 5.- Disminución en el nivel de trabajo de los usuarios. 6.- Caídas del sistema a causa de código malicioso o virus informáticos. 7.- Falta de información al realizar seguimiento de transacciones. FIN
10. CONTROL Nº 1 1.- Cualquier empleado ingresa al centro de computo en donde se encuentran los servidores a realizar algún tipo de trabajo. RECOMENDACIÓN Prohibir el ingreso a personal no autorizado. RIESGO ASOCIADO Daños a los equipos, extracción de información extracción de información confidencial. SITUACIÓN ENCONTRADA Personal no autorizado ingresa al cuarto de servidores RECOMENDACIONES Definir roles y permisos para el acceso a los servidores. COMENTARIOS A LA GERENCIA
11.
12.
13. CONTROL Nº 4 4.- Entre usuarios se prestan o intercambian las contraseñas. RECOMENDACIÓN Mala administración de las contraseñas. RIESGO ASOCIADO Usuarios ingresan a los aplicativos con contraseñas de otros usuarios. SITUACIÓN ENCONTRADA Los usuarios acostumbran a prestar las contraseñas a otros usuarios para realizar algún tipo de trabajo. RECOMENDACIONES Las contraseñas deben tener un tiempo de caducidad para evitar estos inconvenientes. COMENTARIOS A LA GERENCIA
14. CONTROL Nº 5 5.- Disminución en el nivel de trabajo de los usuarios. RECOMENDACIÓN Uso inadecuado de Internet. RIESGO ASOCIADO Usuarios utilizan el Internet para pasatiempos. SITUACIÓN ENCONTRADA El nivel del trabajo por parte de los usuarios ha disminuido por el uso inadecuado de Internet. RECOMENDACIONES Elaborar restricciones para las paginas de Internet. COMENTARIOS A LA GERENCIA
15. CONTROL Nº 6 6.- Caídas del sistema a causa de código malicioso o virus informáticos. RECOMENDACIÓN Caídas del sistema por infección de virus. RIESGO ASOCIADO Sistema se vuelve lento. SITUACIÓN ENCONTRADA Usuarios traen consigo información que contienen virus los cuales provocan la caída del sistema. RECOMENDACIONES Tener instalado y realizar actualizaciones diarias de un antivirus que no permita estas anomalías. COMENTARIOS A LA GERENCIA
16. CONTROL Nº 7 7.- Falta de información al realizar seguimiento de transacciones. FIN RECOMENDACIÓN Perdida de información de los accesos de los usuarios. RIESGO ASOCIADO Perdida del rastro de ingresos a los aplicativos y transacciones realizadas. SITUACIÓN ENCONTRADA Al realizar seguimientos de las transacciones realizadas y de los ingresos de usuarios a los aplicativos se encontró faltante de información. RECOMENDACIONES Realizar copias de seguridad diarias de todos los movimientos e ingresos a los sistemas. COMENTARIOS A LA GERENCIA