Solucion caso vesel
Páginas: 5 (1182 palabras)
Publicado: 4 de noviembre de 2013
Actividad 1.1 – Actividades de control del área de sistemas
RIESGO
CONTROLES ASOCIADOS
A - Posibilidad de que exista acceso lógico no apropiado y no relacionado con la función de los usuarios, resultando en acceso no autorizado
A.1 - Existencia de administradores de sistema operativo y de base de datos.
B - Posibilidad de acceso físico no autorizado a los equipos de cómputo
B.1 -Resguardo de servidores de aplicación, base de datos, e-mail y proxy server en el centro de cómputos
C - Las solicitudes de nuevas aplicaciones o cambios a programas no se encuentran estandarizadas, documentadas y sujetas a procedimientos formales de change management
C.1 - Solicitud presentada por las áreas usuarias a través de e-mail
C.2 - Existencia de contrato entre Vesel S.A. y Adventure
D -Los cambios a las aplicaciones no son testeados en un ambiente de prueba para determinar su impacto previo pasaje a producción
E - Posibilidad de que los sistemas no funcionen de acuerdo a sus especificaciones
E.1 - Realización de pruebas de sistema por parte de los analistas funcionales
F - Posibilidad de que existan cambios no autorizados sobre el ambiente de producción
F.1 -Implementación de cambios por parte del analista funcional previa verificación de la no existencia de errores
G - Posibilidad de que los datos no puedan ser recuperados en caso de pérdida accidental o daño
G.1 - Realización de back ups lógicos diarios e incrementales
G.2 - Realización de back up total semanal en cinta, almacenado en el centro de cómputos.
H - Inadecuado control sobre los proveedorespuede resultar en un inadecuado funcionamiento de los sistemas
H.1 - Existencia de contrato entre Vesel S.A. y Adventure
I - Posibilidad de que existan errores en el procesamiento batch de los sistemas
I.1 - Monitoreo de procesos batch
I.2 - Reproceso en caso de errores
Actividad 1.2 – Actividades de control del área de sistemas
El control A.1 es adecuado pero existe un usuarioadministrador del servidor de Interparte que no pertenece al área de sistemas. Debería ser deshabilitado ya que su función actual es en el área de Contabilidad.
Para mitigar el riesgo C, la compañía debiera contar con un plan formal de sistemas, en el cual se contemplen todas las implementaciones a realizar durante el período. Adicionalmente se debería desarrollar un procedimiento que contemple la forma dedocumentar cada proyecto de desarrollo de sistemas.
El contrato entre Vesel y Adventure (control C.2 y H.1) tendría que ser revisado y contemplar detalles que lo hicieran asimilable a un SLA (service level agreement).
No existen controles para mitigar el riesgo D, ya que los cambios a sistemas son probados en el ambiente de desarrollo. Vesel debiera contar con un ambiente cerrado de prueba enel cual se ejecute la prueba de usuarios y los usuarios tendrían que participar de dicha prueba, aprobando cualquier modificación previa implementación en el ambiente de producción. El diseño del control E.1 no es adecuado.
Podrían existir modificaciones no autorizadas sobre el ambiente de producción ya que las implementaciones son realizadas por los analistas funcionales (F.1). La función deimplementación de archivos y programas debe estar segregada de las de análisis y diseño. Vesel tampoco ha definido un procedimiento para cambios a programas en emergencia.
Si bien existe resguardo de información mediante back ups (controles G.1 y G.2), los back ups semanales no son adecuadamente almacenados, ya que tendrían que protegerse en lugares ignífugos o ser trasladados fuera del centrode cómputos. Es recomendable realizar dos copias y no una. Asimismo, deberían realizarse pruebas periódicas de recupero de información para verificar que los datos se encuentran correctamente backupeados.
Debe definirse un Schedule de todos los procesos batch que se ejecutan en los servidores de producción, y un esquema de reproceso para cada uno de ellos (han existido interfases no...
RIESGO
CONTROLES ASOCIADOS
A - Posibilidad de que exista acceso lógico no apropiado y no relacionado con la función de los usuarios, resultando en acceso no autorizado
A.1 - Existencia de administradores de sistema operativo y de base de datos.
B - Posibilidad de acceso físico no autorizado a los equipos de cómputo
B.1 -Resguardo de servidores de aplicación, base de datos, e-mail y proxy server en el centro de cómputos
C - Las solicitudes de nuevas aplicaciones o cambios a programas no se encuentran estandarizadas, documentadas y sujetas a procedimientos formales de change management
C.1 - Solicitud presentada por las áreas usuarias a través de e-mail
C.2 - Existencia de contrato entre Vesel S.A. y Adventure
D -Los cambios a las aplicaciones no son testeados en un ambiente de prueba para determinar su impacto previo pasaje a producción
E - Posibilidad de que los sistemas no funcionen de acuerdo a sus especificaciones
E.1 - Realización de pruebas de sistema por parte de los analistas funcionales
F - Posibilidad de que existan cambios no autorizados sobre el ambiente de producción
F.1 -Implementación de cambios por parte del analista funcional previa verificación de la no existencia de errores
G - Posibilidad de que los datos no puedan ser recuperados en caso de pérdida accidental o daño
G.1 - Realización de back ups lógicos diarios e incrementales
G.2 - Realización de back up total semanal en cinta, almacenado en el centro de cómputos.
H - Inadecuado control sobre los proveedorespuede resultar en un inadecuado funcionamiento de los sistemas
H.1 - Existencia de contrato entre Vesel S.A. y Adventure
I - Posibilidad de que existan errores en el procesamiento batch de los sistemas
I.1 - Monitoreo de procesos batch
I.2 - Reproceso en caso de errores
Actividad 1.2 – Actividades de control del área de sistemas
El control A.1 es adecuado pero existe un usuarioadministrador del servidor de Interparte que no pertenece al área de sistemas. Debería ser deshabilitado ya que su función actual es en el área de Contabilidad.
Para mitigar el riesgo C, la compañía debiera contar con un plan formal de sistemas, en el cual se contemplen todas las implementaciones a realizar durante el período. Adicionalmente se debería desarrollar un procedimiento que contemple la forma dedocumentar cada proyecto de desarrollo de sistemas.
El contrato entre Vesel y Adventure (control C.2 y H.1) tendría que ser revisado y contemplar detalles que lo hicieran asimilable a un SLA (service level agreement).
No existen controles para mitigar el riesgo D, ya que los cambios a sistemas son probados en el ambiente de desarrollo. Vesel debiera contar con un ambiente cerrado de prueba enel cual se ejecute la prueba de usuarios y los usuarios tendrían que participar de dicha prueba, aprobando cualquier modificación previa implementación en el ambiente de producción. El diseño del control E.1 no es adecuado.
Podrían existir modificaciones no autorizadas sobre el ambiente de producción ya que las implementaciones son realizadas por los analistas funcionales (F.1). La función deimplementación de archivos y programas debe estar segregada de las de análisis y diseño. Vesel tampoco ha definido un procedimiento para cambios a programas en emergencia.
Si bien existe resguardo de información mediante back ups (controles G.1 y G.2), los back ups semanales no son adecuadamente almacenados, ya que tendrían que protegerse en lugares ignífugos o ser trasladados fuera del centrode cómputos. Es recomendable realizar dos copias y no una. Asimismo, deberían realizarse pruebas periódicas de recupero de información para verificar que los datos se encuentran correctamente backupeados.
Debe definirse un Schedule de todos los procesos batch que se ejecutan en los servidores de producción, y un esquema de reproceso para cada uno de ellos (han existido interfases no...
Leer documento completo
Regístrate para leer el documento completo.