indice de contenidosecaths1.s3.amazonaws.com/auditoriainformatica/841196824.grupo_4.… · de...
Post on 29-Jun-2018
217 Views
Preview:
TRANSCRIPT
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 2
INDICE DE CONTENIDOS
1. INTRODUCCIÓN…………………………………………………………… 3
1.1. Alcance de la Auditoría………….………………………....................... 3
2. CARTA AL DIRECTOR…………………………………………………… 4
3. INFORME DE AUDITORÍA…………….………………………………...... 5
3.1. Evaluación de la Planificación..………………………………………… 5
3.2. Evaluación de la Adquisición y la Implantación……………………….. 7
3.3. Evaluación de la Seguridad y la Confidencialidad…………………….. 10
3.4. Evaluación del Monitoreo……………………………………………… 13
4. PAPELES DE TRABAJO……………………………………………………. 15
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 3
1. INTRODUCCIÓN
Nuestra empresa BAGUKIRA S.L. ha realizado un plan estratégico de inserción de
TI para los Multicines Ortega. Dicho plan estratégico se divide en tres etapas: corto,
medio y largo plazo.
En los acuerdos firmados con el director de los Multicines Ortega se acordó la
realización de una auditoría de la empresa para cada una de las etapas. Pasado más de
un año de dicho acuerdo, la primera etapa de nuestro plan estratégico ha sido llevada a
cabo y los multicines cuentan con las siguientes TI:
Software destinado a la Gestión Económica y Gestión de Planificación de
películas con objeto de generar el mayor número de beneficios con la proyección
de películas.
Hardware conectado en red para las taquillas y la zona de cafetería con software
integrado con el sistema de Gestión Económica. (TPV)
Hardware de administración. (Terminal de Administración)
Hardware de control para la dirección. (Ordenador Personal)
Pasado un tiempo de uso de dichas TI, el grupo de auditores de BAGUKIRA S.L. ha
acudido a los Multicines Ortega con objeto de auditar la correcta implantación de la
primera etapa del plan estratégico. En este documento se presenta la auditoría realizada
por dicho grupo.
1.1. ALCANCE DE LA AUDITORÍA
Para la realización de esta auditoría, los auditores se han guiado por el manual de
COBIT dividiendo la evaluación en los siguientes procesos:
Planificación: Con objeto de comprobar la correcta implantación de la primera
etapa del plan estratégico. Se han seguido los procesos de COBIT siguientes:
PO5, PO7 y PO9.
Adquisición e Implantación: Con el objetivo de comprobar la adecuación del
software y hardware entregado. Se han seguido los siguientes procesos: AI1,
AI4 y AI5.
Seguridad y Confidencialidad: Con el objetivo de analizar la seguridad de las
TI implantadas así como el cumplimiento de los principios básicos de
confidencialidad y protección de datos. Se han seguido los procesos de COBIT
siguientes: DS4, DS5, DS8 y DS12.
Monitoreo: Con objeto de comprobar que se lleva un correcto control del
funcionamiento de los sistemas y de su uso. Se ha seguido el proceso ME1.
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 4
2. CARTA AL DIRECTOR
Estimado Sr. Director de Multicines Ortega:
En primer lugar, agradecerle la confianza que ha mostrado en nuestra empresa.
Además queremos mostrarle toda nuestra gratitud por el tiempo que usted y su personal
ha dedicado a nuestro equipo de auditores en el transcurso de la auditoría realizada.
Le enviamos esta carta con objeto de poner en su conocimiento los principales
defectos encontrados en la auditoria de su empresa por nuestro grupo de auditores. A
continuación le listamos los principales problemas encontrados y las medidas oportunas
para subsanarlos.
Por lo general, hay un escaso monitoreo y evaluación de los sistemas. Salvo las
comprobaciones realizadas por el personal de ventas a la hora de cuadrar la caja del día,
el resto de comprobaciones no evalúan el correcto funcionamiento de las TI. Es de gran
importancia la implantación de un plan de evaluación en el que periódicamente se
revisaran todos los sistemas. En dicho plan se incluiría también el mantenimiento de las
infraestructuras y espacios, que en algunos casos está muy descuidado.
El plan de gestión de riesgos realizado por nuestra empresa no ha contado con la
colaboración de su empresa para detectar riesgos reales. Nos gustaría contar su
colaboración para ampliar y mejorar dicho plan. Si bien dicho plan de riesgos está
funcionando correctamente, es un fallo muy grave el no contar con un plan de
continuidad que asegure la información manejada por su empresa ante cualquier
eventualidad. Instamos a realizar cuanto antes dicho plan en colaboración con nuestra
empresa para poder asegurar todas sus TI ante situaciones límites.
Hay grandes problemas con el uso de ciertos sistemas debido a un mal diseño y una
inexistente documentación. En breve, nuestro grupo de desarrolladores rediseñará
aquellos sistemas que están dando problemas y realizarán una documentación acorde
con las necesidades de sus empleados. Se han encontrado errores en la instalación de
red así como software mal instalado y configurado. Nuestro grupo de servicio técnico
acudirá a subsanar dichos errores. Por otro lado, el personal de su empresa no tiene
buenas prácticas en cuanto a la seguridad se refiere. Recomendamos que el personal sea
alertado sobre este tipo de riesgos para evitar exponer la información a personal no
autorizado.
Finalmente, indicarle que podemos confirmar que el plan de integración de TI
realizado por nuestra empresa ha sido implantado con un nivel bastante bueno de
aceptación y adecuación a sus necesidades.
Reciba un cordial saludo,
Grupo de Auditoría BAGUKIRA S.L.
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 5
3. INFORME DE AUDITORÍA
Se ha realizado una auditoría de la empresa Multicines Ortega siguiendo las guías
establecidas por el manual de COBIT. En este informe encontraremos dividida la
auditoría en 4 grandes secciones que exponen las conclusiones extraídas de la
evaluación de la empresa. En cada sección podremos encontrar referencias a papeles de
trabajo que sirven como prueba de las conclusiones obtenidas. Dichos papeles de
trabajo pueden localizarse al final de este mismo documento.
3.1. EVALUACIÓN DE LA PLANIFICACION
En el apartado de planificación confluyen 3 puntos fundamentales: el presupuesto, los
recursos humanos y la gestión de riesgos.
Presupuesto
El plan estratégico incluía un plan presupuestario de costes que podemos encontrar
en el Papel de Trabajo 1. Dicho presupuesto fue realizado por el grupo de desarrollo
de BAGUKIRA S.L. estimando los costes totales de la implantación de la primera etapa
del plan estratégico de inserción de TI. Una vez ejecutado dicho plan, se ha realizado
por parte del cliente un balance presupuestario del gasto real que ha llevado la
aplicación de dicho plan. Dicho balance puede verse en los Papeles de Trabajo 2.
Como podemos observar, el plan presupuestario fue realizado claramente al alza lo que
ha provocado en la dirección una sensación de falta de calidad en el resultado final
como se deduce de la entrevista realizada a la misma (Papel de Trabajo 3). Ha sido un
fallo por parte del equipo de desarrollo el haber estimado tan al alza los presupuestos,
más aún teniendo en cuenta el ajustado presupuesto de que dispone el cliente.
Sobre la inversión futura y los beneficios obtenidos de la aplicación de las TI
implantadas, las respuestas de la dirección (en la misma entrevista de Papeles de
Trabajo 3) nos hacen ver que no existe un monitoreo continuo de la economía ni una
administración de costos y beneficios. Sería de gran importancia el monitoreo de los
beneficios y costes para asegurar que la aplicación de las TI están teniendo el efecto
esperado y no sean un mero gasto más.
Recursos Humanos
La inserción de TI en los Multicines Ortega ha implicado una formación de los
trabajadores. De las entrevistas realizadas a algunos de los trabajadores de los
multicines (Papeles de Trabajo 4) sobre su relación con las TI implantadas y sobre
dicha formación, nos damos cuenta de que si bien se les ha formado para el uso de los
sistemas no se les ha proporcionado documentación de apoyo ni recursos para corregir
posibles errores esperados en los sistemas. Además de esto, cada trabajador únicamente
sabe manejar un sistema asignado por lo que se impide la posible rotación del personal
en casos de necesidad. Se ha denotado de dichas entrevistas que uno de los trabajadores
se destaca como individuo clave debido a su mayor manejo de TI. Estas situaciones no
favorecen la satisfacción de los trabajadores con respecto de las TI, ni la productividad
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 6
de la empresa. Debido a estas condiciones, en multitud de ocasiones (Papeles de
Trabajo 5) se han realizado consultas al servicio técnico debidas a una mala formación
y una mala documentación. Por un lado, consideramos que es necesario contar con
documentación en forma de manuales claros y comprensibles para que el personal
pueda afrontar con seguridad toda clase de incidencias relacionadas con las TI. Por otra
parte, creemos que se puede utilizar el posicionamiento del individuo clave señalado de
forma que asista y forme al personal en el uso de todos los sistemas con objeto de poder
realizar rotaciones en las asignaciones.
Gestión de riesgos
El grupo de desarrollo de BAGUKIRA S.L. realizó un plan de gestión de riesgos
detallado. En dicho plan (Papeles de Trabajo 6) podemos ver que se realizó una
selección de los riesgos más probables en función de una lista inicial de 111 riesgos. La
gestión de riesgos ha quedado debidamente documentada y se han establecido
protocolos ante los riesgos más probables. Lo cierto es que todos los riesgos
acontecidos desde la implantación del plan estratégico (ver entrevista con Departamento
Relaciones Públicas en Papeles de Trabajo 7) estaban cubiertos dentro del plan de
gestión de riesgos. Además el cliente Multicines Ortega cuenta con manuales de
actuación ante estos riesgos. Sin embargo, el principal defecto es la falta de más
implicación en el desarrollo de dicho plan por parte de la dirección, que al fin y al cabo
cuenta con más experiencia en el sector que el equipo de desarrollo. La colaboración del
cliente es fundamental en la elaboración de un plan de riesgos adecuado y realista.
Cuanto más realista sea dicho plan, más cubiertos estarán los sistemas y el propio
cliente ante cualquier eventualidad.
En resumen, en el apartado de planificación queremos resaltar los siguientes fallos
observados:
Estimación presupuestaria esperada al alza lo que ha provocado un cierto
desagrado en la dirección. El equipo de desarrollo debe ajustar mejor los
presupuestos cuando realice planes de este tipo.
Falta de monitorización en la economía y de administración de los costos-
beneficios de las TI que impide notar el efecto de la aplicación del plan
estratégico sobre la empresa, así cómo prever posibles inversiones futuras en TI.
El Departamento de Gestión Económica debería realizar más frecuentemente
una comprobación del balance de la empresa, y en especial de los costos de las
TI.
Formación de corto alcance acompañada de la falta de manuales de uso
para los distintos sistemas lo que impide la rotación del personal y provoca una
pérdida de productividad debido a las incidencias. La empresa desarrolladora
debería proporcionar manuales de uso adecuados a los trabajadores de forma que
todos ellos puedan manejar cualquiera de los sistemas.
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 7
Falta de implicación de la dirección en el plan de riesgos que aunque no ha
sido necesaria todavía, sería de gran ayuda para una revisión de dicho plan. La
dirección debería realizar una evaluación del plan de riesgos y proporcionar una
opinión más alineada con las necesidades del sector y adecuada a las
experiencias de la empresa.
3.2. EVALUACIÓN DE LA ADQUISICIÓN Y LA IMPLANTACIÓN
Este apartado se centra en el grado de adecuación de las TI implantadas a los requisitos
proporcionados por el cliente a la empresa de desarrollo, así como en el grado de
satisfacción del cliente con respecto a la implantación.
Para evaluar el grado de adecuación de las TI este grupo de auditores se ha centrado en
dos puntos de vista: el del cliente (representado por las opiniones de los distintos
departamentos) y el de nuestro propio grupo. El punto de vista de los distintos
departamentos ha sido obtenido mediante distintas entrevistas realizadas a los mismos:
Director, Departamento de Ventas, Departamento de Gestión Económica y
Departamento de Relaciones Públicas. Por otro lado, nuestro propio grupo de auditores
se ha centrado en evaluar la adecuación de los requisitos a partir de distintas visitas a los
multicines así como de la documentación proporcionada por los desarrolladores de
BAGUKIRA S.L.: análisis de requisitos (Papeles de Trabajo 8), modelos del sistema y
esquema de BBDD (Papeles de Trabajo 9), metodologías empleadas (Papeles de
Trabajo 10), etc. De la información obtenida del cliente hemos denotado un grado de
satisfacción, en general, bastante alto con respecto de los distintos sistemas.
El Cliente
En cuanto al sistema de Gestión Económica, el Departamento de Gestión Económica se
encuentra totalmente satisfecho tanto en la facilidad de su uso como en el aspecto de la
utilidad para el cliente. Además el Director destaca que dicho sistema permite un
control más exhaustivo de los aspectos económicos ya que permite gestionar de forma
más sencilla todas las cuentas de la empresa. Siguiendo con el aspecto económico, el
Departamento de Ventas ha encontrado dificultades con el uso de los sistemas debido a
que los empleados de dicho departamento no están acostumbrados al uso de nuevas
tecnologías. Estos empleados, en su mayoría, están descontentos con las interfaces de
los TPV para la cafetería y la venta de entrada (Papeles de Trabajo 11) ya que las
encuentran algo difíciles de utilizar. Además de ello, ya hemos destacado anteriormente
que, si bien se planifico una formación previa, la formación proporcionada ha sido
demasiado específica y la falta de documentación y manuales de uso ha hecho que
ciertos empleados no estén contentos con las TI.
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 8
Sobre el sistema de Gestión de Programación, el Director y el Departamento de
Relaciones Públicas destacan que si bien es de gran ayuda a la hora de confeccionar la
programación más beneficiosa están teniendo problemas debido a ciertas suposiciones
de factibilidad tomadas para su diseño. El problema reside en la escasa colaboración por
parte de algunas distribuidoras a la hora de proporcionar la información necesaria para
el sistema con suficiente antelación. Los desarrolladores han hecho una suposición de
factibilidad que ha resultado ser más complicada de lo esperado, cabe destacar que
dicha debilidad del sistema queda recogida en el plan de riesgos realizado por los
desarrolladores (Papeles de Trabajo 12). Si el protocolo diseñado para este riesgo en
dicho plan no fructifica será necesario replantear esta suposición de factibilidad tratando
de adaptar el sistema a las posturas de las distribuidoras. Se ha comprobado mediante
encuestas a los espectadores (Papeles de Trabajo 13) que las programaciones
generadas automáticamente responden a las expectativas y a los gustos del público en
general.
Los auditores
El grupo de auditores ha denotado un correcto diseño, implementación y documentación
de la mayoría de los sistemas software implantados, encontrando errores
fundamentalmente en el sistema de venta. Sobre todo se han denotado fallos en el
ámbito de las infraestructuras y los recursos.
En cuanto a las infraestructuras implantadas en los multicines encontramos defectos en
la red instalada en los multicines que impiden un mejor rendimiento de la misma. Por
un lado el uso de demasiados switch en la red (Papeles de Trabajo 14) es inadecuado
según los principios de una buena estructura de red, por ello recomendamos que dichos
switch deberían de ser sustituidos por routers ya que son más adecuados. En cuanto al
cableado, en las distintas visitas realizadas se han encontrado malas conexiones
(Papeles de Trabajo 15) así como una mala canalización de los mismos (Papeles de
Trabajo 16).
Respecto al software instalado es estrictamente necesario un rediseño de la interfaz de
usuario de los TPV (Papeles de Trabajo 11) ya que no cumple con un mínimo de
criterios de usabilidad. Es patente la falta de una documentación adecuada para los
sistemas de venta en cafetería y de entradas, por lo que es estrictamente necesaria la
elaboración de la misma. Por otro lado, es recomendable la migración de Windows
Vista (Papeles de Trabajo 17) que es menos estable que Windows XP y que ha dado
bastantes problemas en la empresa. Destacar como indispensable el uso de software de
oficina Microsoft Office con sus licencias originales correspondientes ya que se ha
observado que en algunos terminales este software no ha sido activado como original
(Papeles de Trabajo 18) lo que puede provocar problemas legales.
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 9
Finalmente, proponemos la centralización de todo el material de TI en un solo
proveedor ya que actualmente se usan distintos proveedores para la adquisición del
mismo (Papeles de Trabajo 19). El uso de varios proveedores puede favorecer al
cliente para encontrar mejores precios, pero a la larga trae problemas sobre todo en el
ámbito de las garantías o las reparaciones. Es tal la separación de proveedores que hay
equipos en los que el monitor es de un proveedor, la torre de otro y los periféricos de
otro más. Si se tienen problemas con ese equipo, será necesario analizar quién es el
proveedor responsable. Con la unificación de proveedores se consigue una mayor
homogeneidad en el aspecto de las responsabilidades sobre infraestructuras, además los
proveedores suelen proponer mejores ofertas cuando el cliente es exclusivo y habitual.
En resumen, podemos destacar los siguientes fallos en la adquisición y la implantación:
Fallos graves en el diseño de la interfaz de los TPV que están provocando
muchos problemas en su uso, con la correspondiente pérdida de productividad
perjudicial para el cliente. A estos fallos de diseño le añadimos la inexistencia de
una documentación adecuada. La empresa desarrolladora debe tratar de
rediseñar la interfaz de forma que sea más acorde con los principios básicos de
usabilidad y diseño.
Suposiciones de factibilidad poco realistas en cuanto a lo que se refiere a la
relación con las distribuidoras, lo que está ocasionando una pérdida de
efectividad en el software de Gestión de la Programación. Sería bueno intentar
que las distribuidoras cooperasen más con el proyecto, para ello se puede aplicar
el plan de riesgos propuesto por los desarrolladores
Instalación de red defectuosa tanto en cuánto a diseño como a implantación.
Es necesario cambiar una serie de componentes y mejorar las canalizaciones.
Uso de software no licenciado y no adecuado, por lo que es recomendable
adquirir licencias y migrar al software propuesto (Windows XP).
Demasiados proveedores de TI que dispersa demasiado las responsabilidades
de los distintos recursos de TI adquiridos. Recomendamos que la empresa de
desarrollo proporcione un único proveedor al cliente.
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 10
3.3. EVALUACIÓN DE LA SEGURIDAD Y LA CONFIDENCIALIDAD
En este apartado se analizan aspectos de la seguridad y la confidencialidad de los
sistemas implantados.
De la entrevista con los desarrolladores sobre aspectos de seguridad (Papeles de
Trabajo 20) destacamos la carencia de un plan de continuidad propuesto por la empresa
desarrolladora ante eventos que puedan provocar pérdidas de información útil. Es de
vital importancia el desarrollo de un plan de continuidad que aborde los siguientes
campos:
Análisis de las TI críticas para el cliente con objeto de centrarse en aquellas que
son de vital importancia.
Desarrollo de una documentación que asigne responsabilidades y determine
procedimientos para llevar a cabo el plan de continuidad.
Almacenamiento mediante copias de seguridad de la información almacenada y
generada por los sistemas implantados. Lo ideal sería contar con un par de
copias situadas en el interior de la empresa y en el exterior. Las copias de
seguridad deben ir acompañadas de documentación relativa a procedimientos de
creación de las mismas, así como de recuperación de la información que
contienen.
Simulacro de situaciones de desastre para comprobar que el plan de continuidad
es efectivo.
Con el desarrollo de dicho plan de continuidad, se podrá asegurar la integridad de toda
la información crítica de la empresa. Debido a la falta de un plan de almacenamiento y
recuperación de datos se han producido algunas pérdidas de información vital para la
empresa (Papeles de Trabajo 21). Esto provocó bastante descontento en los distintos
usuarios ya que se perdió la pista de parte de la recaudación de una noche. Por este tipo
de incidencias es por lo que es de enorme importancia la elaboración de un plan de
contingencia que asegure la integridad de los datos ante situaciones límite para las TI.
En las sucesivas visitas a los multicines hemos observado una serie de incidencias que
van contra de los principios de seguridad y confidencialidad de los sistemas de TI y que
exponen a éstos a agentes externos. Algunas de estas incidencias han sido: acceder sin
esfuerzo al terminal de administración ya que la clave se encontraba fácilmente a la
vista (Papeles de trabajo 22), encontrar en los discos duros información no relacionada
con la empresa y aplicaciones que nada tienen que ver con el uso que se le da a los
terminales (Papeles de trabajo 23), comprobar que ciertos miembros del personal
navegan por páginas web no adecuadas (Papeles de trabajo 24). Este tipo de
incidencias exponen a los sistemas a posibles modificaciones o extracciones de
información reservada por parte de personal ajeno y a riesgos externos como virus,
aplicaciones no deseadas, etc. Sugerimos la creación de procedimientos de control
interno para este tipo de incidencias concienciando a los empleados sobre malas
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 11
costumbres en el ámbito de la seguridad (dejar contraseñas a la vista, no guardar
documentos de importancia, no utilizar contraseñas o emplear contraseñas
excesivamente simples,…). Por otro lado controlando internamente mediante permisos
o privilegios el acceso a determinados sistemas se reducirá el grado de exposición de los
mismos a este tipo de incidencias. Actualmente, no existe ninguna política de cuentas de
usuario. Por tanto, aconsejamos realizar un análisis de las cuentas de usuarios necesarias
así como la creación de distintos grupos de usuarios con distintos privilegios según la
actividad que desempeñen.
En cuanto a soportes software de seguridad, si bien la empresa cuenta con software de
protección (Papeles de trabajo 25), en algunos terminales el software se encuentra
desactualizado por lo que supone una exposición a riesgos externos. Además el firewall
de la empresa no protege algunos puertos indispensables (Papeles de Trabajo 26).
Como ya se ha mencionado, se realizó una formación a los distintos empleados de los
multicines con objeto de familiarizarlos con el manejo de los distintos sistemas. Sin
embargo, dicha formación fue demasiado especializada y ha provocado multitud de
incidencias en el uso del sistema (Papeles de Trabajo 5). La empresa BAGUKIRA
S.L. ha proporcionado el servicio técnico en todas estas circunstancias. El Departamento
de Relaciones Públicas y el servicio técnico de BAGUKIRA S.L. nos han
proporcionado información detallada de cada una de las incidencias (Papeles de
Trabajo 27): motivo, fecha, duración de la incidencia, etc. Se observa que hay una gran
cantidad de incidencias debido a la falta de entrenamiento en el uso de los sistemas por
parte de la mayoría de empleados. Esto ha generado pérdidas de productividad y de
tiempo de servicio. Si bien todas las incidencias fueron resueltas de forma satisfactoria,
muchas de ellas surgieron de nuevo posteriormente. Por ello, determinamos que es
necesario un reporte de incidencias de parte del servicio técnico hacia el cliente con el
objetivo de que éste cuente con un soporte físico al que acceder cuando surjan
incidencias comunes.
Por último destacar dos aspectos relacionados con las instalaciones y el mantenimiento
de las mismas. Se ha comprobado que algunas de las infraestructuras instaladas se
encuentran en ambientes poco adecuados (Papeles de trabajo 28) para el
funcionamiento de los mismos. Es necesario un ambiente adecuado para minimizar los
riesgos de problemas en las infraestructuras. Por otro lado, se ha detectado que no hay
medios de seguridad en forma de cierres de seguridad o cerraduras electrónicas
(Papeles de trabajo 29) en el lugar en el que se encuentran los servidores y el terminal
de administración. Sería muy recomendable la instalación de los mismos con el objetivo
de proteger físicamente los sistemas y asegurar su integridad y confidencialidad.
Finalmente, en lo que a mantenimiento se refiere hemos observado un alto grado de
dejadez en la conservación de algunas infraestructuras, la falta de limpieza (Papeles de
Trabajo 30) o la no protección del cableado (Papeles de Trabajo 31) son riesgos
físicos para el sistema que no deben ser controlados por el cliente.
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 12
En resumen, podemos destacar los siguientes fallos en la seguridad y confidencialidad:
Carencia de un plan de continuidad que expone muy seriamente a la empresa
a la pérdida de información vital para los procesos de negocio. Es necesario de
forma urgente la elaboración de dicho plan con la profundidad suficiente como
para poder cubrir cualquier tipo de contingencia externa o interna. Para ello es
necesaria la colaboración entre el cliente y la empresa desarrolladora.
Falta de integridad en los datos como añadido del fallo anterior, ya que no
existen procedimientos documentados de almacenamiento y recuperación de
información en copias de seguridad. Es necesario corregir este fallo
incluyéndolo dentro del plan de continuidad.
Malas prácticas de seguridad por parte del personal de los multicines, lo que
expone a los sistemas a riegos externos que pueden afectar a la integridad de los
mismos. Es necesaria la elaboración de una serie de principios básicos de
seguridad a seguir por parte de los empleados, así cómo del análisis y la creación
de procedimientos que permitan dar más seguridad al sistema (como una gestión
de privilegios).
Software de protección desactualizado o mal configurado que al igual que el
fallo anterior, expone a los sistemas a factores externos.
Falta de documentación ante incidentes frecuentes que provoca una pérdida
de efectividad de los sistemas y una disminución de la productividad del cliente.
El servicio técnico proporcionado ha sido de ayuda pero debe centrarse más en
generar formación que en suministrar información, con objeto de acostumbrar a
los usuarios al uso de los sistemas.
Mala adecuación de las instalaciones y mantenimiento defectuoso de las
infraestructuras que suponen un riesgo físico para las TI integradas en los
multicines.
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 13
3.4. EVALUACIÓN DEL MONITOREO
El desempeño de las TI se controla en la empresa partiendo del organigrama (Papeles
de Trabajo 32) el objetivo es que los distintos empleados se repartan el monitoreo de
los distintos sistemas. Sin embargo, el monitoreo realizado es insuficiente debido a los
siguientes factores:
El personal del Departamento de Ventas sólo evalúa el desempeño de las TI
asociadas a dicho departamento (TPV) en función de que no den problemas y de
que lo obtenido mediante los sistemas cuadre con la realidad física (Papeles de
Trabajo 33).
El personal del Departamento de Gestión Económica no realiza una evaluación
suficientemente frecuente del balance económico con lo que no se puede
determinar con exactitud el correcto desempeño del sistema de Gestión
Económica. Por otra parte, dicho sistema está íntimamente relacionado con el
sistema anterior (TPV). Hemos observado que no existe ningún procedimiento
documentado para el monitoreo global del sistema de Gestión Económica, lo
que conlleva una colaboración interdepartamental.
El Director es el encargado de la administración del sistema al desear tener los
únicos privilegios de acceso. Sin embargo, debido al bajo nivel de
conocimientos de informática que posee, la administración suele ser realizada
por un empleado de los multicines ajeno a la administración y sin
responsabilidad documentada.
El Departamento de Relaciones Públicas se encarga del monitoreo del sistema
de Gestión de la Programación y de los partes de incidencias y mantenimiento.
Debido a la abundante cantidad de trabajo que suele acumularse en este
departamento, la evaluación realizada suele ser pobre y se limita a comprobar
que los horarios son acertados y no hay inconsistencias en la programación.
Por todo ello es aconsejable la elaboración de un plan de control interno que regule
los procedimientos a seguir para la evaluación de los distintos sistemas y tecnologías.
Además de establecer dichos procedimientos, es necesario establecer un correcto
reparto de responsabilidades para evitar un mal monitoreo.
Sería de gran interés realizar 3 grandes evaluaciones de los sistemas con una
frecuencia mínima de 15 días:
Evaluación del sistema de Gestión Económica y de los sistemas de venta con
objetivo de comprobar que el balance de cuentas es correcto y corresponde con
el dinero obtenido. Esto permitirá un mejor control de la economía
aprovechando todas las posibilidades que ofrece el sistema. Es necesario
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 14
establecer los procedimientos de relación entre los dos departamentos
involucrados.
Evaluación del sistema de Gestión de Programación para comprobar la
efectividad de los mismos y el cumplimiento de todos los requisitos implicados
en la realización de la misma.
Evaluación de las infraestructuras y de las incidencias con el objetivo de
documentar correctamente el estado de las TI así cómo detectar posibles fallos
que surjan en cualquiera de los sistemas.
La realización de estas evaluaciones se debe realizar con total dedicación, por lo que es
indispensable un reparto de responsabilidades entre todos los empleados de la empresa.
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 15
4. PAPELES DE TRABAJO
4.1. Papel de trabajo 1: Presupuesto inicial
RECURSO CANTIDAD COSTE
Terminal TPV 2 1.550 €
Equipo Informático 1 1.300 €
Material Instalación LAN - 600 €
Material de Oficina - 250 €
Dirección del Proyecto - 13.641 €
Desarrollo del Proyecto - 31.765 €
Instalación LAN - 990 €
COSTE TOTAL 51.646 €
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 16
4.2. Papel de Trabajo 2: Balance de Gastos
RECURSO COSTE ESPERADO COSTE FINAL
Terminales 4.400 € 3.900 €
Material Extra 850 € 800 €
Empresa de Desarrollo 45.406 € 30.580 €
Instalación del Sistema 990 € 860 €
Gasto Total 51.646 € 35.366 €
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 17
4.3. Papel de Trabajo 3: Entrevista al Director de los Multicines
El director de “Multicines Ortega” es Manuel Ortega. Le hemos realizado una
pequeña entrevista para conocer su visión sobre el sistema implantado y sobre su visión
del futuro de los sistemas de información de la empresa. Su visión es crucial, pues es
una empresa pequeña de la que él es total responsable y debemos adecuarnos a sus
deseos.
A continuación podemos leer una transcripción textual de la entrevista al director:
Bagukira: Buenos días, ¿cuál es su opinión sobre la aplicación del plan estratégico
a corto plazo? ¿Se siente satisfecho con el resultado final?
Manuel Ortega: La aplicación del plan estratégico ha cumplido los plazos que se
me prometieron, cosa que no me esperaba, pues pensaba que tendría algún retraso. El
resultado final parece correcto, aunque el personal está haciéndose todavía con su uso y
eso conlleva algún retraso cuando cometen algún error. Si he de poner un pero es en el
presupuesto final, se me entregó un presupuesto que se ha visto muy reducido, lo que
está muy bien en el sentido económico, pero me hace sospechar de que esa bajada del
presupuesto conllevará un peor resultado.
Bagukira: Entonces, ¿hubiese preferido que no se hubiese reducido que el
presupuesto final hubiese sido igual que el inicial? ¿Tiene algún motivo para sospechar
de ello?
Manuel Ortega: No me refiero a eso, estoy contento con el presupuesto final, pues
esta es una empresa familiar y no podemos hacer locuras de gasto, pero el que el primer
presupuesto se vea reducido a la mitad me hace pensar que quizás se ha hecho un
trabajo con prisas y se han comprado peores componentes de los que se podían. Quizás
me equivoque, hablo desde el desconocimiento de la informática, quizás este bajada del
presupuesto solo sea debido a un fallo del que calculó el presupuesto inicial.
Bagukira: Desde su visión como director… ¿Qué debilidades le ve al sistema
implantado?
Manuel Ortega: Hasta ahora, los principales problemas vienen de un mal uso por
parte de los empleados que se solucionó de forma rápida por el servicio técnico, por lo
que creo que se hizo una mala formación de los empleados en el uso de las nuevas
tecnologías. Hay que ver que algunos empleados llevaban toda la vida trabajando con el
mismo sistema, y la aplicación de los TPV les puede liar al cambiar la forma de hacer
algunas cosas. También ha habido alguna caída del servidor, o eso me han dicho los
técnicos.
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 18
Bagukira: ¿Ha visto mejorado el día a día con este sistema? ¿Ha notado una mejora
económica debido a la implantación de los sistemas?
Manuel Ortega: Sinceramente, sí parece que se atiende más rápido a los clientes,
cuando no se equivocan los empleados, pero no he notado una mejora económica,
aunque también es verdad que no llevo un control muy especifico de ello.
Bagukira: Una vez ha visto los resultados, ¿volvería a invertir en Sistemas y
Tecnologías de la Información?
Manuel Ortega: Cuando me recupere económicamente de esta inversión sí, sin
duda, estoy decidido a aplicar estos sistemas para mejorar mi empresa, porque
realmente o te actualizas o te mueres. Estoy estudiando el plan que me presentó su
empresa para un medio plazo y estoy decidió a continuar con ello, aunque eso sí,
cuando me recupere económicamente.
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 19
4.4. Papel de Trabajo 4: Entrevista al Personal
A continuación puede verse la transcripción de las entrevistas a los empleados que
utilizan los sistemas de los TPVs:
1. Antonio Perez
Bagukira: Buenos días, ¿Cuál es su función dentro de la empresa?
Antonio Pérez: Soy uno de los cajeros encargados de la venta de tickets.
Bagukira: ¿Cuál es su opinión sobre los nuevos sistemas?
Antonio Pérez: En mi opinión funcionan muy bien, nos hacen más sencillo nuestro
trabajo y podemos rendir más.
Bagukira: ¿Se ha encontrado algún problema?
Antonio Pérez: No, yo no me he visto con ningún problema, bueno en un turno mío
se cayó el servidor, pero el servicio técnico lo arregló. Algunos de mis compañeros sí
han tenido problemas, pero bien se los he resuelto yo o bien el servicio técnico, los
problemas es porque son gente mayor, que no se lleva bien con las tecnologías.
Bagukira: ¿Cuál es su opinión de la formación recibida?
Antonio Pérez: Dimos un cursillo de un par de horas, en el que nos enseñaron
cómo usar el programa. Yo me enteré todo bien, aunque nos vendría muy bien un
manual más detallado en el que podamos ver de forma rápida como arreglar los fallos
más típicos. Más que nada para mis compañeros, que no tengan que estar llamando al
servicio técnico o acudiendo a mí, que eso conlleva bastante tiempo.
2. Sonia Fernández
Bagukira: Buenos días, ¿Cuál es su función dentro de la empresa?
Sonia Fernández: Soy una de los cajeras encargadas de la venta de tickets.
Bagukira: ¿Cuál es su opinión sobre los nuevos sistemas?
Sonia Fernández: Bueno, no me termino de llevar bien con ellos, pulso muchas
cosas que no debería. Cuando no me equivoco se va más rápido que antes.
Bagukira: ¿Se ha encontrado algún problema?
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 20
Sonia Fernández: Sí, no termino de controlar el funcionamiento del programa.
Menos mal que está Antonio por aquí echando una mano a todos. Aunque cuando él no
le toca trabajar lo notamos mucho, porque aunque el servicio técnico es rápido, no lleva
algún tiempo recuperarnos de algún fallo. Por mi que pongan a Antonio d encargado de
echarnos una mano, que deje la taquilla y nos ayude cuando nos equivocamos.
Bagukira: ¿Cuál es su opinión de la formación recibida?
Sonia Fernández: Bueno, la verdad es que no me enteré mucho del curso, ese día
pasé una mala noche y no presté mucha atención, me vendría bien tener un buen manual
para echar un vistazo, que el que nos dieron es muy simple y no nos explica como
sobreponernos de los errores.
3. Rubén Espinosa
Bagukira: Buenos días, ¿Cuál es su función dentro de la empresa?
Rubén Espinosa: Soy uno de los cajeros encargados de la venta en la cafetería.
Bagukira: ¿Cuál es su opinión sobre los nuevos sistemas?
Rubén Espinosa: Nos facilitan la vida, porque son muy intuitivos con los TPV y las
fotos de los productos, no tenemos que aprendernos cientos de precios y meterlos uno a
uno en la máquina registradora.
Bagukira: ¿Se ha encontrado algún problema?
Rubén Espinosa: Sí, bueno, ya sabes, a veces le das sin querer a dónde no debes, al
principio me ayudaba Antonio, pero ahora se arreglar los errores yo solo.
Bagukira: ¿Cuál es su opinión de la formación recibida?
Rubén Espinosa: El cursillo estuvo bien, aunque nos enseñaron como hacer las
cosas, no como arreglarlas cuando las hicimos mal.
4. Emilio Castaño
Bagukira: Buenos días, ¿Cuál es su función dentro de la empresa?
Emilio Castaño: Soy uno de los cajeros encargados de la venta en la cafetería y
también hago algún turno en la taquilla.
Bagukira: ¿Cuál es su opinión sobre los nuevos sistemas?
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 21
Emilio Castaño: Bastante bien cuando van bien, dan muchos problemas cuando no.
Yo a mi edad me cuesta aprender a usar maquinas nuevas, y me tengo que pelear mucho
con ellas, pero bueno, supongo que me acostumbraré.
Bagukira: ¿Se ha encontrado algún problema?
Emilio Castaño: Todos, no creo que haya algún problema que no haya causado ya.
Gracias a que Antonio controla todo bien.
Bagukira: ¿Cuál es su opinión de la formación recibida?
Emilio Castaño: No había forma de enterarse de nada, los que dieron el cursillo
parecía que me hablaban en chino, luego Antonio me lo explico con palabras
“normales” y me enteré de algo, aunque la verdad, he ido aprendiendo a usarlo
equivocándome.
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 22
4.5. Papel de Trabajo 5: Parte de Incidencias
Fecha Incidencia
06/02/2008 Duda en creación de productos
15/02/2008 Caída del servidor
13/03/2008 Duda en el guardado y eliminación de datos
13/04/2008 Apagón y problemas de conexión en la red
14/06/2008 Mala impresión de Tickets
27/06/2008 Pantallazo azul
01/08/2008 Ventana de error desconocida
05/08/2008 El terminal produce mucho ruido
14/09/2008 Comportamiento extraño del sistema, aparición de
ventanas publicitarias
19/09/2008 No se puede acceder al sistema
01/10/2008 Bloqueo de la aplicación
09/10/2009 Caída del servidor
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 23
4.6. Papel de Trabajo 6: Extracto del Plan de Riesgos
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 24
4.7. Papel de Trabajo 7: Entrevista al Departamento de Relaciones Públicas
Dentro de los multicines, nos encontramos con el encargado del departamento de
relaciones públicas. Éste no es un departamento de relaciones públicas al uso, sino que
su trabajo conlleva además la relación con proveedores, distribuidoras y con Bagukira.
A continuación podemos leer una transcripción textual de la entrevista que se realizó
a su responsable:
Bagukira: Buenos días, ¿podría comentarme cuáles son sus responsabilidades
dentro de la empresa?
Antonio López: Si, soy el responsable del departamento de relaciones públicas de
los multicines.
Bagukira: Pero tengo entendido que su trabajo va mas allá, ¿no?
Antonio López: Si, esta es una pequeña empresa en la que trabajamos unos cuantos.
Aunque yo mi trabajo se llame relaciones públicas, no solo consiste en las relaciones
con la prensa y los clientes, sino que también me encargo de las relaciones con los
proveedores de la cafetería, con las distribuidoras de las películas y, en general,
cualquier relación con empresas que nos ayuden a funcionar.
Bagukira: Por lo tanto, ¿usted es el encargado de contactar con nuestra empresa?
Antonio López: Sí, cuando el director decidió instalar los nuevos sistemas, yo fui el
encargado de buscar la empresa y contactar con ella. Además ahora soy el encargado de
hablar con el servicio técnico en caso de problemas en los sistemas.
Bagukira: ¿Y qué tal es esa comunicación?
Antonio López: Es bastante buena, la verdad que su servicio técnico funciona bien,
y se solucionan los problemas correctamente, sobre todo cuando los problemas están en
el plan de riesgos que nos entregasteis. Lástima que muchos de esos riesgos no sean
todo lo reales que pudieron ser.
Bagukira: ¿A qué se refiere?
Antonio López: Bueno, que muchos de los problemas a los que nos enfrentamos en
los multicines no aparecen en ese plan de riesgos. El plan es muy completo, pero unos
informáticos no pueden saber todos los problemas de los multicines, pero nuestro
director está bastante ocupado y no pudimos perfeccionar ese plan.
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 25
4.8. Papel de Trabajo 8: Análisis de Requisitos y Modelo del Sistema
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 27
4.9. Papel de Trabajo 9: Análisis de Requisitos y Modelo del Sistema
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 28
4.10. Papel de Trabajo 10: Metodología Empleada
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 30
4.11. Papel de Trabajo 11: Captura de la Interfaz
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 31
4.12. Papel de Trabajo 12: Riesgo con las Distribuidoras
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 32
4.13. Papel de Trabajo 13: Modelo de Encuesta
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 33
4.14. Papel de Trabajo 14: Abuso de Switchs
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 36
4.15. Papel de Trabajo 15: Malas Conexiones
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 37
4.16. Papel de Trabajo 16: Malas Canalizaciones
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 38
4.17. Papel de Trabajo 17: Captura de Windows Vista
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 39
4.18. Papel de Trabajo 18: Software no Original
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 40
4.19. Papel de Trabajo 19: Listado de Compras
Producto Cantidad Precio Total Proveedor
Portátil Ahtec Sense XHL90 1 699€ 699€ Ahtec
Impresora HP LASER COLOR CP1215 2 149€ 298€ UPI
IMPRESORA SAMSUNG SRP 275APG NEGRA (para tickets)
4 185,5€ 742€ APP
CAJON PORTAMONEDAS EC 410NEGRO
4 35,1€ 140,4€ APP
MONITOR 15 TFT TACTIL LGL1510BF 1024
2 404,4 808,8€ APP
TAMBOR 100 CD-R 700 VERBATIM 52X
10 42,46€ 424,6€ PCBOX
hd externo sata 2.5" 80gb fully top ft2512 ngr usb2.0
1 49,9€ 49,9€ UPI
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 41
4.20. Papel de Trabajo 20: Entrevista a Desarrolladores
Para un mejor conocimiento de los posibles problemas de seguridad y cuál es la
causa de los mismos es necesario entrevistar al equipo de desarrollo del sistema de
información.
A continuación podemos leer una transcripción textual de la entrevista al equipo de
desarrollo:
Bagukira: Buenos días, para empezar ¿Podríais resumirme en qué consiste el
sistema implantado?
Equipo: Si, a grandes rasgos el sistema de información instalado es básicamente un
sistema de gestión económica para los multicines. Existe un sistema central que se
encarga de recoger todos los datos de ventas en taquilla y cafetería y realiza las labores
contables necesarias para la empresa. Además se instalaron unos TPVs con unas
aplicaciones que simplifiquen la venta en taquilla y cafetería y que, a su vez, envíen la
información de las ventas al sistema central. Todo está conectado mediante una red
local y existe una base de datos común instalada en el terminal del sistema de
administración.
Bagukira: Ahora, sino os importa, nos centraremos en la seguridad que añadisteis
al sistema. ¿Existe alguna seguridad en el acceso a los sistemas?
Equipo: Si, el sistema de administración tiene un usuario y un password que está en
poder del director de los multicines. Desde ese sistema se puede dar de alta a usuarios
para los TPV, nosotros aconsejamos al director que crease un perfil para cada empleado
y que variase el nombre de usuario y la contraseña mensualmente, para evitar posibles
accesos no deseados. Además aconsejamos que el password no sea contenga ninguna
dato como el nombre del empleado, de la empresa, etc., sino que fuese una simple
combinación de letras y números sin ningún significado concreto. Aunque, como todos
sabemos, luego pocas personas siguen luego estos consejos.
Bagukira:¿Existe algún tipo de seguridad frente a posibles averías que provoquen
pérdidas de información?
Equipo: Nosotros implementamos en el sistema de administración una pequeña
aplicación que permitiese la copia de seguridad de la base de datos, y aconsejamos su
uso al menos una vez por semana y no almacenar dichas copias juntas, porque en caso
de catástrofe, no solucionaría nada. Ellos son los que deben cuidar de hacerlas. Además,
desarrollamos un plan de riesgos muy completo que prevé muchas situaciones de riesgo,
pero está en la mano de la empresa el realizar comprobaciones de que dicho plan
funciona (haciendo simulacros, por ejemplo).
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 42
4.21. Papel de Trabajo 21: Parte de Incidencias de un Apagón
Efectos
Desconfiguración del router principal que conecta el servidor con los terminales de venta.
Recaudación manual en cafetería durante el apagón.
Retraso de 20 minutos en el comienzo del pase debido a la impresión automática de
tickets de entrada.
Tras el apagón, los terminales de venta funcionan normalmente, pero debido a la pérdida
de la conexión con el terminal del servidor a causa de la desconfiguración del router, los
datos de recaudación no son almacenados.
Tras restaurar el terminal del servidor y comprobar el sistema de contabilidad, éste
muestra un fallo al no concordar los datos de ventas con la recaudación de la noche.
Fecha Hora Incidencia Causa
13/04/2008 21:45 (Pase de
Estreno a las 22:00)
Apagón y problemas
de conexión en la
red
Corte de la luz en el local
durante un lapso de 7:00
minutos.
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 43
4.22. Papel de Trabajo 22: Clave a la vista
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 44
4.23. Papel de Trabajo 23: Programas no deseados
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 45
4.24. Papel de Trabajo 24: Páginas web no deseadas
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 46
4.25. Papel de Trabajo 25: Antivirus sin actualizar
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 47
4.26. Papel de Trabajo 26: Puertos abiertos en el firewall
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 48
4.27. Papel de Trabajo 27: Parte de incidencias detallado
Fecha Incidencia Causa Efecto
15/02/2008 Caída del servidor Apagado accidental del
terminal del servidor
Reinicio del servidor.
13/04/2008 Apagón y problemas de
conexión en la red
Corte temporal de la luz
en el local
Desconfiguración del
router principal que
conecta el servidor con
los terminales de venta.
27/06/2008 Pantallazo azul Error interno de
Windows Vista
Necesario el reinicio
del servidor y por
consiguiente de la
conexión con los
terminales de venta.
14/09/2008 Comportamiento extraño
del sistema, aparición de
ventanas publicitarias
Servidor infectado con
un virus
Necesaria una
actualización urgente
del antivirus junto con
una limpieza completa
del sistema.
Encontrados virus en
archivos de informes
que han debido ser
eliminados por
seguridad. Pérdida de
datos.
01/10/2008 Bloqueo de la aplicación Uso indebido de la
aplicación del terminal
de caja que provoca su
colapso
Necesario el reinicio
del sistema durante el
pase de estreno de la
semana. La pérdida de
tiempo durante el
reinicio provoca la
espera de los
espectadores en caja y
el retraso en la hora de
comienzo de el pase.
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 49
4.28. Papel de Trabajo 28: Ambiente poco adecuado
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 50
4.29. Papel de Trabajo 29: Poca seguridad
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 51
4.30. Papel de Trabajo 30: Falta de limpieza
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 52
4.31. Papel de Trabajo 31: No protección del Cableado
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 53
4.32. Papel de Trabajo 32: Organigrama
Dirección
Departamento de Ventas
Departamento de Gestión Económica
Departamento de Relaciones
Públicas
Auditoría realizada a “Multicines Ortega”
Auditoría y Seguridad Informática 54
4.33. Papel de Trabajo 33: Informes del TPV
INFORME DIARIO DE GASTOS
Fecha: 23–04-2007
Resumen de Ventas
PRODUCTO UNIDADES PRECIO UD.
(€) TOTAL (€) VERIFICADO
Palomitas 140 3 420 □ Coca-Cola 210 2.25 472.5 □
Fanta Naranja 63 2.25 141.75 □
Fanta Limón 12 2.25 27 □
Bolsita Gominolas
33 1 33 □
TOTAL
1094.25 □
*Todos los precios incluyen IVA 16%
Incidencias
Verificado por:
Nombre:
Firma:
top related