Auditora Informtica

Casos de Hallazgos

FACULTAD DE INGENIERIA DE SISTEMAS, CMPUTO Y TELECOMUNICACIONES

Ciclo: Dcimo | Seccin: A | Aula: 305

Mircoles: 08:40 p.m. a 10:10 p.m.Jueves: 07:10 p.m. a 08:40 p.m.

Juan Carlos Rodrguez Sulca, ING, MBA

Juan Carlos Rodrguez Sulca, ING, MBA. Todos los derechos reservados. Prohibida su reproduccin total o parcial, o su uso comercial sin permiso del autor.

CASO 1 ACTUALIZACIN DE BASE DE DATOS (1/6)

CONDICIN

Mediante Oficio Mltiple N 059-2003-AG-DGPA de 07.JUL.03, el Director General de la Direccin General de Promocin Agraria (DGPA), distribuye a los Directores Regionales Agrarios y Directores de Promocin Agraria a nivel nacional, el Sistema informtico para el Seguimiento y Monitoreo de las Cadenas Productivas de la DGPA, el cual permitira contar con una base de datos del proceso de conformacin de las cadenas productivas, tal como lo seala el inciso b) del artculo 42 del Reglamento de Organizacin y Funciones del Ministerio de Agricultura Direccin General de Promocin Agraria.

Con el fin de tomar conocimiento sobre el procedimiento de actualizacin de la informacin en el Sistema, se solicit a la DGPA mediante Oficio N 001-2004-AG-OCI/COM.AG.DGPA de 22.ENE.04, el Manual del Usuario respectivo, pedido que fue alcanzado con Oficio N 131-2004-AG-DGPA/DG-GAF de 30.ENE.04.

Debido a que la versin del Manual del Usuario alcanzado corresponde a la versin elaborada en el mes de Octubre del 2003 (MANUAL B), se tuvo que ubicar en las DPAS el Manual del Usuario que fuera distribuido inicialmente con el sistema, el cual tiene fecha de elaboracin Junio del 2003 (MANUAL A).

Juan Carlos Rodrguez Sulca, ING, MBA. Todos los derechos reservados. Prohibida su reproduccin total o parcial, o su uso comercial sin permiso del autor.

CASO 1 ACTUALIZACIN DE BASE DE DATOS (2/6)

Al respecto, de la revisin a los procedimientos de actualizacin de la base de datos de las cadenas productivas, establecidos en cada uno de los MANUALES A) y B) numeral II - Distribucin de Formatos y Periodicidad de Envo, verificamos que coinciden en indicar lo siguiente:

La periodicidad de envo de informacin desde la DRAS a la Sede Central se realizar trimestralmente.

Los formatos de entrada de datos al Sistema de Monitoreo deben ser distribuidas desde cada Direccin de Promocin Agraria de la Regin (DPA) a las respectivas Agencias Agrarias de su mbito, las cuales deben ser completadas en su totalidad por los especialistas a cargo y devueltas a la DPA Regional a ms tardar el da 30 de cada mes.

La DPA Regional procesar la informacin de los formatos recepcionados e ingresarlos al Sistema de Monitoreo y Seguimiento de Cadenas Productivas a travs de los mdulos respectivos.

La Direccin Regional transferir los archivos de envo (informacin ya procesada) a la Sede Central para su consolidacin a nivel nacional y posterior publicacin, a la siguiente direccin electrnica: dopa@minag.gob.pe.

Juan Carlos Rodrguez Sulca, ING, MBA. Todos los derechos reservados. Prohibida su reproduccin total o parcial, o su uso comercial sin permiso del autor.

CASO 1 ACTUALIZACIN DE BASE DE DATOS (3/6)

Asimismo, verificamos que las fechas para el envo de informacin de las DPAS a nivel nacional a la DGPA, establecidas en cada uno de los MANUALES A) y B) son diferentes, tal como se muestra en el siguiente cuadro:

Del cuadro N 1 se observa que, la DGPA con la distribucin a las Direcciones Regionales Agrarias y Direcciones de Promocin Agraria del MANUAL B, vara la fecha del segundo envo de informacin a la DGPA, que segn el MANUAL A corresponda efectuarlo el 30.OCT.03, estableciendo su envo para el mes de noviembre del 2003. Lo mencionado en el prrafo anterior se ve agravado, toda vez que la periodicidad de envo de informacin establecida en el MANUAL B) no ha sido respetada, evidencindose con los E-Mail mostrados en el cuadro N 2 y que fueran remitidos por el responsable del rea de Informtica de la DGPA a las DPAS a nivel nacional.

Juan Carlos Rodrguez Sulca, ING, MBA. Todos los derechos reservados. Prohibida su reproduccin total o parcial, o su uso comercial sin permiso del autor.

CASO 1 ACTUALIZACIN DE BASE DE DATOS (4/6)

De la evaluacin al procedimiento de actualizacin de la base de datos de las cadenas productivas, se observa que la DGPA: Determin el envo de informacin de manera trimestral, con lo que limita a los Especialista de las Cadenas Productivas de la DGPA, el contar con informacin oportuna y pertinente para el adecuado seguimiento y monitoreo de las cadenas productivas. Otorg 15 das de plazo a las DPAS a nivel nacional para que enven la informacin correspondiente a los dos (02) primeros trimestres, lo que es razonable ya que el sistema se distribuy oficialmente el 07.JUL.03.

Juan Carlos Rodrguez Sulca, ING, MBA. Todos los derechos reservados. Prohibida su reproduccin total o parcial, o su uso comercial sin permiso del autor.

CASO 1 ACTUALIZACIN DE BASE DE DATOS (5/6)

Concedi de manera excesiva dos (02) meses de plazo para el envo de informacin del tercer trimestre, que inicialmente debi realizarse el 30.OCT.03 extendindose a todo el mes de noviembre, para luego dar como fecha lmite el 05.DIC.03. No establece una fecha exacta para el envo de informacin, indicando slo el mes en el cual debe efectuarse. Establece las fechas lmite para el envo de informacin muy rezagada con relacin al ltimo da de cada trimestre.

Por lo antes expuesto se determina que para el ao 2003, la base de datos de las principales cadenas productivas no se encontr actualizada, debido a que para el primer y segundo trimestre la informacin fue recepcionada hasta el 15.AGO.03, y para el tercer trimestre fue hasta el 05.DIC.03, aadindoles a estas fechas los tiempos invertidos para la consolidacin a nivel nacional y la distribucin de la informacin a los especialistas de las cadenas en la DGPA. Por ltimo es necesario sealar que no se tom conocimiento de la entrega de informacin concerniente al cuarto trimestre del 2003.

Juan Carlos Rodrguez Sulca, ING, MBA. Todos los derechos reservados. Prohibida su reproduccin total o parcial, o su uso comercial sin permiso del autor.

CASO 1 ACTUALIZACIN DE BASE DE DATOS (6/6)

CRITERIO

Lo comentado infringe lo establecido en: Reglamento de Organizacin y Funciones del Ministerio de Agricultura, aprobado

mediante Decreto Supremo N 017-2001-AG de 18.ABR.01, en su captulo VIII rganos de Lnea - Direccin General de Promocin Agraria, que en su artculo 42 inciso b), seala lo siguiente: Disear y supervisar la actualizacin de la Base de Datos de las principales Cadenas Productivas y.

EFECTO

Lo mencionado ocasiona que la Direccin General de Promocin Agraria, no cuente con informacin oportuna y pertinente para el adecuado Seguimiento y Monitoreo de las Principales Cadenas Productivas.

Juan Carlos Rodrguez Sulca, ING, MBA. Todos los derechos reservados. Prohibida su reproduccin total o parcial, o su uso comercial sin permiso del autor.

CASO 1 ACTUALIZACIN DE BASE DE DATOS - SUMILLA

LA BASE DE DATOS DE LAS PRINCIPALES CADENAS PRODUCTIVAS NO SE ENCONTR ACTUALIZADA DURANTE EL AO 2003, HECHO QUE PUDO LIMITAR A LA DIRECCIN GENERAL DE PROMOCIN AGRARIA DE CONTAR CON INFORMACIN OPORTUNA Y PERTINENTE PARA EL ADECUADO SEGUIMIENTO Y MONITOREO.

Juan Carlos Rodrguez Sulca, ING, MBA. Todos los derechos reservados. Prohibida su reproduccin total o parcial, o su uso comercial sin permiso del autor.

CASO 2 SEGURIDAD EN LOS SISTEMAS (1/5)

CONDICIN

Durante los aos 2002 y 2003 la Direccin General de Promocin Agraria (DGPA) a travs de su rea Funcional de Informtica (DGPA-INFORMTICA), ha desarrollado dos (02) sistemas de informacin:

Sistema 1Seguimiento y Monitoreo de Cadenas Productivas (MONITOR), que realizara el seguimiento al proceso de conformacin de las Cadenas Productivas. (Julio del 2002).

Sistema 2Gestin Presupuestal y Administrativa, que permitira controlar y administrar la informacin de presupuesto y ejecucin de gastos en las Direcciones Regionales Agrarias (DRA). (Julio del 2003).

Estos sistemas son utilizados en las Direcciones de Promocin Agrarias (DPAS) de las Direcciones Regionales Agrarias (DRAS) del pas, donde se consolida a nivel regional la informacin proveniente de las Agencias Agrarias, para luego ser remitida va E-Mail a la DGPA-INFORMTICA en donde se consolida a nivel nacional. Dado que la informacin se maneja electrnicamente y con el fin de salvaguardar los datos fuente de origen, la comisin de auditora evalu los controles de seguridad implementados en dichos sistemas, as como el acceso a la base de datos sin utilizar los sistemas (acceso directo).

Juan Carlos Rodrguez Sulca, ING, MBA. Todos los derechos reservados. Prohibida su reproduccin total o parcial, o su uso comercial sin permiso del autor.

CASO 2 SEGURIDAD EN LOS SISTEMAS (2/5)

Para tal efecto, mediante Oficio N 001-2004-AG-OCI/COM.AG.DGPA de 22.ENE.04, se solicit a la Direccin General de Promocin Agraria (DGPA) los Manuales del Usuario respectivos, pedido que fue alcanzado con Oficio N 131-2004-AG-DGPA/DG-GAF de 30.ENE.04. De la revisin a los Manuales de Usuario se observ en los procedimientos de ingreso al sistema, lo siguiente:

SISTEMA 1) Clave de Acceso Para operar con el Sistema el usuario autorizado deber registrar una clave de acceso (password). Esta clave deber guardarla cuidadosamente a efectos de que personas ajenas al manejo del sistema no puedan ingresar indebidamente. Si no se ingresa la clave correcta, el sistema mostrar un mensaje de error volviendo a presentar la pantalla de bienvenida hasta que se ingrese la clave correcta.

Juan Carlos Rodrguez Sulca, ING, MBA. Todos los derechos reservados. Prohibida su reproduccin total o parcial, o su uso comercial sin permiso del autor.

CASO 2 SEGURIDAD EN LOS SISTEMAS (3/5)

SISTEMA 2) Accesando al Sistema Para iniciar una sesin de trabajo con el Sistema de Gestin Presupuestal, el usuario necesita autenticar y validar su acceso. La carga del sistema se inicia ingresando el nombre del usuario y contrasea. Las observaciones indicadas en los prrafos precedentes, fueron tomados en cuenta para la evaluacin de los sistemas durante el trabajo de campo que se realiz en la Direccin General de Promocin Agraria y en las Direcciones Regional Agrarias de Lima Callao, San Martn y Cusco. Esta evaluacin consisti en verificar la seguridad implementada en los accesos de los sistemas 1) y 2) y determinar si los usuarios registrados podan realizar sin ninguna restriccin ingresos, consultas, modificaciones y eliminaciones de datos. As mismo se verific los controles de seguridad implementados en las bases de datos con las que trabajan dichos sistemas.

Juan Carlos Rodrguez Sulca, ING, MBA. Todos los derechos reservados. Prohibida su reproduccin total o parcial, o su uso comercial sin permiso del autor.

CASO 2 SEGURIDAD EN LOS SISTEMAS (4/5)

Los resultados indicaron que: Ambos sistemas realizan los procedimientos de ingreso segn lo establecido en sus respectivos Manuales del Usuario. El SISTEMA 1) no admite el registro de usuarios con niveles de administracin y consulta, otorgando a los usuarios que acceden todas las opciones de ingreso, consulta, modificacin y eliminacin de datos. La seguridad en ambos sistemas es vulnerable, ya que las bases de datos con las que trabajan, pueden ser accesadas directamente sin necesidad de proporcionar una contrasea en el ingreso. Las contraseas registradas en las bases de datos, no se encuentran encriptadas, permitiendo de esta manera su lectura directamente de la base de datos. Utilizando el MS Excel se puede obtener los usuarios y contraseas registrados para ambos sistemas directamente de la base de datos. Utilizando diversos programas gratis que se encuentran en la Internet (+SQL, CuteSQL, BlueShell, etc) se pueden realizar ingresos, consultas, modificaciones y eliminaciones de datos directamente en la base de datos

Juan Carlos Rodrguez Sulca, ING, MBA. Todos los derechos reservados. Prohibida su reproduccin total o parcial, o su uso comercial sin permiso del autor.

CASO 2 SEGURIDAD EN LOS SISTEMAS (5/5)

CRITERIOSIndicar

EFECTO

Lo hechos expuestos ponen en riesgo la informacin sobre Seguimiento y Monitoreo de las Cadenas Productivas, as como la de Gestin Presupuestal y Administrativa de la DGPA, al poder ser accesada y alterada por personal no autorizado.

Juan Carlos Rodrguez Sulca, ING, MBA. Todos los derechos reservados. Prohibida su reproduccin total o parcial, o su uso comercial sin permiso del autor.

CASO 2 SEGURIDAD EN LOS SISTEMAS - SUMILLA

DEFICIENCIAS EN LA SEGURIDAD DE LOS SISTEMAS DE SEGUIMIENTO Y MONITOREO DE CADENAS PRODUCTIVAS Y GESTION PRESUPUESTAL Y ADMINISTRATIVA DESARROLLADOS POR LA DIRECCIN GENERAL DE PROMOCIN AGRARIA, AS COMO EN EL ACCESO DIRECTO A LAS BASES DE DATOS CON LAS QUE TRABAJAN, PONEN EN RIESGO POTENCIAL LA INFORMACIN AL PODER SER ACCESADA Y ALTERADA POR PERSONAL NO AUTORIZADO.

Juan Carlos Rodrguez Sulca, ING, MBA. Todos los derechos reservados. Prohibida su reproduccin total o parcial, o su uso comercial sin permiso del autor.

CASO 3 GESTIN DE PROYECTOS (1/5)

CONDICIN

Durante los aos 2002 y 2003 la Direccin General de Promocin Agraria (DGPA) a travs de su rea Funcional de Informtica (DGPA-INFORMTICA), ha desarrollado dos (02) sistemas de informacin:

Sistema 1Seguimiento y Monitoreo de Cadenas Productivas (MONITOR), que realizara el seguimiento al proceso de conformacin de las Cadenas Productivas. (Julio del 2002).

Sistema 2Gestin Presupuestal y Administrativa, que permitira controlar y administrar la informacin de presupuesto y ejecucin de gastos en las Direcciones Regionales Agrarias (DRA). (Julio del 2003).

Estos sistemas son utilizados en las Direcciones de Promocin Agrarias (DPAS) de las Direcciones Regionales Agrarias (DRAS) del pas, donde se consolida a nivel regional la informacin proveniente de las Agencias Agrarias, para luego ser remitida va E-Mail a la DGPA-INFORMTICA en donde se consolida a nivel nacional. Dado que la informacin se maneja electrnicamente y con el fin de salvaguardar los datos fuente de origen, la comisin de auditora evalu los controles de seguridad implementados en dichos sistemas, as como el acceso a la base de datos sin utilizar los sistemas (acceso directo)

Juan Carlos Rodrguez Sulca, ING, MBA. Todos los derechos reservados. Prohibida su reproduccin total o parcial, o su uso comercial sin permiso del autor.

CASO 3 GESTIN DE PROYECTOS (2/5)

Para tal efecto, mediante Oficio N 001-2004-AG-OCI/COM.AG.DGPA de 22.ENE.04, se solicit a la Direccin General de Promocin Agraria (DGPA) los Manuales del Usuario respectivos, pedido que fue alcanzado con Oficio N 131-2004-AG-DGPA/DG-GAF de 30.ENE.04. De la revisin a los Manuales de Usuario se observ en los procedimientos de ingreso al sistema, lo siguiente:

SISTEMA 1) Clave de Acceso Para operar con el Sistema el usuario autorizado deber registrar una clave de acceso (password). Esta clave deber guardarla cuidadosamente a efectos de que personas ajenas al manejo del sistema no puedan ingresar indebidamente. Si no se ingresa la clave correcta, el sistema mostrar un mensaje de error volviendo a presentar la pantalla de bienvenida hasta que se ingrese la clave correcta.

Juan Carlos Rodrguez Sulca, ING, MBA. Todos los derechos reservados. Prohibida su reproduccin total o parcial, o su uso comercial sin permiso del autor.

CASO 3 GESTIN DE PROYECTOS (3/5)

SISTEMA 2) Accesando al Sistema Para iniciar una sesin de trabajo con el Sistema de Gestin Presupuestal, el usuario necesita autenticar y validar su acceso. La carga del sistema se inicia ingresando el nombre del usuario y contrasea. Las observaciones indicadas en los prrafos precedentes, fueron tomados en cuenta para la evaluacin de los sistemas durante el trabajo de campo que se realiz en la Direccin General de Promocin Agraria y en las Direcciones Regional Agrarias de Lima Callao, San Martn y Cusco. Esta evaluacin consisti en verificar la seguridad implementada en los accesos de los sistemas 1) y 2) y determinar si los usuarios registrados podan realizar sin ninguna restriccin ingresos, consultas, modificaciones y eliminaciones de datos. As mismo se verific los controles de seguridad implementados en las bases de datos con las que trabajan dichos sistemas.

Juan Carlos Rodrguez Sulca, ING, MBA. Todos los derechos reservados. Prohibida su reproduccin total o parcial, o su uso comercial sin permiso del autor.

CASO 3 GESTIN DE PROYECTOS (4/5)

Los resultados indicaron que: Ambos sistemas realizan los procedimientos de ingreso segn lo establecido en sus respectivos Manuales del Usuario. El SISTEMA 1) no admite el registro de usuarios con niveles de administracin y consulta, otorgando a los usuarios que acceden todas las opciones de ingreso, consulta, modificacin y eliminacin de datos. La seguridad en ambos sistemas es vulnerable, ya que las bases de datos con las que trabajan, pueden ser accesadas directamente sin necesidad de proporcionar una contrasea en el ingreso. Las contraseas registradas en las bases de datos, no se encuentran encriptadas, permitiendo de esta manera su lectura directamente de la base de datos. Utilizando el MS Excel se puede obtener los usuarios y contraseas registrados para ambos sistemas directamente de la base de datos. Utilizando diversos programas gratis que se encuentran en la Internet (+SQL, CuteSQL, BlueShell, etc) se pueden realizar ingresos, consultas, modificaciones y eliminaciones de datos directamente en la base de datos.

Juan Carlos Rodrguez Sulca, ING, MBA. Todos los derechos reservados. Prohibida su reproduccin total o parcial, o su uso comercial sin permiso del autor.

CASO 3 GESTIN DE PROYECTOS (5/5)

CRITERIO

Indicar

Lo hechos expuestos ponen en riesgo la informacin sobre Seguimiento y Monitoreo de las Cadenas Productivas, as como la de Gestin Presupuestal y Administrativa de la DGPA, al poder ser accesada y alterada por personal no autorizado.

Juan Carlos Rodrguez Sulca, ING, MBA. Todos los derechos reservados. Prohibida su reproduccin total o parcial, o su uso comercial sin permiso del autor.

CASO 3 GESTIN DE PROYECTOS - SUMILLA

LOS SISTEMAS DE SEGUIMIENTO Y MONITOREO DE CADENAS PRODUCTIVAS Y GESTION PRESUPUESTAL - ADMINISTRATIVA DE LA DIRECCIN GENERAL DE PROMOCIN AGRARIA, NO HAN SIDO IMPLEMENTADOS DESPUES DE DOS (02) AOS DE HABER INICIADO SU DESARROLLO, EVIDENCINDOSE AS LA FALTA DE METODOLOGA PARA UN ADECUADO DESARROLLO DE LOS SISTEMAS.