Proiect ASCI

ACADEMIA DE STUDII ECONOMICE BUCURESTI

FACULTATEA DE CONTABILITATE SI INFORMATICA DE GESTIUNE

Master Contabilitate si Audit In Institutiile Bancare si Financiare

PROIECT

AUDITUL SI CONTROLUL SISTEMULUI INFORMATIC AL

SC DATA CONSULTING SRL

Studenti:

Constantin Ramona

Manoliu Cosmin

Petre Marinela

Radoi Bogdan

Zahiu Lorena

BUCURESTI

2013

2

CAPITOLUL I

PREZENTAREA SOCIETATII

Denumire: SC DATA CONSULTING SRL

Obiect de activitate: 6920 - Activitati de contabilitate si audit financiar, consultanta in domeniul fiscal

CUI: 16080936

Nr. Reg.Com.: J40/924/2005

Capital social: 200 lei

Numar angajati: 10 salariati

Sediu: Bucuresti, sector 3, strada Florin Ciungan, nr 5B

Societatea presteaza urmatoarele servicii:

1) Evidenta contabila : - consiliere in intocmirea documentelor contabile primare

- inregistrarea documentelor primare pe articole contabile

- intocmirea balantei lunare de verificare, jurnalelor de TVA

- intocmirea registrului inventar si jurnal, cartea mare

- obtinerea de certificate de atestare fiscala

2) Salarizare si personal: -intocmirea statelor de salarii, a tuturor declaratiilor aferente salariilor

- intocmirea/inregistrarea contractelor de munca la ITM

- intocmirea actelor aditionale, deciziilor de incetare

- completarea registrului general de evidenta a salariilor (REVISAL)

3) Infiintari societati comerciale

4) Consultanta fiscala : - impozitul pe veniturile obtinute in Romania de nerezidenti

- impozite si taxe locale

- TVA

In structura organizationala exista urmatoarele departamente:

Departamentul de Resurse Umane

Departamentul Financiar - Contabil

Departamentul Juridic

Departamentul de IT

Secretariatul

In cadrul firmei avem 10 angajati :

-in cadrul departamentului de resurse umane =1 angajat ; acces partial

-in cadrul departamentului financiar contabil = 4 angajati; acces partial

- in cadrul departamentului juridic = 1 salariati ; acces partial

- in cadrul departamentului de IT = 2 angajati; acces la toate aplicatiile

- o secretara; acces partial

- un manager; acces la toate aplicatiile.

3

Departamentul de resurse umane are rolul de a atrage, a selecta si de a angaja noi angajati

utilizand informatii din CV, recomandari si interviuri; asigurarea ca angajatii au educatia, instruirea si

scolarizarea pentru a-si indeplini obligatiile; utilizarea unui proces eficace pentru a analiza

performantele angajatilor si pentru a determina bonusurile si maririle de salarii; calcularea salariilor si

beneficiilor fiecarui angajat; comunicarea schimbarilor de salariu, a beneficiilor.

Departamentului financiar contabil are rolul de a stabili bugetul impreuna cu directorul;

evalueaza fezabilitatea planului de afaceri; aproba politica de preturi si propune metode de maximizare

a profitului; previzioneaza fluxul de numerar si gestioneaza resursele financiare ale companiei;

calculeaza impozitul pe profit si taxele aferente salariilor; pregateste Contul de Profit si Pierdere,

Bilantul; isi asuma responsabilitatea acuratetii informatiilor transmise directorului si a celor prezentate

in rapoartele companiei; este responsabil fata de actionari si fata de angajati de gestionarea corecta si

eficienta a resurselor financiare ale companiei.

Departamentului juridic are rolul de a asigura sanatatea juridica a unei firme, ajutand-o sa

anticipeze si sa rezolve problemele pe care le ridica aplicarea normelor si reglementarilor legale in

activitatile comerciale.

Departamentului de IT are urmatarele roluri:

administrarea si monitorizarea statiilor de lucru, a serverelor si a retelei IT;

instalarea, administrarea si monitorizarea solutiilor de securitate IT;

acces la IT Protection Center Centrul de Suport Pluriva functional 24X7X365;

rezolvarea prompta a oricaror problemele de IT, prin timpul rapid de interventie si printr-o procedura

clara de ticketing;

Centru de suport dedicat angajatilor care lucreaza de acasa sau din alta locatie si celor deplasati la

sediul clientilor; Mobilitatea angajatilor, care au nevoie sa isi acceseze aplicatiile business,

documentele interne, mesajele email si calendarul din afara companiei.

Abilitatile si rolul secretarei: stabilirea si mentinerea relatiilor de lucru; capacitatea de a

raspunde cu diplomatie la cererile clientilor; sa poata oferii informatii cu privire la toate intrebarile

clientilor,stabilirea de intalniri.

Rolul managerului:

Disciplina si abilitati manageriale pentru a se asigura ca oamenii respecta procesele si

procedurile standard.

Abilitatea de a conduce oamenii astfel incat echipa sa vrea sa urmeze directia stabilita. Arta de a

conduce si inspira oamenii (leadership-ul) se rezuma la comunicarea viziunii si la convingerea

echipei sa o accepte si sa se straduiasca sa o puna in practica.

Stabilirea unor asteptari obiective, dar provocatoare si clare de la oameni si responsabilizarea

lor pentru indeplinirea asteptarilor. Aceasta include si acordarea unui feedback pozitiv catre

membrii echipei

Abilitati de dezvoltare a echipei (team-building) pentru ca oamenii sa lucreze performant

impreuna si sa fie motivati sa depuna eforturi pentru proiect si echipa. Abilitatile de dezvoltare

a echipei devin cu atat mai importante cu cat echipa este mai numeroasa si cu cat proiectul

dureaza mai mult.

4

Principalele responsabilitati ale managerului de securitate sunt :

1. Stabileste / elaboreaza conceptia, obiectivele, planurile si procedurile de securitate potrivit cu:

legislatia cu aplicabilitate in domeniul securitatii;

obiectivele entitatii;

contractele in care este parte.

2. Propune echipei de management variante de proiecte de securitate cu evidentierea ierarhizarii

eficientei acestora din punctul de vedere al raportului efect/efort.

3. Conduce structura de securitate a entitatii in realizarea sarcinilor si atributiilor curente si pentru

indeplinirea obiectivelor:

raspunde de efectuarea analizelor in domeniul securitatii pentru un imobil, locatie, ruta de transport,

proces tehnologic, eveniment etc.;

elaboreaza sau dupa caz coordoneaza elaborarea si aproba rapoartele de audit de securitate sau

revizuire a constatarilor anterioare;

elaboreaza recomandari / planul de masuri in materie de securitate adresate managementului entitatii;

raspunde de planificarea, dezvoltarea si punerea in aplicare a planurilor de securitate cum ar fi: planul

de prevenire a scurgerii de informatii clasificate, planul de protectie fizica, planuri pentru situatii de

urgenta, proceduri operationale de securitate etc.;

obtinerea avizelor si acreditarilor impuse de prevederile legale;

efectueaza periodic analize de risc si propune proiecte pe termen scurt, mediu si lung pentru arealul in

care isi desfasoara activitatea entitatea, cu privire la nivelul de criminalitate, terorism, delincventa la

locul de munca, amenintari de dezastre naturale si artificiale.

4. Consilieaza echipa de management in scopul asigurarii conformitatii deciziilor si masurilor cu

prevederile legale, continutul standardelor internationale si prevederile reglementarilor

interne/cerintelor contractuale, in materie de securitate.

5. Ofera consultanta si consiliere conducerii cu privire la alocarea si utilizarea de resurse suplimentare

pentru protectia personalului, activelor sau informatiilor entitatii in cazul in care compromiterea sau

pierderea acestora ar implica riscuri majore cu impact semnificativ in desfasurarea activitatii entitatii.

6. Stabileste si mentine relatii corecte cu clientii ori partenerii entitatii, pentru a asigura intelegerea

completa a nevoilor acestora in materie de securitate si a propune solutii eficiente.

7. Informeaza si se documenteaza permanent asupra evolutiilor industriei si tehnologiei de securitate,

solutiilor de actualitate in domeniu, amenintarilor si riscurilor noi ce ar putea avea impact asupra

activitatilor entitatii.

8. Organizeaza si desfasoara instruirea si educatia preventiva a personalului pe linia activitatii de

securitate, prin dezvoltarea educatiei de securitate si instruirea unitara a intregului personal pentru

asigurarea securitatii in conformitate cu prevederile legislatiei nationale si procedurilor interne ale

entitatii.

5

Descrierea sistemului informatic si a sistemului informational al

SC DATA CONSULTING SRL

Sistemul informatic este format din totalitatea elementelor (proceduri, echipamente electronice )

implicate in procesul de prelucrare si transmitere a datelor pe cale electronica. Elementul principal in

cadrul sistemului informatic este data.

In cadrul societatii comerciale DATA CONSULTING sistemul informatic cuprinde:

- Personalul de specialitate si beneficiarii sistemului informatic;

- Metode si tehnici de proiectare a sistemelor informatice.

- Datele utilizate in sistemul informational corespunzatoare activitatilor desfasurate, inclusiv

cadrul organizatoric al entitatii;

- Echipamente hardware: monitoare, statii grafice, laptopuri, unitatii de calcul si

procesare,imprimante, xerox, scanner, server, ecrane de proiectie, echipamente de

sonorizare si de retea, camere video, proiectoare,echipamente wireless, LED display-uri,

testere de retele;

- Echipamente software: programe antivirus, programe de contabilitate (Ciel), sistem de

gestiune a bazelor de date pentru client, Microsoft Office.

Sistemul informational include in cadrul sau sistemul informatic, o componenta de baza a

acestui sistem si poate fi definit ca un ansamblu de elemente ce presupune procesele de colectare,

transmisie, prelucrare de informatie.

Elementul principal in cadrul sistemului informational este informatia.

In cadrul societatii comerciale DATA CONSULTING sistemul informational cuprinde :

- Informatia existenta in cadrul acestui sistem;

- Documentele purtatoare de informatii;

- Mijloace de comunicare; (telefoane, statii)

- Personalul existent;

- Sisteme de prelucrare automata a informatiei.

Societatea prezentata detine la urmatoarele departamente urmatoarele echipamente:

1. Departamentul de resurse umane : 1 calculator, 1 imprimanta multifunctionala,

echipament wireless.

2. Departamentul financiar contabil : 4 calculatoare, 3 imprimante, echipamente

wireless, LED display-uri, laptopuri.

3. Departamentul juridic: 2 calculatoare, 1 imprimanta multifunctionala.

4. Departamentul de IT: 2 calculatoare, echipamente de sonorizare si de retea,

echipament wireless, testere de retele.

5. Secretara si managerul : 2 calculatoare, 2 imprimante multifunctionale.

6

CAPITOLUL II

STRATEGIA, POLITICA DE SECURITATE, AMENINTARI SI

VULNERABILITATI

2.1 STRATEGIA

In conceperea si fundamentarea activitatilor firmelor un rol esential il au strategiile elaborate de

catre organismele manageriale. Schimbarii conceptiilor privind organizatiile in general si firmele in

special, i-a corespuns abordarea diferita a strategiei.

In alta acceptiune, prin strategie se desemneaza ansamblul obiectivelor majore ale organizatiei

pe termen lung, principalele modalitati de realizare, impreuna cu resursele alocate, in vederea obtinerii

avantajului competitiv potrivit misiunii organizatiei. Trasaturile definitorii ale strategiei, obligatoriu de

indeplinit, sunt urmatoarele:

Intotdeauna strategia are in vedere, in mod explicit si implicit, realizarea unor scopuri bine

precizate, specificate sub forma de misiune si obiective.

Strategia vizeaza perioade viitoare din viata firmei, cel mai adesea 3 - 5 ani. De aici si gradul

ridicat de risc si incertitudine ce-i este asociat, cu toata gama consecintelor in procesul

operationalizarii.

Continutul strategiei se rezuma la elementele esentiale, concentrndu-se asupra evolutiilor

majore ale firmei, indiferent ca acestea reprezinta sau nu schimbari fata de perioada anterioara.

Strategia se bazeaza pe abordarea corelativa a organizatiei si mediului in care isi desfasoara

activitatea.

Caracteristicile deciziilor strategice sunt:

a. Se refera la activitatile organizatiei.

b. Implica armonizarea activitatilor organizatiei cu mediul.

c. Are in vedere sincronizarea activitatilor organizatiei cu potentialul re surselor.

d. Implica alocari si realocari majore de resurse.

e. Afecteaza deciziile operationale, intruct genereaza un lant de decizii de importanta mai redusa si de

activitati operationale, privind utilizarea resurselor.

f. Sunt influentate nu numai de elementele contextuale si resursele disponibile, dar si de valorile si

asteptarile persoanelor care detin puterea in cadrul organizatiei.

Strategiile de firma pot fi abordate din mai multe puncte de vedere :

1. Dupa sfera de cuprindere, pot fi: globale si partiale.

2. Dupa gradul de participare al firmei la elaborarea strategiei: integrate si independente.

3. Dupa dinamica principalelor obiective incorporate: de redresare, de consolidare si de dezvoltare.

4. Dupa tipul obiectivelor si natura abordarilor: de privatizare, de restructurare, manageriala si joint-

venture.

5. Dupa atitudinea fata de piata: inovationale, ofensive, de specializare, de diversificare,

organizatorice si informationale.

6. Dupa natura viziunii, obiectivelor si mijloacelor incorporate: economice si administrativ

economice.

7

Exemple de strategii:

Protejarea informatiei si asigurarea accesului la aceasta

Organizarea securitatii (asigurarea unei administrari unitare in cadrul organizatiei)

Identificarea riscurilor activitatii IT si implementarea controalelor pentru diminuarea acestora.

Asigurarea unui proces continuu de identificare a noilor amenintari si a vulnerabilitati

informatice, astfel incat banca sa-si poata adapta corespunzator strategiile si planurile de management

al riscului.

Reglementarea si implementarea de sisteme de arhivare, back-up si recuperare in caz de

dezastru.

Administrarea eficienta a drepturilor de acces la retea si aplicatii informatice

Cresterea eficientei si eficacitatii infrastructurii IT

Angajatii trebuie sa cunoasca si sa inteleaga responsabilitatile legate de securitatea datelor.

Asigurarea securitatii fizice

Asigurarea securitatii in procesul de dezvoltare si implementare

Aplicarea dispozitiilor statutare sau legale in conformitate cu cadrul legal si standardele

din domeniu.

2.2 POLITICA DE SECURITATE

Politica de securitate consta intr-un set de reguli si practici care regleaza modul in care o

organizatie foloseste, administreaza, protejeaza si distribuie propriile informatii sensibile. Reprezinta

modul de lucru prin care un sistem confera incredere.

O politica de securitate se ghideaza dupa doua laturi principale: subiectul si obiectul politicii.

Subiectul este reprezentat de ceva activ in sistem (utilizator, program, proces etc.) iar obiectul este cel

asupra caruia actioneaza un subiect (fisiere, directoare, diferite dispozitive si echipamente etc.). Trebuie

sa existe un set de reguli utilizate de sistem, pentru ca acesta sa poata determina in ce caz un anume

subiect este autorizat sa aiba acces la un anume obiect.

Rolul politicii de securitate este de a informa pe toti cei ce activeaza intr-o organizatie asupra

modului in care trebuie sa se comporte in ceea ce priveste o anumita tema (de exemplu informatiile

sensibile), care ar trebui sa fie pozitia managementului referitor la acea tema si care sunt actiunile

specifice pe care organizatia trebuie sa le intreprinda in functie de situatiile aparute.

Politica de securitate a informatiilor poate fi cuprinsa intr-un document de politica generala.

Daca politica de securitate a informatiilor este distribuita in afara organizatiei, acest lucru trebuie facut

cu atentie pentru a nu se dezvalui informatii secrete.

Societatea SC DATA CONSULTING SRL si-a elaborat o politica privind recrutarea, selectia si

angajarea personalului prin crearea unor ore de pregatire si calificare a personalului. Se predau cursuri

teoretice si practice in vederea pregatirii lor pentru a functiona in cadrul firmei. De asemenea politica

de securitate se mai refera la utilizarea parolata a calculatoarelor ( user + parola) pentru a se vedea din

server ( in functie de IP calculatorului) care sunt site-urile accesate .

8

Cateva exemple concrete de elemente care trebuie protejate in firma sunt:

fisierele, bazele de date stocate pe medii magnetice, structura de directoare / foldere

echipamentele hardware, servere, statii si echipamente de conectare la retea

sistemul de operare, parole si drepturile de acces

sistemul de protectie insusi.

Pentru o buna securizare a sistemelor, datelor si aplicatiilor societatea de contabilitate are in

vedere aspecte ce tin de:

securitatea datelor prin implementarea diverselor solutii de criptare a datelor si acces securizat

la acestea;

securitatea sistemelor prin definirea parolelor de acces si luare de masuri de securizare specifice

sistemului de operare utilizat. Windowsul fiind cel mai popular OS (sistem de operare) din mediul de

business (recomandari in securizarea sistemului de operare: folosirea curenta a sistemului cu un

utilizator care nu are drepturi de administrare pe sistem, dezactivarea utilizatorului Guest,

redenumirea utilizatorului Administrator, actualizarea permanenta a sistemului de operare cu cele

mai noi update-uri puse la dispozitie de catre producator)

securitatea aplicatiilor prin instalarea de aplicatii antivirus si firewall care ajuta la detectarea

aplicatiilor nedorite (antivirus) si la blocarea comunicatiilor initializate de acestea (firewall). Este foarte

important ca o solutie antivirus sa fie actualizata, aceasta fiind conditia esentiala pentru detectarea celor

mai noi amenintari informatice. Un firewall este o aplicatie esententiala in obtinerea unei securitati

adecvate in cadrul organizatiei, datorita faptului ca acest tip de aplicatie monitorizeaza si filtreaza

comunicarea intre sistem si exterior, blocand, avertizand asupra traficului considerat a fi suspect,

oferind si diverse recomandari. In scopul cresterii securitatii in firma, exista echipamente special

dezvoltate care ofera functia de firewall in cadrul infrastructurii IT.

Cateva greseli frecvente facute de managerii IT care nu respecta politica de securitate a

informatiilor:

configurarea inadecvata a firewall-urilor, programelor antivirus

incercarea de a rezolva toate problemele de securitate prin prisma tehnologiilor, fara a tine cont

si de implicarea utilizatorilor

utilizatorilor nu li s-a adus la cunostinta politica si regulile de baza de securitate

aplicarea cerintelor minime de securitate in utilizarea aplicatiilor informatice, un firewall si un

antivirus, nu este suficienta in asigurarea unui nivel optim de siguranta in exploatare;

neglijarea actualizarii periodice a sistemului de operare.

9

2.3 AMENINTARI

O amenintare este un pericol care poate afecta securitatea (confidentialitatea, integritatea,

disponibilitatea) unui bun, componenta a sistemului informatic, conducand la o potentiala pierdere sau

defectiune.

Confidentialitate. Aceasta presupune ca obiectele sensibile (informatii si procese) sa fie

accesibile doar utilizatorilor autorizati. De aceea este necesara implementarea unor controale in vederea

restrictionarii accesului la astfel de obiecte.

Integritatea. Este necesar un control asupra modificarii obiectelor (informatii si procese).

Acest lucru presupune implementarea unor controale care sa asigure si completitudinea obiectelor.

Disponibilitatea. Derularea normala a activitatii oricarei organizatii impune ca datele,

procesele si serviciile gestionate sau asigurate in maniera computerizata sa fie disponibile la nevoie. De

aceea sunt necesare controale in vederea asigurarii credibilitatii datelor, proceselor, serviciilor.

Conformitatea cu legislatia. Date si informatiile in sistem trebuie procesate, folosite, pastrate,

transmise, distruse in conformitate cu prevederile recomandarilor organismelor de specialitate (atunci

cand exista) si cu reglementarile legale.

De asemenea se mai poate spune ca amenintarile reprezinta orice pericol potential la care este

expus un sistem constand in: acces neautorizat, alterari sau distrugerea datelor, software-ului, resurselor

hard sau de comunicatie, etc. Amenintarile exprima frecventa producerii unor evenimente adverse

potentiale, in timp ce riscurile exprima probabilitatea producerii amenintarilor.

Principalele tipuri de amenintari:

1. Amenintari avand caracter general:

Eroare umana: distrugere accidentala, presiune mare asupra utilizatorilor, pregatire

necorespunzatoare a administratorilor / utilizatorilor, lipsa unei documentatii

corespunzatoare, nerespectarea procedurilor, pregatire sau supraveghere insuficienta a

personalului, pierderi de date, erori logice, sisteme care nu raspund nevoilor organizatiei.

Neonestitate: frauda, furt, delapidare, oferirea informatiilor confidentiale ale organizatiei

pentru avantaje materiale, sabotaj.

Folosirea neautorizata a unor calculatoare lasate pornite.

Software programat sa distruga sistemul sau anumite date sau sa distruga sistemul in

anumite conditii.

Virusi: in programe, documente si atasamente la email.

2. Amenintari legate de identificare / autorizare:

Cai troieni

Atac hardware mascat intr-un hardware comercial normal

Atacuri interne sub idetificarea unor utilizatori valizi sau a personalului auxiliar.

3. Amenintari privind credibilitatea serviciilor:

Dezastre naturale: incendiu sau caldura excesiva, inundatii, cutremure, furtuni, razboi,

caderea surselor de energie electrica

Erori ale echipamentelor, cablurilor, sistemelor de comunicatii.

10

Denial of service (DoS): abuz in retea prin folosirea eronata a protocoalelor de rutare cu

scopul de a aderuta sistemele, suprasolicitarea serverelor, download-area prin email a unor

documente periculoase.

4. Amenintari secrete:

Ascultarea telefoanelor, faxurilor (via clip-on, bug-uri ale telefoanelor).

Recuperarea de informatii importante din documente aruncate fara a fi supuse unui proces

de distrugere.

Ascultarea retelelor: monitorizarea neautorizata a unor date confidentiale in timpul

transmiterii in reteaua interna / prin internet.

5. Amenintari privind controlul accesului:

Spargerea parolelor: datorita folosiri unor parole usor de ghicit.

Sisteme de mentenanta nesigure, crearea de backdoors.

Acces extern la fisierele cu parole si sniffing in retea.

6. Amenintari ale integritatii / acuratetei:

Distrugerea intentionata a informatiei sau a functiilor de procesare a informatiei din surse

externe / interne.

Modificarea intentionata a informatiei.

Este bine de stiut cat mai in detaliu care este sursa acestor amenintari pentru ca aria de

cuprindere este mare, de la proprii angajati la utilizatorii externi din randul partenerilor firmei - clienti,

furnizori, consultanti, institutii financiare si de asigurari, serviciile de paza si de protectie firme

concurente, hackerii, mercenarii independenti si chiar jurnalisti si redactori ai unor posturi radio-tv.

2.4 VULNERABILITATI

Vulnerabilitatile sunt punctele slabe ale sistemului informatic care-l expun din interior

evenimentelor ce pot afecta negativ functionarea sistemului.

Pentru ca nu exista un indrumar teoretic pentru stabilirea generala a vulnerabilitatilor si

amenintarilor IT se apeleaza la un inventar al acestora ce rezulta din experienta celor mai bune practici

in domeniu.

Vulnerabilitatile unui sistem informatic pot fi grupate in urmatoarele categorii:

- vulnerabilitati ale infrastructurii hardware si de comunicatie;

- vulnerabilitati ale sistemului software ;

- vulnerabilitati ale bazelor de date si arhivelor de date istorice;

- vulnerabilitati umane;

- vulnerabilitati naturale.

11

Vulnerabilitatile infrastructurii hardware si de comunicatie releva o serie de surse ale unor

incidente care ar putea duce chiar la suspendarea temporara a proceselor din sistemul informatic. Aici

se includ: avariile hardware, imposibilitatea rularii unor tranzactii on-line sau a unor servicii Internet,

aparitia unor puncte sensibile in retelele wireless.

Vulnerabilitatile software sunt o clasa complexa de vulnerabilitati care incep cu utilizarea de

software nelicentiat, sau lipsa de corelare in utilizarea acelorasi versiuni de programe de catre toti

userii, apoi lipsa unei protectii consistente impotriva abuzurilor software la care se mai adauga

posibilitatea aparitiei unor erori in insasi programele sursa nedepistate in faza de testare,

Vulnerabilitati ale bazelor de date si arhivelor de date istorice se refera la pierderile de date

datorita unor proceduri de prelucrare neconsistente, neprotejarea structurilor de date, accesul

neautorizat al unor programe la fisiere, alterari sau pierderi de copii de siguranta, chiar si a unor

biblioteci de programe.

Vulnerabilitati umane provin din nenumarate directii dar persoanele care administreaza

sistemul prezinta cea mai mare vulnerabilitate, lor li se adauga operatorii si utilizatorii care voluntar sau

involuntar pot afecta sistemul informatic.

Vulnerabilitati naturale au in vedere incendiile, inundatiile si cutremurele, evenimente

nedorite, cu o probabilitate greu de estimat, de fapt evenimente incerte dar posibile si care trebuie

neaparat luate in calcul.

Accesul neautorizat in sistem apare atunci cand o persoana straina obtine prin diferite mijloace

accesul la datele si serviciile retelei . Pot aparea urmatoarele vulnerabilitati:

Deficientele mecanismului de identificare si autentificare a utlizatorilor : Aceasta este o

vulnerabilitate majora deoarece in procesul de modificare a datelor de acces catre baza de date

(user : super, parola : valid), la modificarea acestora programul se opreste din executie. De

asemenea parola si userul existente sunt cele standard, iar o persoana straina poate accesa

informatiile prin introducerea acestora, de aceea se recomanda schimbarea cel putin a parolei.

Memorarea unor date confidentiale de catre persoane neautorizate :Neprotejarea corecta a

informatiilor poate duce automat la furtul de date, unde pot fi regasite date confidentiale despre

clienti sau despre firma.

Controlul fizic redus, este necesar un control riguros

Neprotejarea modemurilor : Datele trebuie protejate atat pe intreg sistemul informatic, cat si in

subsistemele ce il alcatuiesc

Calculatoare care nu utilizeaza un sistem de control al accesului la fisiere in functie de

nivelul de autorizare

Divulgarea datelor

Compromiterea datelor si a soft-ului retelei poate duce la aparitia urmatoarelor vulnerabiliati:

controlul impropriu al accesului

date importante care necesita cripaterea memorate sub forma necriptata

codul sursa al aplicatiilor salvat sub forma necriptata sau lasat la dispozitia oricui

monitoare si imprimante amplasate in zone cu trafic intens

copii de siguranta ale fisierelor pastrate in zone neprotejate

Modificarile neautorizate apar prin exploatarea vulnerabilitatilor :

acordarea dreptului de scriere utilizatorilor care le este permisa numai citirea

12

nedetectarea schimbarilor facute aplicatiilor

lipsa unei cifre de control

lipsa mecanismelor de protectie impotriva virusilor

Supravegherea liniilor de comunicatie pp ascultarea sau captarea semnalelor liniilor de

comunicatie. Vulnerabilitatile in acest caz sunt :

protectie fizica redusa

transmiterea datelor necriptate

Inselarea traficului inseamna posibiltatea unui intrus de a se camufla in destinatar sau expeditor.

Vulnerabilitatile exploatate in acest caz sunt :

transimterea de mesaje necriptate

lipsa datei si a orei de transmitrere - receptie a mesajului

lipsa unui mecanism de autentificare sau a unei semnaturi digitale

lipsa unui mecanism de verificare in timp real

Perturbarea functiilor retelei se refera la imposibilitatea aceseia de a satisface nevoile

utilizatorilor intr-o perioada de timp rezonabila.

Exploatarea vulnerabilitatilor:

imposibilitaeta redirectionarii traficului prin nodurile retelei

schimbari neautorizate in configuratia echipamentelor

securitate fizica redusa in cazul componentelor hardware

imposibiliatea detectarii abaterilor de la traficul standard (ex. utilizarea de chat).

Pentru eliminarea deficientelor constatate au fost elaborate urmatoarele recomandari:

Suspendarea aplicatiei pana in momentul in care vulnerabilitatile prezentate nu vor mai exista;

Intocmirea unui set de proceduri privind implementarea controalelor logice prin care se asigura

securitatea aplicatiei Ciel;

Implementarea unor controale logice eficiente;

Intocmirea unui set de proceduri privind monitorizarea sistematica a mecanismelor de control

logic prin care se asigura securitatea accesului la informatii;

Desemnarea responsabilitatii pentru monitorizarea controalelor logice prin care se asigura

securitatea accesului la informatii.

Stocarea datelor in baza de date trebuie sa se faca criptat;

Intocmirea unui set de proceduri privind recupararea datelor in caz de dezastru.

Desemnarea responsabilitatii pentru implementarea procedurilor in caz de dezastru.

13

CAPITOLUL IV

CONTROLUL APLICATIEI

In urma verificarii securitatii datelor introduse in aplicatia CIEL, cat si a functionalitatii

aplicatiei s-au descoperit urmatoarele:

1. Inainte de a lansa aplicatia, s-a incercat deschiderea fisierelor gasite in folderul in care este

instalata aplicatia. Programul ales pentru a deschide fisierele, se numeste Acces si face parte din

Suita Microsoft Office. Pentru inceput, a fost ales un fisier cu extensia .DBF.

Spre surprinderea noastra, fisierul s-a deschis. Acesta poate fi modificat cu usurinta de oricare

utilizator care are acces la aceste fisiere.

14

In urma acestei descoperiri, au fost verificate daca toate fisierele cu aceasta extensie se comporta la

fel. Rezultatul este unul previzibil. Toate aceste fisiere pot fi deschise, modificate si vizualizate, aceasta

fiind o problema majora a securitatii bazei de date.

Printre altele, un utilizator rau intentionat poate sa faca urmatoarele:

A. Sa modifice calea bazei de date a fiecarei societati din baza de date a aplicatiei, accesand fisierul

ACCESSOC.DBF:

15

Observam ca atunci cand se modifica numele directorului in care se afla baza de date a societatii, aplicatia

va considera baza de date ca fiind stearsa din sistem, utilizatorul fiind in imposibilitatea de a o accesa.

B. Sa se vizualizeze si modifice numele utilizatorului si parola de acces la baza de date prin accesarea

fisierului UTI LISAT.DBF cu ajutorul aplicatiei Acces.

Din imaginile de mai sus, se poate observa parola Valid aferenta utilizatorului Super.

16

2. Atunci cand este creata o noua societate putem observa ca sunt unele restrictii cu privire la numarul de

caractere introduse in fiecare camp.

Asa cum putem observa in imaginile de mai sus, fiecare camp permite inserarea unui numar limitat

de caractere, insa atunci cand este creata baza de date a societatii, aceasta limita de caractere se modifica in

minus, rezultand din aceasta o pierdere de informatii, fara ca utilizatorul sa fie anuntat in vreun fel.

Camp Creare Modificare Diferenta

Denumire 49 40 9

Adresa1 49 40 9

Adresa2 49 40 9

Cod postal 10 10 0

Oras 49 30 19

Judet 49 30 19

Telefon 24 20 4

Fax 24 20 4

Nr reg com 49 20 29

Cod fiscal 12 12 0

Cod SIRUES 49 13 36

Numar de zecimale 1 1 0

Numar de zecimale pentru devize 1 1 0

Numar de zecimale pentru curs

devize 1 1 0

Total 416 278 138

17

3. In momentul in care se doreste crearea unui nou jurnal din modulul Culegere Date Universala, se poate

observa ca limita de caractere pentru campurile Cod si Denumire este de 49. In momentul salvarii insa,

aceasta limita se modifica. In cazul campului Cod, limita este de 3 caractere, iar in cazul campului

Denumire, limita este de 30 de caractere. Aceasta modificare, ca si in cazul de mai sus, este facuta fara ca

utilizatorul sa fie anuntat/avertizat.

4. Aplicatia se inchide automat, atunci cand se incearca schimbarea Utilizatorului, accesand meniul

contextual.

Pe langa aceasta eroare, daca se incearca mutarea ferestrei PAROLA Monopost, aceasta se

micsoreaza si nu mai poate fi readusa la forma initiala. Utilizatorul este obligat astfel, sa inchida fereastra.

Procedand astfel, aplicatia se inchide automat.

18

5. O inregistrare contabila validata nu poate fi devalidata spre a fi modificata. Dupa ce se executa

comanda Validare, nota administratorul nu are drept de modificare a notei contabile.

6. Daca utilizatorul schimba cota de tva din meniu, actualizarea nu va avea efect si in jurnale.

Practic cota de tva modificata va ramane la fel in jurnalele de vanzari sau de cumparari. Ea

trebuie modificata manual, in loc sa se schimbe automat

7. In campul cu explicatii din cadrul modulului Culegere Date Universala se pot introduce

maxim 79 de caractere, dar atunci cand se avanseaza la alt camp, limita de caractere se

miscoreaza la 25 de caractere, rezultand o pierdere de informatii, fara ca utilizatorul sa fie

informat de aceasta.

19

CAPITOLUL V

20

CATRE MANAGEMENTUL SOCIETATII DATA CONSULTING SRL

Stimati domni,

Am efectuat auditul principalelor sisteme informatice, ca parte a auditului financiar al S.C.

DATA CONSULTING SRL.

Obiectivul general al auditului a constat in evaluarea stadiului de dezvoltare si utilizare a

sistemului informatic existent in cadrul societatii Data Consulting SRL,a instrumentelor, tehnologiilor

informatice si infrastructurii aferente furnizarii unor servicii de calitate impreuna cu formularea unor

recomandari in scopul imbunatatirii serviciilor oferite, precum si securitatea documentelor,

informatiilor.

Pe baza procedurilor si testelor efectuate, ehipa de audit nu a identificat deficiente semnificative

si a concluzionat faptul ca toate controalele aplicatiilor informatice iau n considerare n mod corect

riscurile IT.

Utilizandu-se metoda Mehari, SC Data Consulting SRL prezinta un nivel de risc de 3

puncte. Mw = 4 * Ri * Wi / Wi = ( 3,05+ 3,55 + 3,22 + 2.93 + 3,36 +3,12+ 3,72 + 3,03 + 2,15+

3,73 + 2,24+2,28 ) / 12 = 3.07

Media coeficientilor se apropie de 4. Apreciem acest lucru ca fiind nefavorabil pentru sistemul

nostru deoarece gradul de risc este unul ridicat.

Este un risc preponderent ridicat ce poate afecta atat in mod direct, cat si indirect siguranta

sistemului informatic. Reflecta deficiente majore in circuitul informational, defalcari in etapele de

control, posibile erori ca urmare a lipsei de competenta a personalului existent, inexistenta elementului

de extraneitate si de mentinere a unei copii de rezerva, carente majore n preluarea si transmiterea

informatiilor, nesiguranta atat pe intreg sistemul informatic cat si pe subsistemele sistemului

informatic, dar mai ales vulnerabilitatea n fata posibilelor atacuri informatice.

Problemele identificate si recomandarile corespondente sunt prezentate mai jos.

Acest raport este destinat exclusiv pentru informarea si utilizarea de catre persoanele

reprezentnd managementul companiei si nu este destinat a fi si nu ar trebui sa fie utilizate de catre alte

persoane n afara celor expres mentioante.

Cu stima,

KARA SRL

Bucuresti,Romnia

21

DEFICIENTE IDENTIFICATE :

1.Securitatea

DEFICIENTE

RECOMANDARI

Organizarea si implicarea acesteia asupra securitatii este

realizata de catre departamentele de IT si resurse umane sub

indrumarea managementului. Departamentul de resurse

umane elaboreaza Manualul angajatului: un ghid complet

pentru angajati ce cuprinde un set de principii, norme si

proceduri de securitate obligatorii.

Imbunatatirea manualului angajatului,un ghid

complet si explicit pentru angajati care cuprinde

principii,norme si proceduri atat cu obligatiile cat si

cu drepturile acestora.Severitate in recrutarea

angajatilor pentru a forma un personal bine pregatit

si capabil in desfasurarea activitatii prestate la locul

de munca.

Securitatea in cadrul departamentului de IT se realizeaza

prin securizarea programelor , a datelor si a aplicatiilor.

Accesul acestora de fiecare angajat in parte se face pe baza de

user si parola ,userul fiind format din numele acestuia iar

parola este generata automat de sistem pentru prima data

,ulterior dupa prima logare fiind modificata de fiecare

angajat la un interval de timp,pentru a pastra vabilitatea

user-ului.

Imbunatatirea politicii de recrutare,a politicii de

pregatire si evaluare a resurselor umane IT.Marirea

numarului de angajati in departamentul de IT cu inca

un angajat responsabil de administrarea sistemelor

de operare si a bazelor de date, a securitatii logice si

fizice si a infrastructurii de comunicatii

.Perfectionarea informatiilor prezentate pentru

cursurile de perfectionare ale angajatiilor IT.

Pe fiecare calculator sunt instalate aplicatii antivirus si

firewall care ajuta la detectarea aplicatiilor nedorite

(antivirus),la blocarea comunicatiilor initializate de

acestea(firewall)dar si la protejarea documentelor.

Cat priveste securitatea accesului fizic in cadrul

firmei,aceasta este realizata de catre o echipa formata dintr-

un angajat al societatii ,care monitorizeaza toate persoanele

care intra si ies din societate intr-un jurnal.Angajatii sunt

identificati pe baza ecusoanelor.

Monitorizarea video continua a firmei 24 din 24 de

ore ,intarirea securitatii cu un angajat de la o firma

de paza, accesul sa se faca pe baza de card pentru a

nu putea intra in societate decat angajatii. Intarirea

22

La intrare este un sistem informatic pentru pontarea

intrarilor si iesirilor dar acesta nu asigura un nivel de

securitate optim. Societatea este prevazuta cu camera de

supraveghere video pentru a controla deplasarea

persoanelor si a bunurilor, ct si pentru a monitoriza

corectitudinea si eficienta activitatii desfasurate de

personalul angajat in cadrul firmei.

masurilor de securitate la receptie in sensul verificatii

legitimatiei fiecarui angajat, insotirea vizitatorilor in

cladire;

Elaborarea si implementarea unor proceduri de

securitate cu privire la reteaua de telefonie.

Societatea are o retea locala la care au acces angajati,

atat prin intermediul echipamentelor societatii cat si din

afara. Reteaua locala este partitionata in domenii pentru

fiecare departament in care exista sectiunile public(la care

au acces toti angajatii) si privat (cuprinde mediul de lucru

propriu fiecarui departament).Accesul la mediul privat este

restrictionat.

Securizarea programelor, a datelor si a

aplicatiilor iar accesul acestora de fiecare angajat in

parte sa se faca doar pe baza de user si parola care

vor fi stric confidentiale ,astfel fiecare angajat va

lucra strict pe calculatorul sau si pe conturile sale

fara a putea intra in posesia documentelor celorlalti

colegi si fara accesul la modificarea acestora.

GRADUL DE RISC AL DEFICIENTEI RIDICAT

2. Responsabilitati :

DEFICIENTE RECOMANDARI

In cadrul departamentului financiar-contabil se

realizeaza toate activitatile cu privire la contabilitate,

fiscalitate, audit financiar dar si consultanta in

domeniul fiscal.

Administratorul de retea este cel care asigura

masurile protectia circuitului informational al

documentelor,a accesului in retea si se ocupa de

implementarea acestora, iar administratorul firmei

este responsabil cu spatiile fizice si cu integritatea

componentelor.

23

Rolurile si responsabilitatile legate de

administrarea si functionarea sistemelor de operare

nu sunt foarte bine delimitate.

Instrumentele si tehnicile de securitate a

informatiilor trebuie sa fie puse n aplicare

pentru a putea delimita responsabilitatile

departamentelor de administrare si

operatiuni n ceea ce priveste

administrarea aplicatiile informatice.

GRADUL DE RISC AL DEFICIENTEI MEDIU

3. PROCESUL DE BACKUP, INTERNET:

DEFICIENTE RECOMANDARI

Periodic se realizeaza copii back-up ale

sistemului menite sa reconstituie datele originale

in cazul distrugerii dar aceste copii sunt realizate

doar pentru datele din reteaua locala.

Mentenanta datelor din calculatoarele personale

este lasata in grija utilizatorilor acestor date.

Implementarea unui sistem de baterii care sa

permita sistemului, in cazul unei pene de

curent, cel putin realizarea copiilor back-up.

In ceea ce priveste connexiunea la internet

prin wireless aceasta este scazuta, aparand

numeroase fluctuatii.

Remedierea problemelor la connexiunea de

internet prin wireless sau schimbarea acesteia

cu alta mai performanta pentru prevenirea

fluctuatiilor, pierderea semnalului de internet.

GRADUL DE RISC AL DEFICIENTEI RIDICAT

24

4. VERIFICAREA CONTURILOR PERSONALULUI:

DEFICIENTE RECOMANDARI Conturile angajatilor nu sunt verificate.Acestia

anuntand departamentul de IT doar in cazul

aparitiei problemelor(nu au acces la contul

respectiv,parola nu corespunde).

Pentru siguranta informatiilor, conturile

angajatilor ar trebui verificate cel putin lunar

pentru evitarea blocarii acestora sau

patrunderea in cont de persoane straine.

GRADUL DE RISC AL

DEFICIENTEI MEDIU

5.TRANSMITEREA SI STOCAREA INFORMATIILOR :

DEFICIENTE RECOMANDARI Informatiile ,documentele sunt aduse la

secretariatul societatii, secretara le sorteaza

dupa departamente iar apoi le imparte pe

fiecare department in parte.

Transmiterea informatiilor in interiorul unitatii se

va face prin posta electronica a unitatii, retea, prin

distributie directa, cu semnatura si eticheta ce

delimiteaza caracterul confidential al datelor;

informatiile sunt expediate doar destinatarilor

aprobati (confirmati) de sistemul intern.

Informatiile se arhiveaza in calcularotul

departamentului de IT, fara a fi parolate.

Stocarea informatiilor se face prin pastrarea in

locuri neaccesibile persoanelor neautorizate, pe

suporturi magnetice sau pe hartie, in arhiva, in seif,

in fisiere parolate.

GRADUL DE RISC AL DEFICIENTEI MEDIU