-
ACADEMIA DE STUDII ECONOMICE BUCURESTI
FACULTATEA DE CONTABILITATE SI INFORMATICA DE GESTIUNE
Master Contabilitate si Audit In Institutiile Bancare si
Financiare
PROIECT
AUDITUL SI CONTROLUL SISTEMULUI INFORMATIC AL
SC DATA CONSULTING SRL
Studenti:
Constantin Ramona
Manoliu Cosmin
Petre Marinela
Radoi Bogdan
Zahiu Lorena
BUCURESTI
2013
-
2
CAPITOLUL I
PREZENTAREA SOCIETATII
Denumire: SC DATA CONSULTING SRL
Obiect de activitate: 6920 - Activitati de contabilitate si
audit financiar, consultanta in domeniul fiscal
CUI: 16080936
Nr. Reg.Com.: J40/924/2005
Capital social: 200 lei
Numar angajati: 10 salariati
Sediu: Bucuresti, sector 3, strada Florin Ciungan, nr 5B
Societatea presteaza urmatoarele servicii:
1) Evidenta contabila : - consiliere in intocmirea documentelor
contabile primare
- inregistrarea documentelor primare pe articole contabile
- intocmirea balantei lunare de verificare, jurnalelor de
TVA
- intocmirea registrului inventar si jurnal, cartea mare
- obtinerea de certificate de atestare fiscala
2) Salarizare si personal: -intocmirea statelor de salarii, a
tuturor declaratiilor aferente salariilor
- intocmirea/inregistrarea contractelor de munca la ITM
- intocmirea actelor aditionale, deciziilor de incetare
- completarea registrului general de evidenta a salariilor
(REVISAL)
3) Infiintari societati comerciale
4) Consultanta fiscala : - impozitul pe veniturile obtinute in
Romania de nerezidenti
- impozite si taxe locale
- TVA
In structura organizationala exista urmatoarele
departamente:
Departamentul de Resurse Umane
Departamentul Financiar - Contabil
Departamentul Juridic
Departamentul de IT
Secretariatul
In cadrul firmei avem 10 angajati :
-in cadrul departamentului de resurse umane =1 angajat ; acces
partial
-in cadrul departamentului financiar contabil = 4 angajati;
acces partial
- in cadrul departamentului juridic = 1 salariati ; acces
partial
- in cadrul departamentului de IT = 2 angajati; acces la toate
aplicatiile
- o secretara; acces partial
- un manager; acces la toate aplicatiile.
-
3
Departamentul de resurse umane are rolul de a atrage, a selecta
si de a angaja noi angajati
utilizand informatii din CV, recomandari si interviuri;
asigurarea ca angajatii au educatia, instruirea si
scolarizarea pentru a-si indeplini obligatiile; utilizarea unui
proces eficace pentru a analiza
performantele angajatilor si pentru a determina bonusurile si
maririle de salarii; calcularea salariilor si
beneficiilor fiecarui angajat; comunicarea schimbarilor de
salariu, a beneficiilor.
Departamentului financiar contabil are rolul de a stabili
bugetul impreuna cu directorul;
evalueaza fezabilitatea planului de afaceri; aproba politica de
preturi si propune metode de maximizare
a profitului; previzioneaza fluxul de numerar si gestioneaza
resursele financiare ale companiei;
calculeaza impozitul pe profit si taxele aferente salariilor;
pregateste Contul de Profit si Pierdere,
Bilantul; isi asuma responsabilitatea acuratetii informatiilor
transmise directorului si a celor prezentate
in rapoartele companiei; este responsabil fata de actionari si
fata de angajati de gestionarea corecta si
eficienta a resurselor financiare ale companiei.
Departamentului juridic are rolul de a asigura sanatatea
juridica a unei firme, ajutand-o sa
anticipeze si sa rezolve problemele pe care le ridica aplicarea
normelor si reglementarilor legale in
activitatile comerciale.
Departamentului de IT are urmatarele roluri:
administrarea si monitorizarea statiilor de lucru, a serverelor
si a retelei IT;
instalarea, administrarea si monitorizarea solutiilor de
securitate IT;
acces la IT Protection Center Centrul de Suport Pluriva
functional 24X7X365;
rezolvarea prompta a oricaror problemele de IT, prin timpul
rapid de interventie si printr-o procedura
clara de ticketing;
Centru de suport dedicat angajatilor care lucreaza de acasa sau
din alta locatie si celor deplasati la
sediul clientilor; Mobilitatea angajatilor, care au nevoie sa
isi acceseze aplicatiile business,
documentele interne, mesajele email si calendarul din afara
companiei.
Abilitatile si rolul secretarei: stabilirea si mentinerea
relatiilor de lucru; capacitatea de a
raspunde cu diplomatie la cererile clientilor; sa poata oferii
informatii cu privire la toate intrebarile
clientilor,stabilirea de intalniri.
Rolul managerului:
Disciplina si abilitati manageriale pentru a se asigura ca
oamenii respecta procesele si
procedurile standard.
Abilitatea de a conduce oamenii astfel incat echipa sa vrea sa
urmeze directia stabilita. Arta de a
conduce si inspira oamenii (leadership-ul) se rezuma la
comunicarea viziunii si la convingerea
echipei sa o accepte si sa se straduiasca sa o puna in
practica.
Stabilirea unor asteptari obiective, dar provocatoare si clare
de la oameni si responsabilizarea
lor pentru indeplinirea asteptarilor. Aceasta include si
acordarea unui feedback pozitiv catre
membrii echipei
Abilitati de dezvoltare a echipei (team-building) pentru ca
oamenii sa lucreze performant
impreuna si sa fie motivati sa depuna eforturi pentru proiect si
echipa. Abilitatile de dezvoltare
a echipei devin cu atat mai importante cu cat echipa este mai
numeroasa si cu cat proiectul
dureaza mai mult.
-
4
Principalele responsabilitati ale managerului de securitate sunt
:
1. Stabileste / elaboreaza conceptia, obiectivele, planurile si
procedurile de securitate potrivit cu:
legislatia cu aplicabilitate in domeniul securitatii;
obiectivele entitatii;
contractele in care este parte.
2. Propune echipei de management variante de proiecte de
securitate cu evidentierea ierarhizarii
eficientei acestora din punctul de vedere al raportului
efect/efort.
3. Conduce structura de securitate a entitatii in realizarea
sarcinilor si atributiilor curente si pentru
indeplinirea obiectivelor:
raspunde de efectuarea analizelor in domeniul securitatii pentru
un imobil, locatie, ruta de transport,
proces tehnologic, eveniment etc.;
elaboreaza sau dupa caz coordoneaza elaborarea si aproba
rapoartele de audit de securitate sau
revizuire a constatarilor anterioare;
elaboreaza recomandari / planul de masuri in materie de
securitate adresate managementului entitatii;
raspunde de planificarea, dezvoltarea si punerea in aplicare a
planurilor de securitate cum ar fi: planul
de prevenire a scurgerii de informatii clasificate, planul de
protectie fizica, planuri pentru situatii de
urgenta, proceduri operationale de securitate etc.;
obtinerea avizelor si acreditarilor impuse de prevederile
legale;
efectueaza periodic analize de risc si propune proiecte pe
termen scurt, mediu si lung pentru arealul in
care isi desfasoara activitatea entitatea, cu privire la nivelul
de criminalitate, terorism, delincventa la
locul de munca, amenintari de dezastre naturale si
artificiale.
4. Consilieaza echipa de management in scopul asigurarii
conformitatii deciziilor si masurilor cu
prevederile legale, continutul standardelor internationale si
prevederile reglementarilor
interne/cerintelor contractuale, in materie de securitate.
5. Ofera consultanta si consiliere conducerii cu privire la
alocarea si utilizarea de resurse suplimentare
pentru protectia personalului, activelor sau informatiilor
entitatii in cazul in care compromiterea sau
pierderea acestora ar implica riscuri majore cu impact
semnificativ in desfasurarea activitatii entitatii.
6. Stabileste si mentine relatii corecte cu clientii ori
partenerii entitatii, pentru a asigura intelegerea
completa a nevoilor acestora in materie de securitate si a
propune solutii eficiente.
7. Informeaza si se documenteaza permanent asupra evolutiilor
industriei si tehnologiei de securitate,
solutiilor de actualitate in domeniu, amenintarilor si
riscurilor noi ce ar putea avea impact asupra
activitatilor entitatii.
8. Organizeaza si desfasoara instruirea si educatia preventiva a
personalului pe linia activitatii de
securitate, prin dezvoltarea educatiei de securitate si
instruirea unitara a intregului personal pentru
asigurarea securitatii in conformitate cu prevederile
legislatiei nationale si procedurilor interne ale
entitatii.
-
5
Descrierea sistemului informatic si a sistemului informational
al
SC DATA CONSULTING SRL
Sistemul informatic este format din totalitatea elementelor
(proceduri, echipamente electronice )
implicate in procesul de prelucrare si transmitere a datelor pe
cale electronica. Elementul principal in
cadrul sistemului informatic este data.
In cadrul societatii comerciale DATA CONSULTING sistemul
informatic cuprinde:
- Personalul de specialitate si beneficiarii sistemului
informatic;
- Metode si tehnici de proiectare a sistemelor informatice.
- Datele utilizate in sistemul informational corespunzatoare
activitatilor desfasurate, inclusiv
cadrul organizatoric al entitatii;
- Echipamente hardware: monitoare, statii grafice, laptopuri,
unitatii de calcul si
procesare,imprimante, xerox, scanner, server, ecrane de
proiectie, echipamente de
sonorizare si de retea, camere video, proiectoare,echipamente
wireless, LED display-uri,
testere de retele;
- Echipamente software: programe antivirus, programe de
contabilitate (Ciel), sistem de
gestiune a bazelor de date pentru client, Microsoft Office.
Sistemul informational include in cadrul sau sistemul
informatic, o componenta de baza a
acestui sistem si poate fi definit ca un ansamblu de elemente ce
presupune procesele de colectare,
transmisie, prelucrare de informatie.
Elementul principal in cadrul sistemului informational este
informatia.
In cadrul societatii comerciale DATA CONSULTING sistemul
informational cuprinde :
- Informatia existenta in cadrul acestui sistem;
- Documentele purtatoare de informatii;
- Mijloace de comunicare; (telefoane, statii)
- Personalul existent;
- Sisteme de prelucrare automata a informatiei.
Societatea prezentata detine la urmatoarele departamente
urmatoarele echipamente:
1. Departamentul de resurse umane : 1 calculator, 1 imprimanta
multifunctionala,
echipament wireless.
2. Departamentul financiar contabil : 4 calculatoare, 3
imprimante, echipamente
wireless, LED display-uri, laptopuri.
3. Departamentul juridic: 2 calculatoare, 1 imprimanta
multifunctionala.
4. Departamentul de IT: 2 calculatoare, echipamente de
sonorizare si de retea,
echipament wireless, testere de retele.
5. Secretara si managerul : 2 calculatoare, 2 imprimante
multifunctionale.
-
6
CAPITOLUL II
STRATEGIA, POLITICA DE SECURITATE, AMENINTARI SI
VULNERABILITATI
2.1 STRATEGIA
In conceperea si fundamentarea activitatilor firmelor un rol
esential il au strategiile elaborate de
catre organismele manageriale. Schimbarii conceptiilor privind
organizatiile in general si firmele in
special, i-a corespuns abordarea diferita a strategiei.
In alta acceptiune, prin strategie se desemneaza ansamblul
obiectivelor majore ale organizatiei
pe termen lung, principalele modalitati de realizare, impreuna
cu resursele alocate, in vederea obtinerii
avantajului competitiv potrivit misiunii organizatiei.
Trasaturile definitorii ale strategiei, obligatoriu de
indeplinit, sunt urmatoarele:
Intotdeauna strategia are in vedere, in mod explicit si
implicit, realizarea unor scopuri bine
precizate, specificate sub forma de misiune si obiective.
Strategia vizeaza perioade viitoare din viata firmei, cel mai
adesea 3 - 5 ani. De aici si gradul
ridicat de risc si incertitudine ce-i este asociat, cu toata
gama consecintelor in procesul
operationalizarii.
Continutul strategiei se rezuma la elementele esentiale,
concentrndu-se asupra evolutiilor
majore ale firmei, indiferent ca acestea reprezinta sau nu
schimbari fata de perioada anterioara.
Strategia se bazeaza pe abordarea corelativa a organizatiei si
mediului in care isi desfasoara
activitatea.
Caracteristicile deciziilor strategice sunt:
a. Se refera la activitatile organizatiei.
b. Implica armonizarea activitatilor organizatiei cu mediul.
c. Are in vedere sincronizarea activitatilor organizatiei cu
potentialul re surselor.
d. Implica alocari si realocari majore de resurse.
e. Afecteaza deciziile operationale, intruct genereaza un lant
de decizii de importanta mai redusa si de
activitati operationale, privind utilizarea resurselor.
f. Sunt influentate nu numai de elementele contextuale si
resursele disponibile, dar si de valorile si
asteptarile persoanelor care detin puterea in cadrul
organizatiei.
Strategiile de firma pot fi abordate din mai multe puncte de
vedere :
1. Dupa sfera de cuprindere, pot fi: globale si partiale.
2. Dupa gradul de participare al firmei la elaborarea
strategiei: integrate si independente.
3. Dupa dinamica principalelor obiective incorporate: de
redresare, de consolidare si de dezvoltare.
4. Dupa tipul obiectivelor si natura abordarilor: de
privatizare, de restructurare, manageriala si joint-
venture.
5. Dupa atitudinea fata de piata: inovationale, ofensive, de
specializare, de diversificare,
organizatorice si informationale.
6. Dupa natura viziunii, obiectivelor si mijloacelor
incorporate: economice si administrativ
economice.
-
7
Exemple de strategii:
Protejarea informatiei si asigurarea accesului la aceasta
Organizarea securitatii (asigurarea unei administrari unitare in
cadrul organizatiei)
Identificarea riscurilor activitatii IT si implementarea
controalelor pentru diminuarea acestora.
Asigurarea unui proces continuu de identificare a noilor
amenintari si a vulnerabilitati
informatice, astfel incat banca sa-si poata adapta corespunzator
strategiile si planurile de management
al riscului.
Reglementarea si implementarea de sisteme de arhivare, back-up
si recuperare in caz de
dezastru.
Administrarea eficienta a drepturilor de acces la retea si
aplicatii informatice
Cresterea eficientei si eficacitatii infrastructurii IT
Angajatii trebuie sa cunoasca si sa inteleaga responsabilitatile
legate de securitatea datelor.
Asigurarea securitatii fizice
Asigurarea securitatii in procesul de dezvoltare si
implementare
Aplicarea dispozitiilor statutare sau legale in conformitate cu
cadrul legal si standardele
din domeniu.
2.2 POLITICA DE SECURITATE
Politica de securitate consta intr-un set de reguli si practici
care regleaza modul in care o
organizatie foloseste, administreaza, protejeaza si distribuie
propriile informatii sensibile. Reprezinta
modul de lucru prin care un sistem confera incredere.
O politica de securitate se ghideaza dupa doua laturi
principale: subiectul si obiectul politicii.
Subiectul este reprezentat de ceva activ in sistem (utilizator,
program, proces etc.) iar obiectul este cel
asupra caruia actioneaza un subiect (fisiere, directoare,
diferite dispozitive si echipamente etc.). Trebuie
sa existe un set de reguli utilizate de sistem, pentru ca acesta
sa poata determina in ce caz un anume
subiect este autorizat sa aiba acces la un anume obiect.
Rolul politicii de securitate este de a informa pe toti cei ce
activeaza intr-o organizatie asupra
modului in care trebuie sa se comporte in ceea ce priveste o
anumita tema (de exemplu informatiile
sensibile), care ar trebui sa fie pozitia managementului
referitor la acea tema si care sunt actiunile
specifice pe care organizatia trebuie sa le intreprinda in
functie de situatiile aparute.
Politica de securitate a informatiilor poate fi cuprinsa intr-un
document de politica generala.
Daca politica de securitate a informatiilor este distribuita in
afara organizatiei, acest lucru trebuie facut
cu atentie pentru a nu se dezvalui informatii secrete.
Societatea SC DATA CONSULTING SRL si-a elaborat o politica
privind recrutarea, selectia si
angajarea personalului prin crearea unor ore de pregatire si
calificare a personalului. Se predau cursuri
teoretice si practice in vederea pregatirii lor pentru a
functiona in cadrul firmei. De asemenea politica
de securitate se mai refera la utilizarea parolata a
calculatoarelor ( user + parola) pentru a se vedea din
server ( in functie de IP calculatorului) care sunt site-urile
accesate .
-
8
Cateva exemple concrete de elemente care trebuie protejate in
firma sunt:
fisierele, bazele de date stocate pe medii magnetice, structura
de directoare / foldere
echipamentele hardware, servere, statii si echipamente de
conectare la retea
sistemul de operare, parole si drepturile de acces
sistemul de protectie insusi.
Pentru o buna securizare a sistemelor, datelor si aplicatiilor
societatea de contabilitate are in
vedere aspecte ce tin de:
securitatea datelor prin implementarea diverselor solutii de
criptare a datelor si acces securizat
la acestea;
securitatea sistemelor prin definirea parolelor de acces si
luare de masuri de securizare specifice
sistemului de operare utilizat. Windowsul fiind cel mai popular
OS (sistem de operare) din mediul de
business (recomandari in securizarea sistemului de operare:
folosirea curenta a sistemului cu un
utilizator care nu are drepturi de administrare pe sistem,
dezactivarea utilizatorului Guest,
redenumirea utilizatorului Administrator, actualizarea
permanenta a sistemului de operare cu cele
mai noi update-uri puse la dispozitie de catre producator)
securitatea aplicatiilor prin instalarea de aplicatii antivirus
si firewall care ajuta la detectarea
aplicatiilor nedorite (antivirus) si la blocarea comunicatiilor
initializate de acestea (firewall). Este foarte
important ca o solutie antivirus sa fie actualizata, aceasta
fiind conditia esentiala pentru detectarea celor
mai noi amenintari informatice. Un firewall este o aplicatie
esententiala in obtinerea unei securitati
adecvate in cadrul organizatiei, datorita faptului ca acest tip
de aplicatie monitorizeaza si filtreaza
comunicarea intre sistem si exterior, blocand, avertizand asupra
traficului considerat a fi suspect,
oferind si diverse recomandari. In scopul cresterii securitatii
in firma, exista echipamente special
dezvoltate care ofera functia de firewall in cadrul
infrastructurii IT.
Cateva greseli frecvente facute de managerii IT care nu respecta
politica de securitate a
informatiilor:
configurarea inadecvata a firewall-urilor, programelor
antivirus
incercarea de a rezolva toate problemele de securitate prin
prisma tehnologiilor, fara a tine cont
si de implicarea utilizatorilor
utilizatorilor nu li s-a adus la cunostinta politica si regulile
de baza de securitate
aplicarea cerintelor minime de securitate in utilizarea
aplicatiilor informatice, un firewall si un
antivirus, nu este suficienta in asigurarea unui nivel optim de
siguranta in exploatare;
neglijarea actualizarii periodice a sistemului de operare.
-
9
2.3 AMENINTARI
O amenintare este un pericol care poate afecta securitatea
(confidentialitatea, integritatea,
disponibilitatea) unui bun, componenta a sistemului informatic,
conducand la o potentiala pierdere sau
defectiune.
Confidentialitate. Aceasta presupune ca obiectele sensibile
(informatii si procese) sa fie
accesibile doar utilizatorilor autorizati. De aceea este
necesara implementarea unor controale in vederea
restrictionarii accesului la astfel de obiecte.
Integritatea. Este necesar un control asupra modificarii
obiectelor (informatii si procese).
Acest lucru presupune implementarea unor controale care sa
asigure si completitudinea obiectelor.
Disponibilitatea. Derularea normala a activitatii oricarei
organizatii impune ca datele,
procesele si serviciile gestionate sau asigurate in maniera
computerizata sa fie disponibile la nevoie. De
aceea sunt necesare controale in vederea asigurarii
credibilitatii datelor, proceselor, serviciilor.
Conformitatea cu legislatia. Date si informatiile in sistem
trebuie procesate, folosite, pastrate,
transmise, distruse in conformitate cu prevederile
recomandarilor organismelor de specialitate (atunci
cand exista) si cu reglementarile legale.
De asemenea se mai poate spune ca amenintarile reprezinta orice
pericol potential la care este
expus un sistem constand in: acces neautorizat, alterari sau
distrugerea datelor, software-ului, resurselor
hard sau de comunicatie, etc. Amenintarile exprima frecventa
producerii unor evenimente adverse
potentiale, in timp ce riscurile exprima probabilitatea
producerii amenintarilor.
Principalele tipuri de amenintari:
1. Amenintari avand caracter general:
Eroare umana: distrugere accidentala, presiune mare asupra
utilizatorilor, pregatire
necorespunzatoare a administratorilor / utilizatorilor, lipsa
unei documentatii
corespunzatoare, nerespectarea procedurilor, pregatire sau
supraveghere insuficienta a
personalului, pierderi de date, erori logice, sisteme care nu
raspund nevoilor organizatiei.
Neonestitate: frauda, furt, delapidare, oferirea informatiilor
confidentiale ale organizatiei
pentru avantaje materiale, sabotaj.
Folosirea neautorizata a unor calculatoare lasate pornite.
Software programat sa distruga sistemul sau anumite date sau sa
distruga sistemul in
anumite conditii.
Virusi: in programe, documente si atasamente la email.
2. Amenintari legate de identificare / autorizare:
Cai troieni
Atac hardware mascat intr-un hardware comercial normal
Atacuri interne sub idetificarea unor utilizatori valizi sau a
personalului auxiliar.
3. Amenintari privind credibilitatea serviciilor:
Dezastre naturale: incendiu sau caldura excesiva, inundatii,
cutremure, furtuni, razboi,
caderea surselor de energie electrica
Erori ale echipamentelor, cablurilor, sistemelor de
comunicatii.
-
10
Denial of service (DoS): abuz in retea prin folosirea eronata a
protocoalelor de rutare cu
scopul de a aderuta sistemele, suprasolicitarea serverelor,
download-area prin email a unor
documente periculoase.
4. Amenintari secrete:
Ascultarea telefoanelor, faxurilor (via clip-on, bug-uri ale
telefoanelor).
Recuperarea de informatii importante din documente aruncate fara
a fi supuse unui proces
de distrugere.
Ascultarea retelelor: monitorizarea neautorizata a unor date
confidentiale in timpul
transmiterii in reteaua interna / prin internet.
5. Amenintari privind controlul accesului:
Spargerea parolelor: datorita folosiri unor parole usor de
ghicit.
Sisteme de mentenanta nesigure, crearea de backdoors.
Acces extern la fisierele cu parole si sniffing in retea.
6. Amenintari ale integritatii / acuratetei:
Distrugerea intentionata a informatiei sau a functiilor de
procesare a informatiei din surse
externe / interne.
Modificarea intentionata a informatiei.
Este bine de stiut cat mai in detaliu care este sursa acestor
amenintari pentru ca aria de
cuprindere este mare, de la proprii angajati la utilizatorii
externi din randul partenerilor firmei - clienti,
furnizori, consultanti, institutii financiare si de asigurari,
serviciile de paza si de protectie firme
concurente, hackerii, mercenarii independenti si chiar
jurnalisti si redactori ai unor posturi radio-tv.
2.4 VULNERABILITATI
Vulnerabilitatile sunt punctele slabe ale sistemului informatic
care-l expun din interior
evenimentelor ce pot afecta negativ functionarea sistemului.
Pentru ca nu exista un indrumar teoretic pentru stabilirea
generala a vulnerabilitatilor si
amenintarilor IT se apeleaza la un inventar al acestora ce
rezulta din experienta celor mai bune practici
in domeniu.
Vulnerabilitatile unui sistem informatic pot fi grupate in
urmatoarele categorii:
- vulnerabilitati ale infrastructurii hardware si de
comunicatie;
- vulnerabilitati ale sistemului software ;
- vulnerabilitati ale bazelor de date si arhivelor de date
istorice;
- vulnerabilitati umane;
- vulnerabilitati naturale.
-
11
Vulnerabilitatile infrastructurii hardware si de comunicatie
releva o serie de surse ale unor
incidente care ar putea duce chiar la suspendarea temporara a
proceselor din sistemul informatic. Aici
se includ: avariile hardware, imposibilitatea rularii unor
tranzactii on-line sau a unor servicii Internet,
aparitia unor puncte sensibile in retelele wireless.
Vulnerabilitatile software sunt o clasa complexa de
vulnerabilitati care incep cu utilizarea de
software nelicentiat, sau lipsa de corelare in utilizarea
acelorasi versiuni de programe de catre toti
userii, apoi lipsa unei protectii consistente impotriva
abuzurilor software la care se mai adauga
posibilitatea aparitiei unor erori in insasi programele sursa
nedepistate in faza de testare,
Vulnerabilitati ale bazelor de date si arhivelor de date
istorice se refera la pierderile de date
datorita unor proceduri de prelucrare neconsistente,
neprotejarea structurilor de date, accesul
neautorizat al unor programe la fisiere, alterari sau pierderi
de copii de siguranta, chiar si a unor
biblioteci de programe.
Vulnerabilitati umane provin din nenumarate directii dar
persoanele care administreaza
sistemul prezinta cea mai mare vulnerabilitate, lor li se adauga
operatorii si utilizatorii care voluntar sau
involuntar pot afecta sistemul informatic.
Vulnerabilitati naturale au in vedere incendiile, inundatiile si
cutremurele, evenimente
nedorite, cu o probabilitate greu de estimat, de fapt evenimente
incerte dar posibile si care trebuie
neaparat luate in calcul.
Accesul neautorizat in sistem apare atunci cand o persoana
straina obtine prin diferite mijloace
accesul la datele si serviciile retelei . Pot aparea urmatoarele
vulnerabilitati:
Deficientele mecanismului de identificare si autentificare a
utlizatorilor : Aceasta este o
vulnerabilitate majora deoarece in procesul de modificare a
datelor de acces catre baza de date
(user : super, parola : valid), la modificarea acestora
programul se opreste din executie. De
asemenea parola si userul existente sunt cele standard, iar o
persoana straina poate accesa
informatiile prin introducerea acestora, de aceea se recomanda
schimbarea cel putin a parolei.
Memorarea unor date confidentiale de catre persoane neautorizate
:Neprotejarea corecta a
informatiilor poate duce automat la furtul de date, unde pot fi
regasite date confidentiale despre
clienti sau despre firma.
Controlul fizic redus, este necesar un control riguros
Neprotejarea modemurilor : Datele trebuie protejate atat pe
intreg sistemul informatic, cat si in
subsistemele ce il alcatuiesc
Calculatoare care nu utilizeaza un sistem de control al
accesului la fisiere in functie de
nivelul de autorizare
Divulgarea datelor
Compromiterea datelor si a soft-ului retelei poate duce la
aparitia urmatoarelor vulnerabiliati:
controlul impropriu al accesului
date importante care necesita cripaterea memorate sub forma
necriptata
codul sursa al aplicatiilor salvat sub forma necriptata sau
lasat la dispozitia oricui
monitoare si imprimante amplasate in zone cu trafic intens
copii de siguranta ale fisierelor pastrate in zone
neprotejate
Modificarile neautorizate apar prin exploatarea
vulnerabilitatilor :
acordarea dreptului de scriere utilizatorilor care le este
permisa numai citirea
-
12
nedetectarea schimbarilor facute aplicatiilor
lipsa unei cifre de control
lipsa mecanismelor de protectie impotriva virusilor
Supravegherea liniilor de comunicatie pp ascultarea sau captarea
semnalelor liniilor de
comunicatie. Vulnerabilitatile in acest caz sunt :
protectie fizica redusa
transmiterea datelor necriptate
Inselarea traficului inseamna posibiltatea unui intrus de a se
camufla in destinatar sau expeditor.
Vulnerabilitatile exploatate in acest caz sunt :
transimterea de mesaje necriptate
lipsa datei si a orei de transmitrere - receptie a mesajului
lipsa unui mecanism de autentificare sau a unei semnaturi
digitale
lipsa unui mecanism de verificare in timp real
Perturbarea functiilor retelei se refera la imposibilitatea
aceseia de a satisface nevoile
utilizatorilor intr-o perioada de timp rezonabila.
Exploatarea vulnerabilitatilor:
imposibilitaeta redirectionarii traficului prin nodurile
retelei
schimbari neautorizate in configuratia echipamentelor
securitate fizica redusa in cazul componentelor hardware
imposibiliatea detectarii abaterilor de la traficul standard
(ex. utilizarea de chat).
Pentru eliminarea deficientelor constatate au fost elaborate
urmatoarele recomandari:
Suspendarea aplicatiei pana in momentul in care
vulnerabilitatile prezentate nu vor mai exista;
Intocmirea unui set de proceduri privind implementarea
controalelor logice prin care se asigura
securitatea aplicatiei Ciel;
Implementarea unor controale logice eficiente;
Intocmirea unui set de proceduri privind monitorizarea
sistematica a mecanismelor de control
logic prin care se asigura securitatea accesului la
informatii;
Desemnarea responsabilitatii pentru monitorizarea controalelor
logice prin care se asigura
securitatea accesului la informatii.
Stocarea datelor in baza de date trebuie sa se faca criptat;
Intocmirea unui set de proceduri privind recupararea datelor in
caz de dezastru.
Desemnarea responsabilitatii pentru implementarea procedurilor
in caz de dezastru.
-
13
CAPITOLUL IV
CONTROLUL APLICATIEI
In urma verificarii securitatii datelor introduse in aplicatia
CIEL, cat si a functionalitatii
aplicatiei s-au descoperit urmatoarele:
1. Inainte de a lansa aplicatia, s-a incercat deschiderea
fisierelor gasite in folderul in care este
instalata aplicatia. Programul ales pentru a deschide fisierele,
se numeste Acces si face parte din
Suita Microsoft Office. Pentru inceput, a fost ales un fisier cu
extensia .DBF.
Spre surprinderea noastra, fisierul s-a deschis. Acesta poate fi
modificat cu usurinta de oricare
utilizator care are acces la aceste fisiere.
-
14
In urma acestei descoperiri, au fost verificate daca toate
fisierele cu aceasta extensie se comporta la
fel. Rezultatul este unul previzibil. Toate aceste fisiere pot
fi deschise, modificate si vizualizate, aceasta
fiind o problema majora a securitatii bazei de date.
Printre altele, un utilizator rau intentionat poate sa faca
urmatoarele:
A. Sa modifice calea bazei de date a fiecarei societati din baza
de date a aplicatiei, accesand fisierul
ACCESSOC.DBF:
-
15
Observam ca atunci cand se modifica numele directorului in care
se afla baza de date a societatii, aplicatia
va considera baza de date ca fiind stearsa din sistem,
utilizatorul fiind in imposibilitatea de a o accesa.
B. Sa se vizualizeze si modifice numele utilizatorului si parola
de acces la baza de date prin accesarea
fisierului UTI LISAT.DBF cu ajutorul aplicatiei Acces.
Din imaginile de mai sus, se poate observa parola Valid aferenta
utilizatorului Super.
-
16
2. Atunci cand este creata o noua societate putem observa ca
sunt unele restrictii cu privire la numarul de
caractere introduse in fiecare camp.
Asa cum putem observa in imaginile de mai sus, fiecare camp
permite inserarea unui numar limitat
de caractere, insa atunci cand este creata baza de date a
societatii, aceasta limita de caractere se modifica in
minus, rezultand din aceasta o pierdere de informatii, fara ca
utilizatorul sa fie anuntat in vreun fel.
Camp Creare Modificare Diferenta
Denumire 49 40 9
Adresa1 49 40 9
Adresa2 49 40 9
Cod postal 10 10 0
Oras 49 30 19
Judet 49 30 19
Telefon 24 20 4
Fax 24 20 4
Nr reg com 49 20 29
Cod fiscal 12 12 0
Cod SIRUES 49 13 36
Numar de zecimale 1 1 0
Numar de zecimale pentru devize 1 1 0
Numar de zecimale pentru curs
devize 1 1 0
Total 416 278 138
-
17
3. In momentul in care se doreste crearea unui nou jurnal din
modulul Culegere Date Universala, se poate
observa ca limita de caractere pentru campurile Cod si Denumire
este de 49. In momentul salvarii insa,
aceasta limita se modifica. In cazul campului Cod, limita este
de 3 caractere, iar in cazul campului
Denumire, limita este de 30 de caractere. Aceasta modificare, ca
si in cazul de mai sus, este facuta fara ca
utilizatorul sa fie anuntat/avertizat.
4. Aplicatia se inchide automat, atunci cand se incearca
schimbarea Utilizatorului, accesand meniul
contextual.
Pe langa aceasta eroare, daca se incearca mutarea ferestrei
PAROLA Monopost, aceasta se
micsoreaza si nu mai poate fi readusa la forma initiala.
Utilizatorul este obligat astfel, sa inchida fereastra.
Procedand astfel, aplicatia se inchide automat.
-
18
5. O inregistrare contabila validata nu poate fi devalidata spre
a fi modificata. Dupa ce se executa
comanda Validare, nota administratorul nu are drept de
modificare a notei contabile.
6. Daca utilizatorul schimba cota de tva din meniu, actualizarea
nu va avea efect si in jurnale.
Practic cota de tva modificata va ramane la fel in jurnalele de
vanzari sau de cumparari. Ea
trebuie modificata manual, in loc sa se schimbe automat
7. In campul cu explicatii din cadrul modulului Culegere Date
Universala se pot introduce
maxim 79 de caractere, dar atunci cand se avanseaza la alt camp,
limita de caractere se
miscoreaza la 25 de caractere, rezultand o pierdere de
informatii, fara ca utilizatorul sa fie
informat de aceasta.
-
19
CAPITOLUL V
-
20
CATRE MANAGEMENTUL SOCIETATII DATA CONSULTING SRL
Stimati domni,
Am efectuat auditul principalelor sisteme informatice, ca parte
a auditului financiar al S.C.
DATA CONSULTING SRL.
Obiectivul general al auditului a constat in evaluarea stadiului
de dezvoltare si utilizare a
sistemului informatic existent in cadrul societatii Data
Consulting SRL,a instrumentelor, tehnologiilor
informatice si infrastructurii aferente furnizarii unor servicii
de calitate impreuna cu formularea unor
recomandari in scopul imbunatatirii serviciilor oferite, precum
si securitatea documentelor,
informatiilor.
Pe baza procedurilor si testelor efectuate, ehipa de audit nu a
identificat deficiente semnificative
si a concluzionat faptul ca toate controalele aplicatiilor
informatice iau n considerare n mod corect
riscurile IT.
Utilizandu-se metoda Mehari, SC Data Consulting SRL prezinta un
nivel de risc de 3
puncte. Mw = 4 * Ri * Wi / Wi = ( 3,05+ 3,55 + 3,22 + 2.93 +
3,36 +3,12+ 3,72 + 3,03 + 2,15+
3,73 + 2,24+2,28 ) / 12 = 3.07
Media coeficientilor se apropie de 4. Apreciem acest lucru ca
fiind nefavorabil pentru sistemul
nostru deoarece gradul de risc este unul ridicat.
Este un risc preponderent ridicat ce poate afecta atat in mod
direct, cat si indirect siguranta
sistemului informatic. Reflecta deficiente majore in circuitul
informational, defalcari in etapele de
control, posibile erori ca urmare a lipsei de competenta a
personalului existent, inexistenta elementului
de extraneitate si de mentinere a unei copii de rezerva, carente
majore n preluarea si transmiterea
informatiilor, nesiguranta atat pe intreg sistemul informatic
cat si pe subsistemele sistemului
informatic, dar mai ales vulnerabilitatea n fata posibilelor
atacuri informatice.
Problemele identificate si recomandarile corespondente sunt
prezentate mai jos.
Acest raport este destinat exclusiv pentru informarea si
utilizarea de catre persoanele
reprezentnd managementul companiei si nu este destinat a fi si
nu ar trebui sa fie utilizate de catre alte
persoane n afara celor expres mentioante.
Cu stima,
KARA SRL
Bucuresti,Romnia
-
21
DEFICIENTE IDENTIFICATE :
1.Securitatea
DEFICIENTE
RECOMANDARI
Organizarea si implicarea acesteia asupra securitatii este
realizata de catre departamentele de IT si resurse umane sub
indrumarea managementului. Departamentul de resurse
umane elaboreaza Manualul angajatului: un ghid complet
pentru angajati ce cuprinde un set de principii, norme si
proceduri de securitate obligatorii.
Imbunatatirea manualului angajatului,un ghid
complet si explicit pentru angajati care cuprinde
principii,norme si proceduri atat cu obligatiile cat si
cu drepturile acestora.Severitate in recrutarea
angajatilor pentru a forma un personal bine pregatit
si capabil in desfasurarea activitatii prestate la locul
de munca.
Securitatea in cadrul departamentului de IT se realizeaza
prin securizarea programelor , a datelor si a aplicatiilor.
Accesul acestora de fiecare angajat in parte se face pe baza
de
user si parola ,userul fiind format din numele acestuia iar
parola este generata automat de sistem pentru prima data
,ulterior dupa prima logare fiind modificata de fiecare
angajat la un interval de timp,pentru a pastra vabilitatea
user-ului.
Imbunatatirea politicii de recrutare,a politicii de
pregatire si evaluare a resurselor umane IT.Marirea
numarului de angajati in departamentul de IT cu inca
un angajat responsabil de administrarea sistemelor
de operare si a bazelor de date, a securitatii logice si
fizice si a infrastructurii de comunicatii
.Perfectionarea informatiilor prezentate pentru
cursurile de perfectionare ale angajatiilor IT.
Pe fiecare calculator sunt instalate aplicatii antivirus si
firewall care ajuta la detectarea aplicatiilor nedorite
(antivirus),la blocarea comunicatiilor initializate de
acestea(firewall)dar si la protejarea documentelor.
Cat priveste securitatea accesului fizic in cadrul
firmei,aceasta este realizata de catre o echipa formata
dintr-
un angajat al societatii ,care monitorizeaza toate
persoanele
care intra si ies din societate intr-un jurnal.Angajatii
sunt
identificati pe baza ecusoanelor.
Monitorizarea video continua a firmei 24 din 24 de
ore ,intarirea securitatii cu un angajat de la o firma
de paza, accesul sa se faca pe baza de card pentru a
nu putea intra in societate decat angajatii. Intarirea
-
22
La intrare este un sistem informatic pentru pontarea
intrarilor si iesirilor dar acesta nu asigura un nivel de
securitate optim. Societatea este prevazuta cu camera de
supraveghere video pentru a controla deplasarea
persoanelor si a bunurilor, ct si pentru a monitoriza
corectitudinea si eficienta activitatii desfasurate de
personalul angajat in cadrul firmei.
masurilor de securitate la receptie in sensul verificatii
legitimatiei fiecarui angajat, insotirea vizitatorilor in
cladire;
Elaborarea si implementarea unor proceduri de
securitate cu privire la reteaua de telefonie.
Societatea are o retea locala la care au acces angajati,
atat prin intermediul echipamentelor societatii cat si din
afara. Reteaua locala este partitionata in domenii pentru
fiecare departament in care exista sectiunile public(la care
au acces toti angajatii) si privat (cuprinde mediul de lucru
propriu fiecarui departament).Accesul la mediul privat este
restrictionat.
Securizarea programelor, a datelor si a
aplicatiilor iar accesul acestora de fiecare angajat in
parte sa se faca doar pe baza de user si parola care
vor fi stric confidentiale ,astfel fiecare angajat va
lucra strict pe calculatorul sau si pe conturile sale
fara a putea intra in posesia documentelor celorlalti
colegi si fara accesul la modificarea acestora.
GRADUL DE RISC AL DEFICIENTEI RIDICAT
2. Responsabilitati :
DEFICIENTE RECOMANDARI
In cadrul departamentului financiar-contabil se
realizeaza toate activitatile cu privire la contabilitate,
fiscalitate, audit financiar dar si consultanta in
domeniul fiscal.
Administratorul de retea este cel care asigura
masurile protectia circuitului informational al
documentelor,a accesului in retea si se ocupa de
implementarea acestora, iar administratorul firmei
este responsabil cu spatiile fizice si cu integritatea
componentelor.
-
23
Rolurile si responsabilitatile legate de
administrarea si functionarea sistemelor de operare
nu sunt foarte bine delimitate.
Instrumentele si tehnicile de securitate a
informatiilor trebuie sa fie puse n aplicare
pentru a putea delimita responsabilitatile
departamentelor de administrare si
operatiuni n ceea ce priveste
administrarea aplicatiile informatice.
GRADUL DE RISC AL DEFICIENTEI MEDIU
3. PROCESUL DE BACKUP, INTERNET:
DEFICIENTE RECOMANDARI
Periodic se realizeaza copii back-up ale
sistemului menite sa reconstituie datele originale
in cazul distrugerii dar aceste copii sunt realizate
doar pentru datele din reteaua locala.
Mentenanta datelor din calculatoarele personale
este lasata in grija utilizatorilor acestor date.
Implementarea unui sistem de baterii care sa
permita sistemului, in cazul unei pene de
curent, cel putin realizarea copiilor back-up.
In ceea ce priveste connexiunea la internet
prin wireless aceasta este scazuta, aparand
numeroase fluctuatii.
Remedierea problemelor la connexiunea de
internet prin wireless sau schimbarea acesteia
cu alta mai performanta pentru prevenirea
fluctuatiilor, pierderea semnalului de internet.
GRADUL DE RISC AL DEFICIENTEI RIDICAT
-
24
4. VERIFICAREA CONTURILOR PERSONALULUI:
DEFICIENTE RECOMANDARI Conturile angajatilor nu sunt
verificate.Acestia
anuntand departamentul de IT doar in cazul
aparitiei problemelor(nu au acces la contul
respectiv,parola nu corespunde).
Pentru siguranta informatiilor, conturile
angajatilor ar trebui verificate cel putin lunar
pentru evitarea blocarii acestora sau
patrunderea in cont de persoane straine.
GRADUL DE RISC AL
DEFICIENTEI MEDIU
5.TRANSMITEREA SI STOCAREA INFORMATIILOR :
DEFICIENTE RECOMANDARI Informatiile ,documentele sunt aduse
la
secretariatul societatii, secretara le sorteaza
dupa departamente iar apoi le imparte pe
fiecare department in parte.
Transmiterea informatiilor in interiorul unitatii se
va face prin posta electronica a unitatii, retea, prin
distributie directa, cu semnatura si eticheta ce
delimiteaza caracterul confidential al datelor;
informatiile sunt expediate doar destinatarilor
aprobati (confirmati) de sistemul intern.
Informatiile se arhiveaza in calcularotul
departamentului de IT, fara a fi parolate.
Stocarea informatiilor se face prin pastrarea in
locuri neaccesibile persoanelor neautorizate, pe
suporturi magnetice sau pe hartie, in arhiva, in seif,
in fisiere parolate.
GRADUL DE RISC AL DEFICIENTEI MEDIU