CHESTIONAR pentru auditarea unui sistem informatic

A. Mediul IT din cadrul organizaţiei

1. Clientul foloseşte sistem informatice integrate? (cum ar fi sistemele ERP sau mai multe aplicaţii care sunt interfaţate)

DA, charisma crm by microsoft

2. Cât de critică este disponibilitatea sistemelor IT pentru afacerea clientului? (foarte critic – întrerupere tolerabilă < 1 zi, critic – întrerupere tolerabilă 1-3 zile, necritic – întrerupere tolerabilă > 3 zile)

Foarte critic-1

3. Care părţi din mediul IT sunt externalizate?Departamentul service si asistenta tehnica este externalizat, departamentul de suport aplicatii este acoperti de angajatii companiei

4. Cum este formalizată relaţia dintre client şi furnizorul de servicii externe? (cum ar fi indicatori de măsurare a nivelului serviciilor)

Clientul nu a schimbat furnizorul de servicii externe, poate fi definita ca o relatie foarte buna intre client si furnizor, fiind vorba de o companie mare, este vorba si de un conract negociat.

5. Este IT-ul critic pentru atingerea obiectivelor clientului?Fara partea de IT, nu am avea acces la uneltele pentru desfasurarea ctivitatilor zilnice

6. Cum se asigură clientul că IT-ul este parte a strategiei pe termen mediu şi lung?

Din pacate, clientul nu face investitii in ceea ce priveste arhitectura hardware.Face investitii doar in ceea ce reprezinta software.

7. Cum se asigură clientul că proiectele pe care doreşte să le iniţieze sunt planificate corespunzător?

Clientul are un departament specializat in care persoanele responsabile analizeaza si urmaresc desfaurarea corespunzatoare activitatilor pentru a indeplini planurile propuse.

8. Cum sunt monitorizate proiectele pentru a se asigură că îşi vor atinge obiectivele într-un mod eficient din punct de vedere al timpului şi costului?

Departamentul specializat se ocupa de acest aspect.

9. Are clientul dezvoltat DRP (disaster recovery plan) / BCP (business continuity plan)? (DA/NU)

DA

10. Planul (DRP/BCP) acoperă toate aplicaţiile şi funcţiile de infrastructură care suportă procesele? Care continuitate este critică pentru client? Cât de des şi cât de riguros este testat planul?

Planul DRP acopera doar ceea ce reprezinta baza de date si aplicatiile cele mai

importante pentru utilizatorul final.

11. Este clientul conştient de date care îi sunt critice? DA

12. Este IT-ul critic pentru atingerea obiectivelor clientului? Ce a întreprins clientul pentru a asigura securitatea datelor sale? (politici/proceduri)

Clientul este constient de necesitatea IT-ului pentru atingerea obiectivelor, de aceea face investitii in ceea ce reprezinta arhitectura sofware.

Care sunt riscurile identificate de dumneavoastră pentru clientul selectat, din răspunsurile date la întrebările de mai sus? (3 riscuri)

1. Posibilitatea efectuării de investiţii care nu sunt necesare şi neglijarea adevăratelor probleme

2. Planul de testare nu este efectuat periodic3. Metodele de achiziţie a echipamentelor hardware folosită (câştigă

echipamentul mai ieftin) a dus la crearea unui parc de sisteme IT de foarte proastă calitate, ceea ce poate duce la blocarea activităţii in orice moment.

B. Tehnologia utilizată

Denumireaaplicaţiei

Scurtă descriere a aplicaţiei

Platforma hardware utilizată

Versiunea şi numele sistemului de operare

Sistemul de gestiune a bazelor de date utilizat

Sursa aplicaţiei (cumpărată, cumpărată cu modificări, dezvoltare proprie)

Este aplicaţia accesibilă din exterior (dial-up/ internet)

CRM Sistem integrat de gestiune a persoanelor care primesc asistenţa sociala

Server bazat pe CPU Intel Pentium IV 2800 MHz, 1024 MB RAM

Windows 7 Profesional

Microsoft SQL Server 2005 Express Edition

Cumparata cu modificări

NU

BRANCH Program de gestiunea a operatiunilor curente

Server bazat pe CPU Intel Pentium IV 2800 MHz, 512 MB RAM

Windows 7 Profesional

Microsoft SQL Server 2005 Express Edition

Cumparat NU

Diagrama de reţea

Organigrama departamentului IT

CalculatorCalculator

Calculator

Swich

Imprimant

a

Server

1. La ce nivel din cadrul organizaţiei raportează şeful departamentului de IT?Cele trei departamente IT sunt separate şi raportează directorului Administrativ.

2. Cum este IT-ul organizat astfel încât să asigure o delimitarea a responsabilităţilor şi continuitatea activităţii? (cum ar fi pe perioada concediilor)

Nu există o astfel de organizare, fiecare unitate isi gestioneaza perioada concediilor cum doreste, dar sa respecte perioada minim de 10 zile.

Care sunt riscurile identificate de dumneavoastră pentru clientul selectat, din informaţiile prezentate în secţiunea B? (3 riscuri)

1. Din modul în care este proiectată reţeaua poate apărea riscul apariţiei fenomenului de bottle-neck (îngreunarea comunicării în reţeaua de date datorită folosirii excesive a unei porţiuni prin care circulă date către toate segmentele reţelei).

2. Din cauza lipsei unei metode de asigurare a continuităţii pot apărea blocaje în sistemul IT.

3. Din cauza organizării departamentului IT pot apărea disfuncţionalităţi şi chiar conflicte între cele teri departamente de service IT.

C. Analiza aplicaţiei selectate

C.1. Accesul în aplicaţie

1. Cum este reglementat (limitat) accesul către funcţiile importante din mediul IT? (administrator de baze de date, administrator de aplicaţie, administrator de reţea)

La functiile importante din mediul IT nu au acces decat administratorul de baze de date, iar la aplicatii doar administratorul de aplicatie si cel de retea.

2. Prezentaţi principalele setări de securitate ale sistemului (server de domeniu) şi analizaţi completitudinea lor?

Nu avem acces din si in afara retelei. Reteaua intranet este protejata de acces cu user si parola.

Departament

Administrativ

Departament IT Intern

(Service)

Department IT extern

(administrare

hardware)

Departament IT Intern

(Administrare sisteme

ERP)

4. Cum este monitorizat accesul în aplicaţie? (revizuire de loguri, revizuire de listă de utilizatori)

Se blocheaza accesul la aplicatii in momentul in care o persoana intra in concediu. In momentul demisionarii unui angajat i se retrag toate drepturile din aplicatie.

5. Prezentaţi şi analizaţi setările de parolă aferente aplicaţiei?Aplicaţiile software folosite permit diferite nivele de acces la date, protejate prin parola, parolaa ce trebuie schimbata o data la 2 luni.

6. Accesul utilizatorilor este autorizat şi creat corespunzător? (cine face cererea, cine stabileşte drepturile, cine aprobă accesul, cine creează contul, cine notifică plecarea angajatului din organizaţie)

Cererea este făcută de catre superiorul angajatului.Drepturile precum şi aprobarea accesului intră în atribuţiile şefilor departamentelor care utilizează aplicaţiile. Crearea şi gestiunea conturilor intră în atribuţiile departamentului IT de administrare a sistemelor ERP

Care sunt riscurile identificate de dumneavoastră pentru clientul selectat, din informaţiile prezentate în secţiunea C.1? (3 riscuri)

1. In momentul resetarii unei parole, nu se face identificarea solicitantului2. Posibilitatea accesului la datele secrete3. Datorită lipsei uneii monitorizări mai atente, nu se pot identifica încercările de penetrarea a sistemului de securitatea folosit de aplicaţii

C.2. Gestionarea modificărilor aduse aplicaţiei

1. Cine şi cum iniţiază o modificare care să fie adusă aplicaţiei?Angajaţii care utilizează aplicaţiile transmit ce modificari sunt necesare in momentul in care se fac sedinte pe tema respectiva.

2. Cine aprobă modificarea pentru a fi dezvoltată? Seful departamentului IT extern împreună cu directorul Administrativ

3. Cine şi cum monitorizează modificările aduse aplicaţiei?Departamentului IT intern

4. Cine şi cum testează modificările dezvoltate? Cine aprobă migrarea dezvoltării în producţie?

Departamentului IT intern5 Cine şi cum monitorizează modificările aduse aplicaţiei?

Departamentului IT intern

6. Cum este asigurată delimitarea responsabilităţilor în cadrul procesului de gestionare a modificărilor aduse aplicaţiei?

Nu este asigurată delimitarea responsabilităţilor

C.3. Alte informaţii

1. Cum se realizează backup-ul informaţiilor din aplicaţie? Cât de des este verificat backup-ul şi cum?

Se realizeaza back-up de cateva ori pe zi.

2. Cum monitorizate şi rezolvate deviaţiile care apare în procesărilor programate? (transferuri, scheduled task)

Se verifica daca s-au efectuat procesarile manual.

Care sunt riscurile identificate de dumneavoastră pentru clientul selectat, din informaţiile prezentate în secţiunea C.2 şi C.3? (3 riscuri)

Modul haotic în care se fac modificările aplicaţiilor, fără existenţa unui plan, poate duce la:

1. Reducerea eficientei aplicaţiilor 2. Dificultatea verificarii corectitudini procesarilor3. Investiţii care nu sunt cu adevărat necesare

Daţi exemple de minim trei întrebări care ar trebui să se regăsească în acest chestionar?

1.Consideraţi că aplicaţiile contribuie la îmbunătăţirea activităţii instituţiei ?2. În opinia dvs. care sunt principalele puncte tari ale sistemului şi aplicaţiilor?3. Care credeţi că sunt punctele slabe ?