Auditul Sistemelor Informaționale

1. Prezentarea generală a sistemului informaţional

1.1 Definiţia sistemului informaţional

Sistemul informaţional reprezintă ansamblul de elemente implicate în procesul de colectare, de transmisie, de prelucrare a informaţiei, informatiei revenindu-i rolul central din sistem. În cadrul sistemului informaţional se regăsesc : informaţia vehiculată, documentele purtătoare de informaţii, personalul, mijloacele de comunicare, sisteme de prelucrare a informaţiei, etc. Printre posibilele activităţi desfăşurate în cadrul acestui sistem, pot fi enumerate: achiziţionarea de informaţii din sistemul de bază, completarea documentelor şi transferul acestora între diferite compartimente, centralizarea datelor, etc.

1.2 Descrierea companiei şi a sistemului informaţional existent

1.2.1 Aspecte generale

BDO International este o reţea globală de cabinete profesionale de contabilitate, audit şi consultanţă, fiecare firmă membră din reţea fiind o entitate juridică independentă în ţara în care este înregistrată. Reţeaua este coordonată de BDO Global Coordination B.V., înfiinţat în Olanda, cu sediul social in Eidhoven, Belgia, acolo unde este situat Biroul Executiv Internaţional.

Reţeaua globală îşi desfăşoară activitatea prin intermediul a 1,095 de birouri în 110 ţări, adunând la un loc peste 44,000 profesionişti.

În ţara noastră, BDO este considerată a cincea firma de audit, contabilitate şi consultanţă cu o experienţa de peste 15 ani în prestarea de servicii profesionale. Activitatea din cadrul companiei este structurată la nivelul următoarelor departamente:

- Audit financiar

- Asistenţă financiară

- Servicii contabile

- Insolvenţă şi restructurare

- Audit intern şi servicii conexe

- Consultanţă fiscală

- Consultanţă de management privind riscul

- Servicii şi consultanţă de resurse umane

1.2.2 Sistemul informaţional

Departamentul de IT funcţionează la nivel global pentru toate departamentele, fiind alcătuit din:

Administratorii de reţea (două persoane) – îndeplinesc funcţiile specifice de administrare a reţelei (reţelelor). Aceştia administrează atât reţeaua globala de la nivelul companiei (reţeaua de la nivelul tuturor departamentelor - Intranet) cât şi reţelele de la nivelul fiecărui departament. De asemenea, asigură asistenţă (la nivel software si hardware) în cazul solicitării acesteia de către angajaţi, instalează licenţele necesare pentru desfăşurarea activităţii în companie, realizează upgrade de softuri, administrează serverele şi gestionează întreaga bază tehnică ce sprijină funcţionarea reţelei.

Managerul de securitate şi risc – răspunde de implementarea politicilor de securitate stabilite şi aplică măsurile necesare asigurării protecţiei reţelei şi informaţiei. Este cel care deţine jurnalele cu parole şi răspunde de prevenirea accesului neautorizat în reţea. De asemenea, în cazul apariţiei unor situaţii delicate poate să ofere sprijin administratorilor de reţea. Din perspectiva organigramei, managerul de securitate şi risc are în subordine cei doi administratori de reţea şi conduce departamentul IT.

Din punct de vedere hardware sistemul informatic este format din:

- reţeaua de tip LAN (Local Area Network): acoperă zona birourilor companiei şi este bazată pe tehnologia Ethernet. Compania deţine conexiune atât prin fibră optică cât şi prin Wireless LAN pentru a interconecta posturile de lucru, dispozitivele locale şi pentru a accesa Internetul. Reţeaua este construită astfel încât la nivelul fiecărui departament să se poată accesa anumite imprimante şi xeroxuri care nu sunt accesibile în afara grupului respectiv; toţi utilizatorii pot accesa Internetul. Tehnologia LAN utilizată în prezent în companie este conform cu standardul IEEE 802.3 şi operează la viteze de peste 10 Mbit/s.

- servere (câte un server la nivelul fiecărui departament şi un server “master”) care asigură servicii de stocare, tipărire şi comunicare

- aproximativ 150 de posturi de lucru repartizate pe departamente.

- sisteme periferice (imprimante, xeroxuri)

- echipamente specifice retelei (adaptoare de reţea, modemuri, punţi, routere)

Componente software:

- Sistem de operare pentru servere – Microsoft Windows Server

- Sistem de operare pentru posturile de lucru – Microsoft Windows XP

- Softuri specializate corespunzătoare necesităţilor fiecărui departament (ex. Ciel, softuri pentru diverse teste de audit). Documentaţia softurilor se găseşte la sediul societăţii.

Conexiune internet:

- Accesul la Internet este realizat printr-o conexiune prin fibra optică.

- Reţeaua oferă atât conexiune directa (prin cablu) cât şi wireless (fără fir).

2. Analiza amenintarilor si vulnerabilitatilor la nivelul departamentului de contabilitate al companiei

Securitatea datelor unei companii este esenţială pentru o buna desfăşurare a activităţii acesteia. De multe ori ignorată, se pare că în 95% din cazuri aceasta intră în centrul atenţiei abia după ce s-a consumat un eveniment ce a afectat în mod negativ activitatea companiei. În cadrul reţelei de calculatoare a departamentului, trebuie să existe garanţia că datele secrete sunt protejate, astfel încat doar utilizatorii autorizaţi să aibă acces la ele. Trebuie să avem în vedere faptul că informaţia este expusă în prezent unui număr din ce în ce mai divers de amenintari provocate de factori interni sau externi.

2.1. Vulnerabilităţile (punctele slabe care pot fi exploatate de ameninţări diferite)

Vulnerabilitatea poate fi definită ca o slăbiciune în ceea ce priveşte procedurile de sistem, arhitectura sistemului, implementarea acestuia, controlul intern, precum şi alte cauze care pot fi exploatate pentru a trece de sistemele de securitate şi a avea acces neautorizat la informaţii. La nivelul departamentului de contabilitate din cadrul companiei, se pare că principalele vulnerabilităţi în sistemele de calcul sunt: fizice, naturale, hardware, software, medii de stocare,comunicaţii şi umane. Spre exemplu:

- mediul de lucru impropriu are consecinţe nefavorabile asupra componentelor hardware

- camerele în care se află echipamentele sunt vulnerabile prin posibilitatea intruziunilor fizice

- inexistenţa unei temperaturi propice funcţionării staţiilor de lucru afectează echipamentele

- prezenţa prafului impiedică funcţionarea corespunzătoare a părţii hardware

- plasarea echipamentelor în locuri cu soare duce la deterioararea acestora

- neactivarea sistemelor de ventilaţie