indice de contenidos

13 abr. 2008 - IMPRESORA SAMSUNG SRP. 275APG NEGRA (para tickets). 4. 185,5€. 742€. APP. CAJON PORTAMONEDAS EC. 410NEGRO. 4. 35,1€.
2MB Größe 30 Downloads 96 vistas
Auditoría realizada a “Multicines Ortega”

INDICE DE CONTENIDOS

1. INTRODUCCIÓN……………………………………………………………

3

1.1. Alcance de la Auditoría………….………………………....................... 3 2. CARTA AL DIRECTOR……………………………………………………

4

3. INFORME DE AUDITORÍA…………….………………………………...... 5

3.1. Evaluación de la Planificación..………………………………………… 5 3.2. Evaluación de la Adquisición y la Implantación……………………….. 7 3.3. Evaluación de la Seguridad y la Confidencialidad……………………..

10

3.4. Evaluación del Monitoreo………………………………………………

13

4. PAPELES DE TRABAJO……………………………………………………. 15

Auditoría y Seguridad Informática

2

Auditoría realizada a “Multicines Ortega”

1. INTRODUCCIÓN Nuestra empresa BAGUKIRA S.L. ha realizado un plan estratégico de inserción de TI para los Multicines Ortega. Dicho plan estratégico se divide en tres etapas: corto, medio y largo plazo. En los acuerdos firmados con el director de los Multicines Ortega se acordó la realización de una auditoría de la empresa para cada una de las etapas. Pasado más de un año de dicho acuerdo, la primera etapa de nuestro plan estratégico ha sido llevada a cabo y los multicines cuentan con las siguientes TI: Software destinado a la Gestión Económica y Gestión de Planificación de películas con objeto de generar el mayor número de beneficios con la proyección de películas. Hardware conectado en red para las taquillas y la zona de cafetería con software integrado con el sistema de Gestión Económica. (TPV) Hardware de administración. (Terminal de Administración) Hardware de control para la dirección. (Ordenador Personal) Pasado un tiempo de uso de dichas TI, el grupo de auditores de BAGUKIRA S.L. ha acudido a los Multicines Ortega con objeto de auditar la correcta implantación de la primera etapa del plan estratégico. En este documento se presenta la auditoría realizada por dicho grupo. 1.1. ALCANCE DE LA AUDITORÍA

Para la realización de esta auditoría, los auditores se han guiado por el manual de COBIT dividiendo la evaluación en los siguientes procesos: Planificación: Con objeto de comprobar la correcta implantación de la primera etapa del plan estratégico. Se han seguido los procesos de COBIT siguientes: PO5, PO7 y PO9. Adquisición e Implantación: Con el objetivo de comprobar la adecuación del software y hardware entregado. Se han seguido los siguientes procesos: AI1, AI4 y AI5. Seguridad y Confidencialidad: Con el objetivo de analizar la seguridad de las TI implantadas así como el cumplimiento de los principios básicos de confidencialidad y protección de datos. Se han seguido los procesos de COBIT siguientes: DS4, DS5, DS8 y DS12. Monitoreo: Con objeto de comprobar que se lleva un correcto control del funcionamiento de los sistemas y de su uso. Se ha seguido el proceso ME1.

Auditoría y Seguridad Informática

3

Auditoría realizada a “Multicines Ortega”

2. CARTA AL DIRECTOR Estimado Sr. Director de Multicines Ortega: En primer lugar, agradecerle la confianza que ha mostrado en nuestra empresa. Además queremos mostrarle toda nuestra gratitud por el tiempo que usted y su personal ha dedicado a nuestro equipo de auditores en el transcurso de la auditoría realizada. Le enviamos esta carta con objeto de poner en su conocimiento los principales defectos encontrados en la auditoria de su empresa por nuestro grupo de auditores. A continuación le listamos los principales problemas encontrados y las medidas oportunas para subsanarlos. Por lo general, hay un escaso monitoreo y evaluación de los sistemas. Salvo las comprobaciones realizadas por el personal de ventas a la hora de cuadrar la caja del día, el resto de comprobaciones no evalúan el correcto funcionamiento de las TI. Es de gran importancia la implantación de un plan de evaluación en el que periódicamente se revisaran todos los sistemas. En dicho plan se incluiría también el mantenimiento de las infraestructuras y espacios, que en algunos casos está muy descuidado. El plan de gestión de riesgos realizado por nuestra empresa no ha contado con la colaboración de su empresa para detectar riesgos reales. Nos gustaría contar su colaboración para ampliar y mejorar dicho plan. Si bien dicho plan de riesgos está funcionando correctamente, es un fallo muy grave el no contar con un plan de continuidad que asegure la información manejada por su empresa ante cualquier eventualidad. Instamos a realizar cuanto antes dicho plan en colaboración con nuestra empresa para poder asegurar todas sus TI ante situaciones límites. Hay grandes problemas con el uso de ciertos sistemas debido a un mal diseño y una inexistente documentación. En breve, nuestro grupo de desarrolladores rediseñará aquellos sistemas que están dando problemas y realizarán una documentación acorde con las necesidades de sus empleados. Se han encontrado errores en la instalación de red así como software mal instalado y configurado. Nuestro grupo de servicio técnico acudirá a subsanar dichos errores. Por otro lado, el personal de su empresa no tiene buenas prácticas en cuanto a la seguridad se refiere. Recomendamos que el personal sea alertado sobre este tipo de riesgos para evitar exponer la información a personal no autorizado. Finalmente, indicarle que podemos confirmar que el plan de integración de TI realizado por nuestra empresa ha sido implantado con un nivel bastante bueno de aceptación y adecuación a sus necesidades. Reciba un cordial saludo, Grupo de Auditoría BAGUKIRA S.L.

Auditoría y Seguridad Informática

4

Auditoría realizada a “Multicines Ortega”

3. INFORME DE AUDITORÍA Se ha realizado una auditoría de la empresa Multicines Ortega siguiendo las guías establecidas por el manual de COBIT. En este informe encontraremos dividida la auditoría en 4 grandes secciones que exponen las conclusiones extraídas de la evaluación de la empresa. En cada sección podremos encontrar referencias a papeles de trabajo que sirven como prueba de las conclusiones obtenidas. Dichos papeles de trabajo pueden localizarse al final de este mismo documento. 3.1. EVALUACIÓN DE LA PLANIFICACION En el apartado de planificación confluyen 3 puntos fundamentales: el presupuesto, los recursos humanos y la gestión de riesgos. Presupuesto El plan estratégico incluía un plan presupuestario de costes que podemos encontrar en el Papel de Trabajo 1. Dicho presupuesto fue realizado por el grupo de desarrollo de BAGUKIRA S.L. estimando los costes totales de la implantación de la primera etapa del plan estratégico de inserción de TI. Una vez ejecutado dicho plan, se ha realizado por parte del cliente un balance presupuestario del gasto real que ha llevado la aplicación de dicho plan. Dicho balance puede verse en los Papeles de Trabajo 2. Como podemos observar, el plan presupuestario fue realizado claramente al alza lo que ha provocado en la dirección una sensación de falta de calidad en el resultado final como se deduce de la entrevista realizada a la misma (Papel de Trabajo 3). Ha sido un fallo por parte del equipo de desarrollo el haber estimado tan al alza los presupuestos, más aún teniendo en cuenta el ajustado presupuesto de que dispone el cliente. Sobre la inversión futura y los beneficios obtenidos de la aplicación de las TI implantadas, las respuestas de la dirección (en la misma entrevista de Papeles de Trabajo 3) nos hacen ver que no existe un monitoreo continuo de la economía ni una administración de costos y beneficios. Sería de gran importancia el monitoreo de los beneficios y costes para asegurar que la aplicación de las TI están teniendo el efecto esperado y no sean un mero gasto más. Recursos Humanos La inserción de TI en los Multicines Ortega ha implicado una formación de los trabajadores. De las entrevistas realizadas a algunos de los trabajadores de los multicines (Papeles de Trabajo 4) sobre su relación con las TI implantadas y sobre dicha formación, nos damos cuenta de que si bien se les ha formado para el uso de los sistemas no se les ha proporcionado documentación de apoyo ni recursos para corregir posibles errores esperados en los sistemas. Además de esto, cada trabajador únicamente sabe manejar un sistema asignado por lo que se impide la posible rotación del personal en casos de necesidad. Se ha denotado de dichas entrevistas que uno de los trabajadores se destaca como individuo clave debido a su mayor manejo de TI. Estas situaciones no favorecen la satisfacción de los trabajadores con respecto de las TI, ni la productividad Auditoría y Seguridad Informática

5

Auditoría realizada a “Multicines Ortega” de la empresa. Debido a estas condiciones, en multitud de ocasiones (Papeles de Trabajo 5) se han realizado consultas al servicio técnico debidas a una mala formación y una mala documentación. Por un lado, consideramos que es necesario contar con documentación en forma de manuales claros y comprensibles para que el personal pueda afrontar con seguridad toda clase de incidencias relacionadas con las TI. Por otra parte, creemos que se puede utilizar el posicionamiento del individuo clave señalado de forma que asista y forme al personal en el uso de todos los sistemas con objeto de poder realizar rotaciones en las asignaciones. Gestión de riesgos El grupo de desarrollo de BAGUKIRA S.L. realizó un plan de gestión de riesgos detallado. En dicho plan (Papeles de Trabajo 6) podemos ver que se realizó una selección de los riesgos más probables en función de una lista inicial de 111 riesgos. La gestión de riesgos ha quedado debidamente documentada y se han establecido protocolos ante los riesgos más probables. Lo cierto es que todos los riesgos acontecidos desde la implantación del plan estratégico (ver entrevista con Departamento Relaciones Públicas en Papeles de Trabajo 7) estaban cubiertos dentro del plan de gestión de riesgos. Además el cliente Multicines Ortega cuenta con manuales de actuación ante estos riesgos. Sin embargo, el principal defecto es la falta de más implicación en el desarrollo de dicho plan por parte de la dirección, que al fin y al cabo cuenta con más experiencia en el sector que el equipo de desarrollo. La colaboración del cliente es fundamental en la elaboración de un plan de riesgos adecuado y realista. Cuanto más realista sea dicho plan, más cubiertos estarán los sistemas y el propio cliente ante cualquier eventualidad. En resumen, en el apartado de planificación queremos resaltar los siguientes fallos observados:  Estimación presupuestaria esperada al alza lo que ha provocado un cierto desagrado en la dirección. El equipo de desarrollo debe ajustar mejor los presupuestos cuando realice planes de este tipo.  Falta de monitorización en la economía y de administración de los costosbeneficios de las TI que impide notar el efecto de la aplicación del plan estratégico sobre la empresa, así cómo prever posibles inversiones futuras en TI. El Departamento de Gestión Económica debería realizar más frecuentemente una comprobación del balance de la empresa, y en especial de los costos de las TI.  Formación de corto alcance acompañada de la falta de manuales de uso para los distintos sistemas lo que impide la rotación del personal y provoca una pérdida de productividad debido a las incidencias. La empresa desarrolladora debería proporcionar manuales de uso adecuados a los trabajadores de forma que todos ellos puedan manejar cualquiera de los sistemas. Auditoría y Seguridad Informática

6

Auditoría realizada a “Multicines Ortega”

 Falta de implicación de la dirección en el plan de riesgos que aunque no ha sido necesaria todavía, sería de gran ayuda para una revisión de dicho plan. La dirección debería realizar una evaluación del plan de riesgos y proporcionar una opinión más alineada con las necesidades del sector y adecuada a las experiencias de la empresa. 3.2. EVALUACIÓN DE LA ADQUISICIÓN Y LA IMPLANTACIÓN Este apartado se centra en el grado de adecuación de las TI implantadas a los requisitos proporcionados por el cliente a la empresa de desarrollo, así como en el grado de satisfacción del cliente con respecto a la implantación. Para evaluar el grado de adecuación de las TI este grupo de auditores se ha centrado en dos puntos de vista: el del cliente (representado por las opiniones de los distintos departamentos) y el de nuestro propio grupo. El punto de vista de los distintos departamentos ha sido obtenido mediante distintas entrevistas realizadas a los mismos: Director, Departamento de Ventas, Departamento de Gestión Económica y Departamento de Relaciones Públicas. Por otro lado, nuestro propio grupo de auditores se ha centrado en evaluar la adecuación de los requisitos a partir de distintas visitas a los multicines así como de la documentación proporcionada por los desarrolladores de BAGUKIRA S.L.: análisis de requisitos (Papeles de Trabajo 8), modelos del sistema y esquema de BBDD (Papeles de Trabajo 9), metodologías empleadas (Papeles de Trabajo 10), etc. De la información obtenida del cliente hemos denotado un grado de satisfacción, en general, bastante alto con respecto de los distintos sistemas. El Cliente En cuanto al sistema de Gestión Económica, el Departamento de Gestión Económica se encuentra totalmente satisfecho tanto en la facilidad de su uso como en el aspecto de la utilidad para el cliente. Además el Director destaca que dicho sistema permite un control más exhaustivo de los aspectos económicos ya que permite gestionar de forma más sencilla todas las cuentas de la empresa. Siguiendo con el aspecto económico, el Departamento de Ventas ha encontrado dificultades con el uso de los sistemas debido a que los empleados de dicho departamento no están acostumbrados al uso de nuevas tecnologías. Estos empleados, en su mayoría, están descontentos con las interfaces de los TPV para la cafetería y la venta de entrada (Papeles de Trabajo 11) ya que las encuentran algo difíciles de utilizar. Además de ello, ya hemos destacado anteriormente que, si bien se planifico una formación previa, la formación proporcionada ha sido demasiado específica y la falta de documentación y manuales de uso ha hecho que ciertos empleados no estén contentos con las TI.

Auditoría y Seguridad Informática

7

Auditoría realizada a “Multicines Ortega” Sobre el sistema de Gestión de Programación, el Director y el Departamento de Relaciones Públicas destacan que si bien es de gran ayuda a la hora de confeccionar la programación más beneficiosa están teniendo problemas debido a ciertas suposiciones de factibilidad tomadas para su diseño. El problema reside en la escasa colaboración por parte de algunas distribuidoras a la hora de proporcionar la información necesaria para el sistema con suficiente antelación. Los desarrolladores han hecho una suposición de factibilidad que ha resultado ser más complicada de lo esperado, cabe destacar que dicha debilidad del sistema queda recogida en el plan de riesgos realizado por los desarrolladores (Papeles de Trabajo 12). Si el protocolo diseñado para este riesgo en dicho plan no fructifica será necesario replantear esta suposición de factibilidad tratando de adaptar el sistema a las posturas de las distribuidoras. Se ha comprobado mediante encuestas a los espectadores (Papeles de Trabajo 13) que las programaciones generadas automáticamente responden a las expectativas y a los gustos del público en general. Los auditores El grupo de auditores ha denotado un correcto diseño, implementación y documentación de la mayoría de los sistemas software implantados, encontrando errores fundamentalmente en el sistema de venta. Sobre todo se han denotado fallos en el ámbito de las infraestructuras y los recursos. En cuanto a las infraestructuras implantadas en los multicines encontramos defectos en la red instalada en los multicines que impiden un mejor rendimiento de la misma. Por un lado el uso de demasiados switch en la red (Papeles de Trabajo 14) es inadecuado según los principios de una buena estructura de red, por ello recomendamos que dichos switch deberían de ser sustituidos por routers ya que son más adecuados. En cuanto al cableado, en las distintas visitas realizadas se han encontrado malas conexiones (Papeles de Trabajo 15) así como una mala canalización de los mismos (Papeles de Trabajo 16). Respecto al software instalado es estrictamente necesario un rediseño de la interfaz de usuario de los TPV (Papeles de Trabajo 11) ya que no cumple con un mínimo de criterios de usabilidad. Es patente la falta de una documentación adecuada para los sistemas de venta en cafetería y de entradas, por lo que es estrictamente necesaria la elaboración de la misma. Por otro lado, es recomendable la migración de Windows Vista (Papeles de Trabajo 17) que es menos estable que Windows XP y que ha dado bastantes problemas en la empresa. Destacar como indispensable el uso de software de oficina Microsoft Office con sus licencias originales correspondientes ya que se ha observado que en algunos terminales este software no ha sido activado como original (Papeles de Trabajo 18) lo que puede provocar problemas legales.

Auditoría y Seguridad Informática

8

Auditoría realizada a “Multicines Ortega” Finalmente, proponemos la centralización de todo el material de TI en un solo proveedor ya que actualmente se usan distintos proveedores para la adquisición del mismo (Papeles de Trabajo 19). El uso de varios proveedores puede favorecer al cliente para encontrar mejores precios, pero a la larga trae problemas sobre todo en el ámbito de las garantías o las reparaciones. Es tal la separación de proveedores que hay equipos en los que el monitor es de un proveedor, la torre de otro y los periféricos de otro más. Si se tienen problemas con ese equipo, será necesario analizar quién es el proveedor responsable. Con la unificación de proveedores se consigue una mayor homogeneidad en el aspecto de las responsabilidades sobre infraestructuras, además los proveedores suelen proponer mejores ofertas cuando el cliente es exclusivo y habitual. En resumen, podemos destacar los siguientes fallos en la adquisición y la implantación:  Fallos graves en el diseño de la interfaz de los TPV que están provocando muchos problemas en su uso, con la correspondiente pérdida de productividad perjudicial para el cliente. A estos fallos de diseño le añadimos la inexistencia de una documentación adecuada. La empresa desarrolladora debe tratar de rediseñar la interfaz de forma que sea más acorde con los principios básicos de usabilidad y diseño.  Suposiciones de factibilidad poco realistas en cuanto a lo que se refiere a la relación con las distribuidoras, lo que está ocasionando una pérdida de efectividad en el software de Gestión de la Programación. Sería bueno intentar que las distribuidoras cooperasen más con el proyecto, para ello se puede aplicar el plan de riesgos propuesto por los desarrolladores  Instalación de red defectuosa tanto en cuánto a diseño como a implantación. Es necesario cambiar una serie de componentes y mejorar las canalizaciones.  Uso de software no licenciado y no adecuado, por lo que es recomendable adquirir licencias y migrar al software propuesto (Windows XP).  Demasiados proveedores de TI que dispersa demasiado las responsabilidades de los distintos recursos de TI adquiridos. Recomendamos que la empresa de desarrollo proporcione un único proveedor al cliente.

Auditoría y Seguridad Informática

9

Auditoría realizada a “Multicines Ortega” 3.3. EVALUACIÓN DE LA SEGURIDAD Y LA CONFIDENCIALIDAD En este apartado se analizan aspectos de la seguridad y la confidencialidad de los sistemas implantados. De la entrevista con los desarrolladores sobre aspectos de seguridad (Papeles de Trabajo 20) destacamos la carencia de un plan de continuidad propuesto por la empresa desarrolladora ante eventos que puedan provocar pérdidas de información útil. Es de vital importancia el desarrollo de un plan de continuidad que aborde los siguientes campos: Análisis de las TI críticas para el cliente con objeto de centrarse en aquellas que son de vital importancia. Desarrollo de una documentación que asigne responsabilidades y determine procedimientos para llevar a cabo el plan de continuidad. Almacenamiento mediante copias de seguridad de la información almacenada y generada por los sistemas implantados. Lo ideal sería contar con un par de copias situadas en el interior de la empresa y en el exterior. Las copias de seguridad deben ir acompañadas de documentación relativa a procedimientos de creación de las mismas, así como de recuperación de la información que contienen. Simulacro de situaciones de desastre para comprobar que el plan de continuidad es efectivo. Con el desarrollo de dicho plan de continuidad, se podrá asegurar la integridad de toda la información crítica de la empresa. Debido a la falta de un plan de almacenamiento y recuperación de datos se han producido algunas pérdidas de información vital para la empresa (Papeles de Trabajo 21). Esto provocó bastante descontento en los distintos usuarios ya que se perdió la pista de parte de la recaudación de una noche. Por este tipo de incidencias es por lo que es de enorme importancia la elaboración de un plan de contingencia que asegure la integridad de los datos ante situaciones límite para las TI. En las sucesivas visitas a los multicines hemos observado una serie de incidencias que van contra de los principios de seguridad y confidencialidad de los sistemas de TI y que exponen a éstos a agentes externos. Algunas de estas incidencias han sido: acceder sin esfuerzo al terminal de administración ya que la clave se encontraba fácilmente a la vista (Papeles de trabajo 22), encontrar en los discos duros información no relacionada con la empresa y aplicaciones que nada tienen que ver con el uso que se le da a los terminales (Papeles de trabajo 23), comprobar que ciertos miembros del personal navegan por páginas web no adecuadas (Papeles de trabajo 24). Este tipo de incidencias exponen a los sistemas a posibles modificaciones o extracciones de información reservada por parte de personal ajeno y a riesgos externos como virus, aplicaciones no deseadas, etc. Sugerimos la creación de procedimientos de control interno para este tipo de incidencias concienciando a los empleados sobre malas Auditoría y Seguridad Informática

10

Auditoría realizada a “Multicines Ortega” costumbres en el ámbito de la seguridad (dejar contraseñas a la vista, no guardar documentos de importancia, no utilizar contraseñas o emplear contraseñas excesivamente simples,…). Por otro lado controlando internamente mediante permisos o privilegios el acceso a determinados sistemas se reducirá el grado de exposición de los mismos a este tipo de incidencias. Actualmente, no existe ninguna política de cuentas de usuario. Por tanto, aconsejamos realizar un análisis de las cuentas de usuarios necesarias así como la creación de distintos grupos de usuarios con distintos privilegios según la actividad que desempeñen. En cuanto a soportes software de seguridad, si bien la empresa cuenta con software de protección (Papeles de trabajo 25), en algunos terminales el software se encuentra desactualizado por lo que supone una exposición a riesgos externos. Además el firewall de la empresa no protege algunos puertos indispensables (Papeles de Trabajo 26). Como ya se ha mencionado, se realizó una formación a los distintos empleados de los multicines con objeto de familiarizarlos con el manejo de los distintos sistemas. Sin embargo, dicha formación fue demasiado especializada y ha provocado multitud de incidencias en el uso del sistema (Papeles de Trabajo 5). La empresa BAGUKIRA S.L. ha proporcionado el servicio técnico en todas estas circunstancias. El Departamento de Relaciones Públicas y el servicio técnico de BAGUKIRA S.L. nos han proporcionado información detallada de cada una de las incidencias (Papeles de Trabajo 27): motivo, fecha, duración de la incidencia, etc. Se observa que hay una gran cantidad de incidencias debido a la falta de entrenamiento en el uso de los sistemas por parte de la mayoría de empleados. Esto ha generado pérdidas de productividad y de tiempo de servicio. Si bien todas las incidencias fueron resueltas de forma satisfactoria, muchas de ellas surgieron de nuevo posteriormente. Por ello, determinamos que es necesario un reporte de incidencias de parte del servicio técnico hacia el cliente con el objetivo de que éste cuente con un soporte físico al que acceder cuando surjan incidencias comunes. Por último destacar dos aspectos relacionados con las instalaciones y el mantenimiento de las mismas. Se ha comprobado que algunas de las infraestructuras instaladas se encuentran en ambientes poco adecuados (Papeles de trabajo 28) para el funcionamiento de los mismos. Es necesario un ambiente adecuado para minimizar los riesgos de problemas en las infraestructuras. Por otro lado, se ha detectado que no hay medios de seguridad en forma de cierres de seguridad o cerraduras electrónicas (Papeles de trabajo 29) en el lugar en el que se encuentran los servidores y el terminal de administración. Sería muy recomendable la instalación de los mismos con el objetivo de proteger físicamente los sistemas y asegurar su integridad y confidencialidad. Finalmente, en lo que a mantenimiento se refiere hemos observado un alto grado de dejadez en la conservación de algunas infraestructuras, la falta de limpieza (Papeles de Trabajo 30) o la no protección del cableado (Papeles de Trabajo 31) son riesgos físicos para el sistema que no deben ser controlados por el cliente.

Auditoría y Seguridad Informática

11

Auditoría realizada a “Multicines Ortega”

En resumen, podemos destacar los siguientes fallos en la seguridad y confidencialidad:  Carencia de un plan de continuidad que expone muy seriamente a la empresa a la pérdida de información vital para los procesos de negocio. Es necesario de forma urgente la elaboración de dicho plan con la profundidad suficiente como para poder cubrir cualquier tipo de contingencia externa o interna. Para ello es necesaria la colaboración entre el cliente y la empresa desarrolladora.  Falta de integridad en los datos como añadido del fallo anterior, ya que no existen procedimientos documentados de almacenamiento y recuperación de información en copias de seguridad. Es necesario corregir este fallo incluyéndolo dentro del plan de continuidad.  Malas prácticas de seguridad por parte del personal de los multicines, lo que expone a los sistemas a riegos externos que pueden afectar a la integridad de los mismos. Es necesaria la elaboración de una serie de principios básicos de seguridad a seguir por parte de los empleados, así cómo del análisis y la creación de procedimientos que permitan dar más seguridad al sistema (como una gestión de privilegios).  Software de protección desactualizado o mal configurado que al igual que el fallo anterior, expone a los sistemas a factores externos.  Falta de documentación ante incidentes frecuentes que provoca una pérdida de efectividad de los sistemas y una disminución de la productividad del cliente. El servicio técnico proporcionado ha sido de ayuda pero debe centrarse más en generar formación que en suministrar información, con objeto de acostumbrar a los usuarios al uso de los sistemas.  Mala adecuación de las instalaciones y mantenimiento defectuoso de las infraestructuras que suponen un riesgo físico para las TI integradas en los multicines.

Auditoría y Seguridad Informática

12

Auditoría realizada a “Multicines Ortega” 3.4. EVALUACIÓN DEL MONITOREO El desempeño de las TI se controla en la empresa partiendo del organigrama (Papeles de Trabajo 32) el objetivo es que los distintos empleados se repartan el monitoreo de los distintos sistemas. Sin embargo, el monitoreo realizado es insuficiente debido a los siguientes factores: El personal del Departamento de Ventas sólo evalúa el desempeño de las TI asociadas a dicho departamento (TPV) en función de que no den problemas y de que lo obtenido mediante los sistemas cuadre con la realidad física (Papeles de Trabajo 33). El personal del Departamento de Gestión Económica no realiza una evaluación suficientemente frecuente del balance económico con lo que no se puede determinar con exactitud el correcto desempeño del sistema de Gestión Económica. Por otra parte, dicho sistema está íntimamente relacionado con el sistema anterior (TPV). Hemos observado que no existe ningún procedimiento documentado para el monitoreo global del sistema de Gestión Económica, lo que conlleva una colaboración interdepartamental. El Director es el encargado de la administración del sistema al desear tener los únicos privilegios de acceso. Sin embargo, debido al bajo nivel de conocimientos de informática que posee, la administración suele ser realizada por un empleado de los multicines ajeno a la administración y sin responsabilidad documentada. El Departamento de Relaciones Públicas se encarga del monitoreo del sistema de Gestión de la Programación y de los partes de incidencias y mantenimiento. Debido a la abundante cantidad de trabajo que suele acumularse en este departamento, la evaluación realizada suele ser pobre y se limita a comprobar que los horarios son acertados y no hay inconsistencias en la programación. Por todo ello es aconsejable la elaboración de un plan de control interno que regule los procedimientos a seguir para la evaluación de los distintos sistemas y tecnologías. Además de establecer dichos procedimientos, es necesario establecer un correcto reparto de responsabilidades para evitar un mal monitoreo. Sería de gran interés realizar 3 grandes evaluaciones de los sistemas con una frecuencia mínima de 15 días: Evaluación del sistema de Gestión Económica y de los sistemas de venta con objetivo de comprobar que el balance de cuentas es correcto y corresponde con el dinero obtenido. Esto permitirá un mejor control de la economía aprovechando todas las posibilidades que ofrece el sistema. Es necesario

Auditoría y Seguridad Informática

13

Auditoría realizada a “Multicines Ortega” establecer los procedimientos de relación entre los dos departamentos involucrados. Evaluación del sistema de Gestión de Programación para comprobar la efectividad de los mismos y el cumplimiento de todos los requisitos implicados en la realización de la misma. Evaluación de las infraestructuras y de las incidencias con el objetivo de documentar correctamente el estado de las TI así cómo detectar posibles fallos que surjan en cualquiera de los sistemas. La realización de estas evaluaciones se debe realizar con total dedicación, por lo que es indispensable un reparto de responsabilidades entre todos los empleados de la empresa.

Auditoría y Seguridad Informática

14

Auditoría realizada a “Multicines Ortega”

4. PAPELES DE TRABAJO 4.1. Papel de trabajo 1: Presupuesto inicial

RECURSO Terminal TPV Equipo Informático Material Instalación LAN Material de Oficina Dirección del Proyecto Desarrollo del Proyecto Instalación LAN

CANTIDAD 2 1 COSTE TOTAL

Auditoría y Seguridad Informática

COSTE 1.550 € 1.300 € 600 € 250 € 13.641 € 31.765 € 990 € 51.646 €

15

Auditoría realizada a “Multicines Ortega”

4.2. Papel de Trabajo 2: Balance de Gastos

RECURSO Terminales Material Extra Empresa de Desarrollo Instalación del Sistema

COSTE ESPERADO 4.400 € 850 € 45.406 € 990 €

COSTE FINAL 3.900 € 800 € 30.580 € 860 €

Gasto Total

51.646 €

35.366 €

Auditoría y Seguridad Informática

16

Auditoría realizada a “Multicines Ortega” 4.3. Papel de Trabajo 3: Entrevista al Director de los Multicines El director de “Multicines Ortega” es Manuel Ortega. Le hemos realizado una pequeña entrevista para conocer su visión sobre el sistema implantado y sobre su visión del futuro de los sistemas de información de la empresa. Su visión es crucial, pues es una empresa pequeña de la que él es total responsable y debemos adecuarnos a sus deseos. A continuación podemos leer una transcripción textual de la entrevista al director: Bagukira: Buenos días, ¿cuál es su opinión sobre la aplicación del plan estratégico a corto plazo? ¿Se siente satisfecho con el resultado final? Manuel Ortega: La aplicación del plan estratégico ha cumplido los plazos que se me prometieron, cosa que no me esperaba, pues pensaba que tendría algún retraso. El resultado final parece correcto, aunque el personal está haciéndose todavía con su uso y eso conlleva algún retraso cuando cometen algún error. Si he de poner un pero es en el presupuesto final, se me entregó un presupuesto que se ha visto muy reducido, lo que está muy bien en el sentido económico, pero me hace sospechar de que esa bajada del presupuesto conllevará un peor resultado. Bagukira: Entonces, ¿hubiese preferido que no se hubiese reducido que el presupuesto final hubiese sido igual que el inicial? ¿Tiene algún motivo para sospechar de ello? Manuel Ortega: No me refiero a eso, estoy contento con el presupuesto final, pues esta es una empresa familiar y no podemos hacer locuras de gasto, pero el que el primer presupuesto se vea reducido a la mitad me hace pensar que quizás se ha hecho un trabajo con prisas y se han comprado peores componentes de los que se podían. Quizás me equivoque, hablo desde el desconocimiento de la informática, quizás este bajada del presupuesto solo sea debido a un fallo del que calculó el presupuesto inicial. Bagukira: Desde su visión como director… ¿Qué debilidades le ve al sistema implantado? Manuel Ortega: Hasta ahora, los principales problemas vienen de un mal uso por parte de los empleados que se solucionó de forma rápida por el servicio técnico, por lo que creo que se hizo una mala formación de los empleados en el uso de las nuevas tecnologías. Hay que ver que algunos empleados llevaban toda la vida trabajando con el mismo sistema, y la aplicación de los TPV les puede liar al cambiar la forma de hacer algunas cosas. También ha habido alguna caída del servidor, o eso me han dicho los técnicos.

Auditoría y Seguridad Informática

17

Auditoría realizada a “Multicines Ortega” Bagukira: ¿Ha visto mejorado el día a día con este sistema? ¿Ha notado una mejora económica debido a la implantación de los sistemas? Manuel Ortega: Sinceramente, sí parece que se atiende más rápido a los clientes, cuando no se equivocan los empleados, pero no he notado una mejora económica, aunque también es verdad que no llevo un control muy especifico de ello. Bagukira: Una vez ha visto los resultados, ¿volvería a invertir en Sistemas y Tecnologías de la Información? Manuel Ortega: Cuando me recupere económicamente de esta inversión sí, sin duda, estoy decidido a aplicar estos sistemas para mejorar mi empresa, porque realmente o te actualizas o te mueres. Estoy estudiando el plan que me presentó su empresa para un medio plazo y estoy decidió a continuar con ello, aunque eso sí, cuando me recupere económicamente.

Auditoría y Seguridad Informática

18

Auditoría realizada a “Multicines Ortega” 4.4. Papel de Trabajo 4: Entrevista al Personal

A continuación puede verse la transcripción de las entrevistas a los empleados que utilizan los sistemas de los TPVs:

1. Antonio Perez

Bagukira: Buenos días, ¿Cuál es su función dentro de la empresa? Antonio Pérez: Soy uno de los cajeros encargados de la venta de tickets. Bagukira: ¿Cuál es su opinión sobre los nuevos sistemas? Antonio Pérez: En mi opinión funcionan muy bien, nos hacen más sencillo nuestro trabajo y podemos rendir más. Bagukira: ¿Se ha encontrado algún problema? Antonio Pérez: No, yo no me he visto con ningún problema, bueno en un turno mío se cayó el servidor, pero el servicio técnico lo arregló. Algunos de mis compañeros sí han tenido problemas, pero bien se los he resuelto yo o bien el servicio técnico, los problemas es porque son gente mayor, que no se lleva bien con las tecnologías. Bagukira: ¿Cuál es su opinión de la formación recibida? Antonio Pérez: Dimos un cursillo de un par de horas, en el que nos enseñaron cómo usar el programa. Yo me enteré todo bien, aunque nos vendría muy bien un manual más detallado en el que podamos ver de forma rápida como arreglar los fallos más típicos. Más que nada para mis compañeros, que no tengan que estar llamando al servicio técnico o acudiendo a mí, que eso conlleva bastante tiempo.

2. Sonia Fernández

Bagukira: Buenos días, ¿Cuál es su función dentro de la empresa? Sonia Fernández: Soy una de los cajeras encargadas de la venta de tickets. Bagukira: ¿Cuál es su opinión sobre los nuevos sistemas? Sonia Fernández: Bueno, no me termino de llevar bien con ellos, pulso muchas cosas que no debería. Cuando no me equivoco se va más rápido que antes. Bagukira: ¿Se ha encontrado algún problema? Auditoría y Seguridad Informática

19

Auditoría realizada a “Multicines Ortega” Sonia Fernández: Sí, no termino de controlar el funcionamiento del programa. Menos mal que está Antonio por aquí echando una mano a todos. Aunque cuando él no le toca trabajar lo notamos mucho, porque aunque el servicio técnico es rápido, no lleva algún tiempo recuperarnos de algún fallo. Por mi que pongan a Antonio d encargado de echarnos una mano, que deje la taquilla y nos ayude cuando nos equivocamos. Bagukira: ¿Cuál es su opinión de la formación recibida? Sonia Fernández: Bueno, la verdad es que no me enteré mucho del curso, ese día pasé una mala noche y no presté mucha atención, me vendría bien tener un buen manual para echar un vistazo, que el que nos dieron es muy simple y no nos explica como sobreponernos de los errores.

3. Rubén Espinosa

Bagukira: Buenos días, ¿Cuál es su función dentro de la empresa? Rubén Espinosa: Soy uno de los cajeros encargados de la venta en la cafetería. Bagukira: ¿Cuál es su opinión sobre los nuevos sistemas? Rubén Espinosa: Nos facilitan la vida, porque son muy intuitivos con los TPV y las fotos de los productos, no tenemos que aprendernos cientos de precios y meterlos uno a uno en la máquina registradora. Bagukira: ¿Se ha encontrado algún problema? Rubén Espinosa: Sí, bueno, ya sabes, a veces le das sin querer a dónde no debes, al principio me ayudaba Antonio, pero ahora se arreglar los errores yo solo. Bagukira: ¿Cuál es su opinión de la formación recibida? Rubén Espinosa: El cursillo estuvo bien, aunque nos enseñaron como hacer las cosas, no como arreglarlas cuando las hicimos mal.

4. Emilio Castaño

Bagukira: Buenos días, ¿Cuál es su función dentro de la empresa? Emilio Castaño: Soy uno de los cajeros encargados de la venta en la cafetería y también hago algún turno en la taquilla. Bagukira: ¿Cuál es su opinión sobre los nuevos sistemas?

Auditoría y Seguridad Informática

20

Auditoría realizada a “Multicines Ortega” Emilio Castaño: Bastante bien cuando van bien, dan muchos problemas cuando no. Yo a mi edad me cuesta aprender a usar maquinas nuevas, y me tengo que pelear mucho con ellas, pero bueno, supongo que me acostumbraré. Bagukira: ¿Se ha encontrado algún problema? Emilio Castaño: Todos, no creo que haya algún problema que no haya causado ya. Gracias a que Antonio controla todo bien. Bagukira: ¿Cuál es su opinión de la formación recibida? Emilio Castaño: No había forma de enterarse de nada, los que dieron el cursillo parecía que me hablaban en chino, luego Antonio me lo explico con palabras “normales” y me enteré de algo, aunque la verdad, he ido aprendiendo a usarlo equivocándome.

Auditoría y Seguridad Informática

21

Auditoría realizada a “Multicines Ortega” 4.5. Papel de Trabajo 5: Parte de Incidencias

Fecha 06/02/2008 15/02/2008 13/03/2008 13/04/2008 14/06/2008 27/06/2008 01/08/2008 05/08/2008 14/09/2008 19/09/2008 01/10/2008 09/10/2009

Incidencia Duda en creación de productos Caída del servidor Duda en el guardado y eliminación de datos Apagón y problemas de conexión en la red Mala impresión de Tickets Pantallazo azul Ventana de error desconocida El terminal produce mucho ruido Comportamiento extraño del sistema, aparición de ventanas publicitarias No se puede acceder al sistema Bloqueo de la aplicación Caída del servidor

Auditoría y Seguridad Informática

22

Auditoría realizada a “Multicines Ortega” 4.6. Papel de Trabajo 6: Extracto del Plan de Riesgos

Auditoría y Seguridad Informática

23

Auditoría realizada a “Multicines Ortega” 4.7. Papel de Trabajo 7: Entrevista al Departamento de Relaciones Públicas

Dentro de los multicines, nos encontramos con el encargado del departamento de relaciones públicas. Éste no es un departamento de relaciones públicas al uso, sino que su trabajo conlleva además la relación con proveedores, distribuidoras y con Bagukira. A continuación podemos leer una transcripción textual de la entrevista que se realizó a su responsable: Bagukira: Buenos días, ¿podría comentarme cuáles son sus responsabilidades dentro de la empresa? Antonio López: Si, soy el responsable del departamento de relaciones públicas de los multicines. Bagukira: Pero tengo entendido que su trabajo va mas allá, ¿no? Antonio López: Si, esta es una pequeña empresa en la que trabajamos unos cuantos. Aunque yo mi trabajo se llame relaciones públicas, no solo consiste en las relaciones con la prensa y los clientes, sino que también me encargo de las relaciones con los proveedores de la cafetería, con las distribuidoras de las películas y, en general, cualquier relación con empresas que nos ayuden a funcionar. Bagukira: Por lo tanto, ¿usted es el encargado de contactar con nuestra empresa? Antonio López: Sí, cuando el director decidió instalar los nuevos sistemas, yo fui el encargado de buscar la empresa y contactar con ella. Además ahora soy el encargado de hablar con el servicio técnico en caso de problemas en los sistemas. Bagukira: ¿Y qué tal es esa comunicación? Antonio López: Es bastante buena, la verdad que su servicio técnico funciona bien, y se solucionan los problemas correctamente, sobre todo cuando los problemas están en el plan de riesgos que nos entregasteis. Lástima que muchos de esos riesgos no sean todo lo reales que pudieron ser. Bagukira: ¿A qué se refiere? Antonio López: Bueno, que muchos de los problemas a los que nos enfrentamos en los multicines no aparecen en ese plan de riesgos. El plan es muy completo, pero unos informáticos no pueden saber todos los problemas de los multicines, pero nuestro director está bastante ocupado y no pudimos perfeccionar ese plan.

Auditoría y Seguridad Informática

24

Auditoría realizada a “Multicines Ortega” 4.8. Papel de Trabajo 8: Análisis de Requisitos y Modelo del Sistema

Auditoría y Seguridad Informática

25

Auditoría realizada a “Multicines Ortega”

Auditoría y Seguridad Informática

26

Auditoría realizada a “Multicines Ortega” 4.9. Papel de Trabajo 9: Análisis de Requisitos y Modelo del Sistema

Auditoría y Seguridad Informática

27

Auditoría realizada a “Multicines Ortega” 4.10.

Papel de Trabajo 10: Metodología Empleada

Auditoría y Seguridad Informática

28

Auditoría realizada a “Multicines Ortega”

Auditoría y Seguridad Informática

29

Auditoría realizada a “Multicines Ortega” 4.11.

Papel de Trabajo 11: Captura de la Interfaz

Auditoría y Seguridad Informática

30

Auditoría realizada a “Multicines Ortega” 4.12.

Papel de Trabajo 12: Riesgo con las Distribuidoras

Auditoría y Seguridad Informática

31

Auditoría realizada a “Multicines Ortega” 4.13.

Papel de Trabajo 13: Modelo de Encuesta

Auditoría y Seguridad Informática

32

Auditoría realizada a “Multicines Ortega” 4.14.

Papel de Trabajo 14: Abuso de Switchs

Auditoría y Seguridad Informática

33

Auditoría realizada a “Multicines Ortega”

Auditoría y Seguridad Informática

34

Auditoría realizada a “Multicines Ortega”

Auditoría y Seguridad Informática

35

Auditoría realizada a “Multicines Ortega” 4.15.

Papel de Trabajo 15: Malas Conexiones

Auditoría y Seguridad Informática

36

Auditoría realizada a “Multicines Ortega” 4.16.

Papel de Trabajo 16: Malas Canalizaciones

Auditoría y Seguridad Informática

37

Auditoría realizada a “Multicines Ortega” 4.17.

Papel de Trabajo 17: Captura de Windows Vista

Auditoría y Seguridad Informática

38

Auditoría realizada a “Multicines Ortega” 4.18.

Papel de Trabajo 18: Software no Original

Auditoría y Seguridad Informática

39

Auditoría realizada a “Multicines Ortega” 4.19.

Papel de Trabajo 19: Listado de Compras

Producto Portátil Ahtec Sense XHL90 Impresora HP LASER COLOR CP1215 IMPRESORA SAMSUNG SRP 275APG NEGRA (para tickets) CAJON PORTAMONEDAS EC 410NEGRO MONITOR 15 TFT TACTIL LGL1510BF 1024 TAMBOR 100 CD-R 700 VERBATIM 52X hd externo sata 2.5" 80gb fully top ft2512 ngr usb2.0

Auditoría y Seguridad Informática

Cantidad 1 2 4

Precio 699€ 149€ 185,5€

Total 699€ 298€ 742€

Proveedor Ahtec UPI APP

4

35,1€

140,4€

APP

2

404,4

808,8€

APP

10

42,46€

424,6€

PCBOX

1

49,9€

49,9€

UPI

40

Auditoría realizada a “Multicines Ortega” 4.20.

Papel de Trabajo 20: Entrevista a Desarrolladores

Para un mejor conocimiento de los posibles problemas de seguridad y cuál es la causa de los mismos es necesario entrevistar al equipo de desarrollo del sistema de información. A continuación podemos leer una transcripción textual de la entrevista al equipo de desarrollo: Bagukira: Buenos días, para empezar ¿Podríais resumirme en qué consiste el sistema implantado? Equipo: Si, a grandes rasgos el sistema de información instalado es básicamente un sistema de gestión económica para los multicines. Existe un sistema central que se encarga de recoger todos los datos de ventas en taquilla y cafetería y realiza las labores contables necesarias para la empresa. Además se instalaron unos TPVs con unas aplicaciones que simplifiquen la venta en taquilla y cafetería y que, a su vez, envíen la información de las ventas al sistema central. Todo está conectado mediante una red local y existe una base de datos común instalada en el terminal del sistema de administración. Bagukira: Ahora, sino os importa, nos centraremos en la seguridad que añadisteis al sistema. ¿Existe alguna seguridad en el acceso a los sistemas? Equipo: Si, el sistema de administración tiene un usuario y un password que está en poder del director de los multicines. Desde ese sistema se puede dar de alta a usuarios para los TPV, nosotros aconsejamos al director que crease un perfil para cada empleado y que variase el nombre de usuario y la contraseña mensualmente, para evitar posibles accesos no deseados. Además aconsejamos que el password no sea contenga ninguna dato como el nombre del empleado, de la empresa, etc., sino que fuese una simple combinación de letras y números sin ningún significado concreto. Aunque, como todos sabemos, luego pocas personas siguen luego estos consejos. Bagukira:¿Existe algún tipo de seguridad frente a posibles averías que provoquen pérdidas de información? Equipo: Nosotros implementamos en el sistema de administración una pequeña aplicación que permitiese la copia de seguridad de la base de datos, y aconsejamos su uso al menos una vez por semana y no almacenar dichas copias juntas, porque en caso de catástrofe, no solucionaría nada. Ellos son los que deben cuidar de hacerlas. Además, desarrollamos un plan de riesgos muy completo que prevé muchas situaciones de riesgo, pero está en la mano de la empresa el realizar comprobaciones de que dicho plan funciona (haciendo simulacros, por ejemplo).

Auditoría y Seguridad Informática

41

Auditoría realizada a “Multicines Ortega” 4.21.

Fecha 13/04/2008

Papel de Trabajo 21: Parte de Incidencias de un Apagón

Hora 21:45 (Pase de Estreno a las 22:00)

Incidencia Apagón y problemas de conexión en la red

Causa Corte de la luz en el local durante un lapso de 7:00 minutos.

Efectos Desconfiguración del router principal que conecta el servidor con los terminales de venta. Recaudación manual en cafetería durante el apagón. Retraso de 20 minutos en el comienzo del pase debido a la impresión automática de tickets de entrada. Tras el apagón, los terminales de venta funcionan normalmente, pero debido a la pérdida de la conexión con el terminal del servidor a causa de la desconfiguración del router, los datos de recaudación no son almacenados. Tras restaurar el terminal del servidor y comprobar el sistema de contabilidad, éste muestra un fallo al no concordar los datos de ventas con la recaudación de la noche.

Auditoría y Seguridad Informática

42

Auditoría realizada a “Multicines Ortega” 4.22.

Papel de Trabajo 22: Clave a la vista

Auditoría y Seguridad Informática

43

Auditoría realizada a “Multicines Ortega” 4.23.

Papel de Trabajo 23: Programas no deseados

Auditoría y Seguridad Informática

44

Auditoría realizada a “Multicines Ortega” 4.24.

Papel de Trabajo 24: Páginas web no deseadas

Auditoría y Seguridad Informática

45

Auditoría realizada a “Multicines Ortega” 4.25.

Papel de Trabajo 25: Antivirus sin actualizar

Auditoría y Seguridad Informática

46

Auditoría realizada a “Multicines Ortega” 4.26.

Papel de Trabajo 26: Puertos abiertos en el firewall

Auditoría y Seguridad Informática

47

Auditoría realizada a “Multicines Ortega” 4.27.

Papel de Trabajo 27: Parte de incidencias detallado

Fecha Incidencia 15/02/2008 Caída del servidor 13/04/2008 Apagón y problemas de conexión en la red

Causa Apagado accidental del terminal del servidor Corte temporal de la luz en el local

27/06/2008 Pantallazo azul

Error interno de Windows Vista

14/09/2008 Comportamiento extraño del sistema, aparición de ventanas publicitarias

Servidor infectado con un virus

01/10/2008 Bloqueo de la aplicación

Uso indebido de la aplicación del terminal de caja que provoca su colapso

Auditoría y Seguridad Informática

Efecto Reinicio del servidor. Desconfiguración del router principal que conecta el servidor con los terminales de venta. Necesario el reinicio del servidor y por consiguiente de la conexión con los terminales de venta. Necesaria una actualización urgente del antivirus junto con una limpieza completa del sistema. Encontrados virus en archivos de informes que han debido ser eliminados por seguridad. Pérdida de datos. Necesario el reinicio del sistema durante el pase de estreno de la semana. La pérdida de tiempo durante el reinicio provoca la espera de los espectadores en caja y el retraso en la hora de comienzo de el pase.

48

Auditoría realizada a “Multicines Ortega” 4.28.

Papel de Trabajo 28: Ambiente poco adecuado

Auditoría y Seguridad Informática

49

Auditoría realizada a “Multicines Ortega” 4.29.

Papel de Trabajo 29: Poca seguridad

Auditoría y Seguridad Informática

50

Auditoría realizada a “Multicines Ortega” 4.30.

Papel de Trabajo 30: Falta de limpieza

Auditoría y Seguridad Informática

51

Auditoría realizada a “Multicines Ortega” 4.31.

Papel de Trabajo 31: No protección del Cableado

Auditoría y Seguridad Informática

52

Auditoría realizada a “Multicines Ortega” 4.32.

Papel de Trabajo 32: Organigrama

Dirección

Departamento de Ventas

Auditoría y Seguridad Informática

Departamento de Gestión Económica

Departamento de Relaciones Públicas

53

Auditoría realizada a “Multicines Ortega” 4.33.

Papel de Trabajo 33: Informes del TPV

INFORME DIARIO DE GASTOS Fecha: 23–04-2007 Resumen de Ventas PRODUCTO

UNIDADES

PRECIO UD. (€)

TOTAL (€)

Palomitas

140

3

420

Coca-Cola

210

2.25

472.5

Fanta Naranja

63

2.25

141.75

Fanta Limón

12

2.25

27

Bolsita Gominolas

33

1

33

□ □ □ □ □

TOTAL

1094.25



VERIFICADO

*Todos los precios incluyen IVA 16%

Incidencias

Verificado por: Nombre: Firma:

Auditoría y Seguridad Informática

54