INDICE
1. Carta al director de la empresa
2. Informe de la Auditoria realizada
2.1.
2.2.
2.3.
2.4
Administrar la informacin
2.5.
Administrar la operacin
Papeles de Trabajo
3.1. Anexo 1.1
3.2. Anexo 1.2
3.3. Anexo 1.3
3.4. Anexo 1.4
3.5. Anexo 1.5
3.6. Anexo 1.6
3.7. Anexo 2.1
3.8. Anexo 2.2
3.9. Anexo 2.3
3.10. Anexo 2.4
3.11. Anexo 2.5
3.12. Anexo 2.6
3.13. Anexo 2.7
3.14. Anexo 2.8
3.15. Anexo 2.9
3.16. Anexo 2.10
3.17. Anexo 2.11
3.18. Anexo 3.1
3.19. Anexo 3.2
3.20. Anexo 3.3
3.21. Anexo 3.4
3.22. Anexo 4.1
3.23. Anexo 4.2
3.24. Anexo 4.3
3.25. Anexo 5.1
3.26. Anexo 5.2
3.27. Anexo 5.3
3.28. Anexo 5.4
1.
2.
2.1.
Esto provoca que el personal no tenga los suficientes conocimientos para el correcto
desempeo de su puesto de trabajo, ya que se forman minimamente a travs de los
tutoriales en cuestiones tericas. Sera necesario la realizacin de cursos especficos para
cada puesto y sobretodo que fueran cursos prcticos. (Anexo 1.5) (Anexo 1.6)
2.2.
2.3.
2.4.
Administrar la informacin
Se han detectado varios fallos en la administracin de la informacin por parte de la empresa, sobre
todo en el tratamiento de los datos de informacin de carcter personal. (Anexo 4.1)
Para comprobar la calidad de este proceso, nos basamos en la existente Ley Orgnica de Proteccin
de Datos (L.O.P.D) que nos indica todos los posibles tratamientos que debe tener los datos de
carcter personal cuando es administrado por una empresa privada. (Anexo 4.2)
En la recogida de datos, cuando un cliente introduce sus datos en el formulario, es avisado de que
sus datos van a ingresar en una base de datos de la cual la empresa ejercer un tratamiento, pero en
ningn momento es avisado de que esa base de datos podr ser cedida a terceras empresas. (Anexo
4.2)
En cuanto a la modificacin y cancelacin de los datos, una vez el usuario ha sido registrado, no
tiene acceso a la modificacin de sus datos, ni mediante un formulario apropiado, ni ponindose en
contacto con la empresa. (Anexo 4.3)
Tampoco es posible para el cliente poder cancelar sus datos, puesto que tampoco se da esa opcin
en el formulario. Adems, cuando los datos dejan de ser necesarios para la empresa, tampoco son
cancelados y siguen constando en la base de datos. (Anexo 4.2)
Finalmente, en cuanto a la cesin de datos, la base de datos con los datos personales de los clientes
es usada por otras empresas, sin el conocimiento de los clientes y sin su aprobacin (Anexo 4.1).
Adems, las empresas utilizan estos datos con objetivos diferentes a los que tiene la empresa que es
duea de esta base de datos.
Las empresas que obtienen esta base de datos utilizan esos datos para usos propios y sin el
correspondiente consentimiento de los afectados, quebrantando la Ley Orgnica de proteccin de
datos. Adems, la empresa no obliga a las empresas a las que presta estos datos a que cumplan la
Ley Orgnica de Proteccin de Datos. (Anexo 4.1)
2.5.
Administrar la operacin
Despus de realizar algunas entrevistas (Anexos 5.1 y 5.2) se han llegado a algunas conclusiones
que repercuten gravemente en el funcionamiento diario.
Hay una aplicacin que gestiona a los clientes, la cual requiere un usuario y una contrasea. Esta
aplicacin muestra los mensajes que han sido enviados y tambin muestra la hora y da de la
recepcin. La herramienta tambin tiene almacenados las promociones, las ofertas especiales y
dems servicios adjuntos.
Hemos detectado que hay usuarios que tienen mayor acceso al sistema del que debieran, y pueden
llegar a manejar datos sensibles. (Anexo 5.2)
La sala de servidores, donde se encuentran fsicamente todos los datos, esta protegida mediante un
lector de tarjetas en la puerta, y los diferentes usuarios tienen tarjetas que dan acceso a la sala.
(Anexo 5.3)
El jefe de servicios es el que se encarga de la asignacin de estas tarjetas y del nivel de acceso,
segn el personal. (Anexo 5.1)
En principio en esta sala no hay un guardia de seguridad que custodie la informacin ni evite las
posibles incidencias que pudieran ocurrir. (Anexo 5.1)
Con estos datos, hemos detectado que las tarjetas no estn bien repartidas, puesto que hay usuarios
con tarjetas de un nivel que no corresponde con su rango, o incluso usuarios que tienen tarjetas
maestras, que abren todas las salas protegidas aunque no debieran tener acceso a ellas. (Anexos 5.1
y 5.2)
La ausencia de un guarda jurado, junto con el caso expuesto anteriormente, hace que la sala quede
insegura las 24 horas. Adems no existen cmaras de seguridad ni registro de los accesos diarios.
(Anexos 5.1 y 5.2)
Las condiciones ambientales de la instalacin tambin presentan problemas. No hay una correcta
ventilacin (Anexos 5.4), lo que provoca que haya una temperatura elevada y en algunos casos,
hacen que los servidores tengan que ser apagados para no ser sobrecalentados. (Anexos 5.1)
3.
Papeles de Trabajo
3.1.
Anexo 1.1
3.2.
Anexo 1.2
-Que tipo de perfil buscan a la hora de realizar una seleccin de personal para un
puesto vacante?
-En primer lugar y en la mayora de los casos buscamos un perfil con experiencia,
que proceda de otras empresas y como consecuencia haya adquirido mayor nivel
de conocimientos y experiencia en algunas tecnologas necesarias para los
proyectos de nuestra empresa en la que sea necesaria la incorporacin de
personal.
-Entonces, las personas con su titulacin recien terminada nunca son
seleccionadas?
-En ocasiones y cuando tenemos ms carga de trabajo, lanzamos ofertas de empleo
especialmente dirigidas a personas, que como bien dices, acaban de terminar la
carrera para realizar tareas de menor responsabilidad, pero muy tiles para que
vayan cogiendo experiencia en un entorno laboral.
Se les hace un contrato en practicas de 6 meses y luego tienen una pequea
posibilidad, si existe vacante y demuestran su vala de incorporarse a plantilla con
contrato indefinido, aunque en la mayora de las ocasiones, no hay plazas vacantes
y como consecuencia no puede ser renovado el contrato.
-Qu tareas realizan a grandes rasgos el personal sin experiencia?
-Sobretodo tareas de documentacin de diagramas o de otra ndole, as como
programacin de mdulos sencillos o realizacin de interfaces. Nos parece una
buena manera de que la persona comience a adaptarse a un entorno de trabajo,
pero sin profundizar mucho, pues ya son las personas con ms experiencia las que
realizan las labores importantes.
3.3.
Anexo 1.3
-Cules son los criterios a la hora de seleccionar un candidato con experiencia para
ocupar el puesto vacante?
En primer lugar se hace una valoracin del currculo vital recibido, valorando de
esta forma la titulacin poiseida as como los cursos realizados y conocimientos
poseidos. Tambin se valora la experiencia profesional que se tiene, los aos que
se han trabajado y las tecnologas utilizadas durante esos aos de trabajo.
Despus y los que tengan mejor currculo son llamados para la realizacin de una
entrevista en la que se habla fundamentalmente de lo escrito en el currculo.
-Es realizada algun tipo de prueba o examen tcnico en el que puedan demostrarse
los conocimientos que detallan en sus curriculums los candidatos?
No, no se realiza ningn tipo de examen. Los conocimientos que los candidatos
tienen los especifican ellos mismos en sus curriculums, por lo que no vemos
necesaria la realizacin de ninguna prueba.
- Cuando el personal es seleccionado, se les exije la presentacin de copias de
ciertos documentos tales como el titulo o cursos realizados?
No, no es requerido este tipo de documentacin, la empresa da bastante confianza
al personal seleccionado. Aunque si he de reconocer que en algunas ocasiones se
ha filtrado alguna persona que luego no ha podido demostrar muchas de las
cosas escritas en sus curriculums acerca de sus conocimientos o incluso de cursos
porque no eran ciertas. El caso ms llamativo fue de un chico que an no haba
terminado la carrera y su currculo indicaba que si, adems de especificar
conocimientos y experiencia que luego no tena. Pero son casos aislados, no es lo
normal.
3.4.
Anexo 1.4
3.5.
Anexo 1.5
3.6.
Anexo 1.6
3.7.
Anexo 2.1
Empleado
Miguel Hernandez Ruiz
Angeles Gutierres Alvarez
Leticia Aguirre Galvez
Romn Acosta Jimnez
Cristina Aguilera
Ana Garca Madrid
Leoncio Ortega
Laura Fernandez
Usuario
Miguel05
290459
Leti04
Roaji
Cris
Ana325
55633
Laura32
Contrasea
Miguel05
290459
Leti04
Roaji
964465
Ana325
55633
665655
3.8.
Anexo 2.2
-Existe algn tipo de aviso o imposicin por parte del sistema para que los empleados
cambien su nombre de usuario y contrasea de forma regular?
-No, creemos que no es necesario realizar una imposicin para cambiar de
contrasea, puesto que son los empleados los que deben valorar si tienen necesidad de
cambiarla porque sea ms seguro. Ellos deciden cuando cambiarla.
-Con que frecuencia cambian los empleados sus nombres de usuario y las
contraseas?
-Realmente lo hacen con muy poca frecuencia, algunos an no la han cambiado nunca
y ya llevan aos trabando aqu. Pienso que si no las han cambiado ha sido porque
ellos mismos no han visto todava la necesidad o alguna amenaza para sus cuentas.
3.9.
Anexo 2.3
Empleado
Miguel Hernandez Ruiz
Angeles Gutierres Alvarez
Leticia Aguirre Galvez
Romn Acosta Jimnez
Cristina Aguilera
Ana Garca Madrid
Leoncio Ortega
Laura Fernandez
Usuario
Miguel05
290459
Leti04
Roaji
Cris
Ana325
55633
Laura32
Contrasea
Miguel05
290459
Leti04
Roaji
964465
Ana325
55633
665655
Usuario
Miguel05
Miguel05
Leti04
Leti04
Leti04
Leti04
Leti04
Laura32
Fecha
10/11/2008
10/11/2008
11/11/2008
11/11/2008
11/11/2008
11/11/2008
11/11/2008
11/11/2008
Hora Inicio
08:30
09:00
08:00
09:00
08:25
08:00
08:35
11:36
Hora Fin
12:00
17:00
18:30
11:28
14:56
11:30
14:47
14:51
En esta pantalla puede verse el icono minimizado de un programa P2P cuya utilizacin
somete al equipo a riesgo de virus o software malintencionado.
En esta captura de pantalla podemos observar el historial del equipo de uno de los
empleados, pudiendo constatar la libre navegacin en internet que disfruta, al no existir
proxy alguno que restrinja el acceso a portales que se consideran peligrosos. De esta forma
se somete al equipo a un riesgo grande de ataques de virus o software malintencionado.
Los ordenadores estn conectados directamente a la red elctrica, sin pasar por una fuente
de alimentacin externa de emergencia.