Auditoria empresa Ardis-Suertware

INDICE
1. Carta al director de la empresa
2. Informe de la Auditoria realizada

2.1.

Administrar los recursos humanos

2.2.

Garantizar la seguridad de sistemas

2.3.

Asegurar continuidad de servicio

2.4

Administrar la informacin

2.5.

Administrar la operacin

Papeles de Trabajo
3.1. Anexo 1.1
3.2. Anexo 1.2
3.3. Anexo 1.3
3.4. Anexo 1.4
3.5. Anexo 1.5
3.6. Anexo 1.6
3.7. Anexo 2.1
3.8. Anexo 2.2
3.9. Anexo 2.3
3.10. Anexo 2.4
3.11. Anexo 2.5
3.12. Anexo 2.6
3.13. Anexo 2.7
3.14. Anexo 2.8
3.15. Anexo 2.9
3.16. Anexo 2.10
3.17. Anexo 2.11
3.18. Anexo 3.1
3.19. Anexo 3.2
3.20. Anexo 3.3
3.21. Anexo 3.4
3.22. Anexo 4.1
3.23. Anexo 4.2
3.24. Anexo 4.3
3.25. Anexo 5.1
3.26. Anexo 5.2
3.27. Anexo 5.3
3.28. Anexo 5.4

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

1.

Carta al director de la empresa

Estimado Seor Director de Ardis-Suertware:
Al realizar la auditoria de su empresa hemos detectado una serie de fallos que afectan al
buen funcionamiento de la empresa y ponen en riesgo su futuro como negocio solvente y
rentable.
En primer lugar, En materia de gestin de recursos humanos, la empresa presenta
problemas de personal desmotivado debido a la contratacin de personas con alta
cualificacin pero se le asignan tareas repetitivas y montonas, adems estas personas son
avisadas de que no van a continuar en la empresa una vez acabe su beca, por lo que se ven
gravemente desmotivados. Esto junto con una escasa veracidad a la hora de hacer las
evaluaciones de desempeo, hace que la plantilla no este a gusto en su empresa.
El personal tampoco recibe una formacin exhaustiva, por lo que tienen que formarse fuera
del horario laboral, lo que provoca mas estrs.
Respecto a la seguridad de los sistemas, hemos encontrado graves inconsistencias, sobre
todo en la gestin de contraseas. Hay empleados con contraseas muy predecibles y una
vez establecida no se puede cambiar. Tambin hay problemas con el acceso a partes
indebidas del sistema por usuarios a los que no debera estar permitido. Adems, a la hora
de acceder al sistema, en el campo de contrasea no aparece codificado, por lo que se
puede leer la contrasea perfectamente. Tambin se ha encontrado fallos en el antivirus.
Tambin hemos encontrados fallos muy graves en la continuidad del servicio que se
ofrece, puesto que no hay un plan de emergencia establecido cuando halla un fallo en el
suministro elctrico o fallo en los sistemas. Tampoco hay un plan a seguir en la rotura de
cualquier perifrico y no se dispone de los repuestos necesarios en caso de se produzca esta
rotura.
En la pagina Web corporativa hemos encontrado algunos fallos e incluso en algunos casos
de sobrepasa la legalidad. Los usuarios no saben que sus datos son cedidos a otras
empresas que los utilizan para su beneficio y que adems no es posible la cancelacin de
esos datos, rompiendo con la Ley Orgnica de Proteccin de Datos de carcter personal.
Para finalizar, en el sistema de acceso al edificio tambin hemos encontrado unos
problemas de seguridad, debido a que hay trabajadores que tienen tarjetas que dan acceso a
salas protegidas a las que no tiene permiso. Adems en la sala principal, donde estn los
servidores junto con toda la informacin, no hay ni cmaras ni un guarda jurado que vigile
la sala, por lo que est expuesta a posibles robos o incidencias.
A partir de estos problemas, vamos a trabajar para obtener las mejores medidas y que su
empresa tenga la transparencia y la fiabilidad que se necesita para que sea eficiente, eficaz
y segura.
Sin ms, reciba un cordial saludo.

Auditoria y Seguridad de la Informacin - Curso 2008/09

2.

Informe de la Auditoria realizada

La auditoria que ha sido realizada a la empresa Ardis_Suertware se centra en los siguientes

procesos del Cobit:

PO7 Administrar los recursos humanos.

DS5 Garantizar la seguridad de sistemas.
DS4 Asegurar continuidad de servicio.
DS12 Administrar la informacin.
DS13 Administrar la operacin.

2.1.

Administrar los recursos humanos

Para la realizacin de la auditoria en materia de recursos humanos ha sido necesaria, entre

otras cosas, la realizacin de entrevistas al responsable de Recursos Humanos y a un
empleado de la empresa escogido de forma aleatoria.
Como norma general, la empresa prefiere contratar a personal con experiencia frente a
personal con la carrera recin terminada, siendo la gran mayora de las ofertas de empleo,
que ofrecen y publican, exclusivamente para personal con experiencia. No obstante y en
pocas de ms trabajo, la empresa ofrece y publica ofertas de puestos para personal sin
experiencia. (Anexo 1.2). Las personas que entran en la empresa de esta forma, se les har
contratos de 6 meses en la que ser difcil la renovacin y paso a plantilla ya que son
contratados para realizar tareas de documentacin y labores de poca responsabilidad.
(Anexo 1.1).
Referente a la seleccin de personal con experiencia, no existe realizacin de examen
tcnico para demostrar los conocimientos que detallan en sus currculos, sino que se
selecciona en base a la informacin indicada en estos y a la entrevista que mantienen con
ellos. Adems de la no realizacin del examen tcnico, la empresa no solicita al aspirante
la entrega de documentacin como copia de ttulo de estudios posedos y cursos realizados.
Esto genera un problema ya que en algunas ocasiones, segn nos cont el responsable de
recursos humanos en la entrevista realizada, han sido contratadas personas con un
determinado perfil, que finalmente no lo cumplan ya que haban incluido en sus
curriculums informacin de conocimientos que no tenan. (Anexo 1.3).
En cuanto a la evaluacin del desempeo de los empleados, no existe baremo alguno para
realizar las valoraciones. Ms bien se realiza de forma bastante subjetiva dependiendo de la
opinin que tenga el inmediato superior del trabajador. Esto provoca que muchos
empleados no puedan acceder a puestos superiores. (Anexo 1.4)
En referencia a la formacin que ofrece la empresa a los empleados, se ha detectado que
esta no es suficiente, ya que se basa en la facilitacin de tutoriales para consulta de dudas.

Auditoria empresa Ardis-Suertware

Esto provoca que el personal no tenga los suficientes conocimientos para el correcto
desempeo de su puesto de trabajo, ya que se forman minimamente a travs de los
tutoriales en cuestiones tericas. Sera necesario la realizacin de cursos especficos para
cada puesto y sobretodo que fueran cursos prcticos. (Anexo 1.5) (Anexo 1.6)

2.2.

Garantizar la seguridad de sistemas

El Departamento de Sistemas es el responsable de la seguridad en la empresa. Entre otras

cosas ha sido necesario entrevistarnos con el para llevar a cabo la auditoria. Tambin fue
necesaria la entrevista a uno de los empleados escogido de forma aleatoria.
Han sido detectados importantes problemas relativos a la administracin de los usuarios y
contraseas para acceso al sistema. La mayora de los empleados utilizan como contrasea
la misma que ponen como nombre de usuario (Anexo 2.1). Adems no existe la posibilidad
de que el sistema ofrezca el cambio de contrasea de forma peridica, solo puede
cambiarse cuando el usuario lo solicita. Se recomendara fuertemente que el sistema cada 3
meses obligara a realizar cambios de nombre de usuario y contrasea (Anexo 2.2). Adems
el sistema debera evitar la autenticacin con un nombre de usuario y contrasea idnticos.
El responsable de Seguridad nos indic en la entrevista mantenida que al finalizar el
contrato de un empleado, el nombre de usuario y la contrasea son eliminados del sistema.
Se comprob que en el sistema an constaban nombres de usuarios y contraseas de
antiguos trabajadores, cuyas cuentas estaban an operativas y se poda acceder
perfectamente, por lo que demuestra que a pesar de lo que indic el responsable en cuanto
a la eliminacin de datos, esto es realizado de forma muy poco rigurosa. (Anexo 2.3)
Otro problema grave del acceso al sistema es que la contrasea es visible cuando se
introduce, no se esconde tras un carcter *, como sera lo ms aconsejable. (Anexo 2.4)
El sistema adems no controla el nmero de intentos fallidos de acceso al sistema, siendo
este ilimitado y como consecuencia siendo relativamente sencillo poder acceder a la cuenta
de otro empleado sin su consentimiento. Se debera poder controlar esto y limitando el
nmero de accesos fallidos a un nmero razonablemente bajo, por ejemplo 3. (Anexo 2.5)
El acceso concurrente con el mismo usuario y contrasea no tiene tampoco limitaciin
alguna, siendo posible el acceso ilimitado de forma simultnea a la cuenta de un
empleado. Tambin sera necesaria la limitacin a un nmero razonablemente bajo de
posibles accesos concurrentes a una misma cuenta, por ejemplo 3. (Anexo 2.6)
Otra anomala observada es que no existe bloqueo automtico de cuenta tras un periodo de
inactividad, por ejemplo si a un empleado se le olvida cerrar su sesin al ir a una reunin o
atender el telfono, cualquiera podra acceder a su equipo. Se recomienda pues introducir
la posibilidad de bloqueo de sistema tras algunos minutos de inactividad, siendo estos
minutos un nmero que tampoco sea tan pequeo que entorpezca al trabajador. Podran ser
5 minutos. (Anexo 2.7)

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

Respecto a la formacin en materia de seguridad a los empleados, la empresa no los forma

adecuadamente no inculcandoles el conocimiento y conciencia necesarios para que se
tomen la seguridad como un tema serio. Se pudo comprobar lo anterior de forma obvia ya
que se encontr en la papelera de un trabajador unos papeles sin destruir en los que poda
verse escrito su nombre de usuario y contrasea. Sera necesario pasar por la destructora de
papeles este tipo de documentacin antes de tirarlos a la papelera. Adems ha sido
relativamente frecuente ver post-it pegados al monitor de los equipos con los datos de
usuario y contrasea. (Anexo 2.8)
Otro aspecto grave es que se han detectado algunos casos en los que los usuarios tienen
instalados en sus ordenadores programas P2P, sometiendo a sus equipos a una gran
exposicin a virus o software malintencionado. Adems el acceso a internet es totalmente
libre, es decir, no existe ningn proxy que bloquee pginas que supongan un riesgo, por lo
que los empleados pueden acceder a las pginas web que les apetezca. (Anexo 2.9)
En cuanto a la instalacin de antivirus, pudo comprobarse que no existe acuerdo por parte
del responsable de Seguridad de cual utilizar, los empleados instalan y desistalan el que
quieren en cada momento. Adems ante la presencia de un virus, los empleados lo
resuelven ellos mismos, llegando a realizar incluso formateos de equipo. Se recomienda
encarecidamente que sea responsabilidad nica del responsable de Seguridad, la
instalacin de un antivirus que sea comn a todos los equipos de la empresa, siendo
gestionado por el las acciones a realizar en caso de presencia de virus o mal
funcionamiento del antivirus. (Anexo 2.10)
Se ha encontrado bastantes programas piratas instalados en los equipos de los empleados,
as como cds de software pirata encima y en los cajones de los escritorios de los
empleados. (Anexo 2.11)

2.3.

Asegurar continuidad de servicio

Para la realizacin de la auditoria de este proceso ha sido necesaria la realizacin de una

serie de entrevistas al director de la empresa.
Segn nos cont, no existe ningn documento de plan de continuidad de servicio por
escrito, se va improvisando o se basan en alguna experiencia anterior, lo que podra
ocasionar grandes problemas en situacin de emergencia y en imprevistos, pues los
empleados saben como actuar ante algunas emergencias, pero podra darse el caso de
situacin de emergencia especial en la que no se sabra como actuar para hacer frente al
problema. (Anexo 3.1)
Algunos problemas detectados referentes a la continuidad del servicio en caso de
improvisto son los siguientes.
En caso de rotura de disco duro de un equipo, se perderan los datos realizados durante el
da ya que es solo durante la noche cuando se realizan las copias de seguridad a un
servidor. Sera necesario que los equipos tuvieran instalado un programa de control de

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

versiones (CVS) y se utilizara un servidor auxiliar como repositorio. Se tiene en almacn

(Anexo 3.2) algunas unidades muy escasas de componentes informticos para sustituir en
caso de rotura, pero en la mayora de los casos, es necesario hacer un pedido a la empresa
suministradora de material para reponer el componente roto. Aunque tarda unas horas en
servirse el pedido, esto supone una prdida de tiempo importante. Adems, depositar la
confianza en un nico suministrador, hay un riesgo grande de que se necesite material y la
empresa tenga algn tipo de dificultad en servir, por lo que afectara directamente en la
empresa. Sera necesario tener pues varios suministradores de material para que esto no
pudiera ocurrir.
La empresa cuenta con un seguro (Anexo 3.3)de bienes materiales en caso de robo o
catstrofe natural. Este seguro no cubre ni hay existencia de otro tipo de seguro, de lo
referente a perdida de datos, lo que presupone que la empresa no est del todo
concienciada en la importancia del gran problema que esto supondra.
No existe edificio o local secundario si ocurriera un desastre en el actual edificio.
Al no existir plan de continuidad de servicio, no estn detalladas las operaciones de ms
relevancia de la empresa, ni tampoco una estimacin temporal y econmica de las
operaciones en caso de problema.
Ante una interrupcin del suministro de luz, no existe una red de emergencia para que los
equipos se puedan apagar de forma correcta y se puedan guardar los datos sin que haya
corrupciones. (Anexo 3.4)

2.4.

Administrar la informacin

Se han detectado varios fallos en la administracin de la informacin por parte de la empresa, sobre
todo en el tratamiento de los datos de informacin de carcter personal. (Anexo 4.1)
Para comprobar la calidad de este proceso, nos basamos en la existente Ley Orgnica de Proteccin
de Datos (L.O.P.D) que nos indica todos los posibles tratamientos que debe tener los datos de
carcter personal cuando es administrado por una empresa privada. (Anexo 4.2)
En la recogida de datos, cuando un cliente introduce sus datos en el formulario, es avisado de que
sus datos van a ingresar en una base de datos de la cual la empresa ejercer un tratamiento, pero en
ningn momento es avisado de que esa base de datos podr ser cedida a terceras empresas. (Anexo
4.2)
En cuanto a la modificacin y cancelacin de los datos, una vez el usuario ha sido registrado, no
tiene acceso a la modificacin de sus datos, ni mediante un formulario apropiado, ni ponindose en
contacto con la empresa. (Anexo 4.3)
Tampoco es posible para el cliente poder cancelar sus datos, puesto que tampoco se da esa opcin
en el formulario. Adems, cuando los datos dejan de ser necesarios para la empresa, tampoco son
cancelados y siguen constando en la base de datos. (Anexo 4.2)

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

Finalmente, en cuanto a la cesin de datos, la base de datos con los datos personales de los clientes
es usada por otras empresas, sin el conocimiento de los clientes y sin su aprobacin (Anexo 4.1).
Adems, las empresas utilizan estos datos con objetivos diferentes a los que tiene la empresa que es
duea de esta base de datos.
Las empresas que obtienen esta base de datos utilizan esos datos para usos propios y sin el
correspondiente consentimiento de los afectados, quebrantando la Ley Orgnica de proteccin de
datos. Adems, la empresa no obliga a las empresas a las que presta estos datos a que cumplan la
Ley Orgnica de Proteccin de Datos. (Anexo 4.1)

2.5.

Administrar la operacin

Despus de realizar algunas entrevistas (Anexos 5.1 y 5.2) se han llegado a algunas conclusiones
que repercuten gravemente en el funcionamiento diario.
Hay una aplicacin que gestiona a los clientes, la cual requiere un usuario y una contrasea. Esta
aplicacin muestra los mensajes que han sido enviados y tambin muestra la hora y da de la
recepcin. La herramienta tambin tiene almacenados las promociones, las ofertas especiales y
dems servicios adjuntos.
Hemos detectado que hay usuarios que tienen mayor acceso al sistema del que debieran, y pueden
llegar a manejar datos sensibles. (Anexo 5.2)
La sala de servidores, donde se encuentran fsicamente todos los datos, esta protegida mediante un
lector de tarjetas en la puerta, y los diferentes usuarios tienen tarjetas que dan acceso a la sala.
(Anexo 5.3)
El jefe de servicios es el que se encarga de la asignacin de estas tarjetas y del nivel de acceso,
segn el personal. (Anexo 5.1)
En principio en esta sala no hay un guardia de seguridad que custodie la informacin ni evite las
posibles incidencias que pudieran ocurrir. (Anexo 5.1)
Con estos datos, hemos detectado que las tarjetas no estn bien repartidas, puesto que hay usuarios
con tarjetas de un nivel que no corresponde con su rango, o incluso usuarios que tienen tarjetas
maestras, que abren todas las salas protegidas aunque no debieran tener acceso a ellas. (Anexos 5.1
y 5.2)
La ausencia de un guarda jurado, junto con el caso expuesto anteriormente, hace que la sala quede
insegura las 24 horas. Adems no existen cmaras de seguridad ni registro de los accesos diarios.
(Anexos 5.1 y 5.2)
Las condiciones ambientales de la instalacin tambin presentan problemas. No hay una correcta
ventilacin (Anexos 5.4), lo que provoca que haya una temperatura elevada y en algunos casos,
hacen que los servidores tengan que ser apagados para no ser sobrecalentados. (Anexos 5.1)

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

3.

Papeles de Trabajo
3.1.

Anexo 1.1

Contrato de trabajo temporal de un trabajador sin experiencia en el que queda de

manifiesto que el tipo de contrato es temporal de 6 meses de duracin y a tiempo
parcial de duracin 5 horas.

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

3.2.

Anexo 1.2

Extracto de la entrevista mantenida con el responsable de Recursos Humanos en

materia de seleccin de candidatos a ocupar puesto en la empresa.

-Que tipo de perfil buscan a la hora de realizar una seleccin de personal para un
puesto vacante?
-En primer lugar y en la mayora de los casos buscamos un perfil con experiencia,
que proceda de otras empresas y como consecuencia haya adquirido mayor nivel
de conocimientos y experiencia en algunas tecnologas necesarias para los
proyectos de nuestra empresa en la que sea necesaria la incorporacin de
personal.
-Entonces, las personas con su titulacin recien terminada nunca son
seleccionadas?
-En ocasiones y cuando tenemos ms carga de trabajo, lanzamos ofertas de empleo
especialmente dirigidas a personas, que como bien dices, acaban de terminar la
carrera para realizar tareas de menor responsabilidad, pero muy tiles para que
vayan cogiendo experiencia en un entorno laboral.
Se les hace un contrato en practicas de 6 meses y luego tienen una pequea
posibilidad, si existe vacante y demuestran su vala de incorporarse a plantilla con
contrato indefinido, aunque en la mayora de las ocasiones, no hay plazas vacantes
y como consecuencia no puede ser renovado el contrato.
-Qu tareas realizan a grandes rasgos el personal sin experiencia?
-Sobretodo tareas de documentacin de diagramas o de otra ndole, as como
programacin de mdulos sencillos o realizacin de interfaces. Nos parece una
buena manera de que la persona comience a adaptarse a un entorno de trabajo,
pero sin profundizar mucho, pues ya son las personas con ms experiencia las que
realizan las labores importantes.

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

3.3.

Anexo 1.3

Extracto de la entrevista mantenida con el responsable de Recursos Humanos en

materia de el procedimiento de seleccin de candidatos a ocupar el puesto vacante.

-Cules son los criterios a la hora de seleccionar un candidato con experiencia para
ocupar el puesto vacante?
En primer lugar se hace una valoracin del currculo vital recibido, valorando de
esta forma la titulacin poiseida as como los cursos realizados y conocimientos
poseidos. Tambin se valora la experiencia profesional que se tiene, los aos que
se han trabajado y las tecnologas utilizadas durante esos aos de trabajo.
Despus y los que tengan mejor currculo son llamados para la realizacin de una
entrevista en la que se habla fundamentalmente de lo escrito en el currculo.
-Es realizada algun tipo de prueba o examen tcnico en el que puedan demostrarse
los conocimientos que detallan en sus curriculums los candidatos?
No, no se realiza ningn tipo de examen. Los conocimientos que los candidatos
tienen los especifican ellos mismos en sus curriculums, por lo que no vemos
necesaria la realizacin de ninguna prueba.
- Cuando el personal es seleccionado, se les exije la presentacin de copias de
ciertos documentos tales como el titulo o cursos realizados?
No, no es requerido este tipo de documentacin, la empresa da bastante confianza
al personal seleccionado. Aunque si he de reconocer que en algunas ocasiones se
ha filtrado alguna persona que luego no ha podido demostrar muchas de las
cosas escritas en sus curriculums acerca de sus conocimientos o incluso de cursos
porque no eran ciertas. El caso ms llamativo fue de un chico que an no haba
terminado la carrera y su currculo indicaba que si, adems de especificar
conocimientos y experiencia que luego no tena. Pero son casos aislados, no es lo
normal.

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

3.4.

Anexo 1.4

Extracto de la entrevista mantenida con el responsable de recursos humanos en relacin

con la evaluacin de los empleados.

-Existe algn tipo de criterio de evaluacin del personal empleado?

-No, por escrito no hay una serie de criterios que sirvan para realizar una valoracin
del empleado. Si es cierto, que muchos empleados demuestran su vala da a da con su
trabajo. Adems en ciertas ocasiones pueden destacan por haber realizado alguna
labor significativa referente a dificultad o realizacin en corto tiempo. Es el
inmediatamente superior al empleado el que decidir la valoracin de este y si est
capacitado para ascender a otro puesto.

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

3.5.

Anexo 1.5

Pantallazo de uno de los equipos perteneciente a un empleado de reciente

incorporacin en el que puede verse una carpeta, suministrada por el inmediatamente
superior, que contiene tutoriales de algunas tecnologas que van a utilizar en el
proyecto.

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

3.6.

Anexo 1.6

Extracto de una entrevista realizada a un empleado escogido de forma aleatoria en

materia de formacin recibida.

-Qu tipo de formacin ha recibido a lo largo de la estancia en la empresa?

-Cuando entre, mi jefe me facilit una carpeta que contena tutoriales relacionados
con las tecnologas que ibamos a utilizar en el proyecto. Dedique una semana a leer
todos los tutoriales, a la semana siguiente empec de lleno mi labor.
Ahora, cuando me surgen dudas siempre recurro a Google y me leo la informacin que
voy encontrando.
-Crees que fue suficiente la formacin basada en tutoriales cuando comenzaste a
trabajar en la empresa?
-Pues la verdad es que no mucho, porque los tutoriales te ayudan a entender la idea y
algunos conceptos, pero se echa mucho de menos la realizacin de practicas para
consolidar los conocimientos tericos. Me hubiera gustado asistir a algn curso de
formacin sobre las tecnologas que me estudie , ya que era bastante complicado de
entender por mi cuenta.

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

3.7.

Anexo 2.1

Fragmento de documento en el que constan los nombres de usuario y contrseas de los

empleados.

Empleado
Miguel Hernandez Ruiz
Angeles Gutierres Alvarez
Leticia Aguirre Galvez
Romn Acosta Jimnez
Cristina Aguilera
Ana Garca Madrid
Leoncio Ortega
Laura Fernandez

Usuario
Miguel05
290459
Leti04
Roaji
Cris
Ana325
55633
Laura32

Contrasea
Miguel05
290459
Leti04
Roaji
964465
Ana325
55633
665655

Puede observarse que el nombre de usuario y contrasea utilizados son el mismo en la

mayora de los empleados.

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

3.8.

Anexo 2.2

Extracto de la entrevista realizada al responsable de seguridad de la empresa.

-Existe algn tipo de aviso o imposicin por parte del sistema para que los empleados
cambien su nombre de usuario y contrasea de forma regular?
-No, creemos que no es necesario realizar una imposicin para cambiar de
contrasea, puesto que son los empleados los que deben valorar si tienen necesidad de
cambiarla porque sea ms seguro. Ellos deciden cuando cambiarla.
-Con que frecuencia cambian los empleados sus nombres de usuario y las
contraseas?
-Realmente lo hacen con muy poca frecuencia, algunos an no la han cambiado nunca
y ya llevan aos trabando aqu. Pienso que si no las han cambiado ha sido porque
ellos mismos no han visto todava la necesidad o alguna amenaza para sus cuentas.

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

3.9.

Anexo 2.3

Fragmento de documento en el que constan los nombres de usuario y contrseas de los

empleados. El empleado marcado en amarillo, dej de trabajar en la empresa hace 6
meses y an sigue constando en el fichero y se puede acceder al sistema con su nombre
de usuario y contrasea de manera normal.

Empleado
Miguel Hernandez Ruiz
Angeles Gutierres Alvarez
Leticia Aguirre Galvez
Romn Acosta Jimnez
Cristina Aguilera
Ana Garca Madrid
Leoncio Ortega
Laura Fernandez

Usuario
Miguel05
290459
Leti04
Roaji
Cris
Ana325
55633
Laura32

Contrasea
Miguel05
290459
Leti04
Roaji
964465
Ana325
55633
665655

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

3.10. Anexo 2.4

Pantallazo de las cajas de texto para la autenticacin del empleado en el sistema.

Puede observarse que la caja de texto de introduccin de la contrsea deja ver lo

escrito, provocando un fuerte problema de seguridad de claves.

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

3.11. Anexo 2.5

Extracto de una entrevista realizada a un empleado sobre sus datos de usuario y
contraseas
-Cmo actas en caso de que tu contrasea se te olvide?
-Pues la verdad es que eso me ocurri varias veces cuando no llevaba mucho tiempo.
No me acordaba exactamente de la contrasea, pero me sonaban algunas, por lo que
fui probando suerte, introduciendo aquellas que me iban sonando. Despus de 21
intentos lo consegu. Ya no me ha vuelto a pasar.
-Eres consiente de que no exista limitacin de intentos fallidos de acceso pone en
peligro la seguridad de los datos de cuenta de un empleado?
-Bueno, no tanto, lo veo util para en casos como me ocurri a mi, poder adivinar la
contrasea que se me habia olvidado.

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

3.12. Anexo 2.6

Se pidi al responsable de Seguridad que nos proporcionara un extracto donde se

mostraran usuarios logados y en que intervalos de tiempo lo han hecho en un da
escogido de forma aleatoria.

Usuario
Miguel05
Miguel05
Leti04
Leti04
Leti04
Leti04
Leti04
Laura32

Fecha
10/11/2008
10/11/2008
11/11/2008
11/11/2008
11/11/2008
11/11/2008
11/11/2008
11/11/2008

Hora Inicio
08:30
09:00
08:00
09:00
08:25
08:00
08:35
11:36

Hora Fin
12:00
17:00
18:30
11:28
14:56
11:30
14:47
14:51

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

3.13. Anexo 2.7

Extracto de la entrevista mantenida con el resposable de Seguridad.

-Cunto tiempo de inactividad de un equipo transcurre antres de que el equipo se

bloquee?
-No, hay tiempo establecido, el sistema no se bloquea ante un determinado periodo de
tiempo de inactividad. Es el usuario quien decide cuando bloquear su equipo si prevee
que se va a ausentar durante un tiempo de su puesto de trabajo.

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

3.14. Anexo 2.8

Fotografias tomadas en la empresa, pertenecientes a la papelera y el monitor de dos
empleados.

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

3.15. Anexo 2.9

Pantallazos referentes al equipo de uno de los empleados.

En esta pantalla puede verse el icono minimizado de un programa P2P cuya utilizacin
somete al equipo a riesgo de virus o software malintencionado.

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

En esta captura de pantalla podemos observar el historial del equipo de uno de los
empleados, pudiendo constatar la libre navegacin en internet que disfruta, al no existir
proxy alguno que restrinja el acceso a portales que se consideran peligrosos. De esta forma
se somete al equipo a un riesgo grande de ataques de virus o software malintencionado.

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

3.16. Anexo 2.10

Extracto de la entrevista mantenida con uno de los empleados de la empresa elegido de

forma aleatoria.

-Qu antivirus utilizais en la empresa?

-Cada compaero tiene el que ms le gusta o el que ms fcil le resulta la utilizacin.
Yo por ejemplo tengo el avast ahora mismo, pero lo cambi la semana pasada porque
el que tena empez a consumirme muchos recursos del equipo y lo desinstale.
-Qu antivirus utilizabas la semana pasada?
-Avg
-En caso de que el antivirus detecte un virus como actuais?
-Pues teniendo el antivirus actualizado, normalmente , el se encarga en la mayoria de
los casos de su eliminacin. Aunque hay veces que no es posible y hay que eliminar
archivos a mano o incluso formatear el disco duro si el funcionamiento del sistema ha
sido afectado de forma notoria.
-No se encarga el responsable de Seguridad de actuar frente a la aparicin de un
virus?
-No, somos nosotros los que solucionamos el problema

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

3.17. Anexo 2.11

Foto tomada en la empresa de una de los escritorios pertenecientes a un empleado.
Pueden observarse diversos cds pirata con algunos de los programas utilizados alli.

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

3.18. Anexo 3.1

Extracto de la entrevista mantenida con el director de la empresa en materia de la
continuidad de servicio en caso de imprevisto o emergencia.
-Qu plan existe actualmente en la empresa para asegurar la continuidad del servicio en
caso de algn imprevisto o situacin de emergencia?
-Por escrito, no tenemos ningn plan detallado de cmo actuar en este tipo de situaciones.
No se ve necesario, puesto que las posibilidades de que ocurra este tipo de situaciones es
mnima y el abanico de posibilidades que podran ocurrir bastante amplio, por lo que a
da de hoy no existe tal documento.
-Qu medidas adopta la empresa en materia de copias de seguridad?
-Actualmente, no tenemos ninguna poltica al respecto. An no hemos tenido ningn
problema al respecto y por eso no hemos pensado en nada especfico.
-Con que frecuencia se renuevan o se actualizan los equipos informticos?
-Todava no hemos cambiado, ni hemos actualizado ningn equipo debido a que no ha
sido necesario, puesto que todas las herramientas funcionan correctamente.
-En caso de que se necesitara una reparacin, Est la empresa debidamente preparada?
-Tenemos un pequeo almacn con algunas sustituciones para los equipos, pero carece de
muchas piezas, y tampoco tenemos reemplazo para monitores o teclados. Pero tenemos
varios proveedores que nos proporcionan las piezas en un plazo de 24h en el mejor de los
casos.
-Tiene la empresa algn seguro contratado en vigor?
-La empresa tiene contratado un seguro por robo de bienes materiales y catstrofe
naturales, que cubriran todo el valor.
-Qu medida de emergencia tiene la empresa programada por una interrupcin del
suministro elctrico?
-Los equipos informticos estn conectados directamente a la red elctrica y el edificio no
cuenta con un suministro elctrico alterno por si hubiera falta de corriente elctrica.
Todava no hemos sufrido ningn corte importante.

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

3.19. Anexo 3.2

En el almacn hay algunos perifricos y accesorios pero no hay monitores ni teclados,

y adems faltan otros muchos perifricos.

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

3.20. Anexo 3.3

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

3.21. Anexo 3.4

Los ordenadores estn conectados directamente a la red elctrica, sin pasar por una fuente
de alimentacin externa de emergencia.

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

3.22. Anexo 4.1

Entrevista con Jefe Web.
Pregunta: Cul es el proceso de registro de un usuario?
Respuesta: El proceso consiste en la toma de datos que el usuario nos proporciona mediante
nuestra pgina Web.
Pregunta: Es debidamente avisado el usuario de sus derechos?Aplicais correctamente la
L.O.P.D?
Respuesta: El usuario es avisado durante el proceso de registro mediante una nota aclaratoria
(Anexo 4.4) de que sus datos van a formar parte de una base de datos automatizada.
Pregunta: El usuario puede modificar y/o cancelar sus datos desde la pgina Web?
Respuesta: No. Un usuario no puede darse de baja ni tampoco puede modificar sus datos.
Pregunta: El usuario es informado de que sus datos pueden pasar a formar parte de una tercera
empresa?
Respuesta: No. El usuario no es consciente de estas transacciones. Son procesos internos de la
empresa.
Pregunta: Se realiza algn seguimiento de los datos una vez cedidos a otra empresa?
Respuesta: No. Una vez que los datos son cedidos, no se monitorizan ni se realizan seguimientos
sobre ellos. La responsabilidad es de la empresa que los posee.

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

3.23. Anexo 4.2

Captura de datos

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

3.24. Anexo 4.3

Cancelacin o modificacin de datos

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

3.25. Anexo 5.1

Entrevista al jefe de servicios:
Pregunta: Cmo se asignan los usuarios y las contraseas?
Respuesta: Cuando un trabajador entra en la plantilla, se le asigna un nombre de usuario que se
forma por su nombre y primer apellido, y la contrasea es aleatoria de 8 cifras alfanumricas.
Pregunta: Cmo se asigna el nivel de acceso de cada usuario?
Respuesta: Debido a una incidencia en el programa, no es posible hacer muchas distinciones de
acceso, solo se pueden asignar los que tienen un acceso de mantenimiento y un acceso total al
sistema.
Pregunta: Cmo se controla el acceso a la sala?
Respuesta: Las salas que tengan computadores con informacin sensible, estn protegidas con un
tarjetero en la puerta.
Pregunta: Cmo se asignan las tarjetas?
Respuesta: Como la implantacin de las tarjetas es nueva, prcticamente todo el mundo tiene total
acceso a las puertas, esperamos que en unos meses, se puedan programar los privilegios.
Pregunta: Existe algn elemento de seguridad mas?, Algn vigilante?
Respuesta: La verdad es que todava no ha entrado en nmina ningn guarda jurado o vigilante.
Pregunta: Cmo se ventila la sala?
Respuesta: La sala tiene una ventana que da a la parte exterior del edificio. Cuando empieza a
subir la temperatura se puede abrir la ventana. La ventilacin es natural.

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

3.26. Anexo 5.2

Entrevista a algunos trabajadores:
Pregunta: Existe algn elemento de seguridad para acceder al sistema?
Respuesta: Todos tenemos un nombre de usuario y una contrasea, pero creo que tengo ms
permisos de los normales. Me dedico al mantenimiento y tengo acceso a dar de baja diferentes
empresas y usuarios.
Pregunta: Existe algn elemento de seguridad para acceder a las salas?
Respuesta: Todos tenemos tarjetas de seguridad, algunas tarjetas puedes entrar en todas las salas,
algunas otras no. Como no se quedan registrados los accesos, de vez en cuando nos las cambiamos
para ver que pasa. Nunca pasa nada.
Pregunta: Existe algn elemento de seguridad mas?, Algn vigilante?
Respuesta: No. Tampoco hay cmaras ni se registra las entradas ni las salidas.

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

3.27. Anexo 5.3

Puerta de seguridad

Auditoria y Seguridad de la Informacin - Curso 2008/09

Auditoria empresa Ardis-Suertware

3.28. Anexo 5.4

Ventilacin servidor

Auditoria y Seguridad de la Informacin - Curso 2008/09