6. Anexos Pginas 17 a 63
Carta al Director
Estimado seor director
Tras la finalizacin de la auditoria de su empresa Logisa Paquetes nos dirigimos a usted
para comunicarle los principales problemas encontrados en el informe:
Existe una ausencia de estructuracin estratgica de la empresa, es decir, no existen
cargos en los cuales usted pueda delegar plenamente responsabilidades, con lo cual, el
desempeo de sus funciones se ve plenamente comprometido por caractersticas de otra
ndole ajenas a su actividad de direccin empresarial.
Como se ha podido constatar en el informe, existe ausencia de documentacin
formalizada, adems de carecer de un reporte de actividades as como de incidencias.
Se ha podido comprobar a lo largo de la auditoria que no existe una concienciacin del
personal as como de la propia empresa en lo referente a la seguridad de sus
comunicaciones, as como la informacin que manejada para el desempeo de sus
actividades .Esta situacin deriva en una gran deficiencia en lo relativo a la proteccin
y privacidad de sus datos y comunicaciones.
En lo referente a su sistema de gestin de base de datos existen datos almacenados que
pueden comprometer la integridad de los mismos, ya que pueden darse situaciones en el
cual se produzcan duplicidad y ruido. Adems como se puede comprobar en el informe,
poseen medidas deficientes en lo relativo a la seguridad y proteccin de los accesos y a
los datos almacenados en sus bases de datos.
Una vez presentados los principales problemas, se pretende conseguir una mejora en su
empresa en lo relativo a seguridad, proteccin y realizacin de objetivos. Una vez
solventadas esta serie de deficiencias, un mayor xito en las actividades realizadas.
Un cordial saludo.
Entidad Auditada
La entidad auditada es la empresa de mensajera rpida LOGISA. Se trata de una
empresa PYME, la cual tiene su radio de accin dentro de la regin de Castilla-La
Mancha, en la que realiza servicios de mensajera, dando cobertura de distribucin a
todos los lugares de la provincia.
La empresa tiene su sede principal en Toledo, teniendo cuatro subsedes
complementarias en las otras cuatros capitales de provincia. A travs de las sedes, se
distribuyen los servicios a todos los pueblos de la regin.
Debido a su carcter ntegramente regional, la empresa no suministra servicios fuera de
Castilla La Mancha.
La empresa tiene una pgina web, en la cual se puede llevar el seguimiento de los
paquetes desde la oficina de envo, hasta su lugar de destino.
Toledo: 3 personas.
Toledo: 2 personas.
Cuenca: 2 personas.
Albacete: 2 personas.
Guadalajara: 2 personas.
Toledo: 1 persona.
Cuenca: 1 persona.
Albacete: 1 persona.
Guadalajara: 1 persona.
Toledo: 10 personas.
Cuenca: 10 personas.
Albacete: 10 personas.
Guadalajara: 10 personas.
Toledo: 1 persona
Objetivo de la auditora
Se va a realizar una auditora de la empresa LOGISA para poder evaluar el
tratamiento que se sta realizando con sus datos, es decir, la seguridad de los datos, la
confidencialidad y la integridad de los mismos.
Al tener cinco sedes, la empresa que se va a auditar produce un continuo intercambio de
informacin entre las mismas. Adems, continuamente se producen envos de sus
clientes, por cual la empresa maneja sus datos. Por ltimo, la empresa tiene un histrico
de envos, as como los datos de todos sus empleados.
Por estos motivos se ha decidido auditar el tratamiento de los datos que realiza la
empresa y poder evaluar la eficiencia con que se manejan.
Alcance de la auditoria
Para poder cumplir con el objetivo de la auditoria se ha realizado el estudio de los
siguientes objetivos de control especificados en el COBIT:
INFORME DE AUDITORA
El informe de la auditoria, ha sido realizado sobre la empresa LOGISA, que va a
constar de los principales problemas que han sido encontrados en dicha empresa. A
modo de breve resumen, hemos englobado estos problemas en la falta de
procedimientos, metodologas y seguridad de los sistemas, la falta de personal adecuado
en los cargos de direccin de la empresa, as como la nefasta administracin y
manipulacin de los sistemas de informacin y de las bases de datos.
Roles de la Empresa
Tras la auditora realizada a los roles que tienen los diferentes miembros de la empresa,
hemos observado los siguientes fallos:
aparecen una serie de procedimientos para realizar controles internos sobre los
servicios de informacin relacionadas con el monitoreo disponibles en la
empresa. Se ha determinado que es bastante reducido y en l solo se especifican
las tareas que debe realizar el jefe del SI en periodos anuales. Tambin aparecen
reflejadas las fechas de los ltimos controles realizados, ante lo cual se ha
establecido que esta frecuencia debera ser mayor para un mejor control de este
aspecto y tambin se debera dar ms detalle de los resultados obtenidos (Anexo
18).
Esto puede producir errores ya que se pueden duplicar etiquetas por error o
intencionadamente y causar que varios paquetes tuvieran el mismo cdigo con
los correspondientes problemas logsticos del paquete (Anexo 19).
Por este motivo los empleados pueden navegar libremente con el consiguiente
riesgo de descargar virus que pueden comprometer la integridad del sistema y de
los datos de la empresa (Anexo 7).
13
Documentacin
En la documentacin que nos ha facilitado la empresa, a travs de documentos, y
mediante la informacin recopilada por medio de nuestra investigacin exhaustiva,
hemos obtenidos las siguientes consideraciones :
A travs de las entrevistas en las diferentes sedes, nos han comunicado que no se
lleva a cabo ningn registro de los problemas diarios que surgen en la empresa.
Se nos ha comunicado que se intentan resolver de forma inmediata a travs de la
persona mas conveniente en cada momento.
No se ha facilitado ningn tipo de documento relacionado con la direccin de la
empresa (Anexo 23).
El informe de las instalaciones que recibe la empresa es bastante pobre e
inexacto. Se puede ver que es bastante antiguo y que no tiene relacin con el
equipamiento actual. Ademas, slo nos ha sido ofrecido de la sede de Toledo,
dicindonos que las dems sedes no tienen informe (Anexo 24 y Anexo 25).
No se nos ha facilitado ningn tipo de documento referido a los problemas o
incidentes que ha tenido la empresa en los ltimos aos (Anexo 26).
14
Bases de Datos
Segn las investigaciones, se han podido encontrar las siguientes vulnerabilidades en
relacin con la base de datos utilizada por el sistema.
15
16
Anexo 1
Configuracin del router de la empresa.
17
Anexo 2
Descifrado de clave mediante aircrack.
18
Anexo 3
Copia de archivos de la empresa a un pendrive.
19
Anexo 4
Servidores sin SAIs
20
Anexo 5
21
Anexo 6
22
Anexo 7
No existe un mecanismo que filtre las direcciones web a las que se tienen acceso , y esto
puede comprometer la integridad y seguridad de los datos del sistema ya que puede
accederse a paginas que contengan cdigo malicioso y ser ejecutado por parte del
interprete del navegador web.
23
Anexo 8
Formulario de la entrevista
Informacin de la entrevista
Compaa
LOGISA
Entrevistador:
Manuel Martn
Entrevistado:
Cargo
entrevistado:
Dolores Pantoso
Fecha:
10/11/2008
Hora:
10:32
Auditor:
Empleado:
Auditor:
Empleado:
Auditor:
Empleado:
Realmente no, cada usuario lo modifica, eso si, obligamos a que se cambien cada
dos aos. Si quiere cada uno la puede cambiar, pero realmente no lo hacen, porque
saben que dentro de un tiempo la tendrn que cambiar obligados.
Auditor:
24
Empleado:
Auditor:
Entonces, no se cambian?
Empleado:
No, no se cambian.
Auditor:
Empleado:
Auditor:
Empleado:
Auditor:
Empleado:
Uhm, espreme un segundo por favor, viene apuntada en una pegatina debajo del
router.
Es una encriptacin WEP. Bueno, el router ya vena con la configuracin hecha,
as que como slo lo vamos a usar nosotros...
Auditor:
Empleado:
Como cuales?
Auditor:
Empleado:
Pues el tcnico que vino para la instalacin del router no me dijo nada al respecto,
no sabra que decirle, yo esos parmetros ahora mismo no s como podra
configurarlos.
Entrevistador
Entrevistado
25
Anexo 9
Formulario de la entrevista
Informacin de la entrevista
Compaa
LOGISA
Entrevistador:
Manuel Martn
Entrevistado:
Cargo
entrevistado:
Rodolfo Dominguez
Fecha:
11/11/2008
Hora:
10:27
Auditor:
Empleado:
Bueno, siempre tengo que hacer todo lo que tengo en mi mano. En una pequea
empresa todos tenemos que poner un poco ms de cada uno. Muchas veces es
necesario.
Auditor:
Entonces, debe de estar bastante pendiente de los problemas de las distintas sedes?
Empleado:
Claro. Ahora por ejemplo tengo que comprar unos equipos con Manuel.
Auditor:
Que ha ocurrido?
Empleado:
Entrevistador
Entrevistado
26
Anexo 10
Formulario de la entrevista
Informacin de la entrevista
Compaa
LOGISA
Entrevistador:
Manuel Martn
Entrevistado:
Cargo
entrevistado:
Gerardo Bladillo
Fecha:
11/11/2008
Hora:
11:45
Auditor:
Empleado:
Auditor:
Y como funcionan?
Empleado:
Podemos hacer una distincin general, unas son en base al desarrollo, y otras son
de pruebas.
Auditor:
Empleado:
Si, en efecto.
Auditor:
27
Empleado:
Bueno, en cuanto tenemos una o varias partes del sistema desarrollado, nosotros
mismos tomamos las pruebas del funcionamiento. Es algo muy tpico para saber si
lo que hemos hecho est bien o mal.
Entrevistador
Entrevistado
28
Anexo 11
Formulario de la entrevista
Informacin de la entrevista
Compaa
LOGISA
Entrevistador:
Mara Campanera
Entrevistado:
Cargo
entrevistado:
Carmelo Lemn
Fecha:
12/11/2008
Hora:
9:13
Auditor:
Empleado:
Bueno, necesito varios programillas, desde editores de texto como el office 2003 a
un buen editor de programacin, utilizo el netbeans 5.1. Luego tenemos varias
herramientas para diseo de bases de datos, y tambin utilizamos algo de pruebas.
Auditor:
Empleado:
S, algunas veces nos vemos con problemas, perdemos algo de tiempo, pero al final
se suelen solucionar.
Auditor:
Empleado:
Muchas veces nos hacemos lo entre nosotros. Nos falta un poco de coordinacin
Entrevistador
Entrevistado
29
Anexo 12
Formulario de la entrevista
Informacin de la entrevista
Compaa
LOGISA
Entrevistador:
Mara Campanera
Entrevistado:
Cargo
entrevistado:
Mariano Memolas
Fecha:
12/11/2008
Hora:
9:40
Auditor:
Empleado:
Auditor:
Empleado:
Auditor:
Empleado:
Bueno, digamos que no todos vamos al mismo ritmo, aqu a veces cada uno va a su
bola, pero cuando llega el fin de mes, nos ponemos de acuerdo a la fuerza.
Entrevistador
Entrevistado
30
Anexo 13
31
32
33
34
35
Anexo 14
Formulario de la entrevista
Informacin de la entrevista
Compaa
LOGISA
Entrevistador:
Mara Campanera
Entrevistado:
Cargo
entrevistado:
Dolores Pantoso
Fecha:
12/11/2008
Hora:
10:02
Auditor:
Empleado:
Auditor:
Empleado:
Entrevistador
Entrevistado
36
Anexo 15
37
Anexo 16
38
Anexo 17
39
Anexo 18
Resumen de la documentacin realizada por Diego Londrino
Ao 2008
Ao 2007
saturacin de la red.
Anualmente se puede comprobar un pequeo aumento del trafico con respecto a los aos
anteriores.
La cobertura de la red se estima que puede dar cabida por un tiempo de alrededor de 5
aos ms sin poder presentar posibles problemas.
41
Anexo 19
42
Anexo 20
Pudimos acceder a la sala de servidores, donde no existe ni sealizacin ni vigilancia
para el acceso restringido. Procedimos a hacer una imagen del rack para tener una
prueba de que en esta sala se puede acceder sin ninguna limitacin.
43
Anexo 21
44
Anexo 22
El plan de accin que nos ha suministrado el administrador principal nos describe los siguientes hitos:
PROYECTO: Expansin de la empresa en Ciudad Real(1997)
CALENDARIO ESTABLECIDO:
- Adquisicin de un local en la Plaza de Espaa N 22 a fecha del 20 de Agosto del 1997.
- Acondicionamiento del local para establecer una nueva sede. Se establece una duracin de dos meses
y medio a partir del da de la adquisicin del local. El acondicionamiento se debe concluir el da 5 de
Diciembre del 1997
- El proceso de seleccin para la contratacin del personal para la tienda se realizar desde el da 8 de
Octubre. Como mximo para el da 18 Octubre se debe de tener contratado todo el personal necesario.
- Se establece un periodo de una semana para la formacin de personal en aquellos puestos que as lo
requiera a partir del da 18 de Octubre.
- Apertura del nuevo establecimiento: Da 7 Diciembre del 1997.
MANTENIMIENTO DE LA NUEVA SEDE
Se tiene previsto que el personal contratado para el almacn de la nueva sede sea tambin quien se
encargue del mantenimiento de la misma a nivel estructural. El mantenimiento de los datos y
tecnologas de informacin se llevar a cabo desde la sede principal.
PROYECTO: Creacin de una pgina Web
45
Anexo 23
Formulario de la entrevista
Informacin de la entrevista
Compaa
LOGISA
Entrevistador:
Mara Campanera
Entrevistado:
Cargo
entrevistado:
Rodolfo Rodriguez
Fecha:
09/11/08
Hora:
13:15:00
Director de empresa
Auditor:
Rodolfo:
Entrevistador
Entrevistado
46
Anexo 24
Informe de las instalaciones que tiene la empresa:
Sede de Toledo:
Un toro mecnico
2 mesas de oficina
10 estanteras
2 sillas de oficina
47
Anexo 25
Formulario de la entrevista
Informacin de la entrevista
Compaa
LOGISA
Entrevistador:
Mara Campanera
Entrevistado:
Cargo
entrevistado:
Rodolfo Rodriguez
Fecha:
09/11/08
Hora:
13:15:00
Director de empresa
Auditor:
Rodolfo:
Creo que tengo algo por aqu, un segundo. Si, aqu esta, solo tengo una vaga
descripcin de la oficina en la que nos encontramos, no tengo nada mas de las
dems sedes.
Auditor:
Veo que en esta descripcin no pone nada del material informtico que tiene la
empresa.
Entrevistador
Entrevistado
48
Anexo 26
Formulario de la entrevista
Informacin de la entrevista
Compaa
LOGISA
Entrevistador:
Mara Campanera
Entrevistado:
Cargo
entrevistado:
Rodolfo Rodriguez
Fecha:
09/11/08
Hora:
13:15:00
Director de empresa
Auditor:
Existe algn tipo de documento relacionado con los problemas o incidentes que
haya tenido la empresa?
Rodolfo:
Entrevistador
Entrevistado
49
Anexo 27
En las tablas creadas se puede comprobar que existen datos que son redundantes y que
pueden inducir a errores. A continuacin se va mostrar el contenido de un pedido
elegido en el cual en las diferentes tablas de pedidos, pedidos_pendientes y
pedidos_finalizados poseen valores diferentes.
Tabla de pedidos
50
Tabla de pedidos_pendientes
Tabla de pedidos_finalizados
51
Anexo 28
Mediante un pequeo programa, hemos sido capaces de descubrir ciertas
vulnerabilidades que permiten, mediante ataques de inyeccin sql, comprobar la
privacidad de los datos. La prueba nos dio positiva, es decir, el sistema de base de datos
no era seguro, y por lo tanto, comprometa la seguridad de los datos.
52
Anexo 29
53
Anexo 30
54
Anexo 31
Se pudieron encontrar varias clases con cdigo, ofrecido por los mismos usuarios del
sistema, donde se puede comprobar que existen errores en el cdigo, uno de ellos la
captura de errores (excepciones) y podra ser explotada por un atacante externo o
interno.
55
Anexo 32
Formulario de la entrevista
Informacin de la entrevista
Compaa
LOGISA
Entrevistador:
Mara Campanera
Entrevistado:
Cargo
entrevistado:
Luis Snchez
Fecha:
12/11/2008
Hora:
10:02
Auditor:
Empleado:
Auditor:
Empleado:
Se entregan. Nosotros vemos por las fechas del etiquetado que no llega a tiempo.
Al final se entrega tarde, pero como un paquete normal.
Auditor:
Empleado:
Auditor:
Empleado:
Entrevistador
Entrevistado
56
Anexo 33
Formulario de la entrevista
Informacin de la entrevista
Compaa
LOGISA
Entrevistador:
Manuel Martn
Entrevistado:
Cargo
entrevistado:
Dolores Pantoso
Fecha:
12/11/2008
Hora:
16:30
Auditor:
Empleado:
En principio utilizamos SQL Server para las bases de datos de control interno de la
empresa y Mysql para las bases de datos correspondiente al servicio web.
Auditor:
Empleado:
Las bases de datos en SQL Server tienen informacin privada de los empleados,as
como los usuarios y contraseas de todo el sistema. Ademas de incluir informacin
sobre todos nuestro sistema de pedidos. Respecto a las bases de datos del servicio
web ,cuenta con una vista de los datos de los pedidos, informacin como el
seguimiento de paquetes y cosas de esa ndole.
Auditor:
Poseen algn tipo de cifrado en los datos que se manejan en la bases de datos. ?
Empleado:
57
Auditor:
Empleado:
Auditor:
Empleado:
Auditor:
Y reglas o mecanismos que bloqueen una ip tras una serie de accesos errneos ?
Empleado:
Entrevistador
Entrevistado
58
Anexo 34
59
Anexo 35
Esta primera imagen es una captura de pantalla obtenida del ordenador de un usuario del
departamento de contabilidad a fecha de 14 de octubre de 2008, donde el software de
contabilidad es EBP Contabilidad Bsica 2009.
60
61
Anexo 36
Formulario de la entrevista
Informacin de la entrevista
Compaa
LOGISA
Entrevistador:
Mara Campanera
Entrevistado:
Cargo
entrevistado:
Dolores Pantoso
Fecha:
12/11/2008
Hora:
10:02
Auditor:
Empleado:
Auditor:
Empleado:
Entrevistador
Entrevistado
62
Anexo 37
Formulario de la entrevista
Informacin de la entrevista
Compaa
LOGISA
Entrevistador:
Mara Campanera
Entrevistado:
Cargo
entrevistado:
Dolores Pantoso
Fecha:
12/11/2008
Hora:
10:02
Auditor:
Qu sistema tienen para comunicar a sus dems compaeros de que van a realizar
un cambio en alguna aplicacin o en algn sistema de la empresa?
Empleado:
Nosotros cuando consideramos que hay que realizar algn cambio, simplemente
vamos y lo realizamos. Por ejemplo, si cambiamos algo de una aplicacin, hacemos
las modificaciones y las instalamos en los equipos pertinentes.
Auditor:
Quiere decir que la persona que trabaja sobre esa aplicacin, no recibe ningn
comunicado del cambio hasta que llega en que la instalan?
Empleado:
Si, as es.
Entrevistador
Entrevistado
63