ndice

1. Carta al Director Pgina 3

2. Entidad auditada Pgina 4
3. Objetivo de la auditora Pgina 6
4. Alcance de la auditora Pgina 7
5. Informe de auditora Pgina 8
1. Roles de la empresa Pgina 8
2. Falta de polticas, procedimientos y metodologas Pgina 9
3. Falta de seguridad en acceso, registro, transmisin y posesin de los
datos y de la informacin Pgina 10
4. Documentacin Pgina 14
5. Bases de Datos Pgina 15

6. Anexos Pginas 17 a 63

Carta al Director
Estimado seor director
Tras la finalizacin de la auditoria de su empresa Logisa Paquetes nos dirigimos a usted
para comunicarle los principales problemas encontrados en el informe:
Existe una ausencia de estructuracin estratgica de la empresa, es decir, no existen
cargos en los cuales usted pueda delegar plenamente responsabilidades, con lo cual, el
desempeo de sus funciones se ve plenamente comprometido por caractersticas de otra
ndole ajenas a su actividad de direccin empresarial.
Como se ha podido constatar en el informe, existe ausencia de documentacin
formalizada, adems de carecer de un reporte de actividades as como de incidencias.
Se ha podido comprobar a lo largo de la auditoria que no existe una concienciacin del
personal as como de la propia empresa en lo referente a la seguridad de sus
comunicaciones, as como la informacin que manejada para el desempeo de sus
actividades .Esta situacin deriva en una gran deficiencia en lo relativo a la proteccin
y privacidad de sus datos y comunicaciones.
En lo referente a su sistema de gestin de base de datos existen datos almacenados que
pueden comprometer la integridad de los mismos, ya que pueden darse situaciones en el
cual se produzcan duplicidad y ruido. Adems como se puede comprobar en el informe,
poseen medidas deficientes en lo relativo a la seguridad y proteccin de los accesos y a
los datos almacenados en sus bases de datos.
Una vez presentados los principales problemas, se pretende conseguir una mejora en su
empresa en lo relativo a seguridad, proteccin y realizacin de objetivos. Una vez
solventadas esta serie de deficiencias, un mayor xito en las actividades realizadas.
Un cordial saludo.

Entidad Auditada
La entidad auditada es la empresa de mensajera rpida LOGISA. Se trata de una
empresa PYME, la cual tiene su radio de accin dentro de la regin de Castilla-La
Mancha, en la que realiza servicios de mensajera, dando cobertura de distribucin a
todos los lugares de la provincia.
La empresa tiene su sede principal en Toledo, teniendo cuatro subsedes
complementarias en las otras cuatros capitales de provincia. A travs de las sedes, se
distribuyen los servicios a todos los pueblos de la regin.
Debido a su carcter ntegramente regional, la empresa no suministra servicios fuera de
Castilla La Mancha.
La empresa tiene una pgina web, en la cual se puede llevar el seguimiento de los
paquetes desde la oficina de envo, hasta su lugar de destino.

Departamento de Contabilidad y RRHH

Toledo: 3 personas.

Departamento de informtica (10 personas)

Toledo: 2 personas.

Ciudad Real: 2 personas.

Cuenca: 2 personas.

Albacete: 2 personas.

Guadalajara: 2 personas.

Departamento de marketing (5 personas)

Toledo: 1 persona.

Ciudad Real: 1 persona.

Cuenca: 1 persona.

Albacete: 1 persona.

Guadalajara: 1 persona.

Departamento de logstica (50 personas)

Toledo: 10 personas.

Ciudad Real: 10 personas.

Cuenca: 10 personas.

Albacete: 10 personas.

Guadalajara: 10 personas.

Departamento de direccin (1 persona)

Toledo: 1 persona

Objetivo de la auditora
Se va a realizar una auditora de la empresa LOGISA para poder evaluar el
tratamiento que se sta realizando con sus datos, es decir, la seguridad de los datos, la
confidencialidad y la integridad de los mismos.
Al tener cinco sedes, la empresa que se va a auditar produce un continuo intercambio de
informacin entre las mismas. Adems, continuamente se producen envos de sus
clientes, por cual la empresa maneja sus datos. Por ltimo, la empresa tiene un histrico
de envos, as como los datos de todos sus empleados.
Por estos motivos se ha decidido auditar el tratamiento de los datos que realiza la
empresa y poder evaluar la eficiencia con que se manejan.

Alcance de la auditoria
Para poder cumplir con el objetivo de la auditoria se ha realizado el estudio de los
siguientes objetivos de control especificados en el COBIT:

PO1: Definir un plan estratgico de sistemas.

PO2: Definir la arquitectura de la informacin.

PO9: Evaluar riesgos.

AI6: Administrar cambios

DS1: Definir niveles de servicio

DS2: Administrar servicios de terceros

DS5: Garantizar la seguridad de sistemas

DS10: Administrar problemas e incidentes

DS11: Administrar la informacin

M1: Monitorear el proceso

M2: Evaluar lo adecuado del control interno

M3: Obtener aseguramiento independiente

INFORME DE AUDITORA
El informe de la auditoria, ha sido realizado sobre la empresa LOGISA, que va a
constar de los principales problemas que han sido encontrados en dicha empresa. A
modo de breve resumen, hemos englobado estos problemas en la falta de
procedimientos, metodologas y seguridad de los sistemas, la falta de personal adecuado
en los cargos de direccin de la empresa, as como la nefasta administracin y
manipulacin de los sistemas de informacin y de las bases de datos.

Roles de la Empresa
Tras la auditora realizada a los roles que tienen los diferentes miembros de la empresa,
hemos observado los siguientes fallos:

El primero de ellos, es que el cargo de director, realiza tareas que no son de su

competencia. No tiene limitadas sus funciones y se encarga de factores que
podra relegar a la persona de un subdirector as como a un jefe de las distintas
secciones (anexo 9).
Otro de os fallos ms evidentes, es que los departamentos, no cuentan con un
jefe o encargado principal. En todos los departamentos, todas las personas se
encuentran al mismo nivel. Esto conlleva un problema al cabo de tomar
cualquier decisin, no slo en tiempo, sino en cuanto a responsabilidad y a
seguridad (anexo 35).
Hemos observado una mala coordinacin entre el departamento de informtica y
los dems departamentos. El departamento de informtica realiza cambios en las
aplicaciones, sin previo aviso a los diferentes departamentos (anexo 36).
Hay una gran falta de personal para solventar todos estos problemas y una falta
de distribucin en las tareas asignadas a las diferentes personas de la empresa,
falta de roles de responsabilidad en los diferentes departamentos y en las
diferentes sedes (anexo 9 y anexo 35).

Falta de polticas, procedimientos y metodologas

Tras la realizacin de la auditora se ha podido concluir que existen una notable
carencia en ciertos aspectos relacionados de la poltica, procedimientos y metodologa
A continuacin se procede a una descripcin de los mismos:

No se dispone dentro del departamento de TI un sistema encargado de la

realizacin de las pruebas dentro del ciclo de vida, sino que son los mismos
desarrollados los que la realizan (Anexo 10).
No existen procedimientos peridicos para cambio de contraseas de los
usuarios en el sistema. Estas claves son facilitadas en la incorporacin del
usuario a la empresa y no son eliminadas tras su despido por el departamento de
SI cuando recibe la confirmacin pertinente (Anexo 8).
No se dispone de procedimientos ni polticas de control de cambios, ya que a
travs de entrevistas se ha podido comprobar que existen mquinas con distintas
versiones del mismo software, lo que puede propiciar a que versiones anteriores
sean susceptibles a algn tipo de vulnerabilidad que pueda ser explotada por un
atacante externo (Anexos 11 y 12).
No se dispone de poltica de encriptacin de datos a travs de la red local, ya que
los datos fluyen por la red en texto plano, es decir, el trfico se puede interceptar
fcilmente (Anexo 13).
No existen procedimientos detallados de la periodicidad de cuando realizar las
copias de seguridad del sistema, sino que se van realizando cuando el
responsable de TI lo ve oportuno, esto se ha podido comprobar tras la entrevista
con el responsable de TI (Anexo 14).
En el caso de las polticas y procedimientos de la funcin de servicios de
informacin relacionadas con el monitoreo y el reporte de los controles internos
y la frecuencia de revisiones, se ha recibido un escueto informe en el que
9

aparecen una serie de procedimientos para realizar controles internos sobre los
servicios de informacin relacionadas con el monitoreo disponibles en la
empresa. Se ha determinado que es bastante reducido y en l solo se especifican
las tareas que debe realizar el jefe del SI en periodos anuales. Tambin aparecen
reflejadas las fechas de los ltimos controles realizados, ante lo cual se ha
establecido que esta frecuencia debera ser mayor para un mejor control de este
aspecto y tambin se debera dar ms detalle de los resultados obtenidos (Anexo
18).

No existen Polticas y procedimientos que regulen la actuacin ante problemas e

incidentes. Tras una entrevista con el director, pudimos denotar que no existen
en la organizacin, polticas y procedimientos relacionados con la
administracin de problemas y la forma en que la empresa acta cuando un
incidente o problema en los datos se produce. As mismo no existe rigor a la
hora de elegir a las personas encargadas de resolver el problema ocurrido ni a los
culpables del mismo (Anexo 9).
No existen polticas respecto a la robustez de las claves ,es decir , no se tienen en
cuenta la longitud de las mismas as como los alfabetos utilizados para su
construccin. Como se puede observar en el Anexo 21, la claves observadas en
la mayora de las pantallas con etiquetado de este tipo, tenan un apariencia
similar a la de la imagen.

Falta de seguridad en acceso, registro, transmisin y posesin de

los datos y de la informacin
Tras la realizacin de la auditoria se ha podido concluir que existen numerosas
vulnerabilidades que pueden comprometer la seguridad del sistema en la empresa:

Acceso a wifi con WEP: El acceso a la red inalmbrica de la empresa no est

suficientemente protegida, ya que la clave de acceso posee encriptacin WEP ,
que es un cifrado dbil (Anexo 1). Esto puede permitir a un usuario
malintencionado externo a la empresa el descifrado de la clave mediante
herramientas especficas como por el ejemplo aircrack y comprometer la
10

integridad del sistema (Anexo 2).

USB y dispositivos pticos no bloqueados: Los USB y los dispositivos pticos

de los ordenadores de la empresa no estn bloqueados, lo que permitira que un
usuario malintencionado tomar documentos y datos de carcter confidencial para
la empresa, introducir virus o troyanos en el sistema (Anexo 3).
Escasa video vigilancia: Se ha podido comprobar que hay zonas restringidas y el
acceso a ellas no est controlado. Por ejemplo personal no autorizado,
perteneciente al departamento de RRHH entrando a la sala de servidores (Anexo
20).
Ataques SQL inyeccin se puede acceder a cierta informacin del sistema
pudiendo manipularla: La empresa posee un servicio web que ofrece la
posibilidad del seguimiento de paquetes pendientes, consulta de tarifas entre
otros. En la opcin de seguimiento de paquetes pendientes al rellenar el
formulario, existe una vulnerabilidad susceptible a un ataque por inyeccin de
cdigo SQL, que nos permite la consulta, modificacin y eliminacin de las
tablas (Anexo 28).
La sala de servidores no dispone de SAIs: La sala de servidores no dispone de
SAIs. Es decir no dispone de sistemas de alimentacin ininterrumpida, y en
caso de cortarse la corriente elctrica se perderan las ltimas operaciones
realizadas en el sistema, pudiendo comprometer la persistencia de los datos
(Anexo 4).
Acceso de la informacin solo con el DNI: En la aplicacin web se permite el
seguimiento del paquete nicamente introduciendo el dni del usuario, esto hace
que se atente contra la privacidad de este ya que cualquiera podra acceder a
dicha informacin (Anexo 5).
Los trabajadores pueden hacer duplicados de las etiquetas: El sistema permite
duplicar etiquetas, para los casos en los cuales las etiquetas estn defectuosas.
11

Esto puede producir errores ya que se pueden duplicar etiquetas por error o
intencionadamente y causar que varios paquetes tuvieran el mismo cdigo con
los correspondientes problemas logsticos del paquete (Anexo 19).

Privilegios de los usuarios (pueden hacer algo mas que consultas): Se ha

observado que no se han establecen privilegios en el sistema, con lo que usuarios
mal intencionados pueden comprometer los datos e integridad del sistema
(Anexo 15).
Se muestra una consulta de las tablas de empleados en la que hemos escogido un
usuario determinado. Se ha accedido al sistema con su usuario y contrasea
(Anexo 16).
Una vez que hemos accedido al sistema se ha procedido a eliminacin de un
pedido pendiente (Anexo 17).

El sistema de contraseas no se renueva cada x tiempo: No existe una poltica

clara de periodicidad de cambio de contrasea ni un control sobre la forma de
cambio de stas, ya que cada usuario puede cambiar su contrasea desde su
propio equipo en el momento que quiera (Anexo 8).
Las contraseas de los despedidos siguen activas un periodo de tiempo: Las
contraseas de los empleados siguen activas tras su despido, por lo que cualquier
desempleado malintencionado puede acceder al sistema con su antigua
contrasea (Anexo 8).
El usuario puede instalar programas sin permiso del administrador: No existe
una poltica clara sobre administracin de cada una de las mquinas de la
empresa con lo que cualquier usuario que acceda a esa mquina puede instalar
cualquier software, con lo que puede introducir virus y puede comprometer la
integridad del sistema. Como ejemplo en una maquina instalando una aplicacin
exterior al sistema (Anexo 6).
Acceso a Internet sin Proxy para el filtrado de pginas: El acceso a Internet se
realiza sin ningn tipo de proxy y no tiene ningn tipo de filtrado de pginas.
12

Por este motivo los empleados pueden navegar libremente con el consiguiente
riesgo de descargar virus que pueden comprometer la integridad del sistema y de
los datos de la empresa (Anexo 7).

Falta de proteccin de las contraseas de los usuarios del sistema: Falta de

profesionalidad de los empleados a la hora del almacenamiento de las claves, ya
que las tienen en lugares donde se pueden observar. En el siguiente anexo se
puede comprobar como existen etiquetas en la misma pantalla del usuario donde
ste recuerda su propia contrasea, crendose una vulnerabilidad de seguridad.
(Anexo21)
No se da informacin aadida en la entrega de paquetes tras una demora: Se ha
podido comprobar, viendo los informes de quejas realizadas a travs de la pgina
web, que existen numerosas quejas realizadas por no existir ningn tipo de
documentacin junto con el paquete que explique las causas de la demora en la
entrega. Al mismo tiempo, no existen campos en el etiquetaje del paquete que
puedan explicar estas causas.
Falta de informacin a los partes de incidencias: Ante un error en el servicio
ofrecido, no se indican las demoras en partes de incidencia. Solamente se indica
la fecha en la que se ha entregado (Anexo 32).
Falta de cursos de formacin: Se pudo comprobar mediante observacin de
cdigo que la metodologa de programacin no era la ms correcta, destacando
la falta de captura de excepciones y los errores sintcticos del lenguaje de
programacin.
Mal uso del sistema por parte de los usuarios. Instalndose programas de
mensajera instantnea o software sin relacin con los cometidos de la empresa
(Anexo 29).

13

Documentacin
En la documentacin que nos ha facilitado la empresa, a travs de documentos, y
mediante la informacin recopilada por medio de nuestra investigacin exhaustiva,
hemos obtenidos las siguientes consideraciones :

El plan de accin de la empresa, es bastante antiguo y es importante realizar una

actualizacin del mismo y de los documentos que este conlleva (Anexo 22).
Hemos comprobado, que aunque el plan de accin es bastante antiguo, no es as
con la tecnologa que la empresa posee.
Hemos realizado entrevistas con el personal de la empresa, el cual nos ha
comentado que se hizo un proyecto de mejora de instalaciones hace unos aos.
Dicho informe no nos ha sido facilitado, dicindonos que esta perdido y que no
es recuperable (Anexo 20, Anexo 19 y Anexo 4).

A travs de las entrevistas en las diferentes sedes, nos han comunicado que no se
lleva a cabo ningn registro de los problemas diarios que surgen en la empresa.
Se nos ha comunicado que se intentan resolver de forma inmediata a travs de la
persona mas conveniente en cada momento.
No se ha facilitado ningn tipo de documento relacionado con la direccin de la
empresa (Anexo 23).
El informe de las instalaciones que recibe la empresa es bastante pobre e
inexacto. Se puede ver que es bastante antiguo y que no tiene relacin con el
equipamiento actual. Ademas, slo nos ha sido ofrecido de la sede de Toledo,
dicindonos que las dems sedes no tienen informe (Anexo 24 y Anexo 25).
No se nos ha facilitado ningn tipo de documento referido a los problemas o
incidentes que ha tenido la empresa en los ltimos aos (Anexo 26).

14

Bases de Datos
Segn las investigaciones, se han podido encontrar las siguientes vulnerabilidades en
relacin con la base de datos utilizada por el sistema.

Existen campos redundantes .Esto propicia la generacin de ruido en las tablas

ya que existen campos comunes, y unos se actualizan y otros no (Anexo 27 ).
Existen una complicacin a la hora de crear campos de identificacin para los
paquetes, ya que el identificador nico esta formado por dos identificadores,
permitiendo que varios paquetes puedan llevar el mismo identificador de pedido.
Tras realizar una consulta mediante el identificador de pedido, no se obtiene un
paquete, si no varios que contienen el mismo identificador (Anexo 30).
Existen falta de informacin en forma de tablas, principalmente relacionado con
la captura de informacin sobre incidencias sufridas por un paquete y el cliente
afectado (Anexo 33).
No existen cursos de formacin o manuales de uso de las herramientas de
manipulacin y creacin de bases de datos dentro de los departamentos de TI.
Por consiguiente, surgen problemas a causa de el mal uso de estas herramientas
por parte de sus usuarios (Anexo 33).
Tras un anlisis de las bases de datos se ha podido concluir que existen datos de
carcter privado que son almacenados en la base de datos sin ningn tipo de
cifrado y por lo tanto son accesibles sin ningn tipo de restricciones de
privilegios por parte de todos los miembros del personal con cuenta de usuario
en el sistema de base datos (Anexo 34).
Se carece de mecanismos histricos en el control de acceso a la base de datos,
con lo que no quedan reportadas las actividades de los usuarios en la mismo
(Anexo 33).

15

No se han establecido medidas en el numero mximo accesos de identificacin

errneos por usuario, as como una bloqueo temporal de la direccin de la
mquina que esta intentando acceder de forma incorrecta. (Anexo 33).

16

Anexo 1
Configuracin del router de la empresa.

17

Anexo 2
Descifrado de clave mediante aircrack.

18

Anexo 3
Copia de archivos de la empresa a un pendrive.

19

Anexo 4
Servidores sin SAIs

20

Anexo 5

21

Anexo 6

22

Anexo 7

No existe un mecanismo que filtre las direcciones web a las que se tienen acceso , y esto
puede comprometer la integridad y seguridad de los datos del sistema ya que puede
accederse a paginas que contengan cdigo malicioso y ser ejecutado por parte del
interprete del navegador web.

23

Anexo 8
Formulario de la entrevista
Informacin de la entrevista
Compaa

LOGISA

Entrevistador:

Manuel Martn

Entrevistado:
Cargo
entrevistado:

Dolores Pantoso

Fecha:

10/11/2008

Hora:

10:32

Miembro del departamento de TI de la empresa

Preguntas del entrevistador

Auditor:

Con qu frecuencia se modifican las contraseas?

Empleado:

Principalmente, cada 2 aos, para nuestros trabajadores resulta un poco pesado

modificar las contraseas cada menos tiempo. No se acostumbran. Adems, aqu
nos conocemos todos, no hay
ningn problema.

Auditor:

Y cmo se pueden modificar las contraseas?

Empleado:

Cada usuario, desde su ordenador.

Auditor:

No es necesaria la intervencin de un administrador para la configuracin de

todas las contraseas?

Empleado:

Realmente no, cada usuario lo modifica, eso si, obligamos a que se cambien cada
dos aos. Si quiere cada uno la puede cambiar, pero realmente no lo hacen, porque
saben que dentro de un tiempo la tendrn que cambiar obligados.

Auditor:

Y en caso de despido, se hace alguna modificacin para poder acceder a las

computadoras?

24

Empleado:

Si est despedido, aqu no va a entrar. La contrasea no tiene por donde meterla,

as que...

Auditor:

Entonces, no se cambian?

Empleado:

No, no se cambian.

Auditor:

Y como se puede acceder a la red de la empresa?

Empleado:

Bueno, al principio tenamos slo 3 ordenadores conectados por un switch, luego

al ponernos Internet de banda ancha, lo acoplamos a un router, del que tambin se
puede acceder a travs de wifi.

Auditor:

Y el acceso al router a travs del wifi cmo se realiza?

Empleado:

Bueno, tenemos una contrasea.

Auditor:

Y qu tipo de encriptacin tiene?

Empleado:

Uhm, espreme un segundo por favor, viene apuntada en una pegatina debajo del
router.
Es una encriptacin WEP. Bueno, el router ya vena con la configuracin hecha,
as que como slo lo vamos a usar nosotros...

Auditor:

No se han realizado modificaciones de configuracin del router?

Empleado:

Como cuales?

Auditor:

Filtrado MAC, cambio de contrasea, cambio de encriptacin, ocultamiento del

SSID...

Empleado:

Pues el tcnico que vino para la instalacin del router no me dijo nada al respecto,
no sabra que decirle, yo esos parmetros ahora mismo no s como podra
configurarlos.

Entrevistador

Entrevistado

25

Anexo 9
Formulario de la entrevista
Informacin de la entrevista
Compaa

LOGISA

Entrevistador:

Manuel Martn

Entrevistado:
Cargo
entrevistado:

Rodolfo Dominguez

Fecha:

11/11/2008

Hora:

10:27

Director de la empresa con sede en Toledo

Preguntas del entrevistador

Auditor:

Generalmente, cmo reacciona ante los problemas que surgen en la empresa?

Empleado:

Bueno, siempre tengo que hacer todo lo que tengo en mi mano. En una pequea
empresa todos tenemos que poner un poco ms de cada uno. Muchas veces es
necesario.

Auditor:

Entonces, debe de estar bastante pendiente de los problemas de las distintas sedes?

Empleado:

Claro. Ahora por ejemplo tengo que comprar unos equipos con Manuel.

Auditor:

Que ha ocurrido?

Empleado:

Se estrope un equipo. Eran ya un poco antiguo, as que vamos a comprar varios

para evitar ms problemas de ese tipo. Ahora mismo, no nos podemos quedar
parados.

Entrevistador

Entrevistado

26

Anexo 10
Formulario de la entrevista

Informacin de la entrevista
Compaa

LOGISA

Entrevistador:

Manuel Martn

Entrevistado:
Cargo
entrevistado:

Gerardo Bladillo

Fecha:

11/11/2008

Hora:

11:45

Miembro del departamento de TI

Preguntas del entrevistador

Auditor:

Como se aseguran del correcto funcionamiento del sistema?

Empleado:

Bueno, disponemos de varias herramientas que nos facilitan la tarea, realmente no

es muy complicado gracias a ellas.

Auditor:

Y como funcionan?

Empleado:

Podemos hacer una distincin general, unas son en base al desarrollo, y otras son
de pruebas.

Auditor:

Pruebas de testeo del sistema?

Empleado:

Si, en efecto.

Auditor:

Y como son realizadas esas pruebas?

27

Empleado:

Bueno, en cuanto tenemos una o varias partes del sistema desarrollado, nosotros
mismos tomamos las pruebas del funcionamiento. Es algo muy tpico para saber si
lo que hemos hecho est bien o mal.

Entrevistador

Entrevistado

28

Anexo 11
Formulario de la entrevista

Informacin de la entrevista
Compaa

LOGISA

Entrevistador:

Mara Campanera

Entrevistado:
Cargo
entrevistado:

Carmelo Lemn

Fecha:

12/11/2008

Hora:

9:13

Miembro del departamento de TI

Preguntas del entrevistador

Auditor:

Cuales son las distintas herramientas de las que dispones?

Empleado:

Bueno, necesito varios programillas, desde editores de texto como el office 2003 a
un buen editor de programacin, utilizo el netbeans 5.1. Luego tenemos varias
herramientas para diseo de bases de datos, y tambin utilizamos algo de pruebas.

Auditor:

Y suelen dar algn problema?

Empleado:

S, algunas veces nos vemos con problemas, perdemos algo de tiempo, pero al final
se suelen solucionar.

Auditor:

Y esos problemas de donde crees que suelen venir?

Empleado:

Muchas veces nos hacemos lo entre nosotros. Nos falta un poco de coordinacin

Entrevistador

Entrevistado

29

Anexo 12
Formulario de la entrevista

Informacin de la entrevista
Compaa

LOGISA

Entrevistador:

Mara Campanera

Entrevistado:
Cargo
entrevistado:

Mariano Memolas

Fecha:

12/11/2008

Hora:

9:40

Miembro del departamento de TI

Preguntas del entrevistador

Auditor:

Cuales son las distintas herramientas de las que dispones?

Empleado:

Programas de gestin de datos, el OpenOffice para documentacin, netbeans 6.0

para programar...

Auditor:

Y suelen dar algn problema?

Empleado:

S claro, como todos

Auditor:

Y esos problemas de donde crees que suelen venir?

Empleado:

Bueno, digamos que no todos vamos al mismo ritmo, aqu a veces cada uno va a su
bola, pero cuando llega el fin de mes, nos ponemos de acuerdo a la fuerza.

Entrevistador

Entrevistado

30

Anexo 13

31

32

33

34

Como se puede comprobar en la captura de paquetes realizadas hemos podido obtener

los usuarios y sus contraseas correspondientes a miembros de la empresa mediante un
envenenamiento ARP, suplantando la identidad del servidor y interceptando sus
comunicaciones . A continuacin se muestra las tablas de los miembros cuya
informacin ha sido interceptada.

35

Anexo 14
Formulario de la entrevista
Informacin de la entrevista
Compaa

LOGISA

Entrevistador:

Mara Campanera

Entrevistado:
Cargo
entrevistado:

Dolores Pantoso

Fecha:

12/11/2008

Hora:

10:02

Miembro del departamento de TI

Preguntas del entrevistador

Auditor:

Con qu frecuencia se realizan copias de seguridad del sistema?

Empleado:

Normalmente, cuando se han realizado ha sido por que ha habido o va a haber un

cambio importante, y claro, si durante la migracin de los datos tenemos problemas
y se pierden datos, puede ser algo muy malo.

Auditor:

Y de sobre qu se hacen las copias de seguridad?

Empleado:

Sobre las bases de datos.

Entrevistador

Entrevistado

36

Anexo 15

37

Anexo 16

38

Anexo 17

39

Anexo 18
Resumen de la documentacin realizada por Diego Londrino
Ao 2008

Ao 2007

La red da la suficiente cobertura para la necesidad de trfico dentro de la empresa,

siendo posibles las tareas desempeadas sin que haya problemas de bloqueo por
40

saturacin de la red.
Anualmente se puede comprobar un pequeo aumento del trafico con respecto a los aos
anteriores.
La cobertura de la red se estima que puede dar cabida por un tiempo de alrededor de 5
aos ms sin poder presentar posibles problemas.

41

Anexo 19

42

Anexo 20
Pudimos acceder a la sala de servidores, donde no existe ni sealizacin ni vigilancia
para el acceso restringido. Procedimos a hacer una imagen del rack para tener una
prueba de que en esta sala se puede acceder sin ninguna limitacin.

43

Anexo 21

44

Anexo 22
El plan de accin que nos ha suministrado el administrador principal nos describe los siguientes hitos:
PROYECTO: Expansin de la empresa en Ciudad Real(1997)
CALENDARIO ESTABLECIDO:
- Adquisicin de un local en la Plaza de Espaa N 22 a fecha del 20 de Agosto del 1997.
- Acondicionamiento del local para establecer una nueva sede. Se establece una duracin de dos meses
y medio a partir del da de la adquisicin del local. El acondicionamiento se debe concluir el da 5 de
Diciembre del 1997
- El proceso de seleccin para la contratacin del personal para la tienda se realizar desde el da 8 de
Octubre. Como mximo para el da 18 Octubre se debe de tener contratado todo el personal necesario.
- Se establece un periodo de una semana para la formacin de personal en aquellos puestos que as lo
requiera a partir del da 18 de Octubre.
- Apertura del nuevo establecimiento: Da 7 Diciembre del 1997.
MANTENIMIENTO DE LA NUEVA SEDE
Se tiene previsto que el personal contratado para el almacn de la nueva sede sea tambin quien se
encargue del mantenimiento de la misma a nivel estructural. El mantenimiento de los datos y
tecnologas de informacin se llevar a cabo desde la sede principal.
PROYECTO: Creacin de una pgina Web

45

Anexo 23
Formulario de la entrevista
Informacin de la entrevista
Compaa

LOGISA

Entrevistador:

Mara Campanera

Entrevistado:
Cargo
entrevistado:

Rodolfo Rodriguez

Fecha:

09/11/08

Hora:

13:15:00

Director de empresa

Preguntas del entrevistador

Auditor:

Existe algn tipo de documento relacionado con las actividades de la direccin de

la empresa?

Rodolfo:

No tenemos ningn tipo de documento, ya que al ser solo yo el nico miembro

directivo, no necesito llevar por escrito las opciones que voy tomando cada da.

Entrevistador

Entrevistado

46

Anexo 24
Informe de las instalaciones que tiene la empresa:
Sede de Toledo:

Un toro mecnico

2 mesas de oficina

10 estanteras

2 sillas de oficina

47

Anexo 25
Formulario de la entrevista
Informacin de la entrevista
Compaa

LOGISA

Entrevistador:

Mara Campanera

Entrevistado:
Cargo
entrevistado:

Rodolfo Rodriguez

Fecha:

09/11/08

Hora:

13:15:00

Director de empresa

Preguntas del entrevistador

Auditor:

Existe algn tipo de documento relacionado con el material de la empresa?

Rodolfo:

Creo que tengo algo por aqu, un segundo. Si, aqu esta, solo tengo una vaga
descripcin de la oficina en la que nos encontramos, no tengo nada mas de las
dems sedes.

Auditor:

Veo que en esta descripcin no pone nada del material informtico que tiene la
empresa.

Entrevistador

Entrevistado

48

Anexo 26
Formulario de la entrevista

Informacin de la entrevista
Compaa

LOGISA

Entrevistador:

Mara Campanera

Entrevistado:
Cargo
entrevistado:

Rodolfo Rodriguez

Fecha:

09/11/08

Hora:

13:15:00

Director de empresa

Preguntas del entrevistador

Auditor:

Existe algn tipo de documento relacionado con los problemas o incidentes que
haya tenido la empresa?

Rodolfo:

No, en la empresa si tenemos algn problema, lo intentamos solucionar hablando

sin tener que documentar nada.

Entrevistador

Entrevistado

49

Anexo 27

En las tablas creadas se puede comprobar que existen datos que son redundantes y que
pueden inducir a errores. A continuacin se va mostrar el contenido de un pedido
elegido en el cual en las diferentes tablas de pedidos, pedidos_pendientes y
pedidos_finalizados poseen valores diferentes.
Tabla de pedidos

50

Tabla de pedidos_pendientes

Tabla de pedidos_finalizados

51

Anexo 28
Mediante un pequeo programa, hemos sido capaces de descubrir ciertas
vulnerabilidades que permiten, mediante ataques de inyeccin sql, comprobar la
privacidad de los datos. La prueba nos dio positiva, es decir, el sistema de base de datos
no era seguro, y por lo tanto, comprometa la seguridad de los datos.

52

Anexo 29

53

Anexo 30

54

Anexo 31
Se pudieron encontrar varias clases con cdigo, ofrecido por los mismos usuarios del
sistema, donde se puede comprobar que existen errores en el cdigo, uno de ellos la
captura de errores (excepciones) y podra ser explotada por un atacante externo o
interno.

55

Anexo 32
Formulario de la entrevista

Informacin de la entrevista
Compaa

LOGISA

Entrevistador:

Mara Campanera

Entrevistado:
Cargo
entrevistado:

Luis Snchez

Fecha:

12/11/2008

Hora:

10:02

Miembro del departamento de TI

Preguntas del entrevistador

Auditor:

Cuantos das puede llegar a tardar como mucho un paquete?

Empleado:

Unos 3 das como mucho

Auditor:

Y que hacen con esos paquetes?

Empleado:

Se entregan. Nosotros vemos por las fechas del etiquetado que no llega a tiempo.
Al final se entrega tarde, pero como un paquete normal.

Auditor:

Y se refleja la demora en el etiquetado?

Empleado:

Se refleja la fecha en que se debera haber entregado.

Auditor:

Y estas demoras se reflejan en algn parte de incidencia?

Empleado:

Simplemente sealo que se ha entregado. Pero en un parte de incidencia

Entrevistador

Entrevistado

56

Anexo 33
Formulario de la entrevista

Informacin de la entrevista
Compaa

LOGISA

Entrevistador:

Manuel Martn

Entrevistado:
Cargo
entrevistado:

Dolores Pantoso

Fecha:

12/11/2008

Hora:

16:30

Miembro del departamento de TI de la empresa

Preguntas del entrevistador

Auditor:

Me puede comentar cual es su SGBD que utilizan?

Empleado:

En principio utilizamos SQL Server para las bases de datos de control interno de la
empresa y Mysql para las bases de datos correspondiente al servicio web.

Auditor:

Que tipo de informacin maneja cada una de ellas ?

Empleado:

Las bases de datos en SQL Server tienen informacin privada de los empleados,as
como los usuarios y contraseas de todo el sistema. Ademas de incluir informacin
sobre todos nuestro sistema de pedidos. Respecto a las bases de datos del servicio
web ,cuenta con una vista de los datos de los pedidos, informacin como el
seguimiento de paquetes y cosas de esa ndole.

Auditor:

Poseen algn tipo de cifrado en los datos que se manejan en la bases de datos. ?

Empleado:

No, en principio no contamos con medidas para cifrado de informacin de carcter

privado en nuestro sistema.

57

Auditor:

Disponen de algn tipo de medida de control para de acceso ?

Empleado:

Si por supuesto, todo usuario se identifica en el sistema con su login y password.

Auditor:

Estos accesos son almacenados en un histrico o log ?

Empleado:

El sistema por defecto no lo tiene activado , supongo que no lo tendremos.

Auditor:

Y reglas o mecanismos que bloqueen una ip tras una serie de accesos errneos ?

Empleado:

Ya le he comentado que si el sistema lo tiene por defecto si lo tendremos , en caso

contrario he de suponer que no .

Entrevistador

Entrevistado

58

Anexo 34

59

Anexo 35
Esta primera imagen es una captura de pantalla obtenida del ordenador de un usuario del
departamento de contabilidad a fecha de 14 de octubre de 2008, donde el software de
contabilidad es EBP Contabilidad Bsica 2009.

60

En la siguiente imagen se puede comprobar como, en el ordenador del mismo usuario a

da de 16 de octubre de 2008, el software ha cambiado. No se realiz aviso previo del
cambio. Los datos guardados seguan siendo utilizables con el nuevo software, pero el
nuevo es totalmente distinto. Se puede observar como este nuevo software es el
"Contabilidad y Libros de IVA Multiempresa en la siguiente imagen de una captura de
pantalla.

61

Anexo 36
Formulario de la entrevista
Informacin de la entrevista
Compaa

LOGISA

Entrevistador:

Mara Campanera

Entrevistado:
Cargo
entrevistado:

Dolores Pantoso

Fecha:

12/11/2008

Hora:

10:02

Miembro del departamento de TI

Preguntas del entrevistador

Auditor:

Existe algn jefe en su seccin-departamento?

Empleado:

No, aqu todos tomamos las decisiones por consenso

Auditor:

Y sobre quien cae la responsabilidad en caso de que el departamento cometa un

error?

Empleado:

Pues como le he dicho anteriormente, la responsabilidad cae sobre todos los

miembros del departamento.

Entrevistador

Entrevistado

62

Anexo 37
Formulario de la entrevista
Informacin de la entrevista
Compaa

LOGISA

Entrevistador:

Mara Campanera

Entrevistado:
Cargo
entrevistado:

Dolores Pantoso

Fecha:

12/11/2008

Hora:

10:02

Miembro del departamento de TI

Preguntas del entrevistador

Auditor:

Qu sistema tienen para comunicar a sus dems compaeros de que van a realizar
un cambio en alguna aplicacin o en algn sistema de la empresa?

Empleado:

Nosotros cuando consideramos que hay que realizar algn cambio, simplemente
vamos y lo realizamos. Por ejemplo, si cambiamos algo de una aplicacin, hacemos
las modificaciones y las instalamos en los equipos pertinentes.

Auditor:

Quiere decir que la persona que trabaja sobre esa aplicacin, no recibe ningn
comunicado del cambio hasta que llega en que la instalan?

Empleado:

Si, as es.

Entrevistador

Entrevistado

63