Auditoria empresa “Ardis-Suertware”
INDICE 1. Carta al director de la empresa 2. Informe de la Auditoria realizada
3
2.1.
Administrar los recursos humanos
2.2.
Garantizar la seguridad de sistemas
2.3.
Asegurar continuidad de servicio
2.4
Administrar la información
2.5.
Administrar la operación
Papeles de Trabajo 3.1. Anexo 1.1 3.2. Anexo 1.2 3.3. Anexo 1.3 3.4. Anexo 1.4 3.5. Anexo 1.5 3.6. Anexo 1.6 3.7. Anexo 2.1 3.8. Anexo 2.2 3.9. Anexo 2.3 3.10. Anexo 2.4 3.11. Anexo 2.5 3.12. Anexo 2.6 3.13. Anexo 2.7 3.14. Anexo 2.8 3.15. Anexo 2.9 3.16. Anexo 2.10 3.17. Anexo 2.11 3.18. Anexo 3.1 3.19. Anexo 3.2 3.20. Anexo 3.3 3.21. Anexo 3.4 3.22. Anexo 4.1 3.23. Anexo 4.2 3.24. Anexo 4.3 3.25. Anexo 5.1 3.26. Anexo 5.2 3.27. Anexo 5.3 3.28. Anexo 5.4
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
1.
Carta al director de la empresa Estimado Señor Director de Ardis-Suertware: Al realizar la auditoria de su empresa hemos detectado una serie de fallos que afectan al buen funcionamiento de la empresa y ponen en riesgo su futuro como negocio solvente y rentable. En primer lugar, En materia de gestión de recursos humanos, la empresa presenta problemas de personal desmotivado debido a la contratación de personas con alta cualificación pero se le asignan tareas repetitivas y monótonas, además estas personas son avisadas de que no van a continuar en la empresa una vez acabe su beca, por lo que se ven gravemente desmotivados. Esto junto con una escasa veracidad a la hora de hacer las evaluaciones de desempeño, hace que la plantilla no este a gusto en su empresa. El personal tampoco recibe una formación exhaustiva, por lo que tienen que formarse fuera del horario laboral, lo que provoca mas estrés. Respecto a la seguridad de los sistemas, hemos encontrado graves inconsistencias, sobre todo en la gestión de contraseñas. Hay empleados con contraseñas muy predecibles y una vez establecida no se puede cambiar. También hay problemas con el acceso a partes indebidas del sistema por usuarios a los que no debería estar permitido. Además, a la hora de acceder al sistema, en el campo de contraseña no aparece codificado, por lo que se puede leer la contraseña perfectamente. También se ha encontrado fallos en el antivirus. También hemos encontrados fallos muy graves en la continuidad del servicio que se ofrece, puesto que no hay un plan de emergencia establecido cuando halla un fallo en el suministro eléctrico o fallo en los sistemas. Tampoco hay un plan a seguir en la rotura de cualquier periférico y no se dispone de los repuestos necesarios en caso de se produzca esta rotura. En la pagina Web corporativa hemos encontrado algunos fallos e incluso en algunos casos de sobrepasa la legalidad. Los usuarios no saben que sus datos son cedidos a otras empresas que los utilizan para su beneficio y que además no es posible la cancelación de esos datos, rompiendo con la Ley Orgánica de Protección de Datos de carácter personal. Para finalizar, en el sistema de acceso al edificio también hemos encontrado unos problemas de seguridad, debido a que hay trabajadores que tienen tarjetas que dan acceso a salas protegidas a las que no tiene permiso. Además en la sala principal, donde están los servidores junto con toda la información, no hay ni cámaras ni un guarda jurado que vigile la sala, por lo que está expuesta a posibles robos o incidencias. A partir de estos problemas, vamos a trabajar para obtener las mejores medidas y que su empresa tenga la transparencia y la fiabilidad que se necesita para que sea eficiente, eficaz y segura. Sin más, reciba un cordial saludo.
Auditoria y Seguridad de la Información - Curso 2008/09
2.
Informe de la Auditoria realizada
La auditoria que ha sido realizada a la empresa Ardis_Suertware se centra en los siguientes procesos del Cobit: • • • • •
PO7 Administrar los recursos humanos. DS5 Garantizar la seguridad de sistemas. DS4 Asegurar continuidad de servicio. DS12 Administrar la información. DS13 Administrar la operación.
2.1.
Administrar los recursos humanos
Para la realización de la auditoria en materia de recursos humanos ha sido necesaria, entre otras cosas, la realización de entrevistas al responsable de Recursos Humanos y a un empleado de la empresa escogido de forma aleatoria. Como norma general, la empresa prefiere contratar a personal con experiencia frente a personal con la carrera recién terminada, siendo la gran mayoría de las ofertas de empleo, que ofrecen y publican, exclusivamente para personal con experiencia. No obstante y en épocas de más trabajo, la empresa ofrece y publica ofertas de puestos para personal sin experiencia. (Anexo 1.2). Las personas que entran en la empresa de esta forma, se les hará contratos de 6 meses en la que será difícil la renovación y paso a plantilla ya que son contratados para realizar tareas de documentación y labores de poca responsabilidad. (Anexo 1.1). Referente a la selección de personal con experiencia, no existe realización de examen técnico para demostrar los conocimientos que detallan en sus currículos, sino que se selecciona en base a la información indicada en estos y a la entrevista que mantienen con ellos. Además de la no realización del examen técnico, la empresa no solicita al aspirante la entrega de documentación como copia de título de estudios poseídos y cursos realizados. Esto genera un problema ya que en algunas ocasiones, según nos contó el responsable de recursos humanos en la entrevista realizada, han sido contratadas personas con un determinado perfil, que finalmente no lo cumplían ya que habían incluido en sus curriculums información de conocimientos que no tenían. (Anexo 1.3). En cuanto a la evaluación del desempeño de los empleados, no existe baremo alguno para realizar las valoraciones. Más bien se realiza de forma bastante subjetiva dependiendo de la opinión que tenga el inmediato superior del trabajador. Esto provoca que muchos empleados no puedan acceder a puestos superiores. (Anexo 1.4) En referencia a la formación que ofrece la empresa a los empleados, se ha detectado que esta no es suficiente, ya que se basa en la facilitación de tutoriales para consulta de dudas.
Auditoria empresa “Ardis-Suertware”
Esto provoca que el personal no tenga los suficientes conocimientos para el correcto desempeño de su puesto de trabajo, ya que se forman minimamente a través de los tutoriales en cuestiones teóricas. Sería necesario la realización de cursos específicos para cada puesto y sobretodo que fueran cursos prácticos. (Anexo 1.5) (Anexo 1.6)
2.2.
Garantizar la seguridad de sistemas
El Departamento de Sistemas es el responsable de la seguridad en la empresa. Entre otras cosas ha sido necesario entrevistarnos con el para llevar a cabo la auditoria. También fue necesaria la entrevista a uno de los empleados escogido de forma aleatoria. Han sido detectados importantes problemas relativos a la administración de los usuarios y contraseñas para acceso al sistema. La mayoría de los empleados utilizan como contraseña la misma que ponen como nombre de usuario (Anexo 2.1). Además no existe la posibilidad de que el sistema ofrezca el cambio de contraseña de forma periódica, solo puede cambiarse cuando el usuario lo solicita. Se recomendaría fuertemente que el sistema cada 3 meses obligara a realizar cambios de nombre de usuario y contraseña (Anexo 2.2). Además el sistema debería evitar la autenticación con un nombre de usuario y contraseña idénticos. El responsable de Seguridad nos indicó en la entrevista mantenida que al finalizar el contrato de un empleado, el nombre de usuario y la contraseña son eliminados del sistema. Se comprobó que en el sistema aún constaban nombres de usuarios y contraseñas de antiguos trabajadores, cuyas cuentas estaban aún operativas y se podía acceder perfectamente, por lo que demuestra que a pesar de lo que indicó el responsable en cuanto a la eliminación de datos, esto es realizado de forma muy poco rigurosa. (Anexo 2.3) Otro problema grave del acceso al sistema es que la contraseña es visible cuando se introduce, no se esconde tras un carácter *, como sería lo más aconsejable. (Anexo 2.4) El sistema además no controla el número de intentos fallidos de acceso al sistema, siendo este ilimitado y como consecuencia siendo relativamente sencillo poder acceder a la cuenta de otro empleado sin su consentimiento. Se debería poder controlar esto y limitando el número de accesos fallidos a un número razonablemente bajo, por ejemplo 3. (Anexo 2.5) El acceso concurrente con el mismo usuario y contraseña no tiene tampoco limitacióin alguna, siendo posible el acceso ilimitado de forma simultánea a la cuenta de un empleado. También sería necesaria la limitación a un número razonablemente bajo de posibles accesos concurrentes a una misma cuenta, por ejemplo 3. (Anexo 2.6) Otra anomalía observada es que no existe bloqueo automático de cuenta tras un periodo de inactividad, por ejemplo si a un empleado se le olvida cerrar su sesión al ir a una reunión o atender el teléfono, cualquiera podría acceder a su equipo. Se recomienda pues introducir la posibilidad de bloqueo de sistema tras algunos minutos de inactividad, siendo estos minutos un número que tampoco sea tan pequeño que entorpezca al trabajador. Podrían ser 5 minutos. (Anexo 2.7)
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
Respecto a la formación en materia de seguridad a los empleados, la empresa no los forma adecuadamente no inculcandoles el conocimiento y conciencia necesarios para que se tomen la seguridad como un tema serio. Se pudo comprobar lo anterior de forma obvia ya que se encontró en la papelera de un trabajador unos papeles sin destruir en los que podía verse escrito su nombre de usuario y contraseña. Sería necesario pasar por la destructora de papeles este tipo de documentación antes de tirarlos a la papelera. Además ha sido relativamente frecuente ver post-it pegados al monitor de los equipos con los datos de usuario y contraseña. (Anexo 2.8) Otro aspecto grave es que se han detectado algunos casos en los que los usuarios tienen instalados en sus ordenadores programas P2P, sometiendo a sus equipos a una gran exposición a virus o software malintencionado. Además el acceso a internet es totalmente libre, es decir, no existe ningún proxy que bloquee páginas que supongan un riesgo, por lo que los empleados pueden acceder a las páginas web que les apetezca. (Anexo 2.9) En cuanto a la instalación de antivirus, pudo comprobarse que no existe acuerdo por parte del responsable de Seguridad de cual utilizar, los empleados instalan y desistalan el que quieren en cada momento. Además ante la presencia de un virus, los empleados lo resuelven ellos mismos, llegando a realizar incluso formateos de equipo. Se recomienda encarecidamente que sea responsabilidad única del responsable de Seguridad, la instalación de un antivirus que sea común a todos los equipos de la empresa, siendo gestionado por el las acciones a realizar en caso de presencia de virus o mal funcionamiento del antivirus. (Anexo 2.10) Se ha encontrado bastantes programas piratas instalados en los equipos de los empleados, así como cds de software pirata encima y en los cajones de los escritorios de los empleados. (Anexo 2.11)
2.3.
Asegurar continuidad de servicio
Para la realización de la auditoria de este proceso ha sido necesaria la realización de una serie de entrevistas al director de la empresa. Según nos contó, no existe ningún documento de plan de continuidad de servicio por escrito, se va improvisando o se basan en alguna experiencia anterior, lo que podría ocasionar grandes problemas en situación de emergencia y en imprevistos, pues los empleados saben como actuar ante algunas emergencias, pero podría darse el caso de situación de emergencia especial en la que no se sabría como actuar para hacer frente al problema. (Anexo 3.1) Algunos problemas detectados referentes a la continuidad del servicio en caso de improvisto son los siguientes. En caso de rotura de disco duro de un equipo, se perderían los datos realizados durante el día ya que es solo durante la noche cuando se realizan las copias de seguridad a un servidor. Sería necesario que los equipos tuvieran instalado un programa de control de
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
versiones (CVS) y se utilizara un servidor auxiliar como repositorio. Se tiene en almacén (Anexo 3.2) algunas unidades muy escasas de componentes informáticos para sustituir en caso de rotura, pero en la mayoría de los casos, es necesario hacer un pedido a la empresa suministradora de material para reponer el componente roto. Aunque tarda unas horas en servirse el pedido, esto supone una pérdida de tiempo importante. Además, depositar la confianza en un único suministrador, hay un riesgo grande de que se necesite material y la empresa tenga algún tipo de dificultad en servir, por lo que afectaría directamente en la empresa. Sería necesario tener pues varios suministradores de material para que esto no pudiera ocurrir. La empresa cuenta con un seguro (Anexo 3.3)de bienes materiales en caso de robo o catástrofe natural. Este seguro no cubre ni hay existencia de otro tipo de seguro, de lo referente a perdida de datos, lo que presupone que la empresa no está del todo concienciada en la importancia del gran problema que esto supondría. No existe edificio o local secundario si ocurriera un desastre en el actual edificio. Al no existir plan de continuidad de servicio, no están detalladas las operaciones de más relevancia de la empresa, ni tampoco una estimación temporal y económica de las operaciones en caso de problema. Ante una interrupción del suministro de luz, no existe una red de emergencia para que los equipos se puedan apagar de forma correcta y se puedan guardar los datos sin que haya corrupciones. (Anexo 3.4)
2.4.
Administrar la información
Se han detectado varios fallos en la administración de la información por parte de la empresa, sobre todo en el tratamiento de los datos de información de carácter personal. (Anexo 4.1) Para comprobar la calidad de este proceso, nos basamos en la existente Ley Orgánica de Protección de Datos (L.O.P.D) que nos indica todos los posibles tratamientos que debe tener los datos de carácter personal cuando es administrado por una empresa privada. (Anexo 4.2) En la recogida de datos, cuando un cliente introduce sus datos en el formulario, es avisado de que sus datos van a ingresar en una base de datos de la cual la empresa ejercerá un tratamiento, pero en ningún momento es avisado de que esa base de datos podrá ser cedida a terceras empresas. (Anexo 4.2) En cuanto a la modificación y cancelación de los datos, una vez el usuario ha sido registrado, no tiene acceso a la modificación de sus datos, ni mediante un formulario apropiado, ni poniéndose en contacto con la empresa. (Anexo 4.3) Tampoco es posible para el cliente poder cancelar sus datos, puesto que tampoco se da esa opción en el formulario. Además, cuando los datos dejan de ser necesarios para la empresa, tampoco son cancelados y siguen constando en la base de datos. (Anexo 4.2)
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
Finalmente, en cuanto a la cesión de datos, la base de datos con los datos personales de los clientes es usada por otras empresas, sin el conocimiento de los clientes y sin su aprobación (Anexo 4.1). Además, las empresas utilizan estos datos con objetivos diferentes a los que tiene la empresa que es dueña de esta base de datos. Las empresas que obtienen esta base de datos utilizan esos datos para usos propios y sin el correspondiente consentimiento de los afectados, quebrantando la Ley Orgánica de protección de datos. Además, la empresa no obliga a las empresas a las que presta estos datos a que cumplan la Ley Orgánica de Protección de Datos. (Anexo 4.1)
2.5.
Administrar la operación
Después de realizar algunas entrevistas (Anexos 5.1 y 5.2) se han llegado a algunas conclusiones que repercuten gravemente en el funcionamiento diario. Hay una aplicación que gestiona a los clientes, la cual requiere un usuario y una contraseña. Esta aplicación muestra los mensajes que han sido enviados y también muestra la hora y día de la recepción. La herramienta también tiene almacenados las promociones, las ofertas especiales y demás servicios adjuntos. Hemos detectado que hay usuarios que tienen mayor acceso al sistema del que debieran, y pueden llegar a manejar datos sensibles. (Anexo 5.2) La sala de servidores, donde se encuentran físicamente todos los datos, esta protegida mediante un lector de tarjetas en la puerta, y los diferentes usuarios tienen tarjetas que dan acceso a la sala. (Anexo 5.3) El jefe de servicios es el que se encarga de la asignación de estas tarjetas y del nivel de acceso, según el personal. (Anexo 5.1) En principio en esta sala no hay un guardia de seguridad que custodie la información ni evite las posibles incidencias que pudieran ocurrir. (Anexo 5.1) Con estos datos, hemos detectado que las tarjetas no están bien repartidas, puesto que hay usuarios con tarjetas de un nivel que no corresponde con su rango, o incluso usuarios que tienen tarjetas maestras, que abren todas las salas protegidas aunque no debieran tener acceso a ellas. (Anexos 5.1 y 5.2) La ausencia de un guarda jurado, junto con el caso expuesto anteriormente, hace que la sala quede insegura las 24 horas. Además no existen cámaras de seguridad ni registro de los accesos diarios. (Anexos 5.1 y 5.2) Las condiciones ambientales de la instalación también presentan problemas. No hay una correcta ventilación (Anexos 5.4), lo que provoca que haya una temperatura elevada y en algunos casos, hacen que los servidores tengan que ser apagados para no ser sobrecalentados. (Anexos 5.1)
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
3.
Papeles de Trabajo 3.1.
Anexo 1.1
Contrato de trabajo temporal de un trabajador sin experiencia en el que queda de manifiesto que el tipo de contrato es temporal de 6 meses de duración y a tiempo parcial de duración 5 horas.
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
3.2.
Anexo 1.2
Extracto de la entrevista mantenida con el responsable de Recursos Humanos en materia de selección de candidatos a ocupar puesto en la empresa.
-¿Que tipo de perfil buscan a la hora de realizar una selección de personal para un puesto vacante? -En primer lugar y en la mayoría de los casos buscamos un perfil con experiencia, que proceda de otras empresas y como consecuencia haya adquirido mayor nivel de conocimientos y experiencia en algunas tecnologías necesarias para los proyectos de nuestra empresa en la que sea necesaria la incorporación de personal. -Entonces, ¿las personas con su titulación recien terminada nunca son seleccionadas? -En ocasiones y cuando tenemos más carga de trabajo, lanzamos ofertas de empleo especialmente dirigidas a personas, que como bien dices, acaban de terminar la carrera para realizar tareas de menor responsabilidad, pero muy útiles para que vayan cogiendo experiencia en un entorno laboral. Se les hace un contrato en practicas de 6 meses y luego tienen una pequeña posibilidad, si existe vacante y demuestran su valía de incorporarse a plantilla con contrato indefinido, aunque en la mayoría de las ocasiones, no hay plazas vacantes y como consecuencia no puede ser renovado el contrato. -¿Qué tareas realizan a grandes rasgos el personal sin experiencia? -Sobretodo tareas de documentación de diagramas o de otra índole, así como programación de módulos sencillos o realización de interfaces. Nos parece una buena manera de que la persona comience a adaptarse a un entorno de trabajo, pero sin profundizar mucho, pues ya son las personas con más experiencia las que realizan las labores importantes.
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
3.3.
Anexo 1.3
Extracto de la entrevista mantenida con el responsable de Recursos Humanos en materia de el procedimiento de selección de candidatos a ocupar el puesto vacante.
-¿Cuáles son los criterios a la hora de seleccionar un candidato con experiencia para ocupar el puesto vacante? En primer lugar se hace una valoración del currículo vital recibido, valorando de esta forma la titulación poiseida así como los cursos realizados y conocimientos poseidos. También se valora la experiencia profesional que se tiene, los años que se han trabajado y las tecnologías utilizadas durante esos años de trabajo. Después y los que tengan mejor currículo son llamados para la realización de una entrevista en la que se habla fundamentalmente de lo escrito en el currículo. -¿Es realizada algun tipo de prueba o examen técnico en el que puedan demostrarse los conocimientos que detallan en sus curriculums los candidatos? No, no se realiza ningún tipo de examen. Los conocimientos que los candidatos tienen los especifican ellos mismos en sus curriculums, por lo que no vemos necesaria la realización de ninguna prueba. - Cuando el personal es seleccionado, se les exije la presentación de copias de ciertos documentos tales como el titulo o cursos realizados? No, no es requerido este tipo de documentación, la empresa da bastante confianza al personal seleccionado. Aunque si he de reconocer que en algunas ocasiones se ha “filtrado” alguna persona que luego no ha podido demostrar muchas de las cosas escritas en sus curriculums acerca de sus conocimientos o incluso de cursos porque no eran ciertas. El caso más llamativo fue de un chico que aún no había terminado la carrera y su currículo indicaba que si, además de especificar conocimientos y experiencia que luego no tenía. Pero son casos aislados, no es lo normal.
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
3.4.
Anexo 1.4
Extracto de la entrevista mantenida con el responsable de recursos humanos en relación con la evaluación de los empleados.
-¿Existe algún tipo de criterio de evaluación del personal empleado? -No, por escrito no hay una serie de criterios que sirvan para realizar una valoración del empleado. Si es cierto, que muchos empleados demuestran su valía día a día con su trabajo. Además en ciertas ocasiones pueden destacan por haber realizado alguna labor significativa referente a dificultad o realización en corto tiempo. Es el inmediatamente superior al empleado el que decidirá la valoración de este y si está capacitado para ascender a otro puesto.
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
3.5.
Anexo 1.5
Pantallazo de uno de los equipos perteneciente a un empleado de reciente incorporación en el que puede verse una carpeta, suministrada por el inmediatamente superior, que contiene tutoriales de algunas tecnologías que van a utilizar en el proyecto.
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
3.6.
Anexo 1.6
Extracto de una entrevista realizada a un empleado escogido de forma aleatoria en materia de formación recibida.
-¿Qué tipo de formación ha recibido a lo largo de la estancia en la empresa? -Cuando entre, mi jefe me facilitó una carpeta que contenía tutoriales relacionados con las tecnologías que ibamos a utilizar en el proyecto. Dedique una semana a leer todos los tutoriales, a la semana siguiente empecé de lleno mi labor. Ahora, cuando me surgen dudas siempre recurro a Google y me leo la información que voy encontrando. -¿Crees que fue suficiente la formación basada en tutoriales cuando comenzaste a trabajar en la empresa? -Pues la verdad es que no mucho, porque los tutoriales te ayudan a entender la idea y algunos conceptos, pero se echa mucho de menos la realización de practicas para consolidar los conocimientos teóricos. Me hubiera gustado asistir a algún curso de formación sobre las tecnologías que me estudie , ya que era bastante complicado de entender por mi cuenta.
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
3.7.
Anexo 2.1
Fragmento de documento en el que constan los nombres de usuario y contrseñas de los empleados.
Empleado Miguel Hernandez Ruiz Angeles Gutierres Alvarez Leticia Aguirre Galvez Román Acosta Jiménez Cristina Aguilera Ana García Madrid Leoncio Ortega Laura Fernandez
Usuario Miguel05 290459 Leti04 Roaji Cris Ana325 55633 Laura32
Contraseña Miguel05 290459 Leti04 Roaji 964465 Ana325 55633 665655
Puede observarse que el nombre de usuario y contraseña utilizados son el mismo en la mayoría de los empleados.
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
3.8.
Anexo 2.2
Extracto de la entrevista realizada al responsable de seguridad de la empresa.
-¿Existe algún tipo de aviso o imposición por parte del sistema para que los empleados cambien su nombre de usuario y contraseña de forma regular? -No, creemos que no es necesario realizar una imposición para cambiar de contraseña, puesto que son los empleados los que deben valorar si tienen necesidad de cambiarla porque sea más seguro. Ellos deciden cuando cambiarla. -¿Con que frecuencia cambian los empleados sus nombres de usuario y las contraseñas? -Realmente lo hacen con muy poca frecuencia, algunos aún no la han cambiado nunca y ya llevan años trabando aquí. Pienso que si no las han cambiado ha sido porque ellos mismos no han visto todavía la necesidad o alguna amenaza para sus cuentas.
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
3.9.
Anexo 2.3
Fragmento de documento en el que constan los nombres de usuario y contrseñas de los empleados. El empleado marcado en amarillo, dejó de trabajar en la empresa hace 6 meses y aún sigue constando en el fichero y se puede acceder al sistema con su nombre de usuario y contraseña de manera normal.
Empleado Miguel Hernandez Ruiz Angeles Gutierres Alvarez Leticia Aguirre Galvez Román Acosta Jiménez Cristina Aguilera Ana García Madrid Leoncio Ortega Laura Fernandez
Usuario Miguel05 290459 Leti04 Roaji Cris Ana325 55633 Laura32
Contraseña Miguel05 290459 Leti04 Roaji 964465 Ana325 55633 665655
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
3.10. Anexo 2.4
Pantallazo de las cajas de texto para la autenticación del empleado en el sistema.
Puede observarse que la caja de texto de introducción de la contrseña deja ver lo escrito, provocando un fuerte problema de seguridad de claves.
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
3.11. Anexo 2.5 Extracto de una entrevista realizada a un empleado sobre sus datos de usuario y contraseñas -¿Cómo actúas en caso de que tu contraseña se te olvide? -Pues la verdad es que eso me ocurrió varias veces cuando no llevaba mucho tiempo. No me acordaba exactamente de la contraseña, pero me sonaban algunas, por lo que fui probando suerte, introduciendo aquellas que me iban sonando. Después de 21 intentos lo conseguí. Ya no me ha vuelto a pasar. -¿Eres consiente de que no exista limitación de intentos fallidos de acceso pone en peligro la seguridad de los datos de cuenta de un empleado? -Bueno, no tanto, lo veo util para en casos como me ocurrió a mi, poder adivinar la contraseña que se me habia olvidado.
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
3.12. Anexo 2.6
Se pidió al responsable de Seguridad que nos proporcionara un extracto donde se mostraran usuarios logados y en que intervalos de tiempo lo han hecho en un día escogido de forma aleatoria.
Usuario Miguel05 Miguel05 Leti04 Leti04 Leti04 Leti04 Leti04 Laura32
Fecha 10/11/2008 10/11/2008 11/11/2008 11/11/2008 11/11/2008 11/11/2008 11/11/2008 11/11/2008
Hora Inicio 08:30 09:00 08:00 09:00 08:25 08:00 08:35 11:36
Hora Fin 12:00 17:00 18:30 11:28 14:56 11:30 14:47 14:51
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
3.13. Anexo 2.7
Extracto de la entrevista mantenida con el resposable de Seguridad.
-¿Cuánto tiempo de inactividad de un equipo transcurre antres de que el equipo se bloquee? -No, hay tiempo establecido, el sistema no se bloquea ante un determinado periodo de tiempo de inactividad. Es el usuario quien decide cuando bloquear su equipo si prevee que se va a ausentar durante un tiempo de su puesto de trabajo.
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
3.14. Anexo 2.8 Fotografias tomadas en la empresa, pertenecientes a la papelera y el monitor de dos empleados.
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
3.15. Anexo 2.9 Pantallazos referentes al equipo de uno de los empleados.
En esta pantalla puede verse el icono minimizado de un programa P2P cuya utilización somete al equipo a riesgo de virus o software malintencionado.
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
En esta captura de pantalla podemos observar el historial del equipo de uno de los empleados, pudiendo constatar la libre navegación en internet que disfruta, al no existir proxy alguno que restrinja el acceso a portales que se consideran peligrosos. De esta forma se somete al equipo a un riesgo grande de ataques de virus o software malintencionado.
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
3.16. Anexo 2.10
Extracto de la entrevista mantenida con uno de los empleados de la empresa elegido de forma aleatoria.
-¿Qué antivirus utilizais en la empresa? -Cada compañero tiene el que más le gusta o el que más fácil le resulta la utilización. Yo por ejemplo tengo el avast ahora mismo, pero lo cambié la semana pasada porque el que tenía empezó a consumirme muchos recursos del equipo y lo desinstale. -¿Qué antivirus utilizabas la semana pasada? -Avg -¿En caso de que el antivirus detecte un virus como actuais? -Pues teniendo el antivirus actualizado, normalmente , el se encarga en la mayoria de los casos de su eliminación. Aunque hay veces que no es posible y hay que eliminar archivos a mano o incluso formatear el disco duro si el funcionamiento del sistema ha sido afectado de forma notoria. -¿No se encarga el responsable de Seguridad de actuar frente a la aparición de un virus? -No, somos nosotros los que solucionamos el problema
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
3.17. Anexo 2.11 Foto tomada en la empresa de una de los escritorios pertenecientes a un empleado. Pueden observarse diversos cds pirata con algunos de los programas utilizados alli.
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
3.18. Anexo 3.1 Extracto de la entrevista mantenida con el director de la empresa en materia de la continuidad de servicio en caso de imprevisto o emergencia. -¿Qué plan existe actualmente en la empresa para asegurar la continuidad del servicio en caso de algún imprevisto o situación de emergencia? -Por escrito, no tenemos ningún plan detallado de cómo actuar en este tipo de situaciones. No se ve necesario, puesto que las posibilidades de que ocurra este tipo de situaciones es mínima y el abanico de posibilidades que podrían ocurrir bastante amplio, por lo que a día de hoy no existe tal documento. -¿Qué medidas adopta la empresa en materia de copias de seguridad? -Actualmente, no tenemos ninguna política al respecto. Aún no hemos tenido ningún problema al respecto y por eso no hemos pensado en nada específico. -¿Con que frecuencia se renuevan o se actualizan los equipos informáticos? -Todavía no hemos cambiado, ni hemos actualizado ningún equipo debido a que no ha sido necesario, puesto que todas las herramientas funcionan correctamente. -En caso de que se necesitara una reparación, ¿Está la empresa debidamente preparada? -Tenemos un pequeño almacén con algunas sustituciones para los equipos, pero carece de muchas piezas, y tampoco tenemos reemplazo para monitores o teclados. Pero tenemos varios proveedores que nos proporcionan las piezas en un plazo de 24h en el mejor de los casos. -¿Tiene la empresa algún seguro contratado en vigor? -La empresa tiene contratado un seguro por robo de bienes materiales y catástrofe naturales, que cubrirían todo el valor. -¿Qué medida de emergencia tiene la empresa programada por una interrupción del suministro eléctrico? -Los equipos informáticos están conectados directamente a la red eléctrica y el edificio no cuenta con un suministro eléctrico alterno por si hubiera falta de corriente eléctrica. Todavía no hemos sufrido ningún corte importante.
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
3.19. Anexo 3.2
En el almacén hay algunos periféricos y accesorios pero no hay monitores ni teclados, y además faltan otros muchos periféricos.
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
3.20. Anexo 3.3
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
3.21. Anexo 3.4
Los ordenadores están conectados directamente a la red eléctrica, sin pasar por una fuente de alimentación externa de emergencia.
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
3.22. Anexo 4.1 Entrevista con Jefe Web. Pregunta: ¿Cuál es el proceso de registro de un usuario? Respuesta: El proceso consiste en la toma de datos que el usuario nos proporciona mediante nuestra página Web. Pregunta: ¿Es debidamente avisado el usuario de sus derechos?¿Aplicais correctamente la L.O.P.D? Respuesta: El usuario es avisado durante el proceso de registro mediante una nota aclaratoria (Anexo 4.4) de que sus datos van a formar parte de una base de datos automatizada. Pregunta: ¿El usuario puede modificar y/o cancelar sus datos desde la página Web? Respuesta: No. Un usuario no puede darse de baja ni tampoco puede modificar sus datos. Pregunta: ¿El usuario es informado de que sus datos pueden pasar a formar parte de una tercera empresa? Respuesta: No. El usuario no es consciente de estas transacciones. Son procesos internos de la empresa. Pregunta: ¿Se realiza algún seguimiento de los datos una vez cedidos a otra empresa? Respuesta: No. Una vez que los datos son cedidos, no se monitorizan ni se realizan seguimientos sobre ellos. La responsabilidad es de la empresa que los posee.
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
3.23. Anexo 4.2 Captura de datos
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
3.24. Anexo 4.3 Cancelación o modificación de datos
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
3.25. Anexo 5.1 Entrevista al jefe de servicios: Pregunta: ¿Cómo se asignan los usuarios y las contraseñas? Respuesta: Cuando un trabajador entra en la plantilla, se le asigna un nombre de usuario que se forma por su nombre y primer apellido, y la contraseña es aleatoria de 8 cifras alfanuméricas. Pregunta: ¿Cómo se asigna el nivel de acceso de cada usuario? Respuesta: Debido a una incidencia en el programa, no es posible hacer muchas distinciones de acceso, solo se pueden asignar los que tienen un acceso de mantenimiento y un acceso total al sistema. Pregunta: ¿Cómo se controla el acceso a la sala? Respuesta: Las salas que tengan computadores con información sensible, están protegidas con un tarjetero en la puerta. Pregunta: ¿Cómo se asignan las tarjetas? Respuesta: Como la implantación de las tarjetas es nueva, prácticamente todo el mundo tiene total acceso a las puertas, esperamos que en unos meses, se puedan programar los privilegios. Pregunta: ¿Existe algún elemento de seguridad mas?, ¿Algún vigilante? Respuesta: La verdad es que todavía no ha entrado en nómina ningún guarda jurado o vigilante. Pregunta: ¿Cómo se ventila la sala? Respuesta: La sala tiene una ventana que da a la parte exterior del edificio. Cuando empieza a subir la temperatura se puede abrir la ventana. La ventilación es natural.
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
3.26. Anexo 5.2 Entrevista a algunos trabajadores: Pregunta: ¿Existe algún elemento de seguridad para acceder al sistema? Respuesta: Todos tenemos un nombre de usuario y una contraseña, pero creo que tengo más permisos de los normales. Me dedico al mantenimiento y tengo acceso a dar de baja diferentes empresas y usuarios. Pregunta: ¿Existe algún elemento de seguridad para acceder a las salas? Respuesta: Todos tenemos tarjetas de seguridad, algunas tarjetas puedes entrar en todas las salas, algunas otras no. Como no se quedan registrados los accesos, de vez en cuando nos las cambiamos para ver que pasa. Nunca pasa nada. Pregunta: ¿Existe algún elemento de seguridad mas?, ¿Algún vigilante? Respuesta: No. Tampoco hay cámaras ni se registra las entradas ni las salidas.
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
3.27. Anexo 5.3 Puerta de seguridad
Auditoria y Seguridad de la Información - Curso 2008/09
Auditoria empresa “Ardis-Suertware”
3.28. Anexo 5.4 Ventilación servidor
Auditoria y Seguridad de la Información - Curso 2008/09