Índice 1
Carta al Director .................................................................................................... 3
2
Descripción Detallada de la Empresa Auditada..................................................... 5
3
Organigrama de la Empresa ................................................................................. 7
4
Alcance de la Auditoria ......................................................................................... 8
5
Informe de la Auditoria .......................................................................................... 8
6
7
5.1
Gestión del Hardware.................................................................................... 8
5.2
Gestión de Soportes (y seguridad lógica) ...................................................... 9
5.3
Adquisición y Mantenimiento ....................................................................... 12
5.4
Seguridad.................................................................................................... 13
5.5
Monitoreo .................................................................................................... 15
5.6
Problemas Relacionados con la Planificación.............................................. 15
Papeles de Trabajo ............................................................................................. 17 6.1
Entrevista con la Directora Administrativa de la Empresa............................ 17
6.2
Entrevista con el Administrador del Hosting de la Web............................... 18
6.3
Entrevista con el Director General ............................................................... 20
6.4
Entrevista con el Responsable de Infraestructura........................................ 21
6.5
Entrevista con la Dirección Editorial. ........................................................... 23
6.6
Entrevista con el Director de Informática ..................................................... 24
Anexos................................................................................................................ 25 7.1
Fichero de Login y Contraseñas.................................................................. 25
7.2
Sobre Antivirus y Firewall ............................................................................ 26
7.3
Fotos sobre el Estado de las Instalaciones.................................................. 27
8 Documento de Seguridad para Ficheros Automatizados de Datos de Carácter Privado. ...................................................................................................................... 28
2
1 Carta al Director Estimado Ricardo Gómez Serna. Nos dirigimos a Ud. para hacerle llegar las conclusiones a las que nuestro equipo auditor ha llegado sobre la auditoría realizada a la empresa que Ud. dirige. En primer lugar, en cuanto a la planificación que se tiene para el gasto en hardware que se va a comprar o invertir hemos detectado que el único documento que tienen para guiarse a la hora de comprar ordenadores y componentes son las necesidades que cada empleado requiere, recomendamos que exista un documento que sirva de guía para esas compras, así se evitarían problemas como el que tengan que hacer una sobre inversión cuando no es necesaria. Sería conveniente que tuvieran bien definido un plan de riesgos, así como un plan de continuidad, en el caso de que ocurra un desastre como la pérdida de todos los equipos y las instalaciones sea posible continuar con la actividad de la empresa. Sobre la toma en consideración de las opiniones de los usuarios no hay ningún procedimiento documentado sobre la recogida de dichas opiniones tanto negativas como positivas, recomendamos que exista un flujo directo al responsable de cada área para que sean más eficazmente tratadas. También se deberían hacer estudios ergonómicos más exhaustivos. Sería de mucha ayuda tener estos estudios a la hora de hacer nuevas peticiones. Basándonos en la gestión de documentos importantes para su modelo de negocio hemos observado una deficiencia enorme en el tratamiento de ficheros privados. Hemos encontrado que no tienen una seguridad acorde a la importancia de su empresa, lo cual puede provocar consecuencias fatales a todos los niveles, desde económicos, jurídicos, hasta incluso socio-culturales. Los manuscritos que maneja la empresa no son almacenados, distribuidos, ni alterados de forma segura. Nos da la impresión de que se encuentran expuestos a las intenciones de aquellas personas que quieran hacer un uso indebido de ellos. Estamos seguros que comprenderá que esta situación se debe abordar lo antes posible desde todos los frentes que hemos indicado en el informe detallado de la auditoría. Se ha observado que el personal dedicado a la gestión de contraseñas se supervisa a sí mismo. No se realiza, por tanto, una adecuada segregación de funciones. Aunque no es competencia de esta auditoría, es una actividad principal de control interno destinada a prevenir errores, irregularidades o fraudes, por lo que recomendamos la supervisión de este aspecto y las modificaciones necesarias para subsanar este error. Otro problema añadido son las contraseñas, las cuales no siguen un formato adecuado posibilitando un acceso inadecuado por parte de los empleados. Recomendamos que instalen sistemas de control de intrusiones más eficientes que los que tienen actualmente. También es un riesgo crítico la no existencia de copias de seguridad fuera de la empresa. La planificación a corto plazo no se lleva a cabo adecuadamente repercutiendo esto en todas las actividades de la empresa. Tampoco se llevan a cabo evaluaciones
3
sobre el estado de la misma. Podríamos decir que se tienen claros los objetivos pero no los pasos que hay que seguir para conseguirlos. Por último se observa un general descontrol a la hora de llevar las inversiones a cabo, ya que los motivos que las propician se alejan de las necesidades reales de la empresa. Reciba un cordial saludo de parte del equipo auditor.
4
2 Descripción Detallada de la Empresa Auditada Editorial que ha publicado más de 2800 libros. Se describe como una editorial que busca nuevas voces que puedan ser los clásicos del futuro y que ha rescatado varios clásicos del siglo XX. También publica varias revistas de diversos géneros entre los que se encuentran la moda, la informática y los viajes. La empresa cuenta con un sistema informático que automatiza casi todas sus funciones así como una página web que permite comprobar que libros han publicado hasta la fecha. Posee una planificación para el gasto en hardware y en software. La editorial se divide en los siguientes departamentos:
Departamento de Proceso editorial El departamento de proceso editorial se encarga de la produción editorial la cual es un proceso compuesto de diversos pasos, los cuales van desde la creación del libro por parte del autor hasta el consumo de este por parte del lector. Normalmente cada parte del proceso está encargada a un ente institucional específico. Los pasos son los siguientes: AUTOR → EDITORIAL → IMPRENTA → LIBRERÍA → LECTOR Creación → Producción → Reproducción → Difusión → Consumo Del esquema anterior, se deduce que existen un orden que debe respetarse, el cual está compuesto por la siguiente secuencia: 1. Entrega del original Todo proceso editorial se inicia cuando el autor entrega un original al Consejo Editorial con el fin de que la obra sea evaluada y se decida si puede o no publicarse. El original es el material que va a servir de base para el futuro libro. 2. Evaluación editorial Esta parte consiste básicamente en un análisis de la factibilidad editorial. Para ello, deben tenerse en cuenta criterios como los siguientes: a)
b) c)
Determinar si el original entregado tiene el nivel de elaboración adecuado. (Es decir, si es un libro “bien hecho”). Determinar si el original cumple a cabalidad con las funciones para las cuales fue concebido. Determinar, a través de un análisis de los costos, si la fabricación del libro es factible.
Esta parte culmina cuando la comisión acepta o rechaza la publicación del libro. También puede darse el caso, muy corriente, que la comisión devuelva el original al autor con el fin de que lo reelabore, lo amplíe o le haga las correcciones que vengan al caso. En tal caso, la obra no se publica hasta que dicho proceso se realice. 3. Revisión filológica 4. Diagramación, composición y artes finales
5. Impresión 6. Circulación
Dirección general Las tres funciones principales del director general son las siguientes: • • •
Dirigir, planificar y coordinar las actividades generales de los departamentos en colaboración con sus respectivos directores. Representar a la compañía ante otras empresas o Instituciones. Evaluar las operaciones y los resultados obtenidos.
Departamento de diseño editorial El diseño editorial es la rama del diseño gráfico dedicada a la maquetación y composición de las publicaciones. La comprensión de los términos usados en la maquetación puede fomentar la articulación de ideas creativas entre los diseñadores, los clientes que realizan el encargo, los impresores y demás profesionales que también participan en la producción del diseño.
Departamento Ventas y marketing Estudia la manera de alentar a los lectores a comprar sus libros a través de acciones de márketing efectivas. Al mismo tiempo intenta proveer las herramientas que permitan poner en práctica los métodos que dichas estrategías requerirán. Sus funciones principales son: • • • • • • • •
Estrategia de ventas Estudios de mercado Tener un control de las necesidades del consumidor Intentar satisfacer la demanda del mercado Llevar un perfecto control de los pedidos, preparación y entrega de los mismos. Promociones de venta y publicidad. Coordinar y controlar el lanzamiento de campañas publicitarias y de promoción. Atención al cliente. Proporcionar la atención adecuada a los clientes con un servicio amable, oportuno y honesto.
Departamento Administración de personal Se encarga fundamentalmente de todo lo relacionado con recursos humanos. Por tanto sus funciones principales son: • • • • • •
Establecer el perfil y diseño de puestos Reclutar y seleccionar al personal. Determinar los términos y condiciones de empleo. Controlar que se cumplan los diversos aspectos legales y requisitos establecidos por la ley y la empresa en materia de contratación de personal. Desarrollo y gestión de la estructura y política salarial Supervisar la correcta confección de las plantillas de remuneraciones del personal
6
• • • • • • • • •
Desarrollo y gestión de la política y administración de beneficios sociales. Asesorar y participar en la formulación de la política de personal Controlar el cumplimiento del rol vacacional Fomentar una relación de cooperación entre directivos y trabajadores para evitar enfrentamientos derivados por una relación jerárquica tradicional Fomentar la participación activa entre todos los trabajadores, para que se comprometan con los objetivos a largo plazo de la editorial. Analizar las listas de asistencias para llevar el control de los empleados. Verificar las faltas, si están justificadas, investigar si estas cumplen de acuerdo con las políticas de la empresa. Elaborar la nómina. Pagar salarios, comisiones, gratificaciones, reparto de utilidades.
Departamento Contabilidad y administración Entre las funciones principales del departamento de contabilidad destacan las siguientes: • • • • •
Mantener el correcto funcionamiento de los sistemas y procedimientos contables de la empresa. Formular estados financieros. Investigar y dar solución a los problemas referentes a la falta de información para el registro contable. Preparar y ordenar la información financiera y estadística para la toma de decisiones de las autoridades superiores. Identificar y analizar los ingresos, egresos y gastos de operación de la empresa e informar periódicamente al Director General.
3 Organigrama de la Empresa
7
4 Alcance de la Auditoria Criterios de información en los que se centra el estudio (calidad, integridad, confidencialidad…) y los recursos de Tecnología de la Información que están siendo revisados (tecnología, datos…)
5 Informe de la Auditoria A continuación se muestran las conclusiones obtenidas a partir de las observaciones, datos, entrevistas y experiencias de varios empleados.
5.1
Gestión del Hardware
A continuación detallamos en que ha consistido nuestra investigación en el terreno referente al hardware que administra y proporciona la editorial para sus las labores de gestión de la información que debe llevar a cabo diariamente. -
-
No existe un plan a largo plazo formal, bien documentado que especifique que es lo que se quiere conseguir, sino una idea por parte de la dirección que no está muy bien definida. Como consecuencia de esto se deriva otro problema bastante serio, y es que no existe un plan de infraestructura tecnológica, con las siguientes implicaciones: o
o
No se puede actualizar el plan de infraestructura tecnológica con lo que no se puede confirmar que los cambios propuestos estén siendo examinados primero para evaluar los costos y riesgos inherentes, y que la aprobación de la dirección se obtenga antes de realizar cualquier cambio al plan. No se pueden reflejar las tendencias tecnológicas con lo que puede que no se tomen en cuenta.
La recomendación que hacemos es que primeramente se especifique un plan a largo plazo de forma formal, para saber a que atenerse. Y posteriormente se haga un plan de infraestructura tecnológica, aplicando todas las recomendaciones que hace el cobit sobre como actualizarlo y demás. También hemos observado que no existe ninguna evaluación formal del nuevo hardware para ver el impacto de este sobre el desempeño global del sistema, con lo que puede ser que el hardware adquirido no cumpla con las expectativas. En lo referente al mantenimiento del hardware hemos encontrado los siguientes problemas: -
Un problema importante es que no se realiza un mantenimiento preventivo del hardware, ya que no se siguen ni las recomendaciones de los proveedores del hardware en lo referente al mantenimiento preventivo, con lo que se produce un aumento de los fallos de hardware bajando el desempeño y el rendimiento del mismo.
8
Lo que recomendamos es que se establezca una política y unos procedimientos que aseguren seguir las instrucciones de los proveedores de hardware para minimizar los fallos
5.2
Gestión de Soportes (y seguridad lógica)
Consideramos que esta área es de vital importancia dentro del modelo de negocio de la editorial. Se ha hecho especial énfasis en este apartado durante las entrevistas con la dirección de la empresa. Las observaciones más importantes se detallan a continuación: -
Se ha comprobado que no existe ni está establecido ningún sistema de registro de entrada de soportes informáticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el emisor, el número de soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada. Esta tarea hasta ahora se viene realizando de forma manual y sin ningún tipo de control automatizado.
-
Al igual que con la entrada de soportes no se dispone de ningún sistema de registro de salida de soportes informáticos que permita conocer todos los datos relevantes de los archivos que son emitidos desde el interior de la empresa. No se puede recuperar esta información de forma segura y con constancia de que no ha sido manipulada por ningún agente externo o interno a la empresa.
-
Se ha comprobado, igualmente, que los soportes cuándo salen fuera de los locales en los que se encuentran ubicados los ficheros cómo consecuencia de operaciones de mantenimiento no se ven sometidos a las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos.
-
No existe ningún tipo de registro de incidencias. Si se producen se establece comunicación directa con los altos responsables que toman las decisiones que creen adecuadas. Según REAL DECRETO 994/1999 de la ley vigente en España:
Las recomendaciones que hacemos para evitar esta situación son numerosas y deben ser puestas en marcha inmediatamente, también se ofrece una alternativa para la gestión de los cambios: 2. Comprobar que el procedimiento de notificación y gestión de incidencias contiene necesariamente un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica y los efectos que se hubieran derivado de la misma. El protocolo de notificación de incidencias se realizará mediante formularios impresos que contienen el tipo de la misma, una descripción detallada, la fecha y hora en que se produjo, persona(s) que realiza(n) la notificación, persona(s) a quien va dirigida y efectos que podría producir. El Administrador se encarga de automatizar dicho formulario tras su notificación.
9
3. Comprobar que el responsable del fichero se encarga de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso.
La lista de usuarios con acceso autorizado se actualizará automáticamente cada vez que dicha lista sufre una modificación. El Administrador del Sistema realiza semanalmente una revisión sobre dicha lista en la que comprueba que se cumplan las condiciones establecidas(longitud mínima, etc). 4. Comprobar que cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. Las claves de acceso o contraseñas cumplirán la condición de tener una longitud mínima de cinco caracteres. La distribución de estos datos se realizará mediante correo certificado. 5. Comprobar que las contraseñas se cambien con la periodicidad que se determina en el documento de seguridad y mientras están vigentes se almacenen de forma ininteligible. Las contraseñas caducarán cada noventa días. Este hecho será notificado al los interesados mediante correo electrónico para que proceda a su modificación. Durante el periodo vigente, las contraseñas se almacenarán de manera cifrada. 6. Comprobar que los usuarios tienen acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. 7. Comprobar que el responsable del fichero establece mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados. 8. Comprobar que exclusivamente el personal autorizado para ello en el documento de seguridad puede conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos por el responsable del fichero. La sección administrativa de la empresa pasará a utilizar el programa que, por ahora, se viene utilizando en el departamento editorial. Este programa se tendrá que adaptar y añadir funcionalidades propias de la dirección Administrativa. Sería conveniente que los empleados contarán con un perfil de usuario que le permitiera el acceso a los datos únicamente con los privilegios necesarios para desarrollar su tarea. Se deberá comprobar que cada usuario con acceso al servicio cuenta con un perfil asignado y que no se realizan accesos no autorizados a dicho servicio 9. Comprobar que el responsable de fichero se encarga de verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.
10
Los procedimientos de recuperación de datos se consignan en el registro de incidencias, incluyendo la persona que ejecutó la restauración, los datos recuperados e indicando el código específico para recuperaciones de datos, en la información relativa al tipo de incidencia. Para ejecutar los procedimientos de recuperación de datos será necesaria la autorización por escrito del responsable del fichero. 10. Comprobar que los procedimientos establecidos para la realización de copias de respaldo y para la recuperación de los datos deben garantizar su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción. 11. Comprobar que se realizan copias de respaldo, al menos semanalmente, salvo que en dicho periodo no se hubiera producido ninguna actualización de los datos. Las copias de respaldo de la información de la empresa serán automatizadas, realizándose una incremental (exclusivamente los datos modificados) a diario y una completa semanal. Estas copias semanales serán recogidas por un empleado autorizado para ser almacenadas en cajas fuertes. Habrá otra copia de seguridad en los servidores de la empresa para garantizar que en todo momento que los archivos están disponibles y actualizados. 12. Comprobar que el responsable del fichero establece un mecanismo que permite la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado. El mecanismo de identificación será único para cada usuario (Nombre de usuario y contraseña). Antes de permitir el acceso a los datos, la aplicación compruobará que el código de usuario y contraseña son válidos y forman parte de la relación de usuarios con permiso de acceso. 13. Comprobar que se limita la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. Tras tres intentos fallidos en la introducción de la contraseña, el acceso al sistema quedará bloqueado. 14. Comprobar que se ha establecido un sistema de registro de entrada de soportes informáticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el emisor, el número de soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada. 15. Comprobar que igualmente, se dispone de un sistema de registro de salida de soportes informáticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el destinatario, el número de soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la entrega que deberá estar debidamente autorizada. 16. Comprobar que cuando un soporte vaya a ser desechado o reutilizado, se adoptan las medidas necesarias para impedir cualquier recuperación posterior de la información almacenada en él, previamente a que se proceda a su baja en el inventario.
11
17. Comprobar que cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros como consecuencia de operaciones de mantenimiento, se adoptan las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos. Recomendamos que se elabore un documento formal dónde se recojan todas las responsabilidades legales de la empresa para con los archivos suceptibles de ser protegidos contra usos indeseables para el modelo de negocio de la editorial. Así cómo las medidas implementadas por la empresa para evitar estos usos. Los autores de los manuscritos deberán conocer estas medidas y las responsabilidades jurídicas, y estar de acuerdo con ellas, que asumirá la empresa en caso de uso indebido de los documentos. Se adjunta un modelo contractual,no necesariamente final, en el que la empresa puede apoyarse para elaborar el documento final. Los auditores deberán ser consultados ante posibles modificaciones del modelo adjunto, en alas de proteger los intereses de la empresa.
5.3
Adquisición y Mantenimiento
Habiendo observado el entorno de trabajo y los procedimientos de la editorial hemos detectado las siguientes situaciones: • • •
No existe un procedimiento documentado por el cual los usuarios comunican las opiniones satisfactorias. Las opiniones son pasadas de uno a otro aunque eso sí, si siguen la cadena adecuada podría llegar a la persona encargada de ello. Los comentarios y opiniones se pueden enriquecer con la experiencia de otros.
Dadas estas situaciones detectamos varias deficiencias de las cuales la más destacada es que el flujo de información hacia el responsable de la parte que concierne a las soluciones automatizadas del sistema no es el correcto, la información puede ser modificada o distorsionada. Recomendamos que todas estas opiniones estén documentadas por cualquier soporte o medio y que éstas lleguen directamente desde el usuario que las realiza al responsable del área que compete. A la hora de tomar una decisión sobre si mejorar un software ya existente o comprar uno nuevo hemos observado a través de una entrevista que se hace de acuerdo las necesidades puntuales que en ese momento tenga. (véase entrevista al Director General) A la hora de la realización del diseño de un nuevo sistema automatizado para el uso de la empresa con respecto a las necesidades ergonómicas hemos detectado las siguientes situaciones: • •
La realización de estos estudios ergonómicos se basan en opiniones y experiencia de los usuarios. El responsable de mobiliario no tiene libertad para poder elegir los elementos del entorno de trabajo, los cuáles les vienen dados por una instancia superior ajena a su control.
Con estas situaciones hemos detectado las siguientes deficiencias:
12
• •
No existen estudios ergonómicos como tales si no son ideas y experiencias que el responsable del mobiliario ve y recibe. Estas necesidades no son recogidas en ningún registro, historial o documento, que por otra parte no es de vital importancia para la labor del responsable de esta área.
Tras realizar un estudio sobre el software y el hardware utilizado se ha podido constatar que no existen documentos que plasmen las políticas y procedimientos que la empresa sigue para comprar y mantener el hardware y el software. La empresa carece de una política documentada de acceso a los sistemas software, no obstante existen una serie de medidas que son más restrictivas dependiendo del cargo desempeñado por cada miembro de la editorial (creativos, editores...). Sería altamente recomendable que se elaborara un documento que delimite las responsabilidades y los permisos de acceso de cada rol que existe en la empresa. Si bien existen elementos para prevenir y actuar sobre cambios de emergencia, por ejemplo sistema de Backup, no existe ninguna documentación de cómo actuar en tales circunstancias, dejando todo el peso a la propia experiencia. No existe un procedimiento de control de cambios. Recomendaríamos que se siguiera algún procedimiento que garantizara la integridad del sistema en caso de los cambios que puedan acontecer, tanto a nivel de programas como a nivel operacional, quedando constancia documentada de todo ello . Habría también que hacer una evaluación de cambios, viendo si han ayudado o empeorado en las distintas facetas para los cuales fue realizado. En cuanto a materia de satisfacción por parte de los usuarios con los cambios realizados, no existe ningún procedimiento para poder evaluarlo.
5.4
Seguridad
Tras una entrevista con el director general de la empresa (véase entrevista al Director General), nos consta que la editorial está carente de un plan de continuidad. En el caso de que suceda algún fenómeno que pueda ocasionar la pérdida parcial o total de datos, se deja y se confía en poder obtener una solución de forma rápida sin tener que invertir un gran presupuesto en ello, lo cual es una medida que conlleva un riesgo elevado. Aunque bien existen elementos para poder mantener la seguridad y continuidad de la información éstas son insuficientes en el caso de que se produzca un riesgo que ponga en peligro el edificio donde está enclavada la empresa ya que no hay ningún otro lugar fuera del edificio donde se almacene al menos parte de la información vital para la continuidad de la empresa. La editorial no dispone de otro lugar en el que pueda continuar su labor. A parte de que el plan de continuidad es inexistente, tampoco se tiene una documentación de los riesgos que han acontecido en el pasado y la forma que se utilizó para subsanarlos La empresa tampoco contempla escenarios de desastre varios, que aunque parezca improbable, es algo que debe de tenerse en cuenta. No existe un plan de actuación en el caso de que se produzca esta situación, ni tampoco un plan de actuación para la información que se maneja, incluso para salvaguardarla de los
13
propios empleados, si bien el edificio cuenta con un plan de evacuación, e información sobre él en algunas de sus plantas. Sería muy recomendable que la información se encontrara en todas y cada una de las plantas del edificio, para en caso de accidente poder evacuar a los trabajadores de la forma más rápida posible. Aunque se lleva un control de los equipos que se tienen, no existe una lista de recursos del sistema que requieren alternativas, en caso de que se produzca un riesgo que deje inoperativo elementos tan críticos en el sistema como puede ser el servidor presente el los tres sistemas de información. La seguridad de la empresa no es efectiva, ya que aunque cada ordenador tiene una contraseña, hay un gran número de empleados que no han cambiado la contraseña original y eso supone un peligro muy importante ante un posible intruso en las instalaciones. (véase entrevista a Directora Administrativa) Por motivos de seguridad, se nos permitió consultar el listado de registro de accesos únicamente durante el periodo en el que realizamos la auditoría y siempre dentro de las instalaciones de la empresa sin que en ningún momento pudiéramos obtener una copia o un extracto del mismo.
La empresa dispone de sistemas software con sus respectivas licencias corporativas para hacer frente a posibles amenazas de virus, spyware, spam, etc. (Véase anexo sobre antivirus y firewall) Este software no siempre permanece actualizado, puesto que cada empleado utiliza su ordenador, y aunque hay revisiones periódicas éstas pueden no llegar en el momento apropiado (véase entrevista con el Director de Informática). Cuando se encuentra actualizado, el software en la mayoría de los casos suele incluir Firewall para proporcionar un nivel mayor de seguridad frente a la entrada de intrusos, hackers, etc. Habiendo examinado los mecanismos que tiene la empresa para el manejo de problemas se ha detectado que no se generan reportes de incidentes para problemas significativos, si bien se tienen en cuenta pero pasado un tiempo es difícil poder tomar cuenta de ellos. Ante esto recomendamos la creación de un histórico de reportes de problemas, donde se especifique de manera clara e inequívoca la naturaleza del problema, el análisis y la resolución de éste. Este archivo permitirá una simplificación y ayuda en un futuro a la hora de buscar soluciones a problemas y lo que es más importante, evitar que ocurran. En cuanto a procedimientos de manejos de problemas se han detectado las siguientes carencias: • • • • •
No está definido y por tanto implementado un sistema de administración de problemas. No se registran ni almacenan los procedimientos no-estándar que ocurren. No se establecen reportes de los incidentes ocurridos, por tanto no se pueden remitir a los usuarios para su conocimiento. Al no haber un procedimiento de manejo de problemas no se han definido controles lógicos y físicos de la información para el manejo de éstos. Como no hay un histórico de problemas no se pueden seguir la tendencia de éstos para maximizar recursos.
14
Debido a estas carencias recomendamos la creación de un modelo de reportes de incidentes para su fácil almacenamiento y comunicación a los usuarios.
5.5
Monitoreo
A pesar de que existen algunos métodos para el control interno (p.ej logs de acceso al sistema en cada máquina) la editorial carece de una política de la función de servicios de información relacionadas con el monitoreo y el reporte de los controles internos, así como tampoco en la frecuencia de las revisiones. Se trata de un riesgo crítico, por tanto se recomienda definir un mecanismo que permita llevar un control de forma periódica. Esta política también debería reflejar las medidas a tomar en caso de que no se cumplan las condiciones impuestas por el control interno dándose a conocer por escrito a los empleados pertinentes. Así también, una vez que se tomara en consideración un control interno, y éste se llevara a cabo, sería conveniente que existiera una revisión administrativa del mismo, de forma que la política pudiera retroalimentarse y aprender de ella misma, haciéndola cada vez más confiable. Asimismo, el control interno debe de partir de una buena base. Para ello, se deben de hacer un estudio y elección de que datos son los más idóneos para llevar un seguimiento de los controles internos.
5.6
Problemas Relacionados con la Planificación
Para comenzar, el Director General nos informa de la falta de seguimiento de una metodología concreta que cubra las necesidades de formulación y modificación de planes estratégicos. En su lugar se mantienen unas políticas y procedimientos propios, cuya validez y adecuación para el área de desarrollo de la que se trata se analizan a continuación. “No se sigue una metodología concreta que cubra las necesidades de formulación y modificación de planes estratégicos. En su lugar se mantienen unas políticas y procedimientos propios.” A su vez nos habló sobre los distintos planes del área. Se observó una buena cobertura a largo plazo, con suficiente soporte a los objetivos de la organización y a los procesos del negocio. En cambio se encontró una evidente falta de cobertura mediante planes a corto plazo con los que definir la base operativa. La deficiencia anterior trae consigo una serie de errores, no obstante, la documentación general facilitada sobre las distintas actividades de la empresa es clara y bien estructurada. Aún sin seguir estrictamente una metodología de planificación estratégica, como se comentaba anteriormente, se cumplen las especificaciones necesarias sobre actividades y tareas que documentan los las metodologías de cada departamento, pero volvemos a caer en la misma excepción: no se consigue una buena cobertura en los planes a corto plazo “El Director General pone a nuestra disposición los planes del departamento editorial. Se observa una buena cobertura a largo plazo, con suficiente soporte a los objetivos de la organización y a los procesos del negocio. En cambio se encuentra una evidente falta de cobertura operativa, mediante planes a corto plazo con los que llevar a cabo el soporte de los planes estratégicos a largo plazo.”
15
Otra importante carencia es la ausencia de un proceso para evaluar la situación tecnológica de la empresa, ya que cuando el Área de Dirección Creativa necesita un nuevo producto software, simplemente redactan una solicitud del mismo. Se echa en falta un estudio justificando las distintas ventajas e inconvenientes de su adquisición. “Cuando algún grupo de trabajo necesita un nuevo producto SW o HW, redactan una solicitud sin evaluar excesivamente su necesidad.” Al estudiar el proceso de elaboración del presupuesto de la función de sistemas de TI del Departamento editorial se observa que no es consistente con el proceso general de la empresa. Esto se debe a la falta de coherencia en la asignación de responsabilidades sobre la planificación y desarrollo de este proceso, dando lugar a un cierto descontrol a la hora de monitorizar esta actividad. “Con la colaboración del Director de Edición, se comprueba que la elaboración del presupuesto de inversión en TI no es coherente con los planes de la organización, de manera que no se puede asegurar que sea acorde a las necesidades reales de la organización. El análisis del documento del ejercicio actual, junto con documentos de ejercicios anteriores, refleja una carencia de actividades de costeo de estas inversiones.”
16
6 Papeles de Trabajo 6.1
Entrevista con la Directora Administrativa de la Empresa
- Auditor: ¿Nombre completo? Maria del Carmen Asturias Buendía - Auditor: ¿Cargo que desempeña en la empresa? Soy directora de toda la sección Administrativa de la editorial, en su sucursal española. - Auditor: ¿Nos podría aclarar las competencias que le han sido asignadas? • •
•
Realizar los actos de administración relativos a los recursos humanos, materiales, servicios generales. Planear, programar, coordinar y normar la administración y desarrollo del personal de la editorial; así como establecer los sistemas para su evaluación en coordinación con las unidades administrativas competentes Establecer, operar y supervisar el sistema de administrativo de la editorial; así como conservar los libros, registros auxiliares, información y documentos justificativos y comprobatorios de las operaciones realizadas
- Auditor: Respecto a sus competencias dentro de la empresa vamos a hacerle unas preguntas sobre la forma de trabajar que se acostumbra a usar diariamente. Respecto a los recursos materiales: - Auditor: ¿Usted se encarga de registrar toda la información que se maneja en la editorial? Cómo usted bien indica soy la encargada de clasificar y distribuir la información de entrada que maneja la empresa en cada uno de sus departamentos. Algunos ejemplos de información son: Registros de clientes, manuscritos en distintas fases de valoración, informes de ventas y la correspondencia entre las sucursales internacionales y la española. - Auditor: ¿Está usted autorizada a consultar y/o modificar la información que recibe? Solo la información relativa a los clientes, si hay que cambiar los datos, añadirlos, etc. Los manuscritos no debo alterarlos. - Auditor:¿Dónde se almacenan estos datos de clientes y quién tiene acceso a ellos? Sé que yo tengo acceso a los datos de los clientes para consultas y modificaciones pero desconozco quién más tiene acceso a esos datos. Todas las operaciones sobre los clientes las realizo en una base de datos que tengo instalada en el ordenador, es Access. - Auditor:¿Tiene establecida alguna contraseña para trabajar en esa base de datos o con el correo electrónico?
Al entrar en la empresa me dieron una, no la he cambiado (creo que no sabría hacerlo) y es la que uso normalmente. Por si se me olvida la tengo apuntada en un fichero de texto en el escritorio del ordenador. - Auditor: ¿Le consta que hay empleados que hacen lo mismo que usted, es decir, utilizar la contraseña que le fue asignada por defecto sin cambiarla o tenerla apuntada en algún documento del ordenador? Sé que hay empleados que también lo hacen porque nadie nos dijo que esto fuera algo importante, ni nos enseñaron a cambiarla. - Auditor:¿Respecto a los manuscritos que maneja, cuál es el proceso normal por el que estos se mueven en la empresa? Cuándo me llega un manuscrito le hago un "acuse de recibo" al mensajero o portador, establezco comunicación directa con el departamento editorial y con la dirección general para sincronizarnos y hacerles llegar el manuscrito. A veces escaneo el documento, si los interesados no se encuentran en la misma sucursal que yo o a petición de un "superior". Cuándo un manuscrito ha atravesado todo el ciclo editorial y creativo pasa a llamarse "obra" y el departamento administrativo recibe el archivo via email, se requieren los servicios de imprenta y envíamos los archivos via email también. - Auditor: ¿Exite algun tipo de registro formal de incidencias? No, si tenemos alguna incidencia puntual se comunica a los superiores y estos toman decisiones que hay que acatar. - Auditor:¿Puede describirme su entorno de trabajo? Tengo a mi disposición un ordenador y una estación de impresión que incluye scanner. Mi ordenador usa Windows XP y se entra en modo Administrador al iniciar. También tenemos una conexión a internet que funciona bastante bien mediante Wifi. - Auditor: ¿Se ha percatado de alguna carencia en la empresa? A veces mi ordenador funciona lentamente. Así se lo dije al director general y éste prometió que lo haría revisar por un profesional pero eso fué hace casi dos meses.
6.2
Entrevista con el Administrador del Hosting de la Web
- Auditor: ¿Me puede decir su nombre y apellidos? Raúl Esteban Arcos - Auditor: ¿De qué se encarga usted exactamente? Soy el encargado de mantener (actualizar y/o cambiar información) del sitio web de la editorial. Las revisiones sobre el sitio web se realizan semanalmente. Las copias de respaldo de la información del sitio son automatizadas, realizándose una incremental (exclusivamente los datos modificados) a diario y una completa semanal. Estas últimas se guardan en cintas magnéticas debidamente etiquetadas y se almacenan en caja
18
fuerte. Un empleado del Departamento de Seguridad Informática, autorizado por mí, es el encargado de acceder a las instalaciones de la empresa de hosting para obtener dichas copias de seguridad. - Auditor: ¿Utiliza el servidor Web protocolos de seguridad? Sí, el servidor Web utiliza protocolos de seguridad (SSL, SHTTP o PCT) al ejecutar transacciones en él (técnicas de cifrado y autenticación para incrementar la confidencialidad y la fiabilidad de las transacciones). Cuenta con Filtro Antivirus (acensAntivirus) y Anti-Spam (acensAntispam). El encargado de las actualizaciones es la empresa de hosting Tesys Internet S.L. - Auditor: ¿Quién se encarga del control de acceso físico a las instalaciones donde se encuentra el servidor Web? Es competencia de la empresa de hosting ya nombrada. - Auditor: ¿Qué tipo de conexión a Internet tiene la empresa? Cuenta con una conexión ADSL a Internet. Para prevenir que la información del sitio web no sea alterada se restringe el acceso al mismo a través de la identificación y autenticación de los usuarios por medio de sus códigos de usuario y contraseñas correspondientes. - Auditor: ¿Qué roles de acceso tiene la web? El Sistema de Información de la Editorial cuenta con dos perfiles de acceso: administrador y usuario. Los usuarios son los clientes que han solicitado el servicio a través de la página web y han recibido sus códigos de acceso en su domicilio mediante correo certificado. El administrador soy yo, aunque en ocasiones delego determinadas funciones en otros empleados del Departamento de Informática, siendo yo mismo el que asigna el código de usuario y contraseña de acceso. Estos empleados acceden al sistema con el perfil de Administrador, al igual que hago yo. - Auditor: ¿Hay algunas restricciones en cuanto a las contraseñas? Las contraseñas han de tener una longitud mínima de cinco caracteres y caducarán a los noventa días. Tras este periodo el usuario deberá modificarla. Se bloqueará la cuenta tras tres intentos fallidos, debiendo el usuario afectado solicitar el desbloqueo personalmente. - Auditor: ¿Existe algún sistema de detección de intrusos? Mensualmente se realizan pruebas de penetración al sistema (hacking ético) por el Departamento de Seguridad Informática. Además existe un sistema de detección de intrusos (IDS) que es probado semanalmente por el mismo departamento. - Auditor: ¿Se utilizan firewalls? Tanto los equipos como el servidor que aloja la página web cuentan con firewalls instalados cuya instalación, actualización y configuración recae en el Departamento de Informática. - Auditor: ¿Los clientes son informados de sus derechos y responsabilidades?
19
Sí, así como de cualquier otra información relevante, mediante avisos en la página web de la editorial. Para notificaciones individuales se emplea el correo electrónico.
6.3
Entrevista con el Director General
- Auditor: ¿Nos puede decir su nombre completo para que conste en acta? Salvador Trigo López - Auditor: ¿Cargo que desempeña en la empresa? Soy el director general de toda la empresa. Incluyendo todas las sedes en Francia e Italia. - Auditor: ¿Nos puede decir que formación tiene usted? Soy licenciado en dirección y administración de empresas, además poseo un título de máster por la universidad Carlos III de técnicas avanzadas de gestión empresarial. - Auditor: ¿Podría hacer una breve descripción de su labor en la empresa? Soy el máximo responsable de garantizar la consecución de los objetivos comerciales y del posicionamiento de la marca en el mercado nacional e internacional. Así mismo me encargo de la planificación estratégica comercial y de la negociación con grandes clientes. En definitiva soy "él que tiene la última palabra". - Auditor: ¿Sabe cuál es el presupuesto del que dispone la empresa para informática? No hay un presupuesto específico para ese área. Se invierte en informática según las necesidades de los empleados y del modelo de negocio. Hace poco encargamos a una empresa de desarrollo sofware un programa para ayudar a los Editores a realizar su trabajo. Costó muchísimo dinero. - Auditor:¿Entonces su empresa no tiene ningún plan de Tecnologías de Información? Bueno, creemos que no hace falta para nuestra labor. Somos una editorial y nos debemos centrar en sacar al mercado libros que gusten a la audiencia y crítica y publicitarlos de la mejor manera posible. - Auditor: ¿Siguen, en su empresa, alguna metodología que oriente en la consecución de los planes estratégicos? No se sigue una metodología concreta que cubra las necesidades de formulación y modificación de planes estratégicos. En su lugar se mantienen unas políticas y procedimientos propios - Auditor: ¿Me puede comentar algo sobre los programas que usa a diario para elaborar su trabajo?,¿está contento con ellos?,¿considera que presentan deficiencias muy graves? Tengo todos los programas que usamos en la empresa en el ordenador, cómo Director General tengo un acceso privilegiado a todos ellos, tengo una contraseña personal de cuatro dígitos que cambio a menudo. En ciertos programas cómo los que tienen que ver con el departamento editorial o el departamento de contabilidad tengo
20
parte activa en ellos, cómo ya le he dicho nada sucede en la empresa sin mi consentimiento. Los programas funcionan bien, aunque a veces un poco lentos. Gracias a ellos la dirección se hace una idea bastante acertada de lo que está sucediendo en los peldaños inferiores de la jerarquía y puede imponer su criterio en cualquier momento de las operaciones que en ellos se realizan. Respecto a lo que menciona de las deficiencias, a parte de los problemas de velocidad antes mencionados, no hemos notado nada fuera de lo normal. - Auditor: ¿Sabe que cantidad de equipamiento tecnológico posee la editorial y bajo que tipo de configuración funcionan los equipos? Lo desconozco, pero lo podríamos averiguar. Mejor remítase a Enrique, el responsable de infraestructura de la empresa; él sabrá responderles esa pregunta de primera mano. - Auditor: Señor Director, una última pregunta, ¿Que tipo de responsabilidades jurídicas asume la empresa con los clientes? ¿Algún tipo de cliente en concreto? - Auditor: Todos, tanto los clientes directos (particulares), cómo los clientes que distribuyen y ponen a la venta sus productos y los clientes que escriben para su editorial. La ley nos obliga a mantener los datos de los clientes bajo medidas férreas de seguridad. Los escritores que "crean" y son publicados, o intentan serlo, en la editorial depositan sus manuscritos en nuestro poder y bajo nuestra responsabilidad de que serán tratados con discrección y respetando la propiedad intelectual del autor. Afortunadamente ningún cliente nos ha demandado nunca, y esperamos seguir en esa linea.
6.4
Entrevista con el Responsable de Infraestructura
- Auditor: ¿Me dice su nombre? Enrique Ruiz Diaz-Ley. - Auditor: ¿Hay algún estudio ergonómico sobre el entorno de trabajo en la editorial? Estudio como tal no, pero obviamente lo tenemos en cuenta. Por ejemplo hubo hace tiempo una empleada que tenía problemas de muñeca y nosotros le proporcionamos una alfombrilla de ratón con apoya muñecas y también otro para el teclado. - Auditor: ¿Qué software de aplicación tenéis? Todos los ordenadores utilizan windows xp y Microsoft Office 2003. Estamos pensando en cambiar a Windows Vista pero esto nos supondría un presupuesto que ahora mismo no tenemos eso por no hablar de que hay muchos empleados que se quejarían por el cambio. Hay gente no experta, y de edad avanzada que bastante tienen con aprender un sistema operativo para que ahora se lo cambiemos. Además utilizamos herramientas de Microsoft para todo como el Outlook como cliente de correo.
21
- Auditor: ¿Cómo se evalúa el hardware y el software es adecuado para las necesidades? A través de reuniones. - Auditor: ¿Se realizan encuestas de satisfacción a los trabajadores? No, no se hacen, ni se me había ocurrido. - Auditor: ¿Existe algún documento que especifique cuáles son los riesgos de la empresa en TI? No, pero hemos considerado algunos, cómo el riesgo referido a las pérdidas de información o a la disponibilidad del servidor. - Auditor: ¿Existe algún procedimiento para detectar riesgos en tecnologías de la información? Pues, no. - Auditor: ¿Qué medidas toman para solventar los riesgos que han detectado? Con respecto al riesgo de perder de información se realizan backups periódicos, para ello hemos comprado software; y tenemos varios servidores con medidas antivirus, antispam y firewall para asegurar la disponibilidad del sistema. - Auditor: ¿Existe algún método de actuación para llevar a cabo las medidas en caso de que se presente el riesgo? No existe un procedimiento, se confía en la experiencia de los empleados para activar la medida en caso de que se presente el riesgo. - Auditor:¿Existe algún método para documentar la resolución de problemas acontecidos? No, los problemas se solventan y se aprende de ellos, pero no se deja constancia escrita de estas actuaciones. - Auditor: ¿Se pide opinión sobre las necesidades de automatización que tiene la empresa? No, no se piden opiniones. - Auditor: ¿Hay algún mecanismo para informar de las necesidades tecnológicas que tenéis? No, simplemente se le comunica a la persona competente en la materia.
22
6.5
Entrevista con la Dirección Editorial.
- Auditor: ¿Nombre, por favor? Ricardo Gómez Serna - Auditor: ¿Podría hacer una breve descripción de su labor en la empresa? - Normar la política editorial de la empresa atendiendo al compromiso de la institución de asumirse a un tiempo como productora y receptora de arte y conocimiento. - Sugerir al director general el nombramiento de los directores, comisiones y comités editoriales de las colecciones y publicaciones periódicas bajo la responsabilidad de la Dirección Editorial. - Sugerir al Rector el nombramiento de los directores, comisiones y comités editoriales de las colecciones y publicaciones periódicas bajo la responsabilidad de la Dirección Editorial. - Aprobar, supervisar y evaluar el proceso editorial. - Auditor: ¿Nos podría hablar a grandes rasgos sobre el software que utiliza su departamento? Utilizamos un software desarrollado por la empresa X-Software que nos facilita a todos los editores las labores de aceptación de manuscritos y edición de cambios. El programa proporciona tres métodos de trabajo; el primero es para la edición de manuscritos, si cómo editor de la editorial le parece adecuado hacer alguna corrección en el texto, éste se corrije y todos los editores involucrados son informados del cambio. En segundo lugar el software permite aceptar el manuscrito entre todos los editores, nos da la posibilidad de hablar entre editores en tiempo real y el manuscrito queda definitivamente aprobado cuándo todos los editores se dan por enterados y están conformes. Por último el programa también pone a disposición una potente herramienta de previsualización de los manuscritos una vez maquetados, por el equipo creativo, para proceder a la aceptación final por parte de los editores. El director general se involucra bastante en el trabajo y aporta sus conocimientos en cualquier momento de la fase editorial. - Auditor: ¿Estos archivos en que formato pueden llegar a los editores? Alguna veces la dirección administrativa le hace llegar al editor jefe de su sucursal una copia en papel. El editor que lo recibe debe encargarse de digitalizar el documento y avisar a todos los editores a través del programa que se utiliza. Otras veces la digitalización se hace en el departamento administrativo y llega al correo de algún editor que se encarga de su inserción en el sistema. - Auditor: ¿Existe algún documento formal que registre todos los pasos por los que atraviesa un documento? No existe ninguno, a lo mejor la dirección administrativa lleva algún tipo de control en su departamento. Lo que si le puedo decir es que con el programa con el que trabajamos si se pueden consultar los pasos que ha seguido un manuscrito (quién lo consulta, quién le hace una copia, quién se lo descarga, quién hace las anotaciones) cuándo está dentro del proceso editorial propiamente dicho.
23
- Auditor: ¿Que hacen con las copias que se han aprobado para editar? Una vez que el archivo está aprobado por todos los editores y ha sido, posteriormente, "armado" y aprobado de nuevo, el manuscrito se queda en el programa almacenado a la espera de que algún editor avise a la dirección administrativa y ésta se encargue de entregar el fichero a la imprenta. - Auditor: ¿Existe alguna forma unívoca de identificar las copias que se hace cada trabajador en cualquier fase del proceso interno de la empresa? Lo desconozco. Si se refiere a algún tipo de "marca de agua" imborrable... habría que preguntárselo a la empresa desarrolladora del software. - Auditor: ¿Considera esto cómo la mejor forma de guardar este tipo de documentación? Ningún sistema, creo, está libre de riesgos a la hora de manejar documentación importante. ¿Sí se podría mejorar?, supongo que todas las medidas de seguridad que se tomen con una obra antes de ser publicada son pocas.
6.6
Entrevista con el Director de Informática
- Auditor: ¿Me puede decir su nombre completo? Me llamo Alberto Jimenez Catellanos - Auditor: ¿Existe alguien en la empresa cuya misión sea actualizar periódicamente el software que se utiliza para hacer frente a posibles amenazas de virus, spyware, spam, etc.? Cada empleado es el que se ocupa de su ordenador y es responsabilidad de él actualizar el software del que dispone. No obstante se realizan revisiones periódicas pero el periodo entre revisión y revisión no está estipulado. - Auditor:¿Alguna vez han pensado en definir un mecanismo que permita llevar un control de forma periódica? Sí, personalmente creo que esta sería una medida muy recomendable. - Auditor: Cuándo suceden incidencias, ¿cómo se notifican? Me las comunican a mí personalmente Auditor: Entonces, ¿no existe un registro en el que se comuniquen formalmente? No, no existe ningún documento de incidencias - Auditor: Hablemos ahora de las contraseñas de acceso al sistema. ¿Tienen un mínimo de caracteres? Sí, todas las contraseñas tienen un mínimo de cinco caracteres. - Auditor: ¿Cómo se notifica a un empleado su contraseña de acceso al sistema? Se la comunica personalmente el responsable de infraestructura
24
7 Anexos 7.1
Fichero de Login y Contraseñas
Nombre Raul Garcia Isidoro Peña Isabel Belloso Rafael Salido Luisa Patón Patricia Mata Lourdes Rincón Raúl Martínez Sofía Pozo Alejandro Morales Juan Camacho Alberto Robles Juan Polo Ignacio Jaramillo -
Login raulg peña isa.belloso rafa.salido luisap pmata lourdes rmartinez spozo morales jcamacho robles jpolo ignacio.jaramillo
Contraseña 3h4566 hh554h h5t94b 111111 tt99y6 rfgh7y 123456 e398t9 59sof3 am32ma 33cc43 112233 4rt56y we4rt5
Sofía Pozo ya no pertenece a la empresa pero su login y su clave aun siguen registradas. Rafael Salido y Lourdes Rincón tienen contraseñas que pueden ser fáciles de descifrar. Alberto Robles tiene la contraseña que asigna la empresa a todos los usuarios por defecto por lo tanto seria muy fácil de descifrar.
7.2
Sobre Antivirus y Firewall
Todos los computadores cuentan con software antivirus y anti-spyware instalado configurado para actualizarse automáticamente vía internet, disponemos licencias corporativas del siguiente software: •
Trend Micro Anti-Spyware
•
Panda Internet Security 2008
26
7.3
Fotos sobre el Estado de las Instalaciones
Despacho individual del responsable de infraestructura. La mesa redonda supone un gran desperdicio de espacio en esta oficina. Los monitores no son LCD ni TFT lo que puede suponer tener la vista cansada tras largas horas frente al ordenador. Este problema se podría ser menor utilizando otro tipo de monitor.
En la oficina colectiva sí que contamos con monitores LCD marca SAMSUNG. Se dispone de suficiente espacio para personas de todo tipo pero sería conveniente poner más énfasis en factores como reposa muñecas para ratones y teclados y reposa piés para las largas horas de trabajo.
27
8 Documento de Seguridad para Ficheros Automatizados de Datos de Carácter Privado. EDITORIAL X DOCUMENTO DE SEGURIDAD DE EDITORIAL X.
El presente Documento y sus Anexos, redactados en cumplimiento de lo dispuesto en el Reglamento de Medidas de Seguridad (Real Decreto 994/1999 de 11 de Junio), recogen las medidas de índole técnica y organizativas necesarias para garantizar la protección, confidencialidad, integridad y disponibilidad de los recursos afectados por lo dispuesto en el citado Reglamento y en la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Privado. El contenido principal de este Documento queda estructurado como sigue: I. Ámbito de aplicación del documento. II. Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los niveles de seguridad exigidos en este documento. III. Procedimiento general de información al personal. IV. Funciones y obligaciones del personal. V. Procedimiento de notificación, gestión y respuestas ante las incidencias. VI. Procedimientos de revisión. VII. Consecuencias del incumplimiento del Documento de Seguridad. Anexo I. Aspectos específicos relativos a los diferentes ficheros. Anexo I a. Aspectos relativos al fichero Clientes Anexo I b. Aspectos relativos al fichero de carácter privado.
28
CAPÍTULO I: ÁMBITO DE APLICACIÓN DEL DOCUMENTO
El presente documento será de aplicación a los ficheros que contienen datos de carácter personal que se hallan bajo la responsabilidad del Director del Departamento de Administración, incluyendo los sistemas de información, soportes y equipos empleados para el tratamiento de datos de carácter personal, que deban ser protegidos de acuerdo a lo dispuesto en normativa vigente, las personas que intervienen en el tratamiento y los locales en los que se ubican. Las medidas de seguridad se clasifican en tres niveles acumulativos (básico, medio y alto) atendiendo a la naturaleza de la información tratada, en relación con la menor o mayor necesidad de garantizar la confidencialidad y la integridad de la información.
Nivel medio: Se aplicarán a los ficheros con datos de carácter personal. Ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual o los recabados para fines policiales sin consentimiento (en este último caso, también deberán ser de titularidad pública). Nivel alto: Ficheros que contengan información relativa a las creaciones propiedad de los autores que tengan relación contractual con la empresa. En concreto, los ficheros sujetos a las medidas de seguridad establecidas en este documento, con indicación del nivel de seguridad correspondiente, son los siguientes: - Clientes [Nivel Medio], - Ficheros Privados [Nivel Medio]. En el Anexo I se describen detalladamente cada uno de los ficheros o tratamientos, junto con los aspectos que les afecten de manera particular.
CAPÍTULO II: MEDIDAS, NORMAS PROCEDIMIENTOS, REGLAS Y ESTÁNDARES ENCAMINADOS A GARANTIZAR LOS NIVELES DE SEGURIDAD EXIGIDOS EN ESTE DOCUMENTO • Medidas y normas relativas a la identificación y autenticación del personal autorizado a acceder a los datos personales Los mecanismos de autenticación a los sistemas de información de los usuarios se realizarán mediante un código de usuario y contraseña individuales para cada uno de ellos. El código de usuario se corresponderá con el DNI del mismo y la contraseña será una combinación de caracteres alfanuméricos aleatoria, con una longitud mínima de la misma de cinco caracteres. La distribución del código de usuario y contraseña se realizará, previa solicitud del cliente, mediante correo certificado.
29
El almacenamiento de la contraseña en los Sistemas de Información de la Entidad será encriptado. Esta contraseña deberá ser modificada por el cliente cada noventa días. En los ficheros: Clientes, Ficheros Privados la identificación de los usuarios se deberá realizar de forma inequívoca y personalizada, verificando su autorización. Asimismo, se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información a tres ocasiones. • Control de acceso El personal sólo accederá a aquellos datos y recursos que precise para el desarrollo de sus funciones. Exclusivamente el Director del Departamento de Seguridad Informática está autorizado para conceder, alterar o anular el acceso autorizado sobre los datos y los recursos. Una vez el responsable correspondiente haya concedido el acceso, se incluirá al nuevo usuario del fichero dentro de uno de los perfiles de acceso definidos para ese fichero y se facilitará un código de usuario y una contraseña de acceso al mismo. Será este mismo responsable el encargado de dar de alta y de baja (cuando corresponda), dentro del Sistema de Información de la Entidad, a dicho usuario. La relación de usuarios con acceso autorizado a cada sistema de información, así como el tipo de acceso autorizado para cada uno de ellos se actualizará cada vez que se produzca una modificación en la misma y, en su defecto, semanalmente. • Control de acceso físico Exclusivamente el Director del Departamento de Seguridad Informática, y los empleados autorizados por él, podrán tener acceso a los locales donde se encuentren ubicados los sistemas de información correspondientes a Clientes y ficheros privados. Los procedimientos para el acceso tanto del administrador (o empleados autorizados), como del personal de mantenimiento, limpieza, seguridad, etc., serán los establecidos por la empresa contratada para el hosting. • Registro de accesos En los accesos a los datos del fichero de nivel medio (Clientes, ficheros privados), se registrará por cada acceso la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado en el fichero log “Registro de Accesos”. Si el acceso fue autorizado, se almacenará también la información que permita identificar el registro accedido. El mecanismo que permita este registro estará bajo control directo del responsable de seguridad, sin que se deba permitir, en ningún caso, la desactivación del mismo. Los datos del registro de accesos se conservarán durante dos años.
30
El responsable de seguridad revisará periódicamente la información de control registrada y elaborará un informe según se detalla en el Capítulo VI de este documento. • Gestión de soportes Los soportes que contengan datos de carácter personal deben ser etiquetados para permitir su identificación, inventariados y almacenados en la sala destinada a tal efecto en el edificio central de Editorial X, lugar de acceso restringido al que sólo tendrá acceso el Director del Departamento de Seguridad Informática o el personal por él autorizado. El acceso a los locales se realizará mediante una tarjeta de identificación con banda magnética y un código personal de cuatro dígitos. Los soportes informáticos se almacenarán en una caja fuerte tras su etiquetado. El proceso de etiquetado incluye la asignación de un identificador único, una descripción del contenido del soporte y un datado de la elaboración del mismo. El inventario de soportes se realizará de forma automatizada y será revisado por el Director del Departamento de Seguridad Informática cada quince días emitiéndose un informe mensual de dichas revisiones. La salida de soportes informáticos que contengan datos de carácter personal, fuera de los locales en donde esté ubicado el sistema de información, únicamente puede ser autorizada por el responsable del fichero o aquel en que se hubiera delegado. La salida sólo podrá llevarse a cabo una vez se haya concedido el acceso y se haya facilitado al usuario un método seguro de autenticación. • Registro de Entrada y Salida de Soportes. Las salidas y entradas de soportes correspondientes a los ficheros Clientes y Ficheros privados deberán ser registradas presentando una autorización por escrito del responsable correspondiente que, además, incluirá la identificación del soporte, fecha de la entrada o salida y finalidad de la misma. El registro de entrada y salida de soportes se gestionará mediante autorizaciones por escrito y se contemplará debidamente en la base de datos del Sistema de Información de la empresa. Dicho registro deberá constar del tipo de soporte, la fecha y hora, el emisor (o destinatario), el número de soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción (o entrega). • Medidas adicionales para los soportes con datos de nivel medio Los soportes correspondientes a los ficheros Clientes y Ficheros Privados que vayan a ser desechados o reutilizados, deberán ser previamente formateados de forma que no sea posible recuperar la información almacenada en ellos. Se adoptarán las mismas medidas en caso de que los soportes con datos de los mencionados ficheros vayan a salir fuera de los locales en que se encuentren ubicados, como consecuencia de operaciones de mantenimiento.
31
• Acceso a datos a través de redes de comunicaciones Las medidas de seguridad exigibles a los accesos a los datos de carácter personal a través de redes de comunicaciones deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local. • Régimen de trabajo fuera de los locales de la ubicación del fichero La ejecución de tratamiento de datos de carácter personal fuera de los locales de la ubicación del fichero deberá ser autorizada expresamente por el responsable del fichero y, en todo caso, deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado. Se facilitará al personal de la Entidad autorizado para acceder a los ficheros Clientes y Ficheros privados un token o palabra clave de acceso a la red local de la Entidad desde cualquier punto externo al edificio de trabajo. El acceso a dicha red local desde lugares remotos será habilitado exclusivamente durante las horas laborables estipuladas por la empresa. • Ficheros temporales Los ficheros temporales deberán cumplir el nivel de seguridad que les corresponda con arreglo a los criterios expresados en el Reglamento de medidas de seguridad, y serán borrados una vez que hayan dejado de ser necesarios para los fines que motivaron su creación. • Copias de seguridad Es obligatorio realizar copias de respaldo de los ficheros automatizados que contengan datos de carácter personal. Los procedimientos establecidos para las copias de respaldo y para su recuperación garantizarán su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción. En el Anexo I se detallan los procedimientos de copia y recuperación de respaldo para cada fichero. Las recuperaciones de datos de los ficheros Clientes y Ficheros privados deberán ser autorizadas por escrito por el responsable del fichero, según el procedimiento indicado en el Capítulo V. Además se contará con una plataforma espejo (estructura similar a la plataforma tecnológica empleada por la Entidad para el abastecimiento del servicio) que servirá de respaldo en caso de pérdidas de información. • Responsable de seguridad El responsable del fichero designará al Director del Departamento de Seguridad Informática que con carácter general se encargará de coordinar y controlar las medidas definidas en este documento de seguridad. En ningún caso, la designación supone una delegación de la responsabilidad que corresponde a Editorial X como responsable del fichero de acuerdo con el Reglamento de medidas de seguridad.
32
El responsable de seguridad desempeñará las funciones encomendadas durante el periodo de desempeño de su cargo establecido en su contrato. Una vez transcurrido este plazo Editorial X podrá nombrar al mismo responsable de seguridad o a otro diferente. • Pruebas con datos reales Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal, no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al fichero tratado.
CAPÍTULO III. PERSONAL
PROCEDIMIENTO
GENERAL DE
INFORMACIÓN AL
Las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información están definidas de forma general en el Capítulo siguiente y de forma específica para cada fichero en la parte del Anexo I correspondiente. Para asegurar que todas las personas conocen las normas de seguridad que afectan al desarrollo de sus funciones, así como las consecuencias del incumplimiento de las mismas, serán informadas mediante cláusulas de responsabilidad incluidas en sus contratos y al tomar posesión del cargo. Además, Editorial X se compromete a remitir de forma periódica información sobre seguridad: circulares, recordatorios, nuevas normas, al personal que estime oportuno mediante correo interno de la empresa. Los usuarios ajenos a la empresa serán informados de sus derechos y responsabilidades así como de cualquier otra información relevante mediante avisos en la página web de la entidad.
CAPÍTULO IV. FUNCIONES Y OBLIGACIONES DEL PERSONAL • Funciones y obligaciones de carácter general. Todo el personal que acceda a los datos de carácter personal está obligado a conocer y observar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla. Constituye una obligación del personal notificar al Director del Departamento de Seguridad Informática las incidencias de seguridad de las que tengan conocimiento respecto a los recursos protegidos, según los procedimientos establecidos en este Documento, y en concreto en su Capítulo V. Todas las personas deberán guardar el debido secreto y confidencialidad sobre los datos personales que conozcan en el desarrollo de su trabajo. • Funciones y obligaciones de los distintos perfiles de usuarios que acceden a los ficheros serán comunicadas a los afectados siguiendo el procedimiento general de información al personal detallado en el Capítulo III.
33
CAPÍTULO V. PROCEDIMIENTO DE RESPUESTA ANTE LAS INCIDENCIAS.
NOTIFICACIÓN,
GESTIÓN
Y
Se considerarán como “incidencias de seguridad”, entre otras, cualquier incumplimiento de la normativa desarrollada en este Documento de Seguridad, así como a cualquier anomalía que afecte o pueda afectar a la seguridad de los datos de carácter personal de Editorial X. La notificación de incidencias incluirá un parte de notificación de incidencias donde se especificará el identificador de la incidencia junto con una descripción detallada de la misma (fecha en que se produjo, personas que realizan la notificación, etc). El registro de incidencias se gestionará de forma manual y automatizada: una vez se haya recibido la notificación por escrito se incluirá ésta en una base de datos. En el registro de incidencias se consignarán también los procedimientos de recuperación de datos que afecten a los ficheros Clientes y Ficheros privados, incluyendo la persona que ejecutó la restauración, los datos recuperados e indicando el código específico para recuperaciones de datos, en la información relativa al tipo de incidencia. Para ejecutar los procedimientos de recuperación de datos en los ficheros mencionados en el párrafo anterior, será necesaria la autorización por escrito del responsable del fichero.
CAPÍTULO VI PROCEDIMIENTOS DE REVISIÓN • Revisión del Documento de Seguridad. El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo. Asimismo, deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal. • Auditoría Editorial X contará con un departamento de Auditoría interna que verifique el cumplimiento del Reglamento de Seguridad. Así mismo se realizará una Auditoría externa bianualmente con el fin de analizar la adecuación al Reglamento de las medidas y controles, identificar las deficiencias y proponer las medidas correctoras o complementarias necesarias. Los informes de auditoría han de ser analizados por el responsable del fichero, y quedar a disposición de la Agencia Española de Protección de Datos. • Informe mensual sobre “Log de accesos” El Director del Departamento de Seguridad Informática de la Entidad emitirá a su superior un informe mensual sobre los ficheros de registro o log de accesos, indicando posibles incidencias.
34
CAPÍTULO VII: CONSECUENCIAS DOCUMENTO DE SEGURIDAD
DEL
INCUMPLIMIENTO
DEL
El incumplimiento de las obligaciones y medidas de seguridad establecidas en el presente documento por el personal afectado, se sancionará conforme al Real Decreto 994/1999 sobre el tratamiento de los ficheros automatizados con datos de carácter personal.
35