Índice 1. Carta al Director – Página 3 2. Entidad auditada – Página 4 3. Objetivo de la auditoría – Página 6 4. Alcance de la auditoría – Página 7 5. Informe de auditoría – Página 8 1. Roles de la empresa – Página 8 2. Falta de políticas, procedimientos y metodologías – Página 9 3. Falta de seguridad en acceso, registro, transmisión y posesión de los datos y de la información – Página 10 4. Documentación – Página 14 5. Bases de Datos – Página 15
6. Anexos – Páginas 17 a 63
2
Carta al Director Estimado señor director Tras la finalización de la auditoria de su empresa Logisa Paquetes nos dirigimos a usted para comunicarle los principales problemas encontrados en el informe: Existe una ausencia de estructuración estratégica de la empresa, es decir, no existen cargos en los cuales usted pueda delegar plenamente responsabilidades, con lo cual, el desempeño de sus funciones se ve plenamente comprometido por características de otra índole ajenas a su actividad de dirección empresarial. Como se ha podido constatar en el informe, existe ausencia de documentación formalizada, además de carecer de un reporte de actividades así como de incidencias. Se ha podido comprobar a lo largo de la auditoria que no existe una concienciación del personal así como de la propia empresa en lo referente a la seguridad de sus comunicaciones, así como la información que manejada para el desempeño de sus actividades .Esta situación deriva en una gran deficiencia en lo relativo a la protección y privacidad de sus datos y comunicaciones. En lo referente a su sistema de gestión de base de datos existen datos almacenados que pueden comprometer la integridad de los mismos, ya que pueden darse situaciones en el cual se produzcan duplicidad y ruido. Además como se puede comprobar en el informe, poseen medidas deficientes en lo relativo a la seguridad y protección de los accesos y a los datos almacenados en sus bases de datos. Una vez presentados los principales problemas, se pretende conseguir una mejora en su empresa en lo relativo a seguridad, protección y realización de objetivos. Una vez solventadas esta serie de deficiencias, un mayor éxito en las actividades realizadas. Un cordial saludo.
3
Entidad Auditada La entidad auditada es la empresa de mensajería rápida “LOGISA”. Se trata de una empresa PYME, la cual tiene su radio de acción dentro de la región de Castilla-La Mancha, en la que realiza servicios de mensajería, dando cobertura de distribución a todos los lugares de la provincia. La empresa tiene su sede principal en Toledo, teniendo cuatro subsedes complementarias en las otras cuatros capitales de provincia. A través de las sedes, se distribuyen los servicios a todos los pueblos de la región. Debido a su carácter íntegramente regional, la empresa no suministra servicios fuera de Castilla – La Mancha. La empresa tiene una página web, en la cual se puede llevar el seguimiento de los paquetes desde la oficina de envío, hasta su lugar de destino.
•
Departamento de Contabilidad y RRHH •
•
•
Toledo: 3 personas.
Departamento de informática (10 personas) •
Toledo: 2 personas.
•
Ciudad Real: 2 personas.
•
Cuenca: 2 personas.
•
Albacete: 2 personas.
•
Guadalajara: 2 personas.
Departamento de marketing (5 personas) •
Toledo: 1 persona.
•
Ciudad Real: 1 persona.
•
Cuenca: 1 persona.
•
Albacete: 1 persona.
•
Guadalajara: 1 persona.
4
•
•
Departamento de logística (50 personas) •
Toledo: 10 personas.
•
Ciudad Real: 10 personas.
•
Cuenca: 10 personas.
•
Albacete: 10 personas.
•
Guadalajara: 10 personas.
Departamento de dirección (1 persona) •
Toledo: 1 persona
5
Objetivo de la auditoría Se va a realizar una auditoría de la empresa “LOGISA” para poder evaluar el tratamiento que se ésta realizando con sus datos, es decir, la seguridad de los datos, la confidencialidad y la integridad de los mismos. Al tener cinco sedes, la empresa que se va a auditar produce un continuo intercambio de información entre las mismas. Además, continuamente se producen envíos de sus clientes, por cual la empresa maneja sus datos. Por último, la empresa tiene un histórico de envíos, así como los datos de todos sus empleados. Por estos motivos se ha decidido auditar el tratamiento de los datos que realiza la empresa y poder evaluar la eficiencia con que se manejan.
6
Alcance de la auditoria Para poder cumplir con el objetivo de la auditoria se ha realizado el estudio de los siguientes objetivos de control especificados en el COBIT:
•
PO1: Definir un plan estratégico de sistemas.
•
PO2: Definir la arquitectura de la información.
•
PO9: Evaluar riesgos.
•
AI6: Administrar cambios
•
DS1: Definir niveles de servicio
•
DS2: Administrar servicios de terceros
•
DS5: Garantizar la seguridad de sistemas
•
DS10: Administrar problemas e incidentes
•
DS11: Administrar la información
•
M1: Monitorear el proceso
•
M2: Evaluar lo adecuado del control interno
•
M3: Obtener aseguramiento independiente
7
INFORME DE AUDITORÍA El informe de la auditoria, ha sido realizado sobre la empresa LOGISA, que va a constar de los principales problemas que han sido encontrados en dicha empresa. A modo de breve resumen, hemos englobado estos problemas en la falta de procedimientos, metodologías y seguridad de los sistemas, la falta de personal adecuado en los cargos de dirección de la empresa, así como la nefasta administración y manipulación de los sistemas de información y de las bases de datos.
Roles de la Empresa Tras la auditoría realizada a los roles que tienen los diferentes miembros de la empresa, hemos observado los siguientes fallos:
•
•
•
•
El primero de ellos, es que el cargo de director, realiza tareas que no son de su competencia. No tiene limitadas sus funciones y se encarga de factores que podría relegar a la persona de un subdirector así como a un jefe de las distintas secciones (anexo 9). Otro de os fallos más evidentes, es que los departamentos, no cuentan con un jefe o encargado principal. En todos los departamentos, todas las personas se encuentran al mismo nivel. Esto conlleva un problema al cabo de tomar cualquier decisión, no sólo en tiempo, sino en cuanto a responsabilidad y a seguridad (anexo 35). Hemos observado una mala coordinación entre el departamento de informática y los demás departamentos. El departamento de informática realiza cambios en las aplicaciones, sin previo aviso a los diferentes departamentos (anexo 36). Hay una gran falta de personal para solventar todos estos problemas y una falta de distribución en las tareas asignadas a las diferentes personas de la empresa, falta de roles de responsabilidad en los diferentes departamentos y en las diferentes sedes (anexo 9 y anexo 35).
8
Falta de políticas, procedimientos y metodologías Tras la realización de la auditoría se ha podido concluir que existen una notable carencia en ciertos aspectos relacionados de la política, procedimientos y metodología A continuación se procede a una descripción de los mismos:
•
•
•
•
•
•
No se dispone dentro del departamento de TI un sistema encargado de la realización de las pruebas dentro del ciclo de vida, sino que son los mismos desarrollados los que la realizan (Anexo 10). No existen procedimientos periódicos para cambio de contraseñas de los usuarios en el sistema. Estas claves son facilitadas en la incorporación del usuario a la empresa y no son eliminadas tras su despido por el departamento de SI cuando recibe la confirmación pertinente (Anexo 8). No se dispone de procedimientos ni políticas de control de cambios, ya que a través de entrevistas se ha podido comprobar que existen máquinas con distintas versiones del mismo software, lo que puede propiciar a que versiones anteriores sean susceptibles a algún tipo de vulnerabilidad que pueda ser explotada por un atacante externo (Anexos 11 y 12). No se dispone de política de encriptación de datos a través de la red local, ya que los datos fluyen por la red en texto plano, es decir, el tráfico se puede interceptar fácilmente (Anexo 13). No existen procedimientos detallados de la periodicidad de cuando realizar las copias de seguridad del sistema, sino que se van realizando cuando el responsable de TI lo ve oportuno, esto se ha podido comprobar tras la entrevista con el responsable de TI (Anexo 14). En el caso de las políticas y procedimientos de la función de servicios de información relacionadas con el monitoreo y el reporte de los controles internos y la frecuencia de revisiones, se ha recibido un escueto informe en el que 9
aparecen una serie de procedimientos para realizar controles internos sobre los servicios de información relacionadas con el monitoreo disponibles en la empresa. Se ha determinado que es bastante reducido y en él solo se especifican las tareas que debe realizar el jefe del SI en periodos anuales. También aparecen reflejadas las fechas de los últimos controles realizados, ante lo cual se ha establecido que esta frecuencia debería ser mayor para un mejor control de este aspecto y también se debería dar más detalle de los resultados obtenidos (Anexo 18).
•
•
No existen Políticas y procedimientos que regulen la actuación ante problemas e incidentes. Tras una entrevista con el director, pudimos denotar que no existen en la organización, políticas y procedimientos relacionados con la administración de problemas y la forma en que la empresa actúa cuando un incidente o problema en los datos se produce. Así mismo no existe rigor a la hora de elegir a las personas encargadas de resolver el problema ocurrido ni a los culpables del mismo (Anexo 9). No existen políticas respecto a la robustez de las claves ,es decir , no se tienen en cuenta la longitud de las mismas así como los alfabetos utilizados para su construcción. Como se puede observar en el Anexo 21, la claves observadas en la mayoría de las pantallas con etiquetado de este tipo, tenían un apariencia similar a la de la imagen.
Falta de seguridad en acceso, registro, transmisión y posesión de los datos y de la información Tras la realización de la auditoria se ha podido concluir que existen numerosas vulnerabilidades que pueden comprometer la seguridad del sistema en la empresa:
•
Acceso a wifi con WEP: El acceso a la red inalámbrica de la empresa no está suficientemente protegida, ya que la clave de acceso posee encriptación WEP , que es un cifrado débil (Anexo 1). Esto puede permitir a un usuario malintencionado externo a la empresa el descifrado de la clave mediante herramientas específicas como por el ejemplo aircrack y comprometer la 10
integridad del sistema (Anexo 2).
•
•
•
•
•
•
USB y dispositivos ópticos no bloqueados: Los USB y los dispositivos ópticos de los ordenadores de la empresa no están bloqueados, lo que permitiría que un usuario malintencionado tomar documentos y datos de carácter confidencial para la empresa, introducir virus o troyanos en el sistema (Anexo 3). Escasa video vigilancia: Se ha podido comprobar que hay zonas restringidas y el acceso a ellas no está controlado. Por ejemplo personal no autorizado, perteneciente al departamento de RRHH entrando a la sala de servidores (Anexo 20). Ataques SQL inyección se puede acceder a cierta información del sistema pudiendo manipularla: La empresa posee un servicio web que ofrece la posibilidad del seguimiento de paquetes pendientes, consulta de tarifas entre otros. En la opción de seguimiento de paquetes pendientes al rellenar el formulario, existe una vulnerabilidad susceptible a un ataque por inyección de código SQL, que nos permite la consulta, modificación y eliminación de las tablas (Anexo 28). La sala de servidores no dispone de SAI´s: La sala de servidores no dispone de SAI´s. Es decir no dispone de sistemas de alimentación ininterrumpida, y en caso de cortarse la corriente eléctrica se perderían las últimas operaciones realizadas en el sistema, pudiendo comprometer la persistencia de los datos (Anexo 4). Acceso de la información solo con el DNI: En la aplicación web se permite el seguimiento del paquete únicamente introduciendo el dni del usuario, esto hace que se atente contra la privacidad de este ya que cualquiera podría acceder a dicha información (Anexo 5). Los trabajadores pueden hacer duplicados de las etiquetas: El sistema permite duplicar etiquetas, para los casos en los cuales las etiquetas estén defectuosas. 11
Esto puede producir errores ya que se pueden duplicar etiquetas por error o intencionadamente y causar que varios paquetes tuvieran el mismo código con los correspondientes problemas logísticos del paquete (Anexo 19).
•
Privilegios de los usuarios (pueden hacer algo mas que consultas): Se ha observado que no se han establecen privilegios en el sistema, con lo que usuarios mal intencionados pueden comprometer los datos e integridad del sistema (Anexo 15). Se muestra una consulta de las tablas de empleados en la que hemos escogido un usuario determinado. Se ha accedido al sistema con su usuario y contraseña (Anexo 16). Una vez que hemos accedido al sistema se ha procedido a eliminación de un pedido pendiente (Anexo 17).
•
•
•
•
El sistema de contraseñas no se renueva cada “x” tiempo: No existe una política clara de periodicidad de cambio de contraseña ni un control sobre la forma de cambio de éstas, ya que cada usuario puede cambiar su contraseña desde su propio equipo en el momento que quiera (Anexo 8). Las contraseñas de los despedidos siguen activas un periodo de tiempo: Las contraseñas de los empleados siguen activas tras su despido, por lo que cualquier desempleado malintencionado puede acceder al sistema con su antigua contraseña (Anexo 8). El usuario puede instalar programas sin permiso del administrador: No existe una política clara sobre administración de cada una de las máquinas de la empresa con lo que cualquier usuario que acceda a esa máquina puede instalar cualquier software, con lo que puede introducir virus y puede comprometer la integridad del sistema. Como ejemplo en una maquina instalando una aplicación exterior al sistema (Anexo 6). Acceso a Internet sin Proxy para el filtrado de páginas: El acceso a Internet se realiza sin ningún tipo de proxy y no tiene ningún tipo de filtrado de páginas. 12
Por este motivo los empleados pueden navegar libremente con el consiguiente riesgo de descargar virus que pueden comprometer la integridad del sistema y de los datos de la empresa (Anexo 7).
•
•
•
•
•
Falta de protección de las contraseñas de los usuarios del sistema: Falta de profesionalidad de los empleados a la hora del almacenamiento de las claves, ya que las tienen en lugares donde se pueden observar. En el siguiente anexo se puede comprobar como existen etiquetas en la misma pantalla del usuario donde éste recuerda su propia contraseña, creándose una vulnerabilidad de seguridad. (Anexo21) No se da información añadida en la entrega de paquetes tras una demora: Se ha podido comprobar, viendo los informes de quejas realizadas a través de la página web, que existen numerosas quejas realizadas por no existir ningún tipo de documentación junto con el paquete que explique las causas de la demora en la entrega. Al mismo tiempo, no existen campos en el etiquetaje del paquete que puedan explicar estas causas. Falta de información a los partes de incidencias: Ante un error en el servicio ofrecido, no se indican las demoras en partes de incidencia. Solamente se indica la fecha en la que se ha entregado (Anexo 32). Falta de cursos de formación: Se pudo comprobar mediante observación de código que la metodología de programación no era la más correcta, destacando la falta de captura de excepciones y los errores sintácticos del lenguaje de programación. Mal uso del sistema por parte de los usuarios. Instalándose programas de mensajería instantánea o software sin relación con los cometidos de la empresa (Anexo 29).
13
Documentación En la documentación que nos ha facilitado la empresa, a través de documentos, y mediante la información recopilada por medio de nuestra investigación exhaustiva, hemos obtenidos las siguientes consideraciones :
•
El plan de acción de la empresa, es bastante antiguo y es importante realizar una actualización del mismo y de los documentos que este conlleva (Anexo 22). Hemos comprobado, que aunque el plan de acción es bastante antiguo, no es así con la tecnología que la empresa posee. Hemos realizado entrevistas con el personal de la empresa, el cual nos ha comentado que se hizo un proyecto de mejora de instalaciones hace unos años. Dicho informe no nos ha sido facilitado, diciéndonos que esta perdido y que no es recuperable (Anexo 20, Anexo 19 y Anexo 4).
•
•
•
•
A través de las entrevistas en las diferentes sedes, nos han comunicado que no se lleva a cabo ningún registro de los problemas diarios que surgen en la empresa. Se nos ha comunicado que se intentan resolver de forma inmediata a través de la persona mas conveniente en cada momento. No se ha facilitado ningún tipo de documento relacionado con la dirección de la empresa (Anexo 23). El informe de las instalaciones que recibe la empresa es bastante pobre e inexacto. Se puede ver que es bastante antiguo y que no tiene relación con el equipamiento actual. Ademas, sólo nos ha sido ofrecido de la sede de Toledo, diciéndonos que las demás sedes no tienen informe (Anexo 24 y Anexo 25). No se nos ha facilitado ningún tipo de documento referido a los problemas o incidentes que ha tenido la empresa en los últimos años (Anexo 26).
14
Bases de Datos Según las investigaciones, se han podido encontrar las siguientes vulnerabilidades en relación con la base de datos utilizada por el sistema.
•
•
•
•
•
•
Existen campos redundantes .Esto propicia la generación de ruido en las tablas ya que existen campos comunes, y unos se actualizan y otros no (Anexo 27 ). Existen una complicación a la hora de crear campos de identificación para los paquetes, ya que el identificador único esta formado por dos identificadores, permitiendo que varios paquetes puedan llevar el mismo identificador de pedido. Tras realizar una consulta mediante el identificador de pedido, no se obtiene un paquete, si no varios que contienen el mismo identificador (Anexo 30). Existen falta de información en forma de tablas, principalmente relacionado con la captura de información sobre incidencias sufridas por un paquete y el cliente afectado (Anexo 33). No existen cursos de formación o manuales de uso de las herramientas de manipulación y creación de bases de datos dentro de los departamentos de TI. Por consiguiente, surgen problemas a causa de el mal uso de estas herramientas por parte de sus usuarios (Anexo 33). Tras un análisis de las bases de datos se ha podido concluir que existen datos de carácter privado que son almacenados en la base de datos sin ningún tipo de cifrado y por lo tanto son accesibles sin ningún tipo de restricciones de privilegios por parte de todos los miembros del personal con cuenta de usuario en el sistema de base datos (Anexo 34). Se carece de mecanismos históricos en el control de acceso a la base de datos, con lo que no quedan reportadas las actividades de los usuarios en la mismo (Anexo 33).
15
•
No se han establecido medidas en el numero máximo accesos de identificación erróneos por usuario, así como una bloqueo temporal de la dirección de la máquina que esta intentando acceder de forma incorrecta. (Anexo 33).
16
Anexo 1 Configuración del router de la empresa.
17
Anexo 2 Descifrado de clave mediante aircrack.
18
Anexo 3 Copia de archivos de la empresa a un pendrive.
19
Anexo 4 Servidores sin SAI´s
20
Anexo 5
21
Anexo 6
22
Anexo 7
No existe un mecanismo que filtre las direcciones web a las que se tienen acceso , y esto puede comprometer la integridad y seguridad de los datos del sistema ya que puede accederse a paginas que contengan código malicioso y ser ejecutado por parte del interprete del navegador web.
23
Anexo 8 Formulario de la entrevista Información de la entrevista Compañía
LOGISA
Entrevistador:
Manuel Martín
Entrevistado: Cargo entrevistado:
Dolores Pantoso
Fecha:
10/11/2008
Hora:
10:32
Miembro del departamento de TI de la empresa
Preguntas del entrevistador
Auditor:
¿Con qué frecuencia se modifican las contraseñas?
Empleado:
Principalmente, cada 2 años, para nuestros trabajadores resulta un poco pesado modificar las contraseñas cada menos tiempo. No se acostumbran. Además, aquí nos conocemos todos, no hay ningún problema.
Auditor:
¿Y cómo se pueden modificar las contraseñas?
Empleado:
Cada usuario, desde su ordenador.
Auditor:
¿No es necesaria la intervención de un administrador para la configuración de todas las contraseñas?
Empleado:
Realmente no, cada usuario lo modifica, eso si, obligamos a que se cambien cada dos años. Si quiere cada uno la puede cambiar, pero realmente no lo hacen, porque saben que dentro de un tiempo la tendrán que cambiar obligados.
Auditor:
¿ Y en caso de despido, ¿se hace alguna modificación para poder acceder a las computadoras?
24
Empleado:
Si está despedido, aquí no va a entrar. La contraseña no tiene por donde meterla, así que...
Auditor:
Entonces, ¿no se cambian?
Empleado:
No, no se cambian.
Auditor:
¿Y como se puede acceder a la red de la empresa?
Empleado:
Bueno, al principio teníamos sólo 3 ordenadores conectados por un switch, luego al ponernos Internet de banda ancha, lo acoplamos a un router, del que también se puede acceder a través de wifi.
Auditor:
Y el acceso al router a través del wifi ¿cómo se realiza?
Empleado:
Bueno, tenemos una contraseña.
Auditor:
¿Y qué tipo de encriptación tiene?
Empleado:
Uhm, espéreme un segundo por favor, viene apuntada en una pegatina debajo del router. Es una encriptación WEP. Bueno, el router ya venía con la configuración hecha, así que como sólo lo vamos a usar nosotros...
Auditor:
¿No se han realizado modificaciones de configuración del router?
Empleado:
¿Como cuales?
Auditor:
Filtrado MAC, cambio de contraseña, cambio de encriptación, ocultamiento del SSID...
Empleado:
Pues el técnico que vino para la instalación del router no me dijo nada al respecto, no sabría que decirle, yo esos parámetros ahora mismo no sé como podría configurarlos.
Entrevistador
Entrevistado
25
Anexo 9 Formulario de la entrevista Información de la entrevista Compañía
LOGISA
Entrevistador:
Manuel Martín
Entrevistado: Cargo entrevistado:
Rodolfo Dominguez
Fecha:
11/11/2008
Hora:
10:27
Director de la empresa con sede en Toledo
Preguntas del entrevistador
Auditor:
Generalmente, ¿cómo reacciona ante los problemas que surgen en la empresa?
Empleado:
Bueno, siempre tengo que hacer todo lo que tengo en mi mano. En una pequeña empresa todos tenemos que poner un poco más de cada uno. Muchas veces es necesario.
Auditor:
Entonces, ¿debe de estar bastante pendiente de los problemas de las distintas sedes?
Empleado:
Claro. Ahora por ejemplo tengo que comprar unos equipos con Manuel.
Auditor:
¿Que ha ocurrido?
Empleado:
Se estropeó un equipo. Eran ya un poco antiguo, así que vamos a comprar varios para evitar más problemas de ese tipo. Ahora mismo, no nos podemos quedar parados.
Entrevistador
Entrevistado
26
Anexo 10 Formulario de la entrevista
Información de la entrevista Compañía
LOGISA
Entrevistador:
Manuel Martín
Entrevistado: Cargo entrevistado:
Gerardo Bladillo
Fecha:
11/11/2008
Hora:
11:45
Miembro del departamento de TI
Preguntas del entrevistador
Auditor:
Como se aseguran del correcto funcionamiento del sistema?
Empleado:
Bueno, disponemos de varias herramientas que nos facilitan la tarea, realmente no es muy complicado gracias a ellas.
Auditor:
¿Y como funcionan?
Empleado:
Podemos hacer una distinción general, unas son en base al desarrollo, y otras son de pruebas.
Auditor:
¿Pruebas de testeo del sistema?
Empleado:
Si, en efecto.
Auditor:
¿Y como son realizadas esas pruebas?
27
Empleado:
Bueno, en cuanto tenemos una o varias partes del sistema desarrollado, nosotros mismos tomamos las pruebas del funcionamiento. Es algo muy típico para saber si lo que hemos hecho está bien o mal.
Entrevistador
Entrevistado
28
Anexo 11 Formulario de la entrevista
Información de la entrevista Compañía
LOGISA
Entrevistador:
María Campanera
Entrevistado: Cargo entrevistado:
Carmelo Lemón
Fecha:
12/11/2008
Hora:
9:13
Miembro del departamento de TI
Preguntas del entrevistador
Auditor:
¿Cuales son las distintas herramientas de las que dispones?
Empleado:
Bueno, necesito varios programillas, desde editores de texto como el office 2003 a un buen editor de programación, utilizo el netbeans 5.1. Luego tenemos varias herramientas para diseño de bases de datos, y también utilizamos algo de pruebas.
Auditor:
¿Y suelen dar algún problema?
Empleado:
Sí, algunas veces nos vemos con problemas, perdemos algo de tiempo, pero al final se suelen solucionar.
Auditor:
¿Y esos problemas de donde crees que suelen venir?
Empleado:
Muchas veces nos hacemos lío entre nosotros. Nos falta un poco de coordinación
Entrevistador
Entrevistado
29
Anexo 12 Formulario de la entrevista
Información de la entrevista Compañía
LOGISA
Entrevistador:
María Campanera
Entrevistado: Cargo entrevistado:
Mariano Memolas
Fecha:
12/11/2008
Hora:
9:40
Miembro del departamento de TI
Preguntas del entrevistador
Auditor:
¿Cuales son las distintas herramientas de las que dispones?
Empleado:
Programas de gestión de datos, el OpenOffice para documentación, netbeans 6.0 para programar...
Auditor:
¿Y suelen dar algún problema?
Empleado:
Sí claro, como todos
Auditor:
¿Y esos problemas de donde crees que suelen venir?
Empleado:
Bueno, digamos que no todos vamos al mismo ritmo, aquí a veces cada uno va a su bola, pero cuando llega el fin de mes, nos ponemos de acuerdo a la fuerza.
Entrevistador
Entrevistado
30
Anexo 13
31
32
33
34
Como se puede comprobar en la captura de paquetes realizadas hemos podido obtener los usuarios y sus contraseñas correspondientes a miembros de la empresa mediante un envenenamiento ARP, suplantando la identidad del servidor y interceptando sus comunicaciones . A continuación se muestra las tablas de los miembros cuya información ha sido interceptada.
35
Anexo 14 Formulario de la entrevista Información de la entrevista Compañía
LOGISA
Entrevistador:
María Campanera
Entrevistado: Cargo entrevistado:
Dolores Pantoso
Fecha:
12/11/2008
Hora:
10:02
Miembro del departamento de TI
Preguntas del entrevistador
Auditor:
¿Con qué frecuencia se realizan copias de seguridad del sistema?
Empleado:
Normalmente, cuando se han realizado ha sido por que ha habido o va a haber un cambio importante, y claro, si durante la migración de los datos tenemos problemas y se pierden datos, puede ser algo muy malo.
Auditor:
¿Y de sobre qué se hacen las copias de seguridad?
Empleado:
Sobre las bases de datos.
Entrevistador
Entrevistado
36
Anexo 15
37
Anexo 16
38
Anexo 17
39
Anexo 18 Resumen de la documentación realizada por Diego Londrino Año 2008
Año 2007
La red da la suficiente cobertura para la necesidad de tráfico dentro de la empresa, siendo posibles las tareas desempeñadas sin que haya problemas de bloqueo por 40
saturación de la red. Anualmente se puede comprobar un pequeño aumento del trafico con respecto a los años anteriores. La cobertura de la red se estima que puede dar cabida por un tiempo de alrededor de 5 años más sin poder presentar posibles problemas.
41
Anexo 19
42
Anexo 20 Pudimos acceder a la sala de servidores, donde no existe ni señalización ni vigilancia para el acceso restringido. Procedimos a hacer una imagen del rack para tener una prueba de que en esta sala se puede acceder sin ninguna limitación.
43
Anexo 21
44
Anexo 22 El plan de acción que nos ha suministrado el administrador principal nos describe los siguientes hitos: PROYECTO: Expansión de la empresa en Ciudad Real(1997) CALENDARIO ESTABLECIDO: - Adquisición de un local en la Plaza de España Nº 22 a fecha del 20 de Agosto del 1997. - Acondicionamiento del local para establecer una nueva sede. Se establece una duración de dos meses y medio a partir del día de la adquisición del local. El acondicionamiento se debe concluir el día 5 de Diciembre del 1997 - El proceso de selección para la contratación del personal para la tienda se realizará desde el día 8 de Octubre. Como máximo para el día 18 Octubre se debe de tener contratado todo el personal necesario. - Se establece un periodo de una semana para la formación de personal en aquellos puestos que así lo requiera a partir del día 18 de Octubre. - Apertura del nuevo establecimiento: Día 7 Diciembre del 1997. MANTENIMIENTO DE LA NUEVA SEDE Se tiene previsto que el personal contratado para el almacén de la nueva sede sea también quien se encargue del mantenimiento de la misma a nivel estructural. El mantenimiento de los datos y tecnologías de información se llevará a cabo desde la sede principal. PROYECTO: Creación de una página Web
45
Anexo 23 Formulario de la entrevista Información de la entrevista Compañía
LOGISA
Entrevistador:
María Campanera
Entrevistado: Cargo entrevistado:
Rodolfo Rodriguez
Fecha:
09/11/08
Hora:
13:15:00
Director de empresa
Preguntas del entrevistador
Auditor:
¿Existe algún tipo de documento relacionado con las actividades de la dirección de la empresa?
Rodolfo:
No tenemos ningún tipo de documento, ya que al ser solo yo el único miembro directivo, no necesito llevar por escrito las opciones que voy tomando cada día.
Entrevistador
Entrevistado
46
Anexo 24 Informe de las instalaciones que tiene la empresa: Sede de Toledo: • Un toro mecánico • 2 mesas de oficina • 10 estanterías • 2 sillas de oficina
47
Anexo 25 Formulario de la entrevista Información de la entrevista Compañía
LOGISA
Entrevistador:
María Campanera
Entrevistado: Cargo entrevistado:
Rodolfo Rodriguez
Fecha:
09/11/08
Hora:
13:15:00
Director de empresa
Preguntas del entrevistador
Auditor:
¿Existe algún tipo de documento relacionado con el material de la empresa?
Rodolfo:
Creo que tengo algo por aquí, un segundo. Si, aquí esta, solo tengo una vaga descripción de la oficina en la que nos encontramos, no tengo nada mas de las demás sedes.
Auditor:
Veo que en esta descripción no pone nada del material informático que tiene la empresa.
Entrevistador
Entrevistado
48
Anexo 26 Formulario de la entrevista
Información de la entrevista Compañía
LOGISA
Entrevistador:
María Campanera
Entrevistado: Cargo entrevistado:
Rodolfo Rodriguez
Fecha:
09/11/08
Hora:
13:15:00
Director de empresa
Preguntas del entrevistador
Auditor:
¿Existe algún tipo de documento relacionado con los problemas o incidentes que haya tenido la empresa?
Rodolfo:
No, en la empresa si tenemos algún problema, lo intentamos solucionar hablando sin tener que documentar nada.
Entrevistador
Entrevistado
49
Anexo 27
En las tablas creadas se puede comprobar que existen datos que son redundantes y que pueden inducir a errores. A continuación se va mostrar el contenido de un pedido elegido en el cual en las diferentes tablas de pedidos, pedidos_pendientes y pedidos_finalizados poseen valores diferentes. Tabla de pedidos
50
Tabla de pedidos_pendientes
Tabla de pedidos_finalizados
51
Anexo 28 Mediante un pequeño programa, hemos sido capaces de descubrir ciertas vulnerabilidades que permiten, mediante ataques de inyección sql, comprobar la privacidad de los datos. La prueba nos dio positiva, es decir, el sistema de base de datos no era seguro, y por lo tanto, comprometía la seguridad de los datos.
52
Anexo 29
53
Anexo 30
54
Anexo 31 Se pudieron encontrar varias clases con código, ofrecido por los mismos usuarios del sistema, donde se puede comprobar que existen errores en el código, uno de ellos la captura de errores (excepciones) y podría ser explotada por un atacante externo o interno.
55
Anexo 32 Formulario de la entrevista
Información de la entrevista Compañía
LOGISA
Entrevistador:
María Campanera
Entrevistado: Cargo entrevistado:
Luis Sánchez
Fecha:
12/11/2008
Hora:
10:02
Miembro del departamento de TI
Preguntas del entrevistador
Auditor:
¿Cuantos días puede llegar a tardar como mucho un paquete?
Empleado:
Unos 3 días como mucho
Auditor:
¿Y que hacen con esos paquetes?
Empleado:
Se entregan. Nosotros vemos por las fechas del etiquetado que no llega a tiempo. Al final se entrega tarde, pero como un paquete normal.
Auditor:
¿Y se refleja la demora en el etiquetado?
Empleado:
Se refleja la fecha en que se debería haber entregado.
Auditor:
¿Y estas demoras se reflejan en algún parte de incidencia?
Empleado:
Simplemente señalo que se ha entregado. Pero en un parte de incidencia
Entrevistador
Entrevistado
56
Anexo 33 Formulario de la entrevista
Información de la entrevista Compañía
LOGISA
Entrevistador:
Manuel Martín
Entrevistado: Cargo entrevistado:
Dolores Pantoso
Fecha:
12/11/2008
Hora:
16:30
Miembro del departamento de TI de la empresa
Preguntas del entrevistador
Auditor:
¿Me puede comentar cual es su SGBD que utilizan?
Empleado:
En principio utilizamos SQL Server para las bases de datos de control interno de la empresa y Mysql para las bases de datos correspondiente al servicio web.
Auditor:
¿Que tipo de información maneja cada una de ellas ?
Empleado:
Las bases de datos en SQL Server tienen información privada de los empleados,así como los usuarios y contraseñas de todo el sistema. Ademas de incluir información sobre todos nuestro sistema de pedidos. Respecto a las bases de datos del servicio web ,cuenta con una vista de los datos de los pedidos, información como el seguimiento de paquetes y cosas de esa índole.
Auditor:
¿ Poseen algún tipo de cifrado en los datos que se manejan en la bases de datos. ?
Empleado:
No, en principio no contamos con medidas para cifrado de información de carácter privado en nuestro sistema.
57
Auditor:
¿Disponen de algún tipo de medida de control para de acceso ?
Empleado:
Si por supuesto, todo usuario se identifica en el sistema con su login y password.
Auditor:
¿Estos accesos son almacenados en un histórico o log ?
Empleado:
El sistema por defecto no lo tiene activado , supongo que no lo tendremos.
Auditor:
¿ Y reglas o mecanismos que bloqueen una ip tras una serie de accesos erróneos ?
Empleado:
Ya le he comentado que si el sistema lo tiene por defecto si lo tendremos , en caso contrario he de suponer que no .
Entrevistador
Entrevistado
58
Anexo 34
59
Anexo 35 Esta primera imagen es una captura de pantalla obtenida del ordenador de un usuario del departamento de contabilidad a fecha de 14 de octubre de 2008, donde el software de contabilidad es EBP Contabilidad Básica 2009.
60
En la siguiente imagen se puede comprobar como, en el ordenador del mismo usuario a día de 16 de octubre de 2008, el software ha cambiado. No se realizó aviso previo del cambio. Los datos guardados seguían siendo utilizables con el nuevo software, pero el nuevo es totalmente distinto. Se puede observar como este nuevo software es el "Contabilidad y Libros de IVA Multiempresa” en la siguiente imagen de una captura de pantalla.
61
Anexo 36 Formulario de la entrevista Información de la entrevista Compañía
LOGISA
Entrevistador:
María Campanera
Entrevistado: Cargo entrevistado:
Dolores Pantoso
Fecha:
12/11/2008
Hora:
10:02
Miembro del departamento de TI
Preguntas del entrevistador
Auditor:
¿Existe algún jefe en su sección-departamento?
Empleado:
No, aquí todos tomamos las decisiones por consenso
Auditor:
¿Y sobre quien cae la responsabilidad en caso de que el departamento cometa un error?
Empleado:
Pues como le he dicho anteriormente, la responsabilidad cae sobre todos los miembros del departamento.
Entrevistador
Entrevistado
62
Anexo 37 Formulario de la entrevista Información de la entrevista Compañía
LOGISA
Entrevistador:
María Campanera
Entrevistado: Cargo entrevistado:
Dolores Pantoso
Fecha:
12/11/2008
Hora:
10:02
Miembro del departamento de TI
Preguntas del entrevistador
Auditor:
¿Qué sistema tienen para comunicar a sus demás compañeros de que van a realizar un cambio en alguna aplicación o en algún sistema de la empresa?
Empleado:
Nosotros cuando consideramos que hay que realizar algún cambio, simplemente vamos y lo realizamos. Por ejemplo, si cambiamos algo de una aplicación, hacemos las modificaciones y las instalamos en los equipos pertinentes.
Auditor:
¿Quiere decir que la persona que trabaja sobre esa aplicación, no recibe ningún comunicado del cambio hasta que llega en que la instalan?
Empleado:
Si, así es.
Entrevistador
Entrevistado
63