Upo 2 PDF

ndice
Carta al Director .................................................................................................... 3
Descripcin Detallada de la Empresa Auditada..................................................... 5
Organigrama de la Empresa ................................................................................. 7
Alcance de la Auditoria ......................................................................................... 8
Informe de la Auditoria .......................................................................................... 8
5.1
Gestin del Hardware.................................................................................... 8
5.2
Gestin de Soportes (y seguridad lgica) ...................................................... 9
5.3
Adquisicin y Mantenimiento ....................................................................... 12
5.4
Seguridad.................................................................................................... 13
5.5
Monitoreo .................................................................................................... 15
5.6
Problemas Relacionados con la Planificacin.............................................. 15
Papeles de Trabajo ............................................................................................. 17

6.1
Entrevista con la Directora Administrativa de la Empresa............................ 17
6.2
Entrevista con el Administrador del Hosting de la Web............................... 18
6.3
Entrevista con el Director General ............................................................... 20
6.4
Entrevista con el Responsable de Infraestructura........................................ 21
6.5
Entrevista con la Direccin Editorial. ........................................................... 23
6.6
Entrevista con el Director de Informtica ..................................................... 24
Anexos................................................................................................................ 25
7.1
Fichero de Login y Contraseas.................................................................. 25
7.2
Sobre Antivirus y Firewall ............................................................................ 26
7.3
Fotos sobre el Estado de las Instalaciones.................................................. 27
8
Documento de Seguridad para Ficheros Automatizados de Datos de Carcter
Privado. ...................................................................................................................... 28
1 Carta al Director
Estimado Ricardo Gmez Serna.
Nos dirigimos a Ud. para hacerle llegar las conclusiones a las que nuestro
equipo auditor ha llegado sobre la auditora realizada a la empresa que Ud. dirige.
En primer lugar, en cuanto a la planificacin que se tiene para el gasto en
hardware que se va a comprar o invertir hemos detectado que el nico documento que
tienen para guiarse a la hora de comprar ordenadores y componentes son las
necesidades que cada empleado requiere, recomendamos que exista un documento
que sirva de gua para esas compras, as se evitaran problemas como el que tengan
que hacer una sobre inversin cuando no es necesaria.
Sera conveniente que tuvieran bien definido un plan de riesgos, as como un
plan de continuidad, en el caso de que ocurra un desastre como la prdida de todos
los equipos y las instalaciones sea posible continuar con la actividad de la empresa.
Sobre la toma en consideracin de las opiniones de los usuarios no hay ningn
procedimiento documentado sobre la recogida de dichas opiniones tanto negativas
como positivas, recomendamos que exista un flujo directo al responsable de cada rea
para que sean ms eficazmente tratadas.
Tambin se deberan hacer estudios ergonmicos ms exhaustivos. Sera de
mucha ayuda tener estos estudios a la hora de hacer nuevas peticiones.
Basndonos en la gestin de documentos importantes para su modelo de
negocio hemos observado una deficiencia enorme en el tratamiento de ficheros
privados. Hemos encontrado que no tienen una seguridad acorde a la importancia de
su empresa, lo cual puede provocar consecuencias fatales a todos los niveles, desde
econmicos, jurdicos, hasta incluso socio-culturales. Los manuscritos que maneja la
empresa no son almacenados, distribuidos, ni alterados de forma segura. Nos da la
impresin de que se encuentran expuestos a las intenciones de aquellas personas que
quieran hacer un uso indebido de ellos. Estamos seguros que comprender que esta
situacin se debe abordar lo antes posible desde todos los frentes que hemos indicado
en el informe detallado de la auditora.
Se ha observado que el personal dedicado a la gestin de contraseas se
supervisa a s mismo. No se realiza, por tanto, una adecuada segregacin de
funciones. Aunque no es competencia de esta auditora, es una actividad principal de
control interno destinada a prevenir errores, irregularidades o fraudes, por lo que
recomendamos la supervisin de este aspecto y las modificaciones necesarias para
subsanar este error.
Otro problema aadido son las contraseas, las cuales no siguen un formato
adecuado posibilitando un acceso inadecuado por parte de los
empleados. Recomendamos que instalen sistemas de control de intrusiones ms
eficientes que los que tienen actualmente. Tambin es un riesgo crtico la no
existencia de copias de seguridad fuera de la empresa.
La planificacin a corto plazo no se lleva a cabo adecuadamente repercutiendo
esto en todas las actividades de la empresa. Tampoco se llevan a cabo evaluaciones
sobre el estado de la misma. Podramos decir que se tienen claros los objetivos pero
no los pasos que hay que seguir para conseguirlos.
Por ltimo se observa un general descontrol a la hora de llevar las inversiones
a cabo, ya que los motivos que las propician se alejan de las necesidades reales de la
empresa.
Reciba un cordial saludo de parte del equipo auditor.
2 Descripcin Detallada de la Empresa Auditada

Editorial que ha publicado ms de 2800 libros. Se describe como una editorial
que busca nuevas voces que puedan ser los clsicos del futuro y que ha rescatado
varios clsicos del siglo XX. Tambin publica varias revistas de diversos gneros
entre los que se encuentran la moda, la informtica y los viajes.
La empresa cuenta con un sistema informtico que automatiza casi todas sus
funciones as como una pgina web que permite comprobar que libros han publicado
hasta la fecha. Posee una planificacin para el gasto en hardware y en software.
La editorial se divide en los siguientes departamentos:
Departamento de Proceso editorial

El departamento de proceso editorial se encarga de la producin editorial la
cual es un proceso compuesto de diversos pasos, los cuales van desde la creacin del
libro por parte del autor hasta el consumo de este por parte del lector. Normalmente
cada parte del proceso est encargada a un ente institucional especfico. Los pasos
son los siguientes:
AUTOR EDITORIAL IMPRENTA LIBRERA LECTOR
Creacin Produccin Reproduccin Difusin Consumo
Del esquema anterior, se deduce que existen un orden que debe respetarse, el
cual est compuesto por la siguiente secuencia:
1. Entrega del original
Todo proceso editorial se inicia cuando el autor entrega un original al Consejo
Editorial con el fin de que la obra sea evaluada y se decida si puede o no
publicarse. El original es el material que va a servir de base para el futuro libro.
2. Evaluacin editorial
Esta parte consiste bsicamente en un anlisis de la factibilidad editorial. Para ello,
deben tenerse en cuenta criterios como los siguientes:
a)
b)
c)
Determinar si el original entregado tiene el nivel de

elaboracin adecuado. (Es decir, si es un libro bien
hecho).
Determinar si el original cumple a cabalidad con las
funciones para las cuales fue concebido.
Determinar, a travs de un anlisis de los costos, si la
fabricacin del libro es factible.
Esta parte culmina cuando la comisin acepta o rechaza la publicacin del

libro. Tambin puede darse el caso, muy corriente, que la comisin devuelva el original
al autor con el fin de que lo reelabore, lo ample o le haga las correcciones que vengan
al caso. En tal caso, la obra no se publica hasta que dicho proceso se realice.
3. Revisin filolgica
4. Diagramacin, composicin y artes finales
5. Impresin
6. Circulacin
Direccin general
Las tres funciones principales del director general son las siguientes:
Dirigir, planificar y coordinar las actividades generales de los departamentos

en colaboracin con sus respectivos directores.
Representar a la compaa ante otras empresas o Instituciones.
Evaluar las operaciones y los resultados obtenidos.
Departamento de diseo editorial

El diseo editorial es la rama del diseo grfico dedicada a la maquetacin y
composicin de las publicaciones. La comprensin de los trminos usados en la
maquetacin puede fomentar la articulacin de ideas creativas entre los diseadores,
los clientes que realizan el encargo, los impresores y dems profesionales que
tambin participan en la produccin del diseo.
Departamento Ventas y marketing

Estudia la manera de alentar a los lectores a comprar sus libros a travs de
acciones de mrketing efectivas. Al mismo tiempo intenta proveer las herramientas
que permitan poner en prctica los mtodos que dichas estrategas requerirn. Sus
funciones principales son:
Estrategia de ventas
Estudios de mercado
Tener un control de las necesidades del consumidor
Intentar satisfacer la demanda del mercado
Llevar un perfecto control de los pedidos, preparacin y entrega de los
mismos.
Promociones de venta y publicidad. Coordinar y controlar el lanzamiento de
campaas publicitarias y de promocin.
Atencin al cliente. Proporcionar la atencin adecuada a los clientes con un
servicio amable, oportuno y honesto.
Departamento Administracin de personal

Se encarga fundamentalmente de todo lo relacionado con recursos humanos.
Por tanto sus funciones principales son:
Establecer el perfil y diseo de puestos

Reclutar y seleccionar al personal.
Determinar los trminos y condiciones de empleo.
Controlar que se cumplan los diversos aspectos legales y requisitos
establecidos por la ley y la empresa en materia de contratacin de personal.
Desarrollo y gestin de la estructura y poltica salarial
Supervisar la correcta confeccin de las plantillas de remuneraciones del
personal
Desarrollo y gestin de la poltica y administracin de beneficios sociales.

Asesorar y participar en la formulacin de la poltica de personal
Controlar el cumplimiento del rol vacacional
Fomentar una relacin de cooperacin entre directivos y trabajadores para
evitar enfrentamientos derivados por una relacin jerrquica tradicional
Fomentar la participacin activa entre todos los trabajadores, para que se
comprometan con los objetivos a largo plazo de la editorial.
Analizar las listas de asistencias para llevar el control de los empleados.
Verificar las faltas, si estn justificadas, investigar si estas cumplen de acuerdo
con las polticas de la empresa.
Elaborar la nmina.
Pagar salarios, comisiones, gratificaciones, reparto de utilidades.
Departamento Contabilidad y administracin

Entre las funciones principales del departamento de contabilidad destacan las
siguientes:
Mantener el correcto funcionamiento de los sistemas y procedimientos

contables de la empresa.
Formular estados financieros.
Investigar y dar solucin a los problemas referentes a la falta de informacin
para el registro contable.
Preparar y ordenar la informacin financiera y estadstica para la toma de
decisiones de las autoridades superiores.
Identificar y analizar los ingresos, egresos y gastos de operacin de la
empresa e informar peridicamente al Director General.
3 Organigrama de la Empresa
4 Alcance de la Auditoria
Criterios de informacin en los que se centra el estudio (calidad, integridad,
confidencialidad) y los recursos de Tecnologa de la Informacin que estn siendo
revisados (tecnologa, datos)
5 Informe de la Auditoria
A continuacin se muestran las conclusiones obtenidas a partir de las
observaciones, datos, entrevistas y experiencias de varios empleados.
5.1
Gestin del Hardware
A continuacin detallamos en que ha consistido nuestra investigacin en el

terreno referente al hardware que administra y proporciona la editorial para sus las
labores de gestin de la informacin que debe llevar a cabo diariamente.
-
No existe un plan a largo plazo formal, bien documentado que especifique que
es lo que se quiere conseguir, sino una idea por parte de la direccin que no
est muy bien definida.
Como consecuencia de esto se deriva otro problema bastante serio, y es que
no existe un plan de infraestructura tecnolgica, con las siguientes
implicaciones:
o
No se puede actualizar el plan de infraestructura tecnolgica con lo que

no se puede confirmar que los cambios propuestos estn siendo
examinados primero para evaluar los costos y riesgos inherentes, y
que la aprobacin de la direccin se obtenga antes de realizar cualquier
cambio al plan.
No se pueden reflejar las tendencias tecnolgicas con lo que puede que
no se tomen en cuenta.
La recomendacin que hacemos es que primeramente se especifique un plan a

largo plazo de forma formal, para saber a que atenerse.
Y posteriormente se haga un plan de infraestructura tecnolgica, aplicando
todas las recomendaciones que hace el cobit sobre como actualizarlo y dems.
Tambin hemos observado que no existe ninguna evaluacin formal del nuevo
hardware para ver el impacto de este sobre el desempeo global del sistema, con lo
que puede ser que el hardware adquirido no cumpla con las expectativas.
En lo referente al mantenimiento del hardware hemos encontrado los siguientes
problemas:
-
Un problema importante es que no se realiza un mantenimiento preventivo del

hardware, ya que no se siguen ni las recomendaciones de los proveedores del
hardware en lo referente al mantenimiento preventivo, con lo que se produce
un aumento de los fallos de hardware bajando el desempeo y el rendimiento
del mismo.
Lo que recomendamos es que se establezca una poltica y unos procedimientos

que aseguren seguir las instrucciones de los proveedores de hardware para minimizar
los fallos
5.2
Gestin de Soportes (y seguridad lgica)
Consideramos que esta rea es de vital importancia dentro del modelo de

negocio de la editorial. Se ha hecho especial nfasis en este apartado durante las
entrevistas con la direccin de la empresa. Las observaciones ms importantes se
detallan a continuacin:
-
Se ha comprobado que no existe ni est establecido ningn sistema de registro

de entrada de soportes informticos que permita, directa o indirectamente,
conocer el tipo de soporte, la fecha y hora, el emisor, el nmero de soportes, el
tipo de informacin que contienen, la forma de envo y la persona responsable
de la recepcin que deber estar debidamente autorizada. Esta tarea hasta
ahora se viene realizando de forma manual y sin ningn tipo de control
automatizado.
Al igual que con la entrada de soportes no se dispone de ningn sistema de

registro de salida de soportes informticos que permita conocer todos los datos
relevantes de los archivos que son emitidos desde el interior de la empresa. No
se puede recuperar esta informacin de forma segura y con constancia de que
no ha sido manipulada por ningn agente externo o interno a la empresa.
Se ha comprobado, igualmente, que los soportes cundo salen fuera de los

locales en los que se encuentran ubicados los ficheros cmo consecuencia de
operaciones de mantenimiento no se ven sometidos a las medidas necesarias
para impedir cualquier recuperacin indebida de la informacin almacenada en
ellos.
No existe ningn tipo de registro de incidencias. Si se producen se establece

comunicacin directa con los altos responsables que toman las decisiones que
creen adecuadas.
Segn REAL DECRETO 994/1999 de la ley vigente en Espaa:
Las recomendaciones que hacemos para evitar esta situacin son numerosas y
deben ser puestas en marcha inmediatamente, tambin se ofrece una alternativa para
la gestin de los cambios:
2. Comprobar que el procedimiento de notificacin y gestin de incidencias contiene
necesariamente un registro en el que se haga constar el tipo de incidencia, el
momento en que se ha producido, la persona que realiza la notificacin, a quin se
le comunica y los efectos que se hubieran derivado de la misma.
El protocolo de notificacin de incidencias se realizar mediante formularios
impresos que contienen el tipo de la misma, una descripcin detallada, la fecha y hora
en que se produjo, persona(s) que realiza(n) la notificacin, persona(s) a quien va
dirigida y efectos que podra producir. El Administrador se encarga de automatizar
dicho formulario tras su notificacin.
3. Comprobar que el responsable del fichero se encarga de que exista una relacin
actualizada de usuarios que tengan acceso autorizado al sistema de informacin
y de establecer procedimientos de identificacin y autenticacin para dicho acceso.
La lista de usuarios con acceso autorizado se actualizar automticamente

cada vez que dicha lista sufre una modificacin. El Administrador del Sistema realiza
semanalmente una revisin sobre dicha lista en la que comprueba que se cumplan las
condiciones establecidas(longitud mnima, etc).
4. Comprobar que cuando el mecanismo de autenticacin se base en la existencia de
contraseas existir un procedimiento de asignacin, distribucin y
almacenamiento que garantice su confidencialidad e integridad.
Las claves de acceso o contraseas cumplirn la condicin de tener una longitud
mnima de cinco caracteres.
La distribucin de estos datos se realizar mediante correo certificado.
5. Comprobar que las contraseas se cambien con la periodicidad que se determina
en el documento de seguridad y mientras estn vigentes se almacenen de forma
ininteligible.
Las contraseas caducarn cada noventa das. Este hecho ser notificado al los
interesados mediante correo electrnico para que proceda a su modificacin.
Durante el periodo vigente, las contraseas se almacenarn de manera cifrada.
6. Comprobar que los usuarios tienen acceso autorizado nicamente a aquellos
datos y recursos que precisen para el desarrollo de sus funciones.
7. Comprobar que el responsable del fichero establece mecanismos para evitar que
un usuario pueda acceder a datos o recursos con derechos distintos de los
autorizados.
8. Comprobar que exclusivamente el personal autorizado para ello en el documento
de seguridad puede conceder, alterar o anular el acceso autorizado sobre los
datos y recursos, conforme a los criterios establecidos por el responsable del
fichero.
La seccin administrativa de la empresa pasar a utilizar el programa que, por
ahora, se viene utilizando en el departamento editorial. Este programa se tendr que
adaptar y aadir funcionalidades propias de la direccin Administrativa.
Sera conveniente que los empleados contarn con un perfil de usuario que le
permitiera el acceso a los datos nicamente con los privilegios necesarios para
desarrollar su tarea.
Se deber comprobar que cada usuario con acceso al servicio cuenta con un
perfil asignado y que no se realizan accesos no autorizados a dicho servicio
9. Comprobar que el responsable de fichero se encarga de verificar la definicin y
correcta aplicacin de los procedimientos de realizacin de copias de respaldo y
de recuperacin de los datos.
10
Los procedimientos de recuperacin de datos se consignan en el registro de

incidencias, incluyendo la persona que ejecut la restauracin, los datos recuperados
e indicando el cdigo especfico para recuperaciones de datos, en la informacin
relativa al tipo de incidencia.
Para ejecutar los procedimientos de recuperacin de datos ser necesaria la
autorizacin por escrito del responsable del fichero.
10. Comprobar que los procedimientos establecidos para la realizacin de copias de
respaldo y para la recuperacin de los datos deben garantizar su reconstruccin en
el estado en que se encontraban al tiempo de producirse la prdida o destruccin.
11. Comprobar que se realizan copias de respaldo, al menos semanalmente, salvo
que en dicho periodo no se hubiera producido ninguna actualizacin de los datos.
Las copias de respaldo de la informacin de la empresa sern automatizadas,
realizndose una incremental (exclusivamente los datos modificados) a diario y una
completa semanal. Estas copias semanales sern recogidas por un empleado
autorizado para ser almacenadas en cajas fuertes. Habr otra copia de seguridad en
los servidores de la empresa para garantizar que en todo momento que los archivos
estn disponibles y actualizados.
12. Comprobar que el responsable del fichero establece un mecanismo que permite la
identificacin de forma inequvoca y personalizada de todo aquel usuario que
intente acceder al sistema de informacin y la verificacin de que est autorizado.
El mecanismo de identificacin ser nico para cada usuario (Nombre de usuario
y contrasea).
Antes de permitir el acceso a los datos, la aplicacin compruobar que el cdigo
de usuario y contrasea son vlidos y forman parte de la relacin de usuarios con
permiso de acceso.
13. Comprobar que se limita la posibilidad de intentar reiteradamente el acceso no
autorizado al sistema de informacin.
Tras tres intentos fallidos en la introduccin de la contrasea, el acceso al
sistema quedar bloqueado.
14. Comprobar que se ha establecido un sistema de registro de entrada de soportes
informticos que permita, directa o indirectamente, conocer el tipo de soporte, la
fecha y hora, el emisor, el nmero de soportes, el tipo de informacin que
contienen, la forma de envo y la persona responsable de la recepcin que deber
estar debidamente autorizada.
15. Comprobar que igualmente, se dispone de un sistema de registro de salida de
soportes informticos que permita, directa o indirectamente, conocer el tipo de
soporte, la fecha y hora, el destinatario, el nmero de soportes, el tipo de
informacin que contienen, la forma de envo y la persona responsable de la
entrega que deber estar debidamente autorizada.
16. Comprobar que cuando un soporte vaya a ser desechado o reutilizado, se adoptan
las medidas necesarias para impedir cualquier recuperacin posterior de la
informacin almacenada en l, previamente a que se proceda a su baja en el
inventario.
11
17. Comprobar que cuando los soportes vayan a salir fuera de los locales en que se
encuentren ubicados los ficheros como consecuencia de operaciones de
mantenimiento, se adoptan las medidas necesarias para impedir cualquier
recuperacin indebida de la informacin almacenada en ellos.
Recomendamos que se elabore un documento formal dnde se recojan todas las
responsabilidades legales de la empresa para con los archivos suceptibles de ser
protegidos contra usos indeseables para el modelo de negocio de la editorial. As
cmo las medidas implementadas por la empresa para evitar estos usos. Los autores
de los manuscritos debern conocer estas medidas y las responsabilidades jurdicas, y
estar de acuerdo con ellas, que asumir la empresa en caso de uso indebido de los
documentos. Se adjunta un modelo contractual,no necesariamente final, en el que la
empresa puede apoyarse para elaborar el documento final. Los auditores debern ser
consultados ante posibles modificaciones del modelo adjunto, en alas de proteger los
intereses de la empresa.
5.3
Adquisicin y Mantenimiento
Habiendo observado el entorno de trabajo y los procedimientos de la editorial

hemos detectado las siguientes situaciones:
No existe un procedimiento documentado por el cual los usuarios comunican

las opiniones satisfactorias.
Las opiniones son pasadas de uno a otro aunque eso s, si siguen la cadena
adecuada podra llegar a la persona encargada de ello.
Los comentarios y opiniones se pueden enriquecer con la experiencia de
otros.
Dadas estas situaciones detectamos varias deficiencias de las cuales la ms

destacada es que el flujo de informacin hacia el responsable de la parte que
concierne a las soluciones automatizadas del sistema no es el correcto, la informacin
puede ser modificada o distorsionada.
Recomendamos que todas estas opiniones estn documentadas por cualquier
soporte o medio y que stas lleguen directamente desde el usuario que las realiza al
responsable del rea que compete.
A la hora de tomar una decisin sobre si mejorar un software ya existente o
comprar uno nuevo hemos observado a travs de una entrevista que se hace de
acuerdo las necesidades puntuales que en ese momento tenga. (vase entrevista al
Director General)
A la hora de la realizacin del diseo de un nuevo sistema automatizado para el
uso de la empresa con respecto a las necesidades ergonmicas hemos detectado las
siguientes situaciones:
La realizacin de estos estudios ergonmicos se basan en opiniones y

experiencia de los usuarios.
El responsable de mobiliario no tiene libertad para poder elegir los elementos
del entorno de trabajo, los cules les vienen dados por una instancia superior
ajena a su control.
Con estas situaciones hemos detectado las siguientes deficiencias:
12
No existen estudios ergonmicos como tales si no son ideas y experiencias

que el responsable del mobiliario ve y recibe.
Estas necesidades no son recogidas en ningn registro, historial o documento,
que por otra parte no es de vital importancia para la labor del responsable de
esta rea.
Tras realizar un estudio sobre el software y el hardware utilizado se ha podido

constatar que no existen documentos que plasmen las polticas y procedimientos que
la empresa sigue para comprar y mantener el hardware y el software.
La empresa carece de una poltica documentada de acceso a los sistemas
software, no obstante existen una serie de medidas que son ms restrictivas
dependiendo del cargo desempeado por cada miembro de la editorial (creativos,
editores...). Sera altamente recomendable que se elaborara un documento que
delimite las responsabilidades y los permisos de acceso de cada rol que existe en la
empresa.
Si bien existen elementos para prevenir y actuar sobre cambios de emergencia,
por ejemplo sistema de Backup, no existe ninguna documentacin de cmo actuar en
tales circunstancias, dejando todo el peso a la propia experiencia.
No existe un procedimiento de control de cambios. Recomendaramos que se
siguiera algn procedimiento que garantizara la integridad del sistema en caso de los
cambios que puedan acontecer, tanto a nivel de programas como a nivel operacional,
quedando constancia documentada de todo ello . Habra tambin que hacer una
evaluacin de cambios, viendo si han ayudado o empeorado en las distintas facetas
para los cuales fue realizado. En cuanto a materia de satisfaccin por parte de los
usuarios con los cambios realizados, no existe ningn procedimiento para poder
evaluarlo.
5.4
Seguridad
Tras una entrevista con el director general de la empresa (vase entrevista al

Director General), nos consta que la editorial est carente de un plan de
continuidad. En el caso de que suceda algn fenmeno que pueda ocasionar la
prdida parcial o total de datos, se deja y se confa en poder obtener una solucin de
forma rpida sin tener que invertir un gran presupuesto en ello, lo cual es una medida
que conlleva un riesgo elevado.
Aunque bien existen elementos para poder mantener la seguridad y continuidad
de la informacin stas son insuficientes en el caso de que se produzca un riesgo que
ponga en peligro el edificio donde est enclavada la empresa ya que no hay ningn
otro lugar fuera del edificio donde se almacene al menos parte de la informacin vital
para la continuidad de la empresa. La editorial no dispone de otro lugar en el que
pueda continuar su labor.
A parte de que el plan de continuidad es inexistente, tampoco se tiene una
documentacin de los riesgos que han acontecido en el pasado y la forma que se
utiliz para subsanarlos
La empresa tampoco contempla escenarios de desastre varios, que aunque
parezca improbable, es algo que debe de tenerse en cuenta. No existe un plan de
actuacin en el caso de que se produzca esta situacin, ni tampoco un plan de
actuacin para la informacin que se maneja, incluso para salvaguardarla de los
13
propios empleados, si bien el edificio cuenta con un plan de evacuacin, e informacin

sobre l en algunas de sus plantas. Sera muy recomendable que la informacin se
encontrara en todas y cada una de las plantas del edificio, para en caso de accidente
poder evacuar a los trabajadores de la forma ms rpida posible.
Aunque se lleva un control de los equipos que se tienen, no existe una lista de
recursos del sistema que requieren alternativas, en caso de que se produzca un riesgo
que deje inoperativo elementos tan crticos en el sistema como puede ser el servidor
presente el los tres sistemas de informacin.
La seguridad de la empresa no es efectiva, ya que aunque cada ordenador tiene
una contrasea, hay un gran nmero de empleados que no han cambiado la
contrasea original y eso supone un peligro muy importante ante un posible intruso en
las instalaciones. (vase entrevista a Directora Administrativa)
Por motivos de seguridad, se nos permiti consultar el listado de registro de
accesos nicamente durante el periodo en el que realizamos la auditora y siempre
dentro de las instalaciones de la empresa sin que en ningn momento pudiramos
obtener una copia o un extracto del mismo.
La empresa dispone de sistemas software con sus respectivas licencias

corporativas para hacer frente a posibles amenazas de virus, spyware, spam, etc.
(Vase anexo sobre antivirus y firewall) Este software no siempre permanece
actualizado, puesto que cada empleado utiliza su ordenador, y aunque hay revisiones
peridicas stas pueden no llegar en el momento apropiado (vase entrevista con el
Director de Informtica). Cuando se encuentra actualizado, el software en la mayora
de los casos suele incluir Firewall para proporcionar un nivel mayor de seguridad
frente a la entrada de intrusos, hackers, etc.
Habiendo examinado los mecanismos que tiene la empresa para el manejo de
problemas se ha detectado que no se generan reportes de incidentes para problemas
significativos, si bien se tienen en cuenta pero pasado un tiempo es difcil poder tomar
cuenta de ellos.
Ante esto recomendamos la creacin de un histrico de reportes de problemas,
donde se especifique de manera clara e inequvoca la naturaleza del problema, el
anlisis y la resolucin de ste. Este archivo permitir una simplificacin y ayuda en un
futuro a la hora de buscar soluciones a problemas y lo que es ms importante, evitar
que ocurran.
En cuanto a procedimientos de manejos de problemas se han detectado las
siguientes carencias:
No est definido y por tanto implementado un sistema de administracin de

problemas.
No se registran ni almacenan los procedimientos no-estndar que ocurren.
No se establecen reportes de los incidentes ocurridos, por tanto no se pueden
remitir a los usuarios para su conocimiento.
Al no haber un procedimiento de manejo de problemas no se han definido
controles lgicos y fsicos de la informacin para el manejo de stos.
Como no hay un histrico de problemas no se pueden seguir la tendencia de
stos para maximizar recursos.
14
Debido a estas carencias recomendamos la creacin de un modelo de reportes de

incidentes para su fcil almacenamiento y comunicacin a los usuarios.
5.5
Monitoreo
A pesar de que existen algunos mtodos para el control interno (p.ej logs de
acceso al sistema en cada mquina) la editorial carece de una poltica de la funcin de
servicios de informacin relacionadas con el monitoreo y el reporte de los controles
internos, as como tampoco en la frecuencia de las revisiones. Se trata de un riesgo
crtico, por tanto se recomienda definir un mecanismo que permita llevar un control de
forma peridica. Esta poltica tambin debera reflejar las medidas a tomar en caso de
que no se cumplan las condiciones impuestas por el control interno dndose a conocer
por escrito a los empleados pertinentes. As tambin, una vez que se tomara en
consideracin un control interno, y ste se llevara a cabo, sera conveniente que
existiera una revisin administrativa del mismo, de forma que la poltica pudiera
retroalimentarse y aprender de ella misma, hacindola cada vez ms confiable.
Asimismo, el control interno debe de partir de una buena base. Para ello, se deben de
hacer un estudio y eleccin de que datos son los ms idneos para llevar un
seguimiento de los controles internos.
5.6
Problemas Relacionados con la Planificacin
Para comenzar, el Director General nos informa de la falta de seguimiento de

una metodologa concreta que cubra las necesidades de formulacin y modificacin de
planes estratgicos. En su lugar se mantienen unas polticas y procedimientos propios,
cuya validez y adecuacin para el rea de desarrollo de la que se trata se analizan a
continuacin.
No se sigue una metodologa concreta que cubra las necesidades de
formulacin y modificacin de planes estratgicos. En su lugar se mantienen unas
polticas y procedimientos propios.
A su vez nos habl sobre los distintos planes del rea. Se observ una buena
cobertura a largo plazo, con suficiente soporte a los objetivos de la organizacin y a
los procesos del negocio. En cambio se encontr una evidente falta de cobertura
mediante planes a corto plazo con los que definir la base operativa.
La deficiencia anterior trae consigo una serie de errores, no obstante, la
documentacin general facilitada sobre las distintas actividades de la empresa es clara
y bien estructurada.
An sin seguir estrictamente una metodologa de planificacin estratgica,
como se comentaba anteriormente, se cumplen las especificaciones necesarias sobre
actividades y tareas que documentan los las metodologas de cada departamento,
pero volvemos a caer en la misma excepcin: no se consigue una buena cobertura en
los planes a corto plazo
El Director General pone a nuestra disposicin los planes del departamento
editorial. Se observa una buena cobertura a largo plazo, con suficiente soporte a los
objetivos de la organizacin y a los procesos del negocio. En cambio se encuentra una
evidente falta de cobertura operativa, mediante planes a corto plazo con los que llevar
a cabo el soporte de los planes estratgicos a largo plazo.
15
Otra importante carencia es la ausencia de un proceso para evaluar la situacin

tecnolgica de la empresa, ya que cuando el rea de Direccin Creativa necesita un
nuevo producto software, simplemente redactan una solicitud del mismo. Se echa en
falta un estudio justificando las distintas ventajas e inconvenientes de su adquisicin.
Cuando algn grupo de trabajo necesita un nuevo producto SW o HW,
redactan una solicitud sin evaluar excesivamente su necesidad.
Al estudiar el proceso de elaboracin del presupuesto de la funcin de sistemas
de TI del Departamento editorial se observa que no es consistente con el proceso
general de la empresa. Esto se debe a la falta de coherencia en la asignacin de
responsabilidades sobre la planificacin y desarrollo de este proceso, dando lugar a un
cierto descontrol a la hora de monitorizar esta actividad.
Con la colaboracin del Director de Edicin, se comprueba que la elaboracin
del presupuesto de inversin en TI no es coherente con los planes de la organizacin,
de manera que no se puede asegurar que sea acorde a las necesidades reales de la
organizacin. El anlisis del documento del ejercicio actual, junto con documentos de
ejercicios anteriores, refleja una carencia de actividades de costeo de estas
inversiones.
16
6 Papeles de Trabajo
6.1
Entrevista con la Directora Administrativa de la Empresa
- Auditor: Nombre completo?

Maria del Carmen Asturias Buenda
- Auditor: Cargo que desempea en la empresa?
Soy directora de toda la seccin Administrativa de la editorial, en su sucursal espaola.
- Auditor: Nos podra aclarar las competencias que le han sido asignadas?
Realizar los actos de administracin relativos a los recursos humanos,

materiales, servicios generales.
Planear, programar, coordinar y normar la administracin y desarrollo del
personal de la editorial; as como establecer los sistemas para su
evaluacin en coordinacin con las unidades administrativas competentes
Establecer, operar y supervisar el sistema de administrativo de la editorial;
as como conservar los libros, registros auxiliares, informacin y
documentos justificativos y comprobatorios de las operaciones realizadas
- Auditor: Respecto a sus competencias dentro de la empresa vamos a hacerle unas

preguntas sobre la forma de trabajar que se acostumbra a usar diariamente. Respecto
a los recursos materiales:
- Auditor: Usted se encarga de registrar toda la informacin que se maneja en la
editorial?
Cmo usted bien indica soy la encargada de clasificar y distribuir la informacin de
entrada que maneja la empresa en cada uno de sus departamentos. Algunos ejemplos
de informacin son: Registros de clientes, manuscritos en distintas fases de
valoracin, informes de ventas y la correspondencia entre las sucursales
internacionales
y
la
espaola.
- Auditor: Est usted autorizada a consultar y/o modificar la informacin que recibe?
Solo la informacin relativa a los clientes, si hay que cambiar los datos, aadirlos, etc.
Los manuscritos no debo alterarlos.
- Auditor:Dnde se almacenan estos datos de clientes y quin tiene acceso a ellos?
S que yo tengo acceso a los datos de los clientes para consultas y modificaciones
pero desconozco quin ms tiene acceso a esos datos. Todas las operaciones sobre
los clientes las realizo en una base de datos que tengo instalada en el ordenador, es
Access.
- Auditor:Tiene establecida alguna contrasea para trabajar en esa base de datos o
con el correo electrnico?
Al entrar en la empresa me dieron una, no la he cambiado (creo que no sabra hacerlo)

y es la que uso normalmente. Por si se me olvida la tengo apuntada en un fichero de
texto en el escritorio del ordenador.
- Auditor: Le consta que hay empleados que hacen lo mismo que usted, es decir,
utilizar la contrasea que le fue asignada por defecto sin cambiarla o tenerla apuntada
en algn documento del ordenador?
S que hay empleados que tambin lo hacen porque nadie nos dijo que esto fuera
algo importante, ni nos ensearon a cambiarla.
- Auditor:Respecto a los manuscritos que maneja, cul es el proceso normal por el
que estos se mueven en la empresa?
Cundo me llega un manuscrito le hago un "acuse de recibo" al mensajero o portador,
establezco comunicacin directa con el departamento editorial y con la direccin
general para sincronizarnos y hacerles llegar el manuscrito. A veces escaneo el
documento, si los interesados no se encuentran en la misma sucursal que yo o a
peticin de un "superior".
Cundo un manuscrito ha atravesado todo el ciclo editorial y creativo pasa a llamarse
"obra" y el departamento administrativo recibe el archivo via email, se requieren los
servicios de imprenta y envamos los archivos via email tambin.
- Auditor: Exite algun tipo de registro formal de incidencias?
No, si tenemos alguna incidencia puntual se comunica a los superiores y estos toman
decisiones que hay que acatar.
- Auditor:Puede describirme su entorno de trabajo?
Tengo a mi disposicin un ordenador y una estacin de impresin que incluye scanner.
Mi ordenador usa Windows XP y se entra en modo Administrador al iniciar. Tambin
tenemos una conexin a internet que funciona bastante bien mediante
Wifi.
- Auditor: Se ha percatado de alguna carencia en la empresa?
A veces mi ordenador funciona lentamente. As se lo dije al director general y ste
prometi que lo hara revisar por un profesional pero eso fu hace casi dos meses.
6.2
Entrevista con el Administrador del Hosting de la Web
- Auditor: Me puede decir su nombre y apellidos?

Ral Esteban Arcos
- Auditor: De qu se encarga usted exactamente?
Soy el encargado de mantener (actualizar y/o cambiar informacin) del sitio web de la
editorial. Las revisiones sobre el sitio web se realizan semanalmente. Las copias de
respaldo de la informacin del sitio son automatizadas, realizndose una incremental
(exclusivamente los datos modificados) a diario y una completa semanal. Estas ltimas
se guardan en cintas magnticas debidamente etiquetadas y se almacenan en caja
18
fuerte. Un empleado del Departamento de Seguridad Informtica, autorizado por m,

es el encargado de acceder a las instalaciones de la empresa de hosting para obtener
dichas copias de seguridad.
- Auditor: Utiliza el servidor Web protocolos de seguridad?
S, el servidor Web utiliza protocolos de seguridad (SSL, SHTTP o PCT) al ejecutar
transacciones en l (tcnicas de cifrado y autenticacin para incrementar la
confidencialidad y la fiabilidad de las transacciones). Cuenta con Filtro Antivirus
(acensAntivirus) y Anti-Spam (acensAntispam). El encargado de las actualizaciones es
la empresa de hosting Tesys Internet S.L.
- Auditor: Quin se encarga del control de acceso fsico a las instalaciones donde se
encuentra el servidor Web?
Es competencia de la empresa de hosting ya nombrada.
- Auditor: Qu tipo de conexin a Internet tiene la empresa?
Cuenta con una conexin ADSL a Internet. Para prevenir que la informacin del sitio
web no sea alterada se restringe el acceso al mismo a travs de la identificacin y
autenticacin de los usuarios por medio de sus cdigos de usuario y contraseas
correspondientes.
- Auditor: Qu roles de acceso tiene la web?
El Sistema de Informacin de la Editorial cuenta con dos perfiles de acceso:
administrador y usuario. Los usuarios son los clientes que han solicitado el servicio a
travs de la pgina web y han recibido sus cdigos de acceso en su domicilio
mediante correo certificado. El administrador soy yo, aunque en ocasiones delego
determinadas funciones en otros empleados del Departamento de Informtica, siendo
yo mismo el que asigna el cdigo de usuario y contrasea de acceso. Estos
empleados acceden al sistema con el perfil de Administrador, al igual que hago yo.
- Auditor: Hay algunas restricciones en cuanto a las contraseas?
Las contraseas han de tener una longitud mnima de cinco caracteres y caducarn a
los noventa das. Tras este periodo el usuario deber modificarla. Se bloquear la
cuenta tras tres intentos fallidos, debiendo el usuario afectado solicitar el desbloqueo
personalmente.
- Auditor: Existe algn sistema de deteccin de intrusos?
Mensualmente se realizan pruebas de penetracin al sistema (hacking tico) por el
Departamento de Seguridad Informtica. Adems existe un sistema de deteccin de
intrusos (IDS) que es probado semanalmente por el mismo departamento.
- Auditor: Se utilizan firewalls?
Tanto los equipos como el servidor que aloja la pgina web cuentan con firewalls
instalados cuya instalacin, actualizacin y configuracin recae en el Departamento de
Informtica.
- Auditor: Los clientes son informados de sus derechos y responsabilidades?
19
S, as como de cualquier otra informacin relevante, mediante avisos en la pgina

web de la editorial. Para notificaciones individuales se emplea el correo electrnico.
6.3
Entrevista con el Director General
- Auditor: Nos puede decir su nombre completo para que conste en acta?
Salvador Trigo Lpez
- Auditor: Cargo que desempea en la empresa?
Soy el director general de toda la empresa. Incluyendo todas las sedes en Francia e
Italia.
- Auditor: Nos puede decir que formacin tiene usted?
Soy licenciado en direccin y administracin de empresas, adems poseo un ttulo de
mster por la universidad Carlos III de tcnicas avanzadas de gestin empresarial.
- Auditor: Podra hacer una breve descripcin de su labor en la empresa?
Soy el mximo responsable de garantizar la consecucin de los objetivos comerciales
y del posicionamiento de la marca en el mercado nacional e internacional. As mismo
me encargo de la planificacin estratgica comercial y de la negociacin con grandes
clientes. En definitiva soy "l que tiene la ltima palabra".
- Auditor: Sabe cul es el presupuesto del que dispone la empresa para informtica?
No hay un presupuesto especfico para ese rea. Se invierte en informtica segn las
necesidades de los empleados y del modelo de negocio. Hace poco encargamos a
una empresa de desarrollo sofware un programa para ayudar a los Editores a realizar
su trabajo. Cost muchsimo dinero.
- Auditor:Entonces su empresa no tiene ningn plan de Tecnologas de Informacin?
Bueno, creemos que no hace falta para nuestra labor. Somos una editorial y nos
debemos centrar en sacar al mercado libros que gusten a la audiencia y crtica y
publicitarlos de la mejor manera posible.
- Auditor: Siguen, en su empresa, alguna metodologa que oriente en la consecucin
de los planes estratgicos?
No se sigue una metodologa concreta que cubra las necesidades de formulacin y
modificacin de planes estratgicos. En su lugar se mantienen unas polticas y
procedimientos propios
- Auditor: Me puede comentar algo sobre los programas que usa a diario para
elaborar su trabajo?,est contento con ellos?,considera que presentan deficiencias
muy graves?
Tengo todos los programas que usamos en la empresa en el ordenador, cmo
Director General tengo un acceso privilegiado a todos ellos, tengo una contrasea
personal de cuatro dgitos que cambio a menudo. En ciertos programas cmo los que
tienen que ver con el departamento editorial o el departamento de contabilidad tengo
20
parte activa en ellos, cmo ya le he dicho nada sucede en la empresa sin mi

consentimiento.
Los programas funcionan bien, aunque a veces un poco lentos. Gracias a ellos la
direccin se hace una idea bastante acertada de lo que est sucediendo en los
peldaos inferiores de la jerarqua y puede imponer su criterio en cualquier momento
de las operaciones que en ellos se realizan.
Respecto a lo que menciona de las deficiencias, a parte de los problemas de
velocidad antes mencionados, no hemos notado nada fuera de lo normal.
- Auditor: Sabe que cantidad de equipamiento tecnolgico posee la editorial y bajo
que tipo de configuracin funcionan los equipos?
Lo desconozco, pero lo podramos averiguar. Mejor remtase a Enrique, el
responsable de infraestructura de la empresa; l sabr responderles esa pregunta de
primera mano.
- Auditor: Seor Director, una ltima pregunta, Que tipo de responsabilidades
jurdicas asume la empresa con los clientes?
Algn tipo de cliente en concreto?
- Auditor: Todos, tanto los clientes directos (particulares), cmo los clientes que
distribuyen y ponen a la venta sus productos y los clientes que escriben para su
editorial.
La ley nos obliga a mantener los datos de los clientes bajo medidas frreas de
seguridad. Los escritores que "crean" y son publicados, o intentan serlo, en la editorial
depositan sus manuscritos en nuestro poder y bajo nuestra responsabilidad de que
sern tratados con discreccin y respetando la propiedad intelectual del autor.
Afortunadamente ningn cliente nos ha demandado nunca, y esperamos seguir en esa
linea.
6.4
Entrevista con el Responsable de Infraestructura
- Auditor: Me dice su nombre?

Enrique Ruiz Diaz-Ley.
- Auditor: Hay algn estudio ergonmico sobre el entorno de trabajo en la editorial?
Estudio como tal no, pero obviamente lo tenemos en cuenta. Por ejemplo hubo hace
tiempo una empleada que tena problemas de mueca y nosotros le proporcionamos
una alfombrilla de ratn con apoya muecas y tambin otro para el teclado.
- Auditor: Qu software de aplicacin tenis?
Todos los ordenadores utilizan windows xp y Microsoft Office 2003. Estamos
pensando en cambiar a Windows Vista pero esto nos supondra un presupuesto que
ahora mismo no tenemos eso por no hablar de que hay muchos empleados que se
quejaran por el cambio. Hay gente no experta, y de edad avanzada que bastante
tienen con aprender un sistema operativo para que ahora se lo cambiemos.
Adems utilizamos herramientas de Microsoft para todo como el Outlook como cliente
de correo.
21
- Auditor: Cmo se evala el hardware y el software es adecuado para las

necesidades?
A travs de reuniones.
- Auditor: Se realizan encuestas de satisfaccin a los trabajadores?
No, no se hacen, ni se me haba ocurrido.
- Auditor: Existe algn documento que especifique cules son los riesgos de la
empresa en TI?
No, pero hemos considerado algunos, cmo el riesgo referido a las prdidas de
informacin o a la disponibilidad del servidor.
- Auditor: Existe algn procedimiento para detectar riesgos en tecnologas de la
informacin?
Pues, no.
- Auditor: Qu medidas toman para solventar los riesgos que han detectado?
Con respecto al riesgo de perder de informacin se realizan backups peridicos, para
ello hemos comprado software; y tenemos varios servidores con medidas antivirus,
antispam y firewall para asegurar la disponibilidad del sistema.
- Auditor: Existe algn mtodo de actuacin para llevar a cabo las medidas en caso
de que se presente el riesgo?
No existe un procedimiento, se confa en la experiencia de los empleados para activar
la medida en caso de que se presente el riesgo.
- Auditor:Existe algn mtodo para documentar la resolucin de problemas
acontecidos?
No, los problemas se solventan y se aprende de ellos, pero no se deja constancia
escrita de estas actuaciones.
- Auditor: Se pide opinin sobre las necesidades de automatizacin que tiene la
empresa?
No, no se piden opiniones.
- Auditor: Hay algn mecanismo para informar de las necesidades tecnolgicas que
tenis?
No, simplemente se le comunica a la persona competente en la materia.
22
6.5
Entrevista con la Direccin Editorial.
- Auditor: Nombre, por favor?

Ricardo Gmez Serna
- Auditor: Podra hacer una breve descripcin de su labor en la empresa?
- Normar la poltica editorial de la empresa atendiendo al compromiso de la
institucin de asumirse a un tiempo como productora y receptora de arte y
conocimiento.
- Sugerir al director general el nombramiento de los directores, comisiones y
comits editoriales de las colecciones y publicaciones peridicas bajo la
responsabilidad de la Direccin Editorial.
- Sugerir al Rector el nombramiento de los directores, comisiones y comits
editoriales de las colecciones y publicaciones peridicas bajo la
responsabilidad de la Direccin Editorial.
- Aprobar, supervisar y evaluar el proceso editorial.
- Auditor: Nos podra hablar a grandes rasgos sobre el software que utiliza su
departamento?
Utilizamos un software desarrollado por la empresa X-Software que nos facilita a
todos los editores las labores de aceptacin de manuscritos y edicin de cambios. El
programa proporciona tres mtodos de trabajo; el primero es para la edicin de
manuscritos, si cmo editor de la editorial le parece adecuado hacer alguna correccin
en el texto, ste se corrije y todos los editores involucrados son informados del
cambio. En segundo lugar el software permite aceptar el manuscrito entre todos los
editores, nos da la posibilidad de hablar entre editores en tiempo real y el manuscrito
queda definitivamente aprobado cundo todos los editores se dan por enterados y
estn conformes. Por ltimo el programa tambin pone a disposicin una potente
herramienta de previsualizacin de los manuscritos una vez maquetados, por el equipo
creativo, para proceder a la aceptacin final por parte de los editores. El director
general se involucra bastante en el trabajo y aporta sus conocimientos en cualquier
momento de la fase editorial.
- Auditor: Estos archivos en que formato pueden llegar a los editores?
Alguna veces la direccin administrativa le hace llegar al editor jefe de su sucursal
una copia en papel. El editor que lo recibe debe encargarse de digitalizar el documento
y avisar a todos los editores a travs del programa que se utiliza. Otras veces la
digitalizacin se hace en el departamento administrativo y llega al correo de algn
editor que se encarga de su insercin en el sistema.
- Auditor: Existe algn documento formal que registre todos los pasos por los que
atraviesa un documento?
No existe ninguno, a lo mejor la direccin administrativa lleva algn tipo de control en
su departamento. Lo que si le puedo decir es que con el programa con el que
trabajamos si se pueden consultar los pasos que ha seguido un manuscrito (quin lo
consulta, quin le hace una copia, quin se lo descarga, quin hace las anotaciones)
cundo est dentro del proceso editorial propiamente dicho.
23
- Auditor: Que hacen con las copias que se han aprobado para editar?
Una vez que el archivo est aprobado por todos los editores y ha sido,
posteriormente, "armado" y aprobado de nuevo, el manuscrito se queda en el
programa almacenado a la espera de que algn editor avise a la direccin
administrativa y sta se encargue de entregar el fichero a la imprenta.
- Auditor: Existe alguna forma unvoca de identificar las copias que se hace cada
trabajador en cualquier fase del proceso interno de la empresa?
Lo desconozco. Si se refiere a algn tipo de "marca de agua" imborrable... habra que
preguntrselo a la empresa desarrolladora del software.
- Auditor: Considera esto cmo la mejor forma de guardar este tipo de
documentacin?
Ningn sistema, creo, est libre de riesgos a la hora de manejar documentacin
importante. S se podra mejorar?, supongo que todas las medidas de seguridad que
se tomen con una obra antes de ser publicada son pocas.
6.6
Entrevista con el Director de Informtica
- Auditor: Me puede decir su nombre completo?

Me llamo Alberto Jimenez Catellanos
- Auditor: Existe alguien en la empresa cuya misin sea actualizar peridicamente el
software que se utiliza para hacer frente a posibles amenazas de virus, spyware,
spam, etc.?
Cada empleado es el que se ocupa de su ordenador y es responsabilidad de l
actualizar el software del que dispone. No obstante se realizan revisiones peridicas
pero el periodo entre revisin y revisin no est estipulado.
- Auditor:Alguna vez han pensado en definir un mecanismo que permita llevar un
control de forma peridica?
S, personalmente creo que esta sera una medida muy recomendable.
- Auditor: Cundo suceden incidencias, cmo se notifican?
Me las comunican a m personalmente
Auditor: Entonces, no existe un registro en el que se comuniquen formalmente?
No, no existe ningn documento de incidencias
- Auditor: Hablemos ahora de las contraseas de acceso al sistema. Tienen un
mnimo de caracteres?
S, todas las contraseas tienen un mnimo de cinco caracteres.
- Auditor: Cmo se notifica a un empleado su contrasea de acceso al sistema?
Se la comunica personalmente el responsable de infraestructura
24
7 Anexos
7.1
Fichero de Login y Contraseas
Nombre
Raul Garcia
Isidoro Pea
Isabel Belloso
Rafael Salido
Luisa Patn
Patricia Mata
Lourdes Rincn
Ral Martnez
Sofa Pozo
Alejandro Morales
Juan Camacho
Alberto Robles
Juan Polo
Ignacio Jaramillo
-
Login
raulg
pea
isa.belloso
rafa.salido
luisap
pmata
lourdes
rmartinez
spozo
morales
jcamacho
robles
jpolo
ignacio.jaramillo
Contrasea
3h4566
hh554h
h5t94b
111111
tt99y6
rfgh7y
123456
e398t9
59sof3
am32ma
33cc43
112233
4rt56y
we4rt5
Sofa Pozo ya no pertenece a la empresa pero su login y su clave aun

siguen registradas.
Rafael Salido y Lourdes Rincn tienen contraseas que pueden ser
fciles de descifrar.
Alberto Robles tiene la contrasea que asigna la empresa a todos los
usuarios por defecto por lo tanto seria muy fcil de descifrar.
7.2
Sobre Antivirus y Firewall
Todos los computadores cuentan con software antivirus y anti-spyware

instalado configurado para actualizarse automticamente va internet, disponemos
licencias corporativas del siguiente software:
Trend Micro Anti-Spyware
Panda Internet Security 2008
26
7.3
Fotos sobre el Estado de las Instalaciones
Despacho individual del responsable de infraestructura. La mesa redonda

supone un gran desperdicio de espacio en esta oficina. Los monitores no son LCD ni
TFT lo que puede suponer tener la vista cansada tras largas horas frente al ordenador.
Este problema se podra ser menor utilizando otro tipo de monitor.
En la oficina colectiva s que contamos con monitores LCD marca SAMSUNG.

Se dispone de suficiente espacio para personas de todo tipo pero sera conveniente
poner ms nfasis en factores como reposa muecas para ratones y teclados y reposa
pis para las largas horas de trabajo.
27
8 Documento de Seguridad para Ficheros Automatizados de

Datos de Carcter Privado.
EDITORIAL X
DOCUMENTO DE SEGURIDAD DE EDITORIAL X.
El presente Documento y sus Anexos, redactados en cumplimiento de lo

dispuesto en el Reglamento de Medidas de Seguridad (Real Decreto 994/1999 de 11
de Junio), recogen las medidas de ndole tcnica y organizativas necesarias para
garantizar la proteccin, confidencialidad, integridad y disponibilidad de los recursos
afectados por lo dispuesto en el citado Reglamento y en la Ley Orgnica 15/1999 de
13 de diciembre, de Proteccin de Datos de Carcter Privado.
El contenido principal de este Documento queda estructurado como sigue:
I. mbito de aplicacin del documento.
II. Medidas, normas, procedimientos, reglas y estndares encaminados a
garantizar los niveles de seguridad exigidos en este documento.
III. Procedimiento general de informacin al personal.
IV. Funciones y obligaciones del personal.
V. Procedimiento de notificacin, gestin y respuestas ante las incidencias.
VI. Procedimientos de revisin.
VII. Consecuencias del incumplimiento del Documento de Seguridad.
Anexo I. Aspectos especficos relativos a los diferentes ficheros.
Anexo I a. Aspectos relativos al fichero Clientes
Anexo I b. Aspectos relativos al fichero de carcter privado.
28
CAPTULO I: MBITO DE APLICACIN DEL DOCUMENTO
El presente documento ser de aplicacin a los ficheros que contienen datos

de carcter personal que se hallan bajo la responsabilidad del Director del
Departamento de Administracin, incluyendo los sistemas de informacin, soportes y
equipos empleados para el tratamiento de datos de carcter personal, que deban ser
protegidos de acuerdo a lo dispuesto en normativa vigente, las personas que
intervienen en el tratamiento y los locales en los que se ubican.
Las medidas de seguridad se clasifican en tres niveles acumulativos (bsico,
medio y alto) atendiendo a la naturaleza de la informacin tratada, en relacin con la
menor o mayor necesidad de garantizar la confidencialidad y la integridad de la
informacin.
Nivel medio: Se aplicarn a los ficheros con datos de carcter personal. Ficheros que
contengan datos de ideologa, religin, creencias, origen racial, salud o vida sexual o
los recabados para fines policiales sin consentimiento (en este ltimo caso, tambin
debern ser de titularidad pblica).
Nivel alto: Ficheros que contengan informacin relativa a las creaciones
propiedad de los autores que tengan relacin contractual con la empresa.
En concreto, los ficheros sujetos a las medidas de seguridad establecidas en
este documento, con indicacin del nivel de seguridad correspondiente, son los
siguientes:
- Clientes [Nivel Medio],
- Ficheros Privados [Nivel Medio].
En el Anexo I se describen detalladamente cada uno de los ficheros o
tratamientos, junto con los aspectos que les afecten de manera particular.
CAPTULO II: MEDIDAS, NORMAS PROCEDIMIENTOS, REGLAS Y

ESTNDARES ENCAMINADOS A GARANTIZAR LOS NIVELES DE
SEGURIDAD EXIGIDOS EN ESTE DOCUMENTO
Medidas y normas relativas a la identificacin y autenticacin del personal
autorizado a acceder a los datos personales
Los mecanismos de autenticacin a los sistemas de informacin de los
usuarios se realizarn mediante un cdigo de usuario y contrasea individuales para
cada uno de ellos.
El cdigo de usuario se corresponder con el DNI del mismo y la contrasea
ser una combinacin de caracteres alfanumricos aleatoria, con una longitud mnima
de la misma de cinco caracteres.
La distribucin del cdigo de usuario y contrasea se realizar, previa solicitud
del cliente, mediante correo certificado.
29
El almacenamiento de la contrasea en los Sistemas de Informacin de la

Entidad ser encriptado.
Esta contrasea deber ser modificada por el cliente cada noventa das.
En los ficheros: Clientes, Ficheros Privados la identificacin de los usuarios se
deber realizar de forma inequvoca y personalizada, verificando su autorizacin.
Asimismo, se limitar la posibilidad de intentar reiteradamente el acceso no autorizado
al sistema de informacin a tres ocasiones.
Control de acceso
El personal slo acceder a aquellos datos y recursos que precise para el
desarrollo de sus funciones.
Exclusivamente el Director del Departamento de Seguridad Informtica est
autorizado para conceder, alterar o anular el acceso autorizado sobre los datos y los
recursos.
Una vez el responsable correspondiente haya concedido el acceso, se incluir
al nuevo usuario del fichero dentro de uno de los perfiles de acceso definidos para ese
fichero y se facilitar un cdigo de usuario y una contrasea de acceso al mismo.
Ser este mismo responsable el encargado de dar de alta y de baja (cuando
corresponda), dentro del Sistema de Informacin de la Entidad, a dicho usuario.
La relacin de usuarios con acceso autorizado a cada sistema de informacin,
as como el tipo de acceso autorizado para cada uno de ellos se actualizar cada vez
que se produzca una modificacin en la misma y, en su defecto, semanalmente.
Control de acceso fsico
Exclusivamente el Director del Departamento de Seguridad Informtica, y los
empleados autorizados por l, podrn tener acceso a los locales donde se encuentren
ubicados los sistemas de informacin correspondientes a Clientes y ficheros privados.
Los procedimientos para el acceso tanto del administrador (o empleados
autorizados), como del personal de mantenimiento, limpieza, seguridad, etc., sern los
establecidos por la empresa contratada para el hosting.
Registro de accesos
En los accesos a los datos del fichero de nivel medio (Clientes, ficheros
privados), se registrar por cada acceso la identificacin del usuario, la fecha y hora en
que se realiz, el fichero accedido, el tipo de acceso y si ha sido autorizado o
denegado en el fichero log Registro de Accesos. Si el acceso fue autorizado, se
almacenar tambin la informacin que permita identificar el registro accedido.
El mecanismo que permita este registro estar bajo control directo del
responsable de seguridad, sin que se deba permitir, en ningn caso, la desactivacin
del mismo.
Los datos del registro de accesos se conservarn durante dos aos.
30
El responsable de seguridad revisar peridicamente la informacin de control

registrada y elaborar un informe segn se detalla en el Captulo VI de este
documento.
Gestin de soportes
Los soportes que contengan datos de carcter personal deben ser etiquetados
para permitir su identificacin, inventariados y almacenados en la sala destinada a tal
efecto en el edificio central de Editorial X, lugar de acceso restringido al que slo
tendr acceso el Director del Departamento de Seguridad Informtica o el personal por
l autorizado. El acceso a los locales se realizar mediante una tarjeta de
identificacin con banda magntica y un cdigo personal de cuatro dgitos.
Los soportes informticos se almacenarn en una caja fuerte tras su
etiquetado. El proceso de etiquetado incluye la asignacin de un identificador nico,
una descripcin del contenido del soporte y un datado de la elaboracin del mismo.
El inventario de soportes se realizar de forma automatizada y ser revisado
por el Director del Departamento de Seguridad Informtica cada quince das
emitindose un informe mensual de dichas revisiones.
La salida de soportes informticos que contengan datos de carcter personal,
fuera de los locales en donde est ubicado el sistema de informacin, nicamente
puede ser autorizada por el responsable del fichero o aquel en que se hubiera
delegado. La salida slo podr llevarse a cabo una vez se haya concedido el acceso y
se haya facilitado al usuario un mtodo seguro de autenticacin.
Registro de Entrada y Salida de Soportes.
Las salidas y entradas de soportes correspondientes a los ficheros Clientes y
Ficheros privados debern ser registradas presentando una autorizacin por escrito
del responsable correspondiente que, adems, incluir la identificacin del soporte,
fecha de la entrada o salida y finalidad de la misma.
El registro de entrada y salida de soportes se gestionar mediante
autorizaciones por escrito y se contemplar debidamente en la base de datos del
Sistema de Informacin de la empresa. Dicho registro deber constar del tipo de
soporte, la fecha y hora, el emisor (o destinatario), el nmero de soportes, el tipo de
informacin que contienen, la forma de envo y la persona responsable de la recepcin
(o entrega).
Medidas adicionales para los soportes con datos de nivel medio
Los soportes correspondientes a los ficheros Clientes y Ficheros Privados que
vayan a ser desechados o reutilizados, debern ser previamente formateados de
forma que no sea posible recuperar la informacin almacenada en ellos.
Se adoptarn las mismas medidas en caso de que los soportes con datos de
los mencionados ficheros vayan a salir fuera de los locales en que se encuentren
ubicados, como consecuencia de operaciones de mantenimiento.
31
Acceso a datos a travs de redes de comunicaciones

Las medidas de seguridad exigibles a los accesos a los datos de carcter
personal a travs de redes de comunicaciones debern garantizar un nivel de
seguridad equivalente al correspondiente a los accesos en modo local.
Rgimen de trabajo fuera de los locales de la ubicacin del fichero
La ejecucin de tratamiento de datos de carcter personal fuera de los locales
de la ubicacin del fichero deber ser autorizada expresamente por el responsable del
fichero y, en todo caso, deber garantizarse el nivel de seguridad correspondiente al
tipo de fichero tratado.
Se facilitar al personal de la Entidad autorizado para acceder a los ficheros
Clientes y Ficheros privados un token o palabra clave de acceso a la red local de la
Entidad desde cualquier punto externo al edificio de trabajo. El acceso a dicha red
local desde lugares remotos ser habilitado exclusivamente durante las horas
laborables estipuladas por la empresa.
Ficheros temporales
Los ficheros temporales debern cumplir el nivel de seguridad que les
corresponda con arreglo a los criterios expresados en el Reglamento de medidas de
seguridad, y sern borrados una vez que hayan dejado de ser necesarios para los
fines que motivaron su creacin.
Copias de seguridad
Es obligatorio realizar copias de respaldo de los ficheros automatizados que
contengan datos de carcter personal. Los procedimientos establecidos para las
copias de respaldo y para su recuperacin garantizarn su reconstruccin en el estado
en que se encontraban al tiempo de producirse la prdida o destruccin.
En el Anexo I se detallan los procedimientos de copia y recuperacin de
respaldo para cada fichero.
Las recuperaciones de datos de los ficheros Clientes y Ficheros privados
debern ser autorizadas por escrito por el responsable del fichero, segn el
procedimiento indicado en el Captulo V.
Adems se contar con una plataforma espejo (estructura similar a la
plataforma tecnolgica empleada por la Entidad para el abastecimiento del servicio)
que servir de respaldo en caso de prdidas de informacin.
Responsable de seguridad
El responsable del fichero designar al Director del Departamento de
Seguridad Informtica que con carcter general se encargar de coordinar y controlar
las medidas definidas en este documento de seguridad.
En ningn caso, la designacin supone una delegacin de la responsabilidad
que corresponde a Editorial X como responsable del fichero de acuerdo con el
Reglamento de medidas de seguridad.
32
El responsable de seguridad desempear las funciones encomendadas

durante el periodo de desempeo de su cargo establecido en su contrato. Una vez
transcurrido este plazo Editorial X podr nombrar al mismo responsable de seguridad
o a otro diferente.
Pruebas con datos reales
Las pruebas anteriores a la implantacin o modificacin de los sistemas de
informacin que traten ficheros con datos de carcter personal, no se realizarn con
datos reales, salvo que se asegure el nivel de seguridad correspondiente al
fichero tratado.
CAPTULO III.
PERSONAL
PROCEDIMIENTO
GENERAL DE
INFORMACIN AL
Las funciones y obligaciones de cada una de las personas con acceso a los
datos de carcter personal y a los sistemas de informacin estn definidas de forma
general en el Captulo siguiente y de forma especfica para cada fichero en la parte del
Anexo I correspondiente.
Para asegurar que todas las personas conocen las normas de seguridad que
afectan al desarrollo de sus funciones, as como las consecuencias del incumplimiento
de las mismas, sern informadas mediante clusulas de responsabilidad incluidas en
sus contratos y al tomar posesin del cargo.
Adems, Editorial X se compromete a remitir de forma peridica informacin
sobre seguridad: circulares, recordatorios, nuevas normas, al personal que estime
oportuno mediante correo interno de la empresa.
Los usuarios ajenos a la empresa sern informados de sus derechos y
responsabilidades as como de cualquier otra informacin relevante mediante avisos
en la pgina web de la entidad.
CAPTULO IV. FUNCIONES Y OBLIGACIONES DEL PERSONAL

Funciones y obligaciones de carcter general.
Todo el personal que acceda a los datos de carcter personal est obligado a
conocer y observar las medidas, normas, procedimientos, reglas y estndares que
afecten a las funciones que desarrolla.
Constituye una obligacin del personal notificar al Director del Departamento de
Seguridad Informtica las incidencias de seguridad de las que tengan conocimiento
respecto a los recursos protegidos, segn los procedimientos establecidos en este
Documento, y en concreto en su Captulo V.
Todas las personas debern guardar el debido secreto y confidencialidad sobre
los datos personales que conozcan en el desarrollo de su trabajo.
Funciones y obligaciones de los distintos perfiles de usuarios que acceden a
los ficheros sern comunicadas a los afectados siguiendo el procedimiento
general de informacin al personal detallado en el Captulo III.
33
CAPTULO V. PROCEDIMIENTO DE
RESPUESTA ANTE LAS INCIDENCIAS.
NOTIFICACIN,
GESTIN
Se considerarn como incidencias de seguridad, entre otras, cualquier

incumplimiento de la normativa desarrollada en este Documento de Seguridad, as
como a cualquier anomala que afecte o pueda afectar a la seguridad de los datos de
carcter personal de Editorial X.
La notificacin de incidencias incluir un parte de notificacin de incidencias
donde se especificar el identificador de la incidencia junto con una descripcin
detallada de la misma (fecha en que se produjo, personas que realizan la notificacin,
etc).
El registro de incidencias se gestionar de forma manual y automatizada: una
vez se haya recibido la notificacin por escrito se incluir sta en una base de datos.
En el registro de incidencias se consignarn tambin los procedimientos de
recuperacin de datos que afecten a los ficheros Clientes y Ficheros privados,
incluyendo la persona que ejecut la restauracin, los datos recuperados e indicando
el cdigo especfico para recuperaciones de datos, en la informacin relativa al tipo de
incidencia.
Para ejecutar los procedimientos de recuperacin de datos en los ficheros
mencionados en el prrafo anterior, ser necesaria la autorizacin por escrito del
responsable del fichero.
CAPTULO VI PROCEDIMIENTOS DE REVISIN

Revisin del Documento de Seguridad.
El documento deber mantenerse en todo momento actualizado y deber ser revisado
siempre que se produzcan cambios relevantes en el sistema de informacin o en la
organizacin del mismo. Asimismo, deber adecuarse, en todo momento, a las
disposiciones vigentes en materia de seguridad de los datos de carcter personal.
Auditora
Editorial X contar con un departamento de Auditora interna que verifique el
cumplimiento del Reglamento de Seguridad. As mismo se realizar una Auditora
externa bianualmente con el fin de analizar la adecuacin al Reglamento de las
medidas y controles, identificar las deficiencias y proponer las medidas correctoras o
complementarias necesarias. Los informes de auditora han de ser analizados por el
responsable del fichero, y quedar a disposicin de la Agencia Espaola de Proteccin
de Datos.
Informe mensual sobre Log de accesos
El Director del Departamento de Seguridad Informtica de la Entidad emitir a su
superior un informe mensual sobre los ficheros de registro o log de accesos, indicando
posibles incidencias.
34
CAPTULO VII: CONSECUENCIAS

DOCUMENTO DE SEGURIDAD
DEL
INCUMPLIMIENTO
DEL
El incumplimiento de las obligaciones y medidas de seguridad establecidas en

el presente documento por el personal afectado, se sancionar conforme al Real
Decreto 994/1999 sobre el tratamiento de los ficheros automatizados con datos de
carcter personal.
35

Upo 2 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Upo 2 PDF

Cargado por

Copyright:

Formatos disponibles

ndice

Carta al Director .................................................................................................... 3

Descripcin Detallada de la Empresa Auditada..................................................... 5

Organigrama de la Empresa ................................................................................. 7

Alcance de la Auditoria ......................................................................................... 8

Informe de la Auditoria .......................................................................................... 8

Gestin del Hardware.................................................................................... 8

Gestin de Soportes (y seguridad lgica) ...................................................... 9

Adquisicin y Mantenimiento ....................................................................... 12

Problemas Relacionados con la Planificacin.............................................. 15

Papeles de Trabajo ............................................................................................. 17

Entrevista con la Directora Administrativa de la Empresa............................ 17

Entrevista con el Administrador del Hosting de la Web............................... 18

Entrevista con el Director General ............................................................... 20

Entrevista con el Responsable de Infraestructura........................................ 21

Entrevista con la Direccin Editorial. ........................................................... 23

Entrevista con el Director de Informtica ..................................................... 24

Fichero de Login y Contraseas.................................................................. 25

Sobre Antivirus y Firewall ............................................................................ 26

Fotos sobre el Estado de las Instalaciones.................................................. 27

2 Descripcin Detallada de la Empresa Auditada

Departamento de Proceso editorial

Determinar si el original entregado tiene el nivel de

Esta parte culmina cuando la comisin acepta o rechaza la publicacin del

Dirigir, planificar y coordinar las actividades generales de los departamentos

Departamento de diseo editorial

Departamento Ventas y marketing

Departamento Administracin de personal

Establecer el perfil y diseo de puestos

Desarrollo y gestin de la poltica y administracin de beneficios sociales.

Departamento Contabilidad y administracin

Mantener el correcto funcionamiento de los sistemas y procedimientos

Gestin del Hardware

A continuacin detallamos en que ha consistido nuestra investigacin en el

No se puede actualizar el plan de infraestructura tecnolgica con lo que

La recomendacin que hacemos es que primeramente se especifique un plan a

Un problema importante es que no se realiza un mantenimiento preventivo del

Lo que recomendamos es que se establezca una poltica y unos procedimientos

Gestin de Soportes (y seguridad lgica)

Consideramos que esta rea es de vital importancia dentro del modelo de

Se ha comprobado que no existe ni est establecido ningn sistema de registro

Al igual que con la entrada de soportes no se dispone de ningn sistema de

Se ha comprobado, igualmente, que los soportes cundo salen fuera de los

No existe ningn tipo de registro de incidencias. Si se producen se establece

La lista de usuarios con acceso autorizado se actualizar automticamente

Los procedimientos de recuperacin de datos se consignan en el registro de

Habiendo observado el entorno de trabajo y los procedimientos de la editorial

No existe un procedimiento documentado por el cual los usuarios comunican

Dadas estas situaciones detectamos varias deficiencias de las cuales la ms

La realizacin de estos estudios ergonmicos se basan en opiniones y

Con estas situaciones hemos detectado las siguientes deficiencias:

No existen estudios ergonmicos como tales si no son ideas y experiencias

Tras realizar un estudio sobre el software y el hardware utilizado se ha podido

Tras una entrevista con el director general de la empresa (vase entrevista al

propios empleados, si bien el edificio cuenta con un plan de evacuacin, e informacin

La empresa dispone de sistemas software con sus respectivas licencias

No est definido y por tanto implementado un sistema de administracin de

Debido a estas carencias recomendamos la creacin de un modelo de reportes de

Problemas Relacionados con la Planificacin

Para comenzar, el Director General nos informa de la falta de seguimiento de

Otra importante carencia es la ausencia de un proceso para evaluar la situacin

Entrevista con la Directora Administrativa de la Empresa

- Auditor: Nombre completo?