Informe de

auditoría
informática
Alumno: Eduardo Martín Pérez
Informe de auditoría informática de GesFincas 25 de enero de 2021

Auditoria Informática
Proyecto de final del curso de
Seguridad Informática (IFCT0109)
número 19-38/000015

Eduardo Martín Pérez

2
Informe de auditoría informática de GesFincas 25 de enero de 2021

DESCRIPCIÓN DE LA INSTITUCIÓN 4

ZONA AUDITAR 4

OBJETIVO 4

ALCANCE 5

METODOLOGÍA 5

INFORME DE AUDITORÍA DEL SISTEMA DE INFORMACIÓN 5

Recursos materiales y técnicos 6

Observaciones sobre el sistema de información 7

Recomendaciones y salvaguardas 8

INFORME DE AUDITORÍA DE GESTIÓN DE DATOS PERSONALES 9

Observaciones y recomendaciones 10
1. DOCUMENTO DE SEGURIDAD 10
2. PERSONAL 11
3. INCIDENCIAS 11
4. IDENTIFICACIÓN Y AUTENTIFICACIÓN 11
5. CONTROL DE ACCESO 12
7. COPIAS DE RESPALDO 13

CONCLUSIONES 14

Anexos 16
Anexo I. Arteco Fincas 16
Anexo II. Configuración y estado de la red 17
Anexo III. Aplicaciones y características del equipo PC 18
Anexo V. Cuestionario de auditoria para los usuarios 25

Eduardo Martín Pérez

3
Informe de auditoría informática de GesFincas 25 de enero de 2021

Descripción de la Institución
La institución ficticia a evaluar, GesFincas SLU, es una empresa de reciente creación que
pertenece al colectivo profesional de Administradores de Fincas Colegiados de Santa Cruz de
Tenerife, y que tiene por finalidad la de gestionar, a petición de los propietarios de fincas
rústicas o urbanas, o por decisión de una junta de propietarios, los asuntos financieros, legales
y técnicos necesarios para el mantenimiento y gestión económica de las mismas.

La gerencia de la empresa se encuentra situada en Santa Cruz de Tenerife, teniendo dos sedes
secundarias, un en el sur de la isla y otra en el norte. Esta última es la que es objeto del
presente informe de auditoría.

Sede Central
Santa Cruz de
Tenerife

Sede Norte Sede Sur

Ilustración 1. Organigrama administrativo de GesFincas SLU

Debido a la finalidad misma de los servicios prestados a sus clientes, se procesan y almacenan
datos relacionados con las propiedades administradas, propietarios y administradores tales
como nombres, NIF, teléfonos, direcciones, correo electrónico, número de póliza de seguros y
datos bancarios, así como los datos de diversos proveedores que prestan sus servicios a las
distintas fincas administradas.

Zona auditar
Vamos a auditar un único puesto informático utilizado para la realización de labores
administrativas desarrolladas durante la actividad diaria de la empresa. Esta se situada en una
oficina de reciente creación localizada en la calle de los Cantos Canarios, nº 7, en La Orotava,
Santa Cruz de Tenerife. Aquí se utilizará principalmente la aplicación online de gestión de
fincas Arteco Fincas, Gmail y LibreOffice para la realización de la actividad empresarial.

• Responsable del área auditada: GesFincas SLU

• Auditor: Eduardo Martín Pérez
• Fecha de ejecución de la auditoria: 21/01/2021
• Fecha de presentación del informe: 28/01/2021

Objetivo
El objetivo de la presente auditoría consiste en valorar la seguridad de los sistemas de
información tomando como marco de referencia la Metodología de Análisis y Gestión de Riesgos
de los Sistemas de Información (MAGERIT) en su versión 3.0, así como de la evaluación del

4
Eduardo Martín Pérez
Informe de auditoría informática de GesFincas 25 de enero de 2021

cumplimiento de acuerdo al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo
(RGPD), de 27 de abril de 2016, que entró en vigor el 06 de diciembre del 2018, así como la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los
derechos digitales (LOPDP).

Alcance
La revisión está limitada a brindar una opinión objetiva sobre la seguridad del sistema de gestión
de la información de GesFincas, donde se expresará si se han tomado las medidas suficientes
para reducir los riesgos relativos a la confidencialidad, la integridad y la disponibilidad del
sistema de gestión de la información y de los datos tratados por él.

Por otra parte, se valorará la implantación del reglamento General de protección de datos
Personales y garantía de los derechos digitales y su cumplimiento en relación a un nivel de
protección adecuado con respecto a los riesgos y la naturaleza de los datos personales que
deban protegerse.

Metodología
La metodología de investigación a utiliza será la siguiente:

1. Solicitud de manuales del sistema

2. Elaboración de un cuestionario para los usuarios del sistema.
3. Entrevista a los usuarios del sistema
4. Análisis y evaluación del proceso de trabajo
5. Análisis y evaluación control de seguridad
6. Análisis y evaluación de la confidencialidad de la información
7. Análisis y evaluación de la implantación del reglamento General de protección de datos
Personales y garantía de los derechos digitales (RGPD)
8. Utilización de software para la verificación de licencias utilizadas.
9. Solitud de contrato de compras y mantenimientos de equipos
10. Solicitud de contrato de seguro.
11. Evaluación técnica del sistema eléctrico de los equipos y de las instalaciones utilizadas.
12. Evaluación de la información recopilada
13. Elaboración y presentación del informe

Informe de auditoría del sistema de información

En el área a auditar, delegación del norte, encontramos las siguientes características:

• Organigrama del área. La oficina está ocupada por un auxiliar administrativo que
responde directamente a la gerencia localizada en las oficinas centrales en Santa Cruz
de Tenerife.
• Manuales y reglas de la organización. No constan manuales organizativos ni
reglamentos expresados documentalmente.
• Políticas generales definidas por la organización. No consta que la organización
exprese documentalmente su política empresarial en relación a la gestión de la
información.

Eduardo Martín Pérez

5
Informe de auditoría informática de GesFincas 25 de enero de 2021

• Objetivos a corto y largo plazo. A corto plazo la empresa no espera cambios a realizar
en esta oficina. A largo plazo, esperan aumentar el personal de la misma en varias
personas.
• Manual de políticas, reglamentos y normativas del área. Al solicitar información
sobre este tema, se informa que no hay documentación sobre el mismo. Es la gerencia
la que toma las decisiones y las comunica verbalmente a sus empleados.
• Números de personas trabajando en el área y cantidad de puestos de trabajo. En la
oficina solo hay un trabajador que ocupa el único puesto de trabajo existente.
• Presupuestos y gastos del área. El presupuesto para gasto en el área de informática
está agotado para el año en curso. No se conoce gasto empleado.

Recursos materiales y técnicos

La oficina en estudio cuenta los siguientes recursos materiales y técnicos

• PC de sobremesa. Se conecta por cable (par trenzado, cat. 6) al rúter.

• Teclado y ratón vía USB.
• Pantalla TFT. Conectada mediante cable HDMI al PC.
• Impresora multifunción. Conectada por wifi a la red.
• Router-switch. Conectado al PC y al teléfono de sobremesa
• Teléfono de sobremesa. Telefonía IP. Conectado directamente al rúter por cable
• Mobiliario de oficina. Mesas, sillas, estanterías.
• Extintores.

Recursos relativos al software instalado:

• Windows 10 Pro, sistema operativo principal. Licencia: sin licencia.

• Libre Office, suite de ofimática. Licencia: libre.
• Navegadores web: Edge, Chrome, Firefox. Licencia: libre.
• WinRAR, compresor de archivos. Licencia: libre.
• EaseUs Todo Backup 13. Gestor de copias de seguridad. Licencia: libre.
• Ubuntu 20, sistema operativo secundario. Licencia: libre.

Aplicaciones explotadas online mediante uso de navegadores:

• Gmail. Aplicación online para el correo electrónico. Licencia: gratuita.

• Arteco Fincas. Aplicación para la explotación de servicios de gestión de propiedades
inmobiliarias. Licencia: versión gratuita.

Eduardo Martín Pérez

6
Informe de auditoría informática de GesFincas 25 de enero de 2021

Ilustración 2. Diseño del puesto de trabajo auditado.

Observaciones sobre el sistema de información

Identificación de las amenazas y riesgos usuales, de acuerdo a MAGERIT 3.0:

1. Amenazas por desastres naturales. Las instalaciones, los equipos informáticos y

auxiliares, y los medios de almacenamiento, son vulnerables a daños por fuego o agua
(y otros siniestros de causa mayor) que afectaría la disponibilidad de la información.
2. Amenazas de origen industrial. Los equipos son vulnerables a cambios en la tensión
eléctrica o a fallos en el suministro eléctrico, de origen mecánico debido a polvo
suciedad, o a los productos químicos utilizados para la limpieza de las instalaciones, lo
que afectaría a la disponibilidad de los equipos.
3. Pérdida de los medios de telecomunicación. Un corte en el suministro eléctrico
implicaría la pérdida de información y la incomunicación de la oficina puesto que si cae
la luz todas las comunicaciones, que dependen del rúter (telefonía IP e internet), se
verían afectadas, perturbando la disponibilidad de la información.
4. Amenazas por deficiencias en la organización. No existe un manual de
procedimientos. No se encuentra manifestación escrita de las políticas de la empresa
relativas al acceso y tratamiento de la información por parte de los empleados. Esto
afecta a la confidencialidad de la información tratada en la oficina.
5. Amenazas por errores de mantenimiento y actualización de programas.
a. El uso de sistemas operativos sin licencia (Windows 10 pro) implica un riesgo a
medio plazo que puede limitar la funcionalidad del sistema operativo, así
como impedir la correcta actualización del software, lo que lo hace vulnerable
a los agujeros de seguridad conocidos.
b. Se observa que el rúter wifi conserva la configuración de fábrica. El rúter se
encuentra en una zona de paso por lo que resulta accesible para cualquiera.
Esto representa una amenaza de la confidencialidad e integridad de la red
puesto que está expuesto a manipulaciones no autorizadas.
6. Fugas de información. Se observa que se utilizan documentos impresos con
información de la empresa y de los clientes (facturas, notificaciones, resúmenes
impresos, pruebas de impresión, etc.) que corren riesgo de ser reveladas al desecharse

Eduardo Martín Pérez

7
Informe de auditoría informática de GesFincas 25 de enero de 2021

sin ser destruidas. Además, la transferencia de documentación con la sede central se

realiza principalmente mediante el uso de una cuenta de correo electrónico sin cifrar,
lo que representa una amenaza para la integridad y confidencialidad de los datos
enviados, puesto que podrían se interceptados durante el envío.

Recomendaciones y salvaguardas
Para la mejora de la seguridad, se recomienda llevar a cabo las siguientes salvaguardas:

1. Realizar un análisis de la naturaleza de las instalaciones y tomar las medidas necesarias

para minimizar los posibles daños causados por fuego o inundación. Se deben colocar
alarmas contra incendio y contra inundaciones que avisen en caso de desastre. Se
recomienda que estas tareas sean realizadas por una empresa especializada.
2. Se recomienda revisar la instalación eléctrica en la oficia de modo que no se
sobrecarguen los puntos de alimentación eléctrica, que podría afectar a la
disponibilidad de los equipos. La instalación de un sistema de protección de
sobretensión para la red eléctrica preservaría los equipos de posibles daños eléctricos.
3. La instalación de un sistema de alimentación ininterrumpida (SAI) salvaguardaría la
finalización abrupta de los procesos en curso en caso de interrupción del fluido
eléctrico preservando la integridad de la información en tratamiento. También
protegería las comunicaciones tanto del propio el ordenador (internet) como en el
teléfono y rúter, dando tiempo a un cierre ordenado del sistema.
4. Es recomendable la elaboración de manuales de procedimiento donde se especifique
la política de la empresa, y donde se aclaren las responsabilidades de cada cual, según
su puesto en el cuadro de mandos, con respecto al tratamiento de la información en la
empresa, determinando quien accede a qué y sólo cuando sea necesario, y donde
conste la persona responsable de la administración de los equipos.
5. Se recomienda un mantenimiento constante de los equipos y redes de
comunicaciones.
a. Utilizar software original, con la correspondiente licencia, es una medida
básica e imprescindible para prevenir incidencias por software malicioso o
dañino (virus, malware, etc..) que pueda afectar al equipo, debido a una
indebida actualización del sistema, lo que supone un grave riesgo para la
disponibilidad, confidencialidad e integridad de la información.
b. Sería conveniente retirar el rúter de las zonas de acceso para evitar posibles
manipulaciones indeseadas. Además, es muy recomendable cambiar las
contraseñas tanto del rúter como de la wifi manteniendo el nivel más alto de
seguridad posible admitida por el equipo.
6. Toda la información impresa debe destruirse antes de ser desechada. Se recomienda la
utilización de una destructora de documentos. Es recomendable que el envío de la
información entre sedes esté cifrado para evitar alteraciones y mantener la
confidencialidad de las comunicaciones.

Eduardo Martín Pérez

8
Informe de auditoría informática de GesFincas 25 de enero de 2021

Se recomienda la elaboración de un plan de recuperación de desastres para que la

organización pueda reiniciar sus operaciones en caso de un desastre natural o causado por
humanos, que proteja los datos, el hardware y el software crítico.

Tabla 1. Resumen de principales amenazas y salvaguardas a tomar para minimizar el riesgo.

Amenazas Observaciones Recomendaciones

Incendio o inundación
Industrial de tipo eléctrico
De organización
De mantenimiento y
actualización
Fugas de información
Se observan extintores
Los equipos no están
protegidos por subida o
corte de tensión
No existen manuales ni
protocolos
Windows sin licencia
El rúter conserva la
configuración de fábrica
La documentación se elimina
sin ser destruida
Los emails no están cifrados
Instalar alarmas contra
incendio e inundación
Instalar regletas con
protección y SAI
Diseñar un protocolo de
recuperación de desastres
Adquirir una licencia de
Windows 10 Pro
Cambiar las contraseñas del
rúter y de la Wifi
Instalar una destructora de
documentos
Cifrar los documentos
enviados por email

Informe de auditoría de gestión de datos personales

Los datos que recoge la empresa en el desempeño de su actividad profesional son datos de
carácter personal de las personas físicas por lo que su tratamiento está sujeto al Reglamento
(UE) 2016/679 del Parlamento Europeo y del Consejo y a la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDP).

Tras el análisis de los datos de carácter personal objeto de tratamiento en la zona a auditar se
considera que se pueden clasificar de sensibilidad baja, puesto que no afectan a las categorías
especiales definidas en el Artículo 9 del RGPD. Para la realización de esta sección del informe
de auditoría se han tomado como guía y referencia de trabajo los criterios de actuación
correspondientes al Nivel Básico de Seguridad, según se contemplan en el cuadro resumen de
medidas de seguridad propuesto por la AEPDP durante el desarrollo de la anterior ley LOPD
(RD 994/1999) y que se corresponde al siguiente esquema:

1. Documento de seguridad
2. Personal
3. Incidencias
4. Identificación y autentificación
5. Control de accesos
6. Gestión de soportes
7. Copias de respaldo

La licitud del tratamiento de los datos personales queda justificada en la necesidad de los
mismos para la ejecución del contrato en el que el interesado es parte (artículo 6 RGPD), en
este caso, la administración de los bienes inmuebles objeto del contrato, y son los adecuados,
pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

Eduardo Martín Pérez

9
Informe de auditoría informática de GesFincas 25 de enero de 2021

Observaciones y recomendaciones
1. DOCUMENTO DE SEGURIDAD
Observaciones:

1. No existe Documento de Seguridad.

2. No hay un documento donde aparezcan detalladas las medidas, normas,
procedimientos, criterios y políticas de seguridad.
3. Las funciones y obligaciones del personal de la empresa con respecto al uso de los
ficheros de datos personales no aparecen definidas en un documento.
4. No hay un inventario donde conste la estructura y descripción de los ficheros y
sistemas de información utilizados en el área auditada. Los datos personales son
gestionados mediante la utilización de una aplicación online, Arteco Fincas, cuyas
bases de datos se encuentran alojadas en servidores ajenos a la empresa.
5. Procedimiento de notificaciones y de gestión de incidencias. El área auditada carece de
instrucciones precisas en cuanto a cómo actuar en caso de una incidencia que afecte a
los datos personales por ella tratada. Además, estos datos son gestionados a través de
la aplicación Arteco Fincas que no informa de los procedimientos a seguir en caso de
incidencia.
6. Procedimientos de realización de copias de respaldo y recuperación de datos. Se
observa que existe una copia de seguridad local del sistema en forma de imagen de
disco, realizado mediante la aplicación Redo Backup, que se guarda en una partición
del disco duro. Así mismo, existen copias de seguridad de los datos realizadas con
periodicidad semanal y de forma incremental, para lo cual se utiliza el programa
EaseUs Backup, que se conservan e la partición del disco anteriormente mencionado.
No hay un ningún protocolo establecido documentalmente. Se observa además que
los datos almacenados por la aplicación Arteco Fincas no ofrecen capacidad al usuario
de configurar las copias de seguridad y realizar una recuperación manual en caso de
desastre, ni en local ni en remoto.

Recomendaciones:

1. Elaboración de un Documento de Seguridad. Aunque la redacción de un Documento

de Seguridad no sea de obligado cumplimiento, en virtud lo dispuesto en la LOPD
3/2018 y el RGDP 3/2018, se recomienda su elaboración como prueba de la debida
diligencia y del principio de responsabilidad proactiva en la protección de los datos
personales y minimización de riesgo.
2. Redacción de manuales de actuación y de políticas de empresa. La manifestación por
escrito de los, procedimientos, reglas y estándares de seguridad que la empresa y sus
empleados deben seguir con respecto al tratamiento de ficheros, automatizados o no,
que contengan datos de carácter personales, disminuye los riesgos por errores
humanos y favorece un aumento en la seguridad y la confianza en la confidencialidad
de la información.
3. Manifestar por escrito las funciones y obligaciones del personal con respecto a la
manipulación de los ficheros de carácter personal, así como facilitarles su lectura y

Eduardo Martín Pérez

10
Informe de auditoría informática de GesFincas 25 de enero de 2021

comprensión a fin de que queden claras sus funciones y obligaciones mejora la

seguridad de las operaciones y por tanto favorece la confidencialidad e integridad de
los datos tratados por los usuarios.
4. Inventario de ficheros de carácter personal y de los sistemas de información que los
procesen donde conste tanto su estructura como una descripción de los mismos.
5. Es recomendable la creación de un procedimiento de notificaciones y de gestión de
incidencias, donde se haga constar tanto los datos referentes a las incidencias (ficheros
o sistemas de información afectada, fecha y lugar del incidente, personal implicado,
etc.) como los procedimientos a seguir en caso de una incidencia (cómo y a quien
notificarlo) así como las medidas tomadas para corregir las posibles repercusiones del
mismo.
6. Sería beneficioso para la empresa la creación de un protocolo que detalle los
procedimientos a seguir y la política de copias de respaldo y recuperación de datos.

2. PERSONAL
Observaciones

7. Las funciones y obligaciones del personal de la empresa en el área auditada se

encuentran claramente definidas, pero no le han sido entregada ninguna
documentación donde se expresen las normas que le afectan y de las consecuencias de
su incumplimiento.

Recomendaciones

7. El personal es claramente consciente de sus funciones y obligaciones. Aun así, sería

deseable la difusión de un documento interno donde se especifiquen las normas y
políticas de la empresa en caso de incumplimiento.

3. INCIDENCIAS
Observaciones

8. No se lleva a cabo el registro de las incidencias (ver apartado 5).

Recomendaciones

9. Sería provechoso que las incidencias se registraran en el Documento de Seguridad por

tipo, momento en que se produzca, persona que la notifica, etc. Debe quedar claro la
persona a la que se le deben notificar dichas incidencias y recogerse los efectos
derivados de las mismas.

4. IDENTIFICACIÓN Y AUTENTIFICACIÓN
Observaciones

10. No hay un registro de usuarios ni de los accesos autorizados al equipo.

11. Al equipo se accede mediante el uso de usuario y contraseña. Los criterios de
identificación y acceso no se recogen en ningún documento.
12. Las contraseñas fueron creadas por el administrador del sistema (cuenta administrativa
Soporte) y asignadas al usuario principal (gesfincas) en una cuenta local con privilegios

Eduardo Martín Pérez

11
Informe de auditoría informática de GesFincas 25 de enero de 2021

restringidos. No consta la existencia de ningún procedimiento de asignación y gestión

de contraseñas, política de contraseñas seguras o periodos de validez (las contraseñas
no caducan).
13. Las contraseñas de los servicios de internet, como email y Arteco Fincas se almacenan
en la cuenta de Google protegidas por su gestor de contraseñas. Sin embargo, no se ha
activado ningún sistema de identificación en dos pasos para proteger dicha cuenta.

Recomendaciones

10. Es recomendable que se mantenga actualizado un registro de usuarios y

autentificaciones que se recojan en el documento de seguridad.
11. Es aconsejable desarrollar una política de autentificación e identificación de usuarios y
criterios de acceso. Estos y los protocolos a seguir para su obtención por el personal
deberían quedar registradas en el Documento de seguridad.
12. Sería más indicado el desarrollo de una política de contraseñas seguras que se
renueven tras un periodo de tiempo determinado y establecer un número máximo de
intentos de acceso consecutivos para las cuentas de usuario.
13. Sería aconsejable la normalización de los procedimientos a seguir en cuanto al
almacenamiento de contraseñas almacenadas en la cuenta de usuario de Google y el
uso de un sistema de identificación en dos pasos para aumentar el nivel de seguridad.
Además, se debería considerar la creación de un repositorio de contraseñas protegidas
mediante encriptación en un medio de almacenamiento externo.

5. CONTROL DE ACCESO
Observaciones

14. El usuario del puesto auditado accede únicamente a los datos y recursos necesarios
para el desarrollo de sus funciones en el ordenador de sobremesa que le ha sido
asignado.
15. Hay mecanismos que evitan el acceso a datos y recursos con derechos distintos de los
autorizados mediante la gestión de cuentas de usuario y contraseña. Los permisos de
acceso son concedidos exclusivamente por el administrador del sistema, que es el único
personal autorizado para realizar dichas diligencias

Recomendaciones

14. Es recomendable llevar a cabo periódicamente procedimientos de revisión en el uso y

aplicación de los derechos de cada tipo de grupo de usuario y de las cuentas de los
empleados incluidas en ellas para no incurrir en un otorgar un exceso de privilegios a
un usuario incorrecto.
15. La persona autorizada para gestionar los permisos de acceso debería registrar dichos
permisos o cualquier alteración de los mismos en el Documento de seguridad. 6.
GESTIÓN DE SOPORTES

Observaciones

16. No se observan soportes externos o portables.

Eduardo Martín Pérez

12
Informe de auditoría informática de GesFincas 25 de enero de 2021

17. No hay un inventario detallado de los ficheros de datos personales y de los sistemas
tratamiento de información que los procesan.
18. No existe un protocolo de salida de soportes autorizados por el responsable del fichero.

Recomendaciones

16. No se conoce un protocolo preestablecido para el marcado de los medios externos,

contengan o no ficheros de carácter personal. Este protocolo facilitaría su correcto
tratamiento cuando resultara necesario su uso, me modo que el personal no tendría
que improvisar en su momento.
17. Es importante mantener un inventario actualizado de los ficheros, tanto electrónicos
como físicos, con una relación de aquellos que contengan datos de carácter personal,
de los medios de almacenamiento utilizados, de su ubicación, y de los sistemas de
información que los procesan.
18. Sería deseable la redacción de un protocolo a seguir por el personal con medidas
necesarias a cumplir en una eventual salida de soportes con información de la empresa.

7. COPIAS DE RESPALDO
Observaciones

19. No queda garantizada la reconstrucción de los datos en el caso de destrucción o

pérdida debido a que las copias de seguridad se realizan en una partición del mismo
disco duro. En caso de fallo catastrófico del disco duro se perderían tanto los datos
como sus copias de seguridad.
20. No hay copias de seguridad de los ficheros con datos de carácter personal que son
procesados mediante la aplicación online Arteco Fincas. No es posible verificar la
definición y aplicación de los procedimientos de las copias de seguridad y recuperación
debido a que no están disponibles para los usuarios.

Recomendaciones

19. Se recomienda el establecimiento de un protocolo de copias de seguridad sobre un

soporte distinto al disco de trabajo, tal como puede ser un disco duro externo o en la
nube, preferiblemente sujetos a encriptación.
20. Las copias de respaldo deben ser realizadas al menos semanalmente y debe
establecerse un protocolo donde quede relación de su frecuencia y de los medios y
procedimientos a utilizar. El uso de un programa de backup en una versión profesional
daría mayores funcionalidades y garantías para la conservación integral de la
información ya que las versiones gratuitas suelen tener importantes limitaciones con
respecto a las de pago.

Eduardo Martín Pérez

13
Informe de auditoría informática de GesFincas 25 de enero de 2021

Tabla 2. Resumen de las observaciones y recomendaciones en relación al cumplimiento del RGPD.

Observaciones
No hay documento de seguridad
Las contraseñas no caducan
No hay un registro de incidencias
No existe un inventario de archivos
No hay un protocolo para la salida de
archivos
La copia de seguridad se realiza en el mismo
disco duro
No hay contrato con Arteco Consulting
Recomendaciones
Redactar un Documento de Seguridad
Desarrollar una política de seguridad con
contraseñas renovables y un límite de intentos
de acceso
Crear un registro de incidencias y llevarlo al
día
Inventariar y clasificar los archivos indicando si
afectan a datos personales o no
Crear un protocolo para la salida de archivos e
informar al personal
Proporcionar los medios necesarios, externos
u online, preferiblemente encriptados, para
realizar las copias de seguridad
Firmar un contrato de Encargado de
tratamiento de datos conforme al artículo 28
del RGPD

Conclusiones
EL análisis global del área auditada nos brinda una visión de conjunto tanto del sistema de
información utilizado como en lo referente a los medios físicos y materiales, así como de los
procedimientos utilizados.

De este análisis se desprende la existencia de determinadas debilidades tanto físicas como

lógicas en el sistema de información que deberían ser corregidas para incrementar la integridad,
la confidencialidad y la disponibilidad de los activos.

En cuanto a los medios materiales, estos se encuentran relativamente vulnerables a las

alteraciones en la corriente eléctrica, como subidas o cortes de tensión que pueden dañar tanto
los equipos como la información, afectando a su integridad. Esto es fácilmente mejorable
mediante la instalación de un sistema de alimentación ininterrumpida (SAI o UPS) y del uso de
regletas con protección por sobretensión.

En cuanto a los medios no materiales, es urgente instalar una licencia de Windows que asegure
la correcta actualización del software del equipo, más aún en cuanto que el antivirus y el
firmware empleados dependen del propio sistema operativo. Sería mejorable la seguridad de
todo el sistema si se utilizara alguna solución de seguridad de pago más completa como las
ofertadas por compañías especializadas tales como Kaspersky, Symantec o McAfee.

Aunque se llevan a cabo copias de seguridad de forma semanal estas no garantizan la

recuperación del sistema debido a que se guardan en una partición del disco duro principal de
modo que, si este se vuelve inaccesible, se perderán también las bakcups. Es urgente establecer
una ubicación alternativa a las copias de seguridad que pueden ser tanto locales como en red
mediante el uso de dispositivos externos, preferiblemente encriptados.

Eduardo Martín Pérez

14
Informe de auditoría informática de GesFincas 25 de enero de 2021

La empresa presume de que Arteco Fincas, gestionada por Arteco Consulting (ver anexo I)
cumple las obligaciones referentes a la protección de datos personales. Sin embargo, por la
documentación que se puede consultar en su página web en https://www.artecofincas.com no
queda claro este punto. Se recomienda solicitar más garantías al respecto. Hay que tener en
cuenta que, al ceder la empresa auditada GesFincas (responsable del tratamiento) datos de
carácter personal propiedad de sus clientes, Arteco Consulting se convierte en encargado del
tratamiento. Debido a esta circunstancia, el tratamiento por el encargado se deberá regir por
un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros,
que vincule al encargado respecto del responsable (Artículo 28 RGPD).

Eduardo Martín Pérez

15
Informe de auditoría informática de GesFincas 25 de enero de 2021

Anexos
Se presentan en los siguientes anexos información relativa a la investigación para la realización
del estudio de auditoría y que es complementaría a la expuesta en el anterior informe.

Anexo I. Arteco Fincas

Arteco Fincas está gestionada por Arteco Consulting S.L. Arteco Consulting SL, con
domicilio social en Palma de Mallorca (Baleares), Calle Alejandro Rosselló y con CIF:
B577346001.

Se trata de un software online de administración de fincas que permite usar libremente

la aplicación, hasta 350 propiedades gratis, sin compromiso ni limitaciones, junto a los
colaboradores que se desee. Arteco Fincas facilita la gestión de fincas online tal cual se
indica en la Ley de Propiedad Horizontal, y realizar la contabilidad de los vecinos
propietarios, compatible con cualquier banco.

Información sobre el tratamiento de datos personales2.

DATOS DE TERCEROS

En el supuesto de que nos facilite datos de carácter personal de terceras personas, en

cumplimiento de lo dispuesto en el artículo 5.4. LOPD, declara haber informado a dichas
personas con carácter previo, del contenido de los datos facilitados, de la procedencia
de los mismos, de la existencia y finalidad del fichero donde se contienen sus datos, de
los destinatarios de dicha información, de la posibilidad de ejercitar los derechos de
acceso, rectificación, cancelación u oposición, así como de los datos identificativos de
ARTECO En este sentido, es de su exclusiva responsabilidad informar de tal circunstancia
a los terceros cuyos datos nos va a ceder, no asumiendo ARTECO ninguna
responsabilidad por el incumplimiento de este precepto por parte del usuario.

EJERCICIO DE DERECHOS

El titular de los datos podrá ejercer sus derechos de acceso, rectificación, cancelación y
oposición dirigiéndose a ARTECO: info@arteco-consulting.com. Dicha solicitud deberá
contener los siguientes datos: nombre y apellidos, domicilio a efecto de notificaciones,
fotocopia del DNI I o Pasaporte.

MEDIDAS DE SEGURIDAD

ARTECO ha adoptado todas las medidas técnicas y de organización necesaria para

garantizar la seguridad e integridad de los datos de carácter personal que trate, así como

1
Consultado en, https://www.artecofincas.com/aviso-legal, Aviso legal sobre el uso de Arteco Fincas,
Arteco Fincas, consultado el 23 de enero de 2021.
2
Consultado en https://www.arteco-consulting.com/politica-privacidad/ , Política de privacidad,
consultado el 23 de enero de 2021.

Eduardo Martín Pérez

16
Informe de auditoría informática de GesFincas 25 de enero de 2021

para evitar su pérdida, alteración y/o acceso por parte de terceros no autorizados. No
obstante lo anterior, el usuario reconoce y acepta que las medidas de seguridad en
Internet no son inexpugnables.

Anexo II. Configuración y estado de la red

Características

La red de la oficina se compone de las siguientes características:

• Proveedor de servicios de internet (ISP): Vodafone.

• Tipo de conexión con el ISP: fibra.
• Velocidad de internet: 300 Mb
• Conexiones de la LAN: cable trenzado cat.6 a 1Gb.
• Wifi: sí, a 2.4 GHz y a 5GHz

Elementos de la red LAN

• Rúter Vodafone H 500-s

• Teléfono de sobremesa Netcom t301
• PC de sobremesa sin marca.
• Impresora multifunción Brother DCPL2530DW monocromo Wifi.

La red está configurada en modo DHCP con Wifi activa, con la configuración de fábrica,
incluido las contraseñas de acceso al rúter y a la red WIFI. Todos los elementos se encuentran
conectados y funcionan con normalidad.

Resumen de todos los parámetros del rúter:

Internet

▪ Dirección IP 95.63.38.103
▪ Gateway 87.235.0.10
▪ Dirección IP DNS primario 212.166.132.112
▪ Dirección IP DNS secundario 212.166.132.96
▪ Firewall Activado
▪ Dirección IP WAN 95.63.38.103

Configuración de la Red LAN

▪ Red IP 192.168.0.1/24
▪ Default Gateway 192.168.0.1
▪ Dirección MAC E8:1B:69:7D:D6:00
▪ Servidor DHCP Activado
▪ Puerto LAN 1 On 1000 Mbps
▪ Puerto LAN 2 On 1000 Mbps
▪ Puerto LAN 3 Off 0 Mbps
▪ Puerto LAN 4 Off 0 Mbps

Eduardo Martín Pérez

17
Informe de auditoría informática de GesFincas 25 de enero de 2021

▪ Wi-Fi 2.4GHz
▪ Estado Activado
▪ SSID vodafoneBA1188
▪ Dirección MAC E8:1B:69:7D:D6:00
▪ Seguridad WPA2
▪ Canal 6
▪ BW 300 Mbps

Configuración de Wi-Fi 5GHz

▪ Estado Activado
▪ SSID vodafoneBA1188_5G
▪ Dirección MAC E8:1B:69:7D:D6:01
▪ Seguridad WPA2
▪ Canal 100
▪ BW 1734 Mbps

Información del sistema

▪ Número de Serie 53434F4D3006E8BD

▪ Versión del firmware FG824CD3114
▪ Versión de Bootloader 2000
▪ Versión de Hardware FG824CD SCOMFG824CDv2
▪ Versión de driver WiFi 2.4 GHz 4.0.1.0rev2.P1
▪ Versión de driver WiFi 5 GHz 37.4.0.146

Anexo III. Aplicaciones y características del equipo PC

Hemos utilizado la aplicación para Windows Win Audit para conseguir la siguiente información
sobre el sistema:

1) Vista general del sistema

Item Value
Computer Name DESKTOP-IBLTOJU
Domain Name WORKGROUP
Site Name
Roles Workstation, Server
Description
Operating System Microsoft Windows 10 Pro 64-Bit
Manufacturer innotek GmbH
Model VirtualBox
Serial Number 0
Asset Tag
Number of Processors 1
Processor Description AMD Phenom(tm) II X6 1035T Processor, 2599MHz
Total Memory 4095MB
Total Hard Drive 250.0GB
Display 1024 x 768 pixels, true colour
BIOS Version VBOX - 1
User Account Soporte
System Uptime 0 Días 0 Hours 53 Minutes
Local Time 2021-01-24 22:34:49

Eduardo Martín Pérez

18
Informe de auditoría informática de GesFincas 25 de enero de 2021

2) Sistema operativo

Item Value
Name 10
Edition Windows Pro
Install Date 2021-01-17 23:02:39
Registered Owner Soporte
Registered Organization
Product ID 00330-80000-00000-AA290
Major Version Number 10
Minor Version Number 0
Build Number 19041
Service Pack
Service Pack Version 0.0
Plus! Version Number <null>
DirectX Version 12.0
Windows Directory C:\Windows\
System Directory C:\Windows\system32\
Temporary Directory C:\Users\Soporte\AppData\Local\Temp\
Operating System Language Spanish
Number of Bits 64

3) Programas instalados

5) Adobe Acrobat Reader DC - Español

Item Value
Name Adobe Acrobat Reader DC - Español
Vendor Adobe Systems Incorporated
Version 20.013.20074
Product Language Spanish
Install Date 20210118
Install Location C:\Program Files (x86)\Adobe\Acrobat Reader DC\
Install Source C:\ProgramData\Adobe\Setup\{AC76BA86-7AD7-1034-7B44-
AC0F074E4100}\
Install State The product is installed for the current user.
Assignment Type Per Machine
Package Code {BF05C9F5-318D-4310-871C-237E64236198}
Package Name AcroRead.msi
Local Package C:\Windows\Installer\8a8b1c.msi
Product ID none
Registered Company
Registered Owner Soporte
Software ID {AC76BA86-7AD7-1034-7B44-AC0F074E4100}

6) EaseUS Todo Backup Free 13.0

Item Value
Name EaseUS Todo Backup Free 13.0
Vendor CHENGDU YIWO Tech Development Co., Ltd
Version 13.0
Install Date 20210118
Install Location C:\Program Files (x86)\EaseUS\Todo Backup\
Software ID EaseUS Todo Backup_is1

7) Google Chrome
Item Value
Name Google Chrome
Vendor Google LLC
Version 87.0.4280.141
Install Date 20210118

Eduardo Martín Pérez

19
Informe de auditoría informática de GesFincas 25 de enero de 2021

Install Location C:\Program Files\Google\Chrome\Application

Software ID Google Chrome

8) LibreOffice 7.0.4.2
Item Value
Name LibreOffice 7.0.4.2
Vendor The Document Foundation
Version 7.0.4.2
Product Language Spanish
Install Date 20210118
Install Location C:\Program Files\LibreOffice\
Install Source C:\Users\Soporte\Downloads\
Install State The product is installed for the current user.
Assignment Type Per Machine
Package Code {797C3CFA-9E80-48B2-9069-A8A9D2A05CBD}
Package Name LibreOffice_7.0.4_Win_x64.msi
Local Package C:\Windows\Installer\8a8b28.msi
Product ID none
Registered Company
Registered Owner Soporte
Software ID {B3171B83-4945-43E0-A101-841638C05506}

9) Microsoft Edge
Item Value
Name Microsoft Edge
Vendor Microsoft Corporation
Version 87.0.664.75
Install Date 20210118
Install Location C:\Program Files (x86)\Microsoft\Edge\Application
Software ID Microsoft Edge

10) Mozilla Firefox 84.0.2 (x64 es-ES)

Item Value
Name Mozilla Firefox 84.0.2 (x64 es-ES)
Vendor Mozilla
Version 84.0.2
Product Language
Install Date
Install Location C:\Program Files\Mozilla Firefox
Software ID Mozilla Firefox 84.0.2 (x64 es-ES)

11) UrbanVPN
Item Value
Name UrbanVPN
Vendor Urban Security
Version 2.2.4
Product Language English
Install Date 20210118
Install Location C:\Program Files\UrbanVPN\
Install Source C:\Users\Soporte\AppData\Roaming\Urban
Security\UrbanVPN 2.2.4\install\5E6CA9C\
Install State The product is installed for the current user.
Assignment Type Per Machine
Package Code {516FCF92-F6F4-48F7-84F3-6582F1B71973}
Package Name urbanvpninstaller.x64.msi
Local Package C:\Windows\Installer\1275a3c.msi
Software ID {6109A611-488D-407B-AA65-0FF765E6CA9C}

12) WinRAR 6.00 (64-bit)

Item Value
Name WinRAR 6.00 (64-bit)

Eduardo Martín Pérez

20
Informe de auditoría informática de GesFincas 25 de enero de 2021

Vendor win.rar GmbH

Version 6.00.0
Product Language Neutral
Install Date
Install Location C:\Program Files\WinRAR\
Software ID WinRAR archiver

4) Periféricos

Name Description
Mouse 5 buttons, has wheel
Keyboard IBM enhanced (101- or 102-key)
Display Description 1024 x 768 pixels, true colour
Printer OneNote
Printer Microsoft XPS Document Writer
Printer Microsoft Print to PDF
Printer Fax
Network Installed 1

5) Ajustes de seguridad

Item Name Setting

Accounts Administrator account status Disabled
Accounts Guest account status Disabled
Accounts Rename administrator Administrador
account
Accounts Rename guest account Invitado
Account Lockout Policy Account lockout duration Not Applicable
Account Lockout Policy Account lockout threshold 0 Attempts
Account Lockout Policy Reset account lockout counter Not Applicable
after
AutoLogon Enabled
Automatic Updates Update status Scheduled installation
Automatic Updates Update schedule
Internet Explorer Run script Allow
Internet Explorer Run ActiveX Allow
Internet Explorer Run Java Allow
Internet Explorer Download files Allow
Internet Explorer Install desktop items
Internet Explorer Launch applications Prompt user
Network Access Allow anonymous SID/name Disabled
translation
Screen Saver Enabled 1
Screen Saver Timeout 0
Screen Saver Password protected

6) Windows Firewall

Name Setting
Firewall Enabled Yes
Authorised Application EaseUS_SMART
Authorised Service Compartir archivos e impresoras
Authorised Service Detección de redes
Authorised Service Escritorio remoto

7) Usuarios

7.1) GesFincas
Item Value
User Account GesFincas

Eduardo Martín Pérez

21
Informe de auditoría informática de GesFincas 25 de enero de 2021

Full Name
Description
Account Status Enabled, Not LockedPassword not required, Can change
password, Password never expires, Password has not expired
Local Groups Usuarios
Global Groups Ninguno
Last Logon 2021-01-18 00:24:16
Last Logoff
Number of Logons 1
Bad Password Count 0
Password Age 6 Días
Password Expired No
Account Expires

7.2) Soporte
Item Value
User Account Soporte
Full Name
Description
Account Status Enabled, Not LockedPassword not required, Can change
password, Password never expires, Password has not expired
Local Groups Administradores
Global Groups Ninguno
Last Logon 2021-01-24 21:42:16
Last Logoff
Number of Logons 12
Bad Password Count 0
Password Age 6 Días
Password Expired No
Account Expires

8) Adaptadores de red

Intel(R) PRO/1000 MT Desktop Adapter

Item Value
Adapter Number 1
Adapter Name Intel(R) PRO/1000 MT Desktop Adapter
DNS Host Name
DNS Servers
IP Address
IP Subnet
Default IP Gateway
DHCP Enabled 1
DHCP Server
DHCP IP Address
DHCP Lease Obtained
DHCP Lease Expires
Status Code 0
Adapter Status This device is working properly.
Adapter Type Ethernet 802.3
MAC Address 08:00:27:B6:1D:42
Connection Status Media disconnected
Connection Speed

9) Tabla de enrutamiento

9.1) 127.0.0.0
Item Value

Eduardo Martín Pérez

22
Informe de auditoría informática de GesFincas 25 de enero de 2021

Destination 127.0.0.0
Netmask 255.0.0.0
Next Hop 127.0.0.1
Interface 127.0.0.1
Route Type Local
Protocol Local
Age 0 Días 0 Hours 54 Minutes
Metric 331

9.2) 127.0.0.1
Item Value
Destination 127.0.0.1
Netmask 255.255.255.255
Next Hop 127.0.0.1
Interface 127.0.0.1
Route Type Local
Protocol Local
Age 0 Días 0 Hours 54 Minutes
Metric 331

9.3) 127.255.255.255
Item Value
Destination 127.255.255.255
Netmask 255.255.255.255
Next Hop 127.0.0.1
Interface 127.0.0.1
Route Type Local
Protocol Local
Age 0 Días 0 Hours 54 Minutes
Metric 331

9.4) 224.0.0.0
Item Value
Destination 224.0.0.0
Netmask 240.0.0.0
Next Hop 127.0.0.1
Interface 127.0.0.1
Route Type Local
Protocol Local
Age 0 Días 0 Hours 54 Minutes
Metric 331

9.5) 255.255.255.255
Item Value
Destination 255.255.255.255
Netmask 255.255.255.255
Next Hop 127.0.0.1
Interface 127.0.0.1
Route Type Local
Protocol Local
Age 0 Días 0 Hours 54 Minutes
Metric 331

10) Puertos abiertos

Local port Port Protocol Service Name

135 TCP Epmap
445 TCP Microsoft-ds
7680 TCP
49664 TCP
49665 TCP

Eduardo Martín Pérez

23
Informe de auditoría informática de GesFincas 25 de enero de 2021

49666 TCP
49667 TCP
49668 TCP
49669 TCP
1900 UDP
49669 UDP

11) Dispositivos del Hardware

11.1) Procesadores
Item Value
Device Type Procesadores
Device Name AMD Phenom(tm) II X6 1035T Processor
Description Procesador AMD
Manufacturer Advanced Micro Devices
Location
Driver Provider Microsoft
Driver Version 10.0.19041.546
Driver Date 4-21-2009
Status Code 0
Status Message OK
Class GUID {50127DC3-0F36-415E-A6CC-4CB3BE910B65}
Device ID ACPI\AUTHENTICAMD_-_AMD64_FAMILY_16_MODEL_10_-
_AMD_PHENOM(TM)_II_X6_1035T_PROCESSOR\_0

112) Unidades de disco

Item Value
Device Type Unidades de disco
Device Name VBOX HARDDISK
Description Unidad de disco
Manufacturer (Unidades de disco estándar)
Location Bus Number 0, Target Id 0, LUN 0
Driver Provider Microsoft
Driver Version 10.0.19041.1
Driver Date 6-21-2006
Status Code 0
Status Message OK
Class GUID {4D36E967-E325-11CE-BFC1-08002BE10318}
Device ID SCSI\DISK&VEN_VBOX&PROD_HARDDISK\4&2617AEAE&0&0
00000

227) Memoria

Item Value
Total Memory 4095MB
Free Memory 1847MB
Maximum Swap File 5503MB
Free Swap File 3588MB

12) Infnormación del sistema

Item Value
Manufacturer innotek GmbH
Product Name VirtualBox
Version 1.2
Serial Number 0
Universal Unique ID {71FEADCD-17C9-40D0-B56B-3B925399786A}
Wake-Up Type Power Switch
SKU Number

Eduardo Martín Pérez

24
Informe de auditoría informática de GesFincas 25 de enero de 2021

Product Family VMachine

Anexo V. Cuestionario de auditoria para los usuarios

El objetivo de ese cuestionario es el de recolectar la información suficiente sobre ciertos
aspectos TI del área de la empresa a auditar para emitir un informe que permita mejorar el
tratamiento de la información en la empresa en relación con sus necesidades actuales y
futuras, en las áreas objeto del estudio.

Empresa: Cuestionario de Fecha: 21 de enero de 2021

GesFincas SLU auditoría
Entrevistado: usuario Revisado por: Eduardo Martín
Cargo: Aux. Administrativo
Área auditada: oficina de la delegación Norte en La Orotava

Generalidades SÍ NO N/A Observaciones

¿Se encuentra el área de producción separada de Toda el área de trabajo se

n
las otras áreas de la empresa? concentra en la habitación
¿Se encuentran segregadas las funciones dentro
s
del área?
¿Existe un encargado de mantenimiento de TI La persona responsable
s
dentro de la compañía? no es un técnico
¿Existen manuales de procedimiento dentro de la
n
empresa?
¿Hay documentos donde se explique al personal
políticas de empresa respecto al uso y tratamiento n
de la información?
¿Existe un control de los requerimientos y
s
solicitudes que le realizan al área?
¿El área auditada tiene relación directa con las
s
demás áreas de la empresa?
¿Se efectúan controles o revisiones periódicas del
n
buen estado de los equipos?
¿Las inspecciones son realizadas por personal
n
especializado?
¿Los empleados siguen las pautas de prevención
s
de accidentes?
¿Tienen a su disposición extintores preferiblemente
s
de polvo para fuegos tipo A, B y C?
¿La administración es consciente de la importancia
de implementar un estudio del sistema de s
información de la empresa?
La copia de seguridad no
se conserva de forma
¿Los datos de clientes y proveedores se segura, Los datos de
s
salvaguardan por parte del sistema? Arteco Fincas tiene
backup automática no
gestionada por el usuario
¿Existe una cláusula en los contratos de los
empleados del área que los obligue a conservar n
discreción sobre los datos de la empresa?

Eduardo Martín Pérez

25
Informe de auditoría informática de GesFincas 25 de enero de 2021

¿Se implementan medidas de seguridad en los

La cuenta de los usuarios
computadores de los empleados para evitar que s
tiene privilegios limitados
estos ejecuten programas peligrosos?
¿El desarrollo de software es evaluado por un
supervisor a cargo que verifique su funcionalidad y x
seguridad?
¿Existe un programa de protección de la El provisto por Windows
información contra virus, spyware y diferentes s (Windows Defender)
ataques cibernéticos?
¿Se forma al personal según las necesidades
n
informáticas?
¿Se realizan reuniones para conocer las
sugerencias de los empleados respecto a los n
procesos del área? ¿Cada cuánto se realizan?
¿El área tiene un plan de acción eficiente para
prever la ausencia de algún trabajador por x
enfermedad o calamidad?
¿Cuentan con la tecnología adecuada para cumplir
s
con las metas de los procesos?
¿Existen manuales de funciones y procedimientos
n
dentro del área?
¿Son conocidos dichos manuales y procedimientos
x
por todo el personal del área?
¿Se realiza una evaluación de los procesos para
x
implementar mejoras?
¿Existe una buena comunicación con otras áreas
para realizar mantenimiento de equipos y x
programas?
¿Existe algún tipo de control de incidencias sufridos
por los equipos o en el tratamiento de la n
información?
¿Existe algún control para los dispositivos de la
empresa como cables de datos, ratón, teclados,
x
altavoces, auriculares utilizados por los
empleados?
¿Todas las piezas del hardware a cargo de cada No se observan etiquetas
empleado cuentan con etiqueta o placa de x con número de inventario
identificación? al revisar los equipos
¿El área presta los servicios adecuados para las
s
necesidades de los clientes?
¿Existen demoras o reprocesos para los clientes a
causa de fallas en el sistema?
¿El cliente se siente a gusto con el servicio
prestado por la empresa en sus canales x
informáticos?

Eduardo Martín Pérez

26