Documentos de Académico
Documentos de Profesional
Documentos de Cultura
auditoría
informática
Alumno: Eduardo Martín Pérez
Informe de auditoría informática de GesFincas 25 de enero de 2021
Auditoria Informática
Proyecto de final del curso de
Seguridad Informática (IFCT0109)
número 19-38/000015
DESCRIPCIÓN DE LA INSTITUCIÓN 4
ZONA AUDITAR 4
OBJETIVO 4
ALCANCE 5
METODOLOGÍA 5
Recomendaciones y salvaguardas 8
Observaciones y recomendaciones 10
1. DOCUMENTO DE SEGURIDAD 10
2. PERSONAL 11
3. INCIDENCIAS 11
4. IDENTIFICACIÓN Y AUTENTIFICACIÓN 11
5. CONTROL DE ACCESO 12
7. COPIAS DE RESPALDO 13
CONCLUSIONES 14
Anexos 16
Anexo I. Arteco Fincas 16
Anexo II. Configuración y estado de la red 17
Anexo III. Aplicaciones y características del equipo PC 18
Anexo V. Cuestionario de auditoria para los usuarios 25
Descripción de la Institución
La institución ficticia a evaluar, GesFincas SLU, es una empresa de reciente creación que
pertenece al colectivo profesional de Administradores de Fincas Colegiados de Santa Cruz de
Tenerife, y que tiene por finalidad la de gestionar, a petición de los propietarios de fincas
rústicas o urbanas, o por decisión de una junta de propietarios, los asuntos financieros, legales
y técnicos necesarios para el mantenimiento y gestión económica de las mismas.
La gerencia de la empresa se encuentra situada en Santa Cruz de Tenerife, teniendo dos sedes
secundarias, un en el sur de la isla y otra en el norte. Esta última es la que es objeto del
presente informe de auditoría.
Sede Central
Santa Cruz de
Tenerife
Debido a la finalidad misma de los servicios prestados a sus clientes, se procesan y almacenan
datos relacionados con las propiedades administradas, propietarios y administradores tales
como nombres, NIF, teléfonos, direcciones, correo electrónico, número de póliza de seguros y
datos bancarios, así como los datos de diversos proveedores que prestan sus servicios a las
distintas fincas administradas.
Zona auditar
Vamos a auditar un único puesto informático utilizado para la realización de labores
administrativas desarrolladas durante la actividad diaria de la empresa. Esta se situada en una
oficina de reciente creación localizada en la calle de los Cantos Canarios, nº 7, en La Orotava,
Santa Cruz de Tenerife. Aquí se utilizará principalmente la aplicación online de gestión de
fincas Arteco Fincas, Gmail y LibreOffice para la realización de la actividad empresarial.
Objetivo
El objetivo de la presente auditoría consiste en valorar la seguridad de los sistemas de
información tomando como marco de referencia la Metodología de Análisis y Gestión de Riesgos
de los Sistemas de Información (MAGERIT) en su versión 3.0, así como de la evaluación del
4
Eduardo Martín Pérez
Informe de auditoría informática de GesFincas 25 de enero de 2021
cumplimiento de acuerdo al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo
(RGPD), de 27 de abril de 2016, que entró en vigor el 06 de diciembre del 2018, así como la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los
derechos digitales (LOPDP).
Alcance
La revisión está limitada a brindar una opinión objetiva sobre la seguridad del sistema de gestión
de la información de GesFincas, donde se expresará si se han tomado las medidas suficientes
para reducir los riesgos relativos a la confidencialidad, la integridad y la disponibilidad del
sistema de gestión de la información y de los datos tratados por él.
Por otra parte, se valorará la implantación del reglamento General de protección de datos
Personales y garantía de los derechos digitales y su cumplimiento en relación a un nivel de
protección adecuado con respecto a los riesgos y la naturaleza de los datos personales que
deban protegerse.
Metodología
La metodología de investigación a utiliza será la siguiente:
• Organigrama del área. La oficina está ocupada por un auxiliar administrativo que
responde directamente a la gerencia localizada en las oficinas centrales en Santa Cruz
de Tenerife.
• Manuales y reglas de la organización. No constan manuales organizativos ni
reglamentos expresados documentalmente.
• Políticas generales definidas por la organización. No consta que la organización
exprese documentalmente su política empresarial en relación a la gestión de la
información.
• Objetivos a corto y largo plazo. A corto plazo la empresa no espera cambios a realizar
en esta oficina. A largo plazo, esperan aumentar el personal de la misma en varias
personas.
• Manual de políticas, reglamentos y normativas del área. Al solicitar información
sobre este tema, se informa que no hay documentación sobre el mismo. Es la gerencia
la que toma las decisiones y las comunica verbalmente a sus empleados.
• Números de personas trabajando en el área y cantidad de puestos de trabajo. En la
oficina solo hay un trabajador que ocupa el único puesto de trabajo existente.
• Presupuestos y gastos del área. El presupuesto para gasto en el área de informática
está agotado para el año en curso. No se conoce gasto empleado.
Recomendaciones y salvaguardas
Para la mejora de la seguridad, se recomienda llevar a cabo las siguientes salvaguardas:
Tras el análisis de los datos de carácter personal objeto de tratamiento en la zona a auditar se
considera que se pueden clasificar de sensibilidad baja, puesto que no afectan a las categorías
especiales definidas en el Artículo 9 del RGPD. Para la realización de esta sección del informe
de auditoría se han tomado como guía y referencia de trabajo los criterios de actuación
correspondientes al Nivel Básico de Seguridad, según se contemplan en el cuadro resumen de
medidas de seguridad propuesto por la AEPDP durante el desarrollo de la anterior ley LOPD
(RD 994/1999) y que se corresponde al siguiente esquema:
1. Documento de seguridad
2. Personal
3. Incidencias
4. Identificación y autentificación
5. Control de accesos
6. Gestión de soportes
7. Copias de respaldo
La licitud del tratamiento de los datos personales queda justificada en la necesidad de los
mismos para la ejecución del contrato en el que el interesado es parte (artículo 6 RGPD), en
este caso, la administración de los bienes inmuebles objeto del contrato, y son los adecuados,
pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
Observaciones y recomendaciones
1. DOCUMENTO DE SEGURIDAD
Observaciones:
Recomendaciones:
2. PERSONAL
Observaciones
Recomendaciones
3. INCIDENCIAS
Observaciones
Recomendaciones
4. IDENTIFICACIÓN Y AUTENTIFICACIÓN
Observaciones
Recomendaciones
5. CONTROL DE ACCESO
Observaciones
14. El usuario del puesto auditado accede únicamente a los datos y recursos necesarios
para el desarrollo de sus funciones en el ordenador de sobremesa que le ha sido
asignado.
15. Hay mecanismos que evitan el acceso a datos y recursos con derechos distintos de los
autorizados mediante la gestión de cuentas de usuario y contraseña. Los permisos de
acceso son concedidos exclusivamente por el administrador del sistema, que es el único
personal autorizado para realizar dichas diligencias
Recomendaciones
Observaciones
17. No hay un inventario detallado de los ficheros de datos personales y de los sistemas
tratamiento de información que los procesan.
18. No existe un protocolo de salida de soportes autorizados por el responsable del fichero.
Recomendaciones
7. COPIAS DE RESPALDO
Observaciones
Recomendaciones
Observaciones Recomendaciones
No hay documento de seguridad Redactar un Documento de Seguridad
Las contraseñas no caducan Desarrollar una política de seguridad con
contraseñas renovables y un límite de intentos
de acceso
No hay un registro de incidencias Crear un registro de incidencias y llevarlo al
día
No existe un inventario de archivos Inventariar y clasificar los archivos indicando si
afectan a datos personales o no
No hay un protocolo para la salida de Crear un protocolo para la salida de archivos e
archivos informar al personal
La copia de seguridad se realiza en el mismo Proporcionar los medios necesarios, externos
disco duro u online, preferiblemente encriptados, para
realizar las copias de seguridad
No hay contrato con Arteco Consulting Firmar un contrato de Encargado de
tratamiento de datos conforme al artículo 28
del RGPD
Conclusiones
EL análisis global del área auditada nos brinda una visión de conjunto tanto del sistema de
información utilizado como en lo referente a los medios físicos y materiales, así como de los
procedimientos utilizados.
En cuanto a los medios no materiales, es urgente instalar una licencia de Windows que asegure
la correcta actualización del software del equipo, más aún en cuanto que el antivirus y el
firmware empleados dependen del propio sistema operativo. Sería mejorable la seguridad de
todo el sistema si se utilizara alguna solución de seguridad de pago más completa como las
ofertadas por compañías especializadas tales como Kaspersky, Symantec o McAfee.
La empresa presume de que Arteco Fincas, gestionada por Arteco Consulting (ver anexo I)
cumple las obligaciones referentes a la protección de datos personales. Sin embargo, por la
documentación que se puede consultar en su página web en https://www.artecofincas.com no
queda claro este punto. Se recomienda solicitar más garantías al respecto. Hay que tener en
cuenta que, al ceder la empresa auditada GesFincas (responsable del tratamiento) datos de
carácter personal propiedad de sus clientes, Arteco Consulting se convierte en encargado del
tratamiento. Debido a esta circunstancia, el tratamiento por el encargado se deberá regir por
un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros,
que vincule al encargado respecto del responsable (Artículo 28 RGPD).
Anexos
Se presentan en los siguientes anexos información relativa a la investigación para la realización
del estudio de auditoría y que es complementaría a la expuesta en el anterior informe.
DATOS DE TERCEROS
EJERCICIO DE DERECHOS
El titular de los datos podrá ejercer sus derechos de acceso, rectificación, cancelación y
oposición dirigiéndose a ARTECO: info@arteco-consulting.com. Dicha solicitud deberá
contener los siguientes datos: nombre y apellidos, domicilio a efecto de notificaciones,
fotocopia del DNI I o Pasaporte.
MEDIDAS DE SEGURIDAD
1
Consultado en, https://www.artecofincas.com/aviso-legal, Aviso legal sobre el uso de Arteco Fincas,
Arteco Fincas, consultado el 23 de enero de 2021.
2
Consultado en https://www.arteco-consulting.com/politica-privacidad/ , Política de privacidad,
consultado el 23 de enero de 2021.
para evitar su pérdida, alteración y/o acceso por parte de terceros no autorizados. No
obstante lo anterior, el usuario reconoce y acepta que las medidas de seguridad en
Internet no son inexpugnables.
Características
La red está configurada en modo DHCP con Wifi activa, con la configuración de fábrica,
incluido las contraseñas de acceso al rúter y a la red WIFI. Todos los elementos se encuentran
conectados y funcionan con normalidad.
Internet
▪ Dirección IP 95.63.38.103
▪ Gateway 87.235.0.10
▪ Dirección IP DNS primario 212.166.132.112
▪ Dirección IP DNS secundario 212.166.132.96
▪ Firewall Activado
▪ Dirección IP WAN 95.63.38.103
▪ Red IP 192.168.0.1/24
▪ Default Gateway 192.168.0.1
▪ Dirección MAC E8:1B:69:7D:D6:00
▪ Servidor DHCP Activado
▪ Puerto LAN 1 On 1000 Mbps
▪ Puerto LAN 2 On 1000 Mbps
▪ Puerto LAN 3 Off 0 Mbps
▪ Puerto LAN 4 Off 0 Mbps
▪ Wi-Fi 2.4GHz
▪ Estado Activado
▪ SSID vodafoneBA1188
▪ Dirección MAC E8:1B:69:7D:D6:00
▪ Seguridad WPA2
▪ Canal 6
▪ BW 300 Mbps
▪ Estado Activado
▪ SSID vodafoneBA1188_5G
▪ Dirección MAC E8:1B:69:7D:D6:01
▪ Seguridad WPA2
▪ Canal 100
▪ BW 1734 Mbps
Item Value
Computer Name DESKTOP-IBLTOJU
Domain Name WORKGROUP
Site Name
Roles Workstation, Server
Description
Operating System Microsoft Windows 10 Pro 64-Bit
Manufacturer innotek GmbH
Model VirtualBox
Serial Number 0
Asset Tag
Number of Processors 1
Processor Description AMD Phenom(tm) II X6 1035T Processor, 2599MHz
Total Memory 4095MB
Total Hard Drive 250.0GB
Display 1024 x 768 pixels, true colour
BIOS Version VBOX - 1
User Account Soporte
System Uptime 0 Días 0 Hours 53 Minutes
Local Time 2021-01-24 22:34:49
2) Sistema operativo
Item Value
Name 10
Edition Windows Pro
Install Date 2021-01-17 23:02:39
Registered Owner Soporte
Registered Organization
Product ID 00330-80000-00000-AA290
Major Version Number 10
Minor Version Number 0
Build Number 19041
Service Pack
Service Pack Version 0.0
Plus! Version Number <null>
DirectX Version 12.0
Windows Directory C:\Windows\
System Directory C:\Windows\system32\
Temporary Directory C:\Users\Soporte\AppData\Local\Temp\
Operating System Language Spanish
Number of Bits 64
3) Programas instalados
7) Google Chrome
Item Value
Name Google Chrome
Vendor Google LLC
Version 87.0.4280.141
Install Date 20210118
8) LibreOffice 7.0.4.2
Item Value
Name LibreOffice 7.0.4.2
Vendor The Document Foundation
Version 7.0.4.2
Product Language Spanish
Install Date 20210118
Install Location C:\Program Files\LibreOffice\
Install Source C:\Users\Soporte\Downloads\
Install State The product is installed for the current user.
Assignment Type Per Machine
Package Code {797C3CFA-9E80-48B2-9069-A8A9D2A05CBD}
Package Name LibreOffice_7.0.4_Win_x64.msi
Local Package C:\Windows\Installer\8a8b28.msi
Product ID none
Registered Company
Registered Owner Soporte
Software ID {B3171B83-4945-43E0-A101-841638C05506}
9) Microsoft Edge
Item Value
Name Microsoft Edge
Vendor Microsoft Corporation
Version 87.0.664.75
Install Date 20210118
Install Location C:\Program Files (x86)\Microsoft\Edge\Application
Software ID Microsoft Edge
11) UrbanVPN
Item Value
Name UrbanVPN
Vendor Urban Security
Version 2.2.4
Product Language English
Install Date 20210118
Install Location C:\Program Files\UrbanVPN\
Install Source C:\Users\Soporte\AppData\Roaming\Urban
Security\UrbanVPN 2.2.4\install\5E6CA9C\
Install State The product is installed for the current user.
Assignment Type Per Machine
Package Code {516FCF92-F6F4-48F7-84F3-6582F1B71973}
Package Name urbanvpninstaller.x64.msi
Local Package C:\Windows\Installer\1275a3c.msi
Software ID {6109A611-488D-407B-AA65-0FF765E6CA9C}
4) Periféricos
Name Description
Mouse 5 buttons, has wheel
Keyboard IBM enhanced (101- or 102-key)
Display Description 1024 x 768 pixels, true colour
Printer OneNote
Printer Microsoft XPS Document Writer
Printer Microsoft Print to PDF
Printer Fax
Network Installed 1
5) Ajustes de seguridad
6) Windows Firewall
Name Setting
Firewall Enabled Yes
Authorised Application EaseUS_SMART
Authorised Service Compartir archivos e impresoras
Authorised Service Detección de redes
Authorised Service Escritorio remoto
7) Usuarios
7.1) GesFincas
Item Value
User Account GesFincas
Full Name
Description
Account Status Enabled, Not LockedPassword not required, Can change
password, Password never expires, Password has not expired
Local Groups Usuarios
Global Groups Ninguno
Last Logon 2021-01-18 00:24:16
Last Logoff
Number of Logons 1
Bad Password Count 0
Password Age 6 Días
Password Expired No
Account Expires
7.2) Soporte
Item Value
User Account Soporte
Full Name
Description
Account Status Enabled, Not LockedPassword not required, Can change
password, Password never expires, Password has not expired
Local Groups Administradores
Global Groups Ninguno
Last Logon 2021-01-24 21:42:16
Last Logoff
Number of Logons 12
Bad Password Count 0
Password Age 6 Días
Password Expired No
Account Expires
8) Adaptadores de red
9) Tabla de enrutamiento
9.1) 127.0.0.0
Item Value
Destination 127.0.0.0
Netmask 255.0.0.0
Next Hop 127.0.0.1
Interface 127.0.0.1
Route Type Local
Protocol Local
Age 0 Días 0 Hours 54 Minutes
Metric 331
9.2) 127.0.0.1
Item Value
Destination 127.0.0.1
Netmask 255.255.255.255
Next Hop 127.0.0.1
Interface 127.0.0.1
Route Type Local
Protocol Local
Age 0 Días 0 Hours 54 Minutes
Metric 331
9.3) 127.255.255.255
Item Value
Destination 127.255.255.255
Netmask 255.255.255.255
Next Hop 127.0.0.1
Interface 127.0.0.1
Route Type Local
Protocol Local
Age 0 Días 0 Hours 54 Minutes
Metric 331
9.4) 224.0.0.0
Item Value
Destination 224.0.0.0
Netmask 240.0.0.0
Next Hop 127.0.0.1
Interface 127.0.0.1
Route Type Local
Protocol Local
Age 0 Días 0 Hours 54 Minutes
Metric 331
9.5) 255.255.255.255
Item Value
Destination 255.255.255.255
Netmask 255.255.255.255
Next Hop 127.0.0.1
Interface 127.0.0.1
Route Type Local
Protocol Local
Age 0 Días 0 Hours 54 Minutes
Metric 331
49666 TCP
49667 TCP
49668 TCP
49669 TCP
1900 UDP
49669 UDP
11.1) Procesadores
Item Value
Device Type Procesadores
Device Name AMD Phenom(tm) II X6 1035T Processor
Description Procesador AMD
Manufacturer Advanced Micro Devices
Location
Driver Provider Microsoft
Driver Version 10.0.19041.546
Driver Date 4-21-2009
Status Code 0
Status Message OK
Class GUID {50127DC3-0F36-415E-A6CC-4CB3BE910B65}
Device ID ACPI\AUTHENTICAMD_-_AMD64_FAMILY_16_MODEL_10_-
_AMD_PHENOM(TM)_II_X6_1035T_PROCESSOR\_0
227) Memoria
Item Value
Total Memory 4095MB
Free Memory 1847MB
Maximum Swap File 5503MB
Free Swap File 3588MB
Item Value
Manufacturer innotek GmbH
Product Name VirtualBox
Version 1.2
Serial Number 0
Universal Unique ID {71FEADCD-17C9-40D0-B56B-3B925399786A}
Wake-Up Type Power Switch
SKU Number