Auditoría de Sistemas

Objetivo:

Realizar la evaluación los controles de seguridad e integridad de la información implementados sobre el

Sistema Integrado de Información para Copropiedades (SISCO1) a través del cual se registra la
contabilidad de XYZ, así como los controles tecnológicos implementados al interior de la red corporativa
donde funciona dicho sistema, identificando la existencia de vulnerabilidades informáticas que
incrementan los riesgos de accesos no autorizados al sistema, fuga de información financiera de XYZ y
posible afectación de la operación. Así mismo, formular las recomendaciones y oportunidades de mejora
identificadas que permitan mitigar los riesgos identificados.

Alcance:

1. Control de acceso: análisis de los mecanismos para gestión de acceso al sistema SISCO, tales como
la implementación de controles de autenticación y autorización, así como la gestión de los privilegios.

2. Control de cambios: análisis los mecanismos de control que permiten garantizar que las
actualizaciones o cambios sobre el sistema SISCO no tengan impacto sobre la integridad de la
información, ni que afecten la continuidad de la operación.

3. Gestión de la continuidad y disponibilidad: revisión de procedimientos de respaldo de información

implementados, que garantizan la disponibilidad e integridad de la información financiera de XYZ
registrada en el sistema SISCO.

A continuación, los resultados más significativos de la evaluación del sistema SISCO:

a. Control de Acceso: se pudo establecer que el sistema SISCO cuenta con mecanismos de
autenticación y autorización, permite la asignación de usuarios y contraseñas y la configuración de
perfiles de acceso, mediante los cuales se limitan y controlan los privilegios asignados y que
adicionalmente cuenta con la respectiva licencia de funcionamiento y un contrato de soporte con el
proveedor de la herramienta:

Figura 1 Acceso sistema SISCO

1 Sistema Integrado de Información para Copropiedades (SISCO) http://admysis.com

1
 Figura 2 Lista de usuarios y perfiles

Figura 3 Licencia de software SISCO

Hallazgos relevantes:

 No se observó una gestión oportuna de los accesos configurados en el sistema SISCO, de un total
de 34 usuarios configurados y activos, se logró identificar que 28 usuarios (82%) corresponden a
personal retirado.
 El sistema SISCO no exige el cambio periódico de contraseña, ni parámetros mínimos de
complejidad, por ejemplo: longitud mínima de la contraseña, uso de caracteres alfanuméricos,

2
 mayúsculas, minúsculas, etc.; razón por la cual, es posible configurar contraseñas muy simples y
que las mismas nunca expiren.
 El sistema SISCO no tiene implementados controles para bloqueo de usuarios por intentos fallidos
de acceso, dicha situación permitiría realizar infinitos intentos de ingreso hasta adivinar la posible
contraseña de un usuario.
 Adicionalmente se logró establecer que el sistema SISCO utiliza para su funcionamiento archivos de
base de datos en formato DBF los cuales se consideran una tecnología obsoleta e insegura, toda
vez que la información es almacenada en texto plano y puede ser consultada sin necesidad de
autenticarse en el sistema SISCO.

La figura a continuación evidencia que es posible acceder al archivo APPUSER.DBF, el cual contiene la
lista de los usuarios configurados y la comparación con el reporte de la herramienta:

Figura 4 Archivo DBF con la lista de usuarios

La figura a continuación evidencia el acceso al archivo NITS.DBF, el cual contiene la lista de los
terceros configurados en sistema SISCO, en el archivo se observan nombres, direcciones, teléfonos y
correos electrónicos, dicha información es considerada datos personales de acuerdo con lo
lineamentos establecidos en la Ley 1581 de 2012:

3
 Figura 5 Acceso al archivo NITS.DBF

b. Control de Cambios: Todos los cambios o actualizaciones en el sistema SISCO, son realizados
únicamente por personal autorizado del proveedor de dicho sistema, quienes acceden de forma
remota desde internet hacia al equipo de cómputo donde se encuentra instalado el sistema,
mediante el uso de la herramienta TeamViewer QuickSupport, como se muestra en las figuras a
continuación:

Figura 6 Acceso remoto por parte del proveedor

4
Se logró establecer que el sistema SISCO se encuentra instalado en un equipo de cómputo al interior
de la red corporativa de XXXXXX identificado con dirección IP 192.168.1.14, el cual hace las
funciones de servidor y permite que los diferentes usuarios configurados accedan al sistema:

Figura 7 Equipo de cómputo donde está instalado el sistema SISCO

Adicionalmente, se observó que en el sistema SISCO se registra la contabilidad de diferentes

copropiedades horizontales incluyendo XYZ, por tal motivo quien acceda al sistema puede acceder a
la información contable y financiera de las demás copropiedades:

Figura 8 Carpeta del sistema SISCO con información de XYZ

Hallazgos relevantes:

 Debilidades en los parámetros de configuración de la herramienta “TeamViewer QuickSupport”

mediante la cual se accede remotamente al equipo de cómputo donde está instalado el sistema
SISCO, toda vez que solo se exige un código de acceso de 4 dígitos, existiendo así, el riesgo de
acceder de forma no autorizada desde internet, ya que solo es necesario conocer el número de
identificación del equipo (985431167) y la clave respectiva.

5
  El acceso al equipo de cómputo donde se encuentra instalado el sistema SISCO se realiza con
la cuenta que tiene el máximo nivel de privilegios “Administrador” (Ver Figura 8); por lo anterior,
es posible realizar la instalación de software o modificaciones en la configuración sin ningún tipo
de restricciones.

Figura 9 Usuarios configurados en el equipo 192.168.1.14

 No se observaron medidas de control al interior de la red corporativa de XXX que limite el

acceso a las carpetas compartidas utilizadas por el sistema SISCO; en consecuencia,
cualquier computador al interior de la red estaría en capacidad de consultar, modificar o
eliminar los archivos necesarios para el funcionamiento del sistema SISCO, incrementando
así el riesgo de copiar de forma no autorizada la información de XYZ y de las demás
copropiedades que allí se gestionan, así como afectar la operación del sistema mediante la
manipulación de los archivos.

 No existen controles automáticos que limiten el acceso a internet por parte de los
funcionarios de XXXX; adicionalmente, es posible realizar la instalación de software sin
ningún tipo de restricción en los equipos de cómputo de los Auxiliares contables encargados
de operar el sistema SISCO; lo anterior, incrementa el riesgo de instalar software no
deseado o malicioso que afecte la integridad y confidencialidad de la información de XYZ.

c. Gestión de la Continuidad y Disponibilidad: El sistema SISCO ofrece a los usuarios en el momento

de ingresar, la posibilidad de realizar una copia de seguridad antes de operar el sistema;
adicionalmente, el personal de XXXX a cargo de la administración, realiza periódicamente copias de
seguridad de la información, las cuales son almacenadas tanto localmente en el equipo de cómputo
donde se encuentra instalado el sistema SISCO, así como un disco duro externo en caso de
contingencia. Durante las pruebas realizadas, se observaron 8.427 archivos con copias de seguridad
de hace más de 4 años, como se observa en la figura a continuación:

6
 Figura 10 Copias de seguridad

Independientemente de que el sistema SISCO es de propiedad de XXXX esta auditoría percibe un riesgo alto
en cuanto a la información que tiene que ver con XYZ, teniendo en cuenta las debilidades mencionadas
anteriormente.

Oportunidades de Mejora:

 Solicitar a XXXX la implementación de una política de seguridad de la información, así como el

establecimiento de procedimientos y controles que garanticen la integridad, confidencialidad y
disponibilidad de todos los datos propiedad de XYZ de acuerdo con la normatividad vigente.

 Evaluar la viabilidad contractual para solicitar a XXXX el fortalecimiento de los controles de acceso hacia
el Sistema Integrado de Información para Copropiedades (SISCO), mediante la coordinación con el
proveedor de dicha herramienta y la implementen funcionalidades tales como: forzar el cambio periódico
de contraseña de acceso, exigir parámetros mínimos de complejidad al momento de establecer las
contraseñas, por ejemplo: longitud mínima de la contraseña, uso de caracteres alfanuméricos,
mayúsculas, minúsculas, entre otros.

 Evaluar la viabilidad contractual para solicitar a XXXX el fortalecimiento de los controles tecnológicos al
interior de la red corporativa, tales como: limitar el acceso a las carpetas compartidas requeridas por el
sistema SISCO solo a los equipos de cómputo de XXXX, restringir los permisos de instalación de
software y las opciones de Administrador en los equipos de cómputo solo para personal de soporte,
limitar la navegación en internet solo a sitios autorizados, fortalecer los controles de acceso remoto
mediante la herramienta TeamViewer QickSupport implementado claves de acceso robustas, entre otros
aspectos..

7
 Realizar un inventario de la información recolectada y tratada por XXXX en el ejercicio de las funciones
de Administradores de Propiedad Horizontal de XYZ y exigir el cumplimiento de la Ley Estatutaria 1581
de 2012 para la Protección de Datos Personales y los Decretos 1377 de 2013, 1074 de 2015 y 1759 de
2016, así como con las Circulares Externas 001 de 2016 y 001 de 2017 expedidas por la
Superintendencia de Industria y Comercio (SIC), considerando la responsabilidad que frente al
tratamiento de datos personales de propietarios y residentes de XYZ, tales como:

o Datos generales de identificación de la persona. Ej: Nombre, Apellido, Cédula, sexo, etc.
o Datos específicos de identificación de la persona. Ej: Firma, Nacionalidad, edad, etc.
o Datos sensibles. Ej: Datos de menores, datos biométricos, videovigilancia, etc.
o Datos de ubicación. Ej: Dirección, Teléfono Fijo, Teléfono Celular, correo electrónico, placa
vehículo, bitácoras de ingreso, etc.

Lo anterior, considerando que para la SIC no es suficiente el simple registro de Bases de Datos
Personales y la publicación de una política o aviso de privacidad, pues se debe demostrar la debida
diligencia, en concordancia con los principios de seguridad y confidencialidad establecidos por la Ley
1581:

o …“Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o

Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas
técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros
evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento”.

o Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos

personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la
información, inclusive después de finalizada su relación con alguna de las labores que comprende el
Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello
corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la
misma”...

Nuestras pruebas se basan en muestras selectivas o aleatorias, a la información que ha sido suministrada por
la Administración XXXX, conforme a lo establecido en las normas de auditoría internacionales.

Cordialmente,

Gerente de Auditoría
T.P. No. ABCDE4567-T
Miembro de ACME Audit S.A.S.

c.c. Gerente General XXXX SAS