Caso Práctico N°3 - Guillermo Olivares C
Caso Práctico N°3 - Guillermo Olivares C
Caso Práctico N°3 - Guillermo Olivares C
Se pide
En consideración a que el estamento público cuenta sólo con una normativa sobre el
uso correcto de los recursos informáticos y las responsabilidades que caben a los
funcionarios en el buen uso de estos recursos; se hace necesario realizar las siguientes
actividades:
La entidad BILLETES PARA TODOS gestiona la venta de billetes de tren mediante pago
electrónico. Dicha empresa se encuentra actualmente certificada en PCI DSS. Tiempo
más tarde, debido a una serie de acuerdos y decisiones por parte de la alta dirección,
se decide externalizar dicha gestión de venta de billetes a un tercero: GESTIONA S.A.
• Existe una política de seguridad que tiene mapeados los controles de PCI con cada
apartado correspondiente. Esta política tiene detalladas las reglas de firewall cor-
porativo implementadas para limitar y asegurar el entorno de las tarjetas. Además,
en la política se indica que estas reglas son revisadas cada 6 meses como mínimo.
Las restricciones implementadas incluyen restricción de información sobre direc-
cionamiento interno y sobre enrutamiento.
• En la política, se han definido con detalle los parámetros de seguridad comunes que
se aplican a los componentes del sistema, así como las funcionalidades utilizadas en
cada caso.
• En la política, viene especificado que todos los accesos administrativos que no son
por consola utilizan una encriptación fuerte (SSH, VPN, SSL/TLS).
• Los equipos del entorno de tarjetas están protegidos con la solución McAfee EPO
(módulos de antivirus, antispyware y HIPS). Tanto la versión utilizada como los
procedimientos relacionados (actualización, mantenimiento, despliegue, logs, aná-
lisis, etc.) se encuentran documentados en la política.
• Los equipos del entorno de las tarjetas se encuentran en una sala específica prote-
gida mediante acceso por tarjeta. Cada operador tendrá una tarjeta de acceso que
le permitirá acceder a esta sala. Estas tarjetas de acceso serán específicas para el
entorno de las tarjetas. Además, existen cámaras que graban a todos los que
entran o salen de la sala. Estas grabaciones se almacenan durante 4 meses. Las
visitas se autorizarán previamente con una hoja de autorización (esta hoja se
almacenará durante 3 meses a modo de bitácora de visitas). Para identificar a un
visitante, se le dará una tarjeta de visita que le identifique y que tendrá que
devolver al finalizar la visita (caducará el acceso otorgado por la misma).
Se pide:
La empresa GESTIONA S.A. debe adecuarse a la Norma PCI DSS, no sólo por una
exigencia de BILLETES PARA TODOS que la contrato. Sino porque el consorcio PCI
define claramente que no importa el tamaño de la organización, independiente de si
vende productos o servicios, o si es una organización con o sin fines de lucro, mientras
la entidad “utilice este tipo de datos” debe cumplir con el estándar,
La norma es clara en definir a todas las entidades que participan en el proceso de las
tarjetas de pago y que le es aplicable la Norma de Seguridad de Datos. Como son las
entidades que almacenan, procesan o transmiten datos; tal es el caso de BILLETES
PARA TODOS, empresa Contratante, como aquellas que son “proveedoras de
Servicio”, que es el caso de GESTIONA S.A.
2. De ser así, indique el tipo de cuestionario SAQ que utilizaría, y por qué.
Cuestionario utilizado para entidades que manejan solamente transacciones con tarjeta
ausente (no presencial-física), operando de esta forma a través de comercio
electrónico y órdenes por correo y/o teléfono. Como es el caso de los operadores
telefónicos disponibilizados por GESTIONA S.A., quienes operan remotamente en la
aplicación residente en la Red y plataforma de BILLETES PARA TODOS. Recordando,
que en GESTIONA S.A no se almacena, ni procesa los datos del titular de la tarjeta de
pago.
3. Rellene el cuestionario SAQ conforme a la información de la que se
dispone (si no existe dato sobre algún punto, se entenderá que no se
encuentra implementado o que falta información por parte del cliente, por
lo que se contestará indicando que no se encuentra información en la
política. Utilizar la plantilla adjunta.
Requisito 1: Instalar y mantener una configuración de firewall para proteger los datos.
✓
probar todos los cambios y las conexiones
de red en las configuraciones de los
firewalls y routers?
Se debe actualizar
diagrama con todos los
El diagrama no CI existentes, Ej.
1.1.2. ¿Existe un diagrama de red actual que refleja todos los IDS/IPS.
documenta todas las conexiones entre el componentes
entorno de los datos de titulares de
tarjetas y otras redes, incluso cualquier
✓ descritos, por lo
cual no se
Mantener un
Procedimiento de
red inalámbrica? encuentra actualización, frente a
actualizado la ocurrencia de los
cambios y/o
actualización de la Red.
1.1.3. ¿Existe un diagrama actual que muestra
todos los flujos de datos de titulares de
tarjetas entre los sistemas y las redes?
✓
1.1.4. ¿Se tiene un firewall implementado en
✓
cada conexión a Internet y entre
cualquier DMZ (zona desmilitarizada) y la
zona de la red interna?
La Política debe
La política no incorporar dicha
declara la descripción. Pero
1.1.5. ¿Existe una descripción de grupos, roles y
existencia de los además estos usuarios
✓
responsabilidades para una
entes citados la asociados a grupos y
administración lógica de los componentes
administración roles deben estar
de la red?
de los creados según su perfil
componentes y nivel de acceso en los
componentes (Firewall)
1.1.6. ¿Las normas de configuración del firewall
y del router incluyen una lista
documentada de servicios, protocolos y
puertos, incluida la justificación y la
✓
aprobación comercial para cada una?
1.1.7. ¿Requieren las normas de configuración
✓
de firewalls y routers la revisión del
conjunto de reglas de éstos, por lo
menos, cada seis meses?
1.2. ¿Restringen las configuraciones para
firewalls y routers las conexiones entre
redes no confiables y cualquier sistema
en el entorno de los datos de titulares de
tarjeta de la manera siguiente?
1.2.1. ¿Está restringido el tránsito entrante y
✓
saliente a la cantidad necesaria para el
entorno de los datos de titulares de
tarjetas?
La política
Se debe definir
declara que los
claramente en la
archivos de
1.2.2. ¿Están los archivos de configuración del política, el resguardo
configuración se
router seguros y sin riesgo de acceso no de este archivo.
encuentran
autorizado y sincronizados, por ejemplo, Además de incorporar
✓
guardados, pero
la configuración en ejecución (o activa) un control de
no se hace
coincide con la configuración de inicio versiones; para
mención en
(que se utiliza cuando se reinician las asegurar que lo que se
cuanto a su
máquinas)? ejecuta coincide con la
seguridad y el
configuración de inicio,
quienes tienen
a nivel de seguridad
acceso.
1.2.3. ¿Hay firewalls de perímetro instalados
entre las redes inalámbricas y el entorno
de datos del titular de la tarjeta y están
estos firewalls configurados para negar o,
si el tráfico es necesario para fines
comerciales, permitir solo el tráfico
✓
autorizado entre el entorno inalámbrico y
el entorno de datos del titular de la
tarjeta?
1.3. ¿Se prohíbe el acceso directo público
entre Internet y cualquier componente del
sistema en el entorno de datos de los
titulares de tarjetas de la manera
siguiente?
La política no
describe la
1.3.1. ¿Se implementó un DMZ para limitar el
implementación
tráfico entrante solo a aquellos
de la DMZ. No
componentes del sistema que
se informa sobre
proporcionan servicios, protocolos y
“servicios
puertos con acceso público autorizado?
publicados de
cara al exterior”
No se dispone
información en
1.3.2. ¿Está restringido el tránsito entrante de la política. No
Internet a las direcciones IP dentro del hay claridad en
DMZ? la definición
sobre lo
señalado.
Se requiere
validar
(pruebas) con
Cliente; a fin de
determinar si las
1.3.3. ¿Hay implementadas medidas
restricciones
antisuplantación para detectar y bloquear
implementadas
direcciones IP manipuladas a fin de que
sobre
no ingresen a la red?
direccionamiento
(Por ejemplo, bloquear el tráfico
interno citadas,
proveniente de Internet con una dirección
cubre el bloqueo
interna).
de tráfico
proveniente de
Internet con una
dirección
interna.
1.3.4. ¿Está el tráfico saliente desde el entorno La Política
de datos del titular de la tarjeta a declara que en
Internet expresamente autorizado? el entorno de
tarjetas no
existe conexión
a Internet
1.3.5. ¿Sólo se permite la entrada a la red de
conexiones establecidas? ✓
1.3.6. ¿Se colocaron componentes del sistema
que almacenan datos de titulares de
tarjetas (como una base de datos) en una
zona de red interna, segregada desde un
✓
DMZ y otras redes no confiables?
En la Política no
hay
antecedentes
que puedan
confirmar lo
señalado. Aun
1.3.7. ¿Se implementaron métodos para
cuando debe ser
prevenir la divulgación de direcciones IP
validado
privadas e información de enrutamiento
(pruebas) con el
desde en Internet?
Cliente, ya que
los métodos
pueden estar
implementados,
pero no
informados.
Se declara la
existencia de un
mecanismo
IDS/IPS. No
obstante, no se
registra la
1.4. ¿Hay instalado en forma activa software
existencia de
de firewall personal (o una funcionalidad
firewall o ajustes
equivalente) en todos los dispositivos
de
móviles (incluidos los de propiedad de los
configuraciones
trabajadores y/o de la empresa) que
especificas en
tengan conexión a Internet cuando están
dispositivos
fuera de la red (por ejemplo,
móviles de la
computadoras portátiles que usan los
empresa o de
trabajadores), y que también se usan
los empleados,
para acceder al CDE?
que son
necesarios para
acceder al CDE,
tal como lo
establece la
Norma
1.5. ¿Las políticas de seguridad y los
procedimientos operativos para la
administración
documentas, en
de
uso
firewalls
y son
están
de
✓
conocimiento de todas las partes afectas?
Ejercicio 3
Datos
Para ello, el responsable del SGSTI se pone en contacto con varias entidades de certi-
ficación de las existentes en el mercado y presenta las ofertas de cada una de ellas a
la Dirección de la empresa para que seleccione una.
Se pide
1. Detallar al menos cinco requisitos generales del SGSTI que habría que
auditar.
Representante de la Dirección.
Este responsable del SGS es asignado por la dirección y tiene la responsabilidad del
sistema de gestión. Teniendo la libertad y autoridad para: Asegurar, Participar,
promover, generar, informar, elaborar, convocar y otras acciones que buscan
establecer, implementar y mantener los procesos necesarios para el correcto
funcionamiento del SGS
Gestión de la Documentación.
El proveedor del servicio debe establecer y mantener los documentos, incluyendo
registros, para garantizar una planificación, operación y control efectivos del SGS.
Deberá incluir como principales elementos: declaración documentada de las políticas
de gestión de servicios, los SLA acordados con los clientes, planes de la gestión de
servicios y procedimientos generales o de gestión.
Competencia, concientización y formación.
Se debe determinar y proporcionar los recursos humanos, técnicos, de formación y
financieros necesarios para establecer, implementar y mantener el SGS. Considerando
que uno de los pilares para conseguir la provisión de servicios de calidad es disponer
del personal con las competencias necesarias para las tareas que desarrollan, en
función de su educación, formación, habilidades y experiencias. Sin duda alguna, la
responsabilidad por conducir y registrar este requisito tan vital es el responsable de
recursos humanos de la organización.
Finalmente, es de menester señalar que los tres requisitos o aspectos esenciales claves
para que la mejora de los servicios se produzca y por tanto debiesen ser el albo de
cualquier auditor son:
• La Participación y Compromiso de la Dirección en el Proceso de Cambio
(apartador de responsabilidad de la dirección)
• La Definición de la documentación del sistema de gestión (apartado de requisitos
de la documentación) y
• La importancia de la gestión de los recursos humanos para que se produzca el
cambio (apartado de competencia, concientización y formación).
En consideración al caso planteado y teniendo presente que es una Empresa de TI, que
entrega servicios en el área de hosting y housing, a través de su Data Center. Resulta
inconcebible que, en el Proceso de Implementación, no se haya considerado un
Procedimiento de Control de Documentación. Por lo que es necesario considerar una no
conformidad, en el Informe de Auditoria.
Una empresa de ingeniería y fabricación de piezas para aviones tiene 250 empleados y
el siguiente organigrama:
• (1) Director general.
• (2) Director financiero.
• (3) Jefe de contabilidad.
• (3) Jefe de informática.
• (2) Director comercial.
• (2) Director marketing.
• (2) Director recursos humanos.
• (2) Director industrial.
• Objetivo:
• Emitir una opinión sobre el entorno de control en el desarrollo e implantación
de sistemas que asegure la correcta funcionalidad de estos y la disponibilidad
de los mismos, y la fiabilidad y exactitud de la información.
• Alcance:
• Todos los sistemas que dan servicio a la compañía y usuarios externos.
• El administrador de seguridad:
• Realiza el alta de usuarios en los distintos sistemas.
• Actualiza las aplicaciones que los analistas entregan para puesta en
producción.
• Actualiza los sistemas operativos y los parches.
• Conexiones ODBC para Cliente/Servidor.
• No realizan:
• Auditorias de sistemas de información.
• Archivado de las solicitudes de cambios.
• Análisis coste/beneficio de las solicitudes.
• No cuentan con:
• Políticas organizativas para sistemas de información.
• Plan para cambios de emergencia.
• Entorno separado para desarrollo.
• Proceso formal de implantación de parches.
• Estudio de impacto en las solicitudes.
• Se revisa periódicamente:
• Actualizaciones de los sistemas operativos y del software de desarrollo.
1. Un informe de riesgos potenciales detectados, indicando el impacto de estos riesgos en la entidad, según sus
objetivos de negocio.
Proceso
# Prueba Objetivo Alcance
COBIT
Tomar conocimiento del Plan, haciendo Determinar grado de aplicabilidad del Plan y la
seguimiento a que el mismo haya sido gestión de los recursos del área; con la
Revisar Plan Estratégico y validar el
P01 aplicado, de acuerdo con los estrategias y prioridades del negocio APO02
grado de aplicación en Área de TI
compromisos establecidos. Diferencia establecidas. La validación debe realizarse vía
entre lo realizado y lo planificado entrevista y revisión de documentación existente.
Determinar el grado de cumplimiento
Verificar la aplicación de definiciones, Revisión de Actas de Reuniones del Área Ti con
de los temas tecnológicos y seguridad
P02 acuerdos y compromisos de TI, con la Dirección, del último período, asociada a temas APO01
de TI. Enmendar omisiones que se
Dirección de la Organización de tecnología. Seguridad física y lógica
hayan cometidos
Tomar conocimiento, si las Políticas
Evaluar la eficiencia de las políticas elaboradas
que se han elaborado para la gestión
Validar Políticas para la Gestión TI y que para la gestión, administración y recursos de TI y
P03 de TI, se encuentran actualizadas para APO01
las mismas se encuentren vigentes que las mismas se encuentran fines a la
dar respuestas a las necesidades de la
organización
organización.
Solicitar la definición de los perfiles de cargo del
Determinar la existencia de esta
Verificar la existencia de una Estructura personal de TI. Permitiendo determinar si la
definición, la cual debe estar plasmada
P04 Organizacional con roles, misma es conocida por los colaboradores; así APO01
en un documento conocido por la
responsabilidades y dependencias en TI como si la misma se adecua a las necesidades de
organización.
la organización
Validar la adecuada existencia y calidad de los
Confirmar que los datos se encuentren
Comprobar la Integridad y completitud controles de Datos. De manera que los mismos
donde corresponda para su
P05 de datos usados en los flujos sean autorizados, completos y exactos; para DSS06
correspondiente uso y tratamiento por
organizacionales asegurar el cumplimento del flujo definido por la
parte de la organización
organización.
Tomar conocimiento del Procedimiento Solicitar la Política de Seguridad de TI que debe
Validar que el Procedimiento de Gestión de Gestión de Usuarios y de considerar, los Procedimientos en los cuales se
P06 de Usuarios y Gestión de Ambiente, sea Ambientes. A fin de determinar su sustentas. A saber: Alta, modificación y baja de APO13, BAI03
aplicado. apropiada utilización; evidenciada en Usuarios; Separación de Ambientes y Pasos a
registros y documentos de respaldo. Ambiente Productivo.
Asegurar que el Procedimiento de
Desarrollo en conocido y utilizado por Verificar y validar el Procedimiento, el cual debe
Revisar Política y aplicabilidad del
los Equipos de Desarrollo. Verificando contener todos los Ciclos de Vida de los
P07 Procedimiento de Desarrollo de BAI03
su utilización y la adecuada Aplicativos. Debe considerar las normas de las
Aplicaciones
capacitación para internalizar las mejoras prácticas y metodologías utilizadas
mejores prácticas y metodologías.
Solicitar la Pautas de trabajo, Formularios,
Validar el cumplimiento de la Políticas de Obtener la evidencia que denote el Niveles de autorización, esquema administrativo
P08 Seguridad, en cuanto a su uso en los grado de cumplimiento de la Seguridad de trabajo, formularios, niveles de autorización y BAI03
Ambientes y Sistemas Productivos. de la Información en los Ambientes. flujo de información de los aplicativos que se
encuentran en Ambiente Productivo.
# Prueba Objetivo Alcance Proceso COBIT
Verificar y comprobar el cumplimiento d Asegurar que las Políticas de Seguridad
Con la información de Control de Accesos a los
de los niveles de acceso y seguridad de para control de accesos a Ambientes y APO01, BAI03,
P09 Sistemas y aplicativos, se debe realizar una
los Ambientes: Desarrollo, QA, Testing, Sistemas estén operativos de acuerdo APO13, DSS05
muestra de acceso aleatorio a los Ambiente.
Producción. a lo establecido.
Certificar que el Procedimiento de El Procedimiento debe cubrir todas las APO01, APO06,
Validar el Procedimiento de Control de Control de Cambio se cumpla en todas necesidades de Cambio que requiere la APO12, BAI06,
P10
Cambio y su uso. en todas sus etapas y que es conocido organización: Código Fuente, Aplicativos, Bases BAI07, DSS01,
por partes interesadas de Datos, Infraestructura DSS05
El Sistema de Registro, debe evidenciar los
Verificar y validar la existencia de un Tomar conocimiento si los eventos e errores presentados y levantado por los usuarios;
APO01,
P11 registro de Solicitudes de Modificación incidentes asociados a los aplicativos de manera de poder validar qué % de estos
APO011, BAI03
de Aplicaciones son registrados. incidentes implican modificaciones o nuevos
desarrollos y si los mismos son abordados
Se deben verificar los registros existentes, a fin
Verificar si existe algún registro de determinar si la Solicitudes realizadas al Área
Validar que las piezas-componente de (formulario) de Solicitudes de de Desarrollo de TI, corresponden a las APO02, APO11,
P12 Software y Aplicativos cumplen con los Modificación y/o Desarrollo de nuevas necesidades del negocio y si ellas cumplen con BAI01, BAI02,
objetivos del Negocio. Aplicaciones por parte de los usuarios los objetivos planteados. Lo que debe estar BAI03, BAI06
funcionales del negocio. plasmado en la conformidad dada por el usuario
en la Solicitud.
Se deben verificar si las estrategias de
Verificar los resultados y acciones Hay que asegurar que el Plan de
Continuidad y Disponibilidad de los Sistemas DSS04;
correctivas, consideradas y levantadas a Continuidad de Negocio, contiene las
P13 críticos TI para la operación de la organización, se APO12;
partir de las Pruebas de Continuidad de observaciones encontradas durante las
encuentran actualizados. Siendo que estos son MEA01; MEA02
TI realizadas. Pruebas de TI realizadas
parte del Plan de Continuidad del Negocio
Ejercicio 5
Datos
La serie de fallos en los negocios que empezaron con Enron a finales de 2001 pusieron
de manifiesto serias debilidades en el sistema de contabilidad y auditoría que
intentaban proteger los intereses de los accionistas, beneficiarios de planes de
pensiones y empleados de compañías públicas —y proteger la confianza del público
general—.
Por ello, el 30 de julio de 2002, fue promulgada una ley para proteger a los inversores
mejorando la exactitud y la confianza de los informes y comunicaciones corporativas
realizadas cumpliendo con las leyes financieras y otros propósitos, denominada SOX
(Sarbanes Oxley).
El ámbito de aplicación de la ley son todas aquellas empresas cuyos valores, acciones
y obligaciones coticen en Wall Street.
Interpretada y reglamentada por la SEC (Securities and Exchange Commission) y el
PCAOB (Public Company Accounting Oversight Board), dispone de varias secciones en-
tre las que destacan:
• Sección 302. Corporate responsibility for financial reports: requiere que el conse-
jero delegado y el director financiero certifiquen trimestral y anualmente que el
control interno de la entidad es efectivo.
• Sección 404. Management assessment of internal controls: requiere que
anualmente la Dirección prepare, para que lo revise y evalúe su auditor, un
informe de control interno que:
• Determine su responsabilidad en establecer y mantener una adecuada
estructura de control interno y unos adecuados procedimientos para la
elaboración en tiempo, forma y contenido de la información financiera de la
sociedad.
• Contenga una evaluación de la efectividad de la estructura de control interno y
los procedimientos.
En base a esta definición, los controles internos por considerar serían los siguientes:
1. Comprobar si se dispone de una política de seguridad de la información,
aprobada por la Dirección, comunicada a todo el personal de la organización.
2. Comprobar si la Organización ha establecido un mecanismo de
identificación/autenticación para los sistemas de información, que proporcione
responsabilidad individual (cuentas individuales por usuario).
3. Comprobar si la organización ha definido controles de autenticación basados en
la existencia de contraseñas.
4. Comprobar si existen controles para garantizar que las altas, bajas y
modificaciones de usuarios se gestionan de manera oportuna para reducir el
riesgo de accesos no autorizados o inapropiados.
5. Comprobar que la Organización dispone de programas de protección frente a
códigos maliciosos (virus, troyanos, escaneo de información).
6. Comprobar si la Organización ha establecido controles para garantizar que los
cambios/desarrollos realizados sobre los sistemas son aprobados por los
responsables del departamento al que va dirigido la modificación, una vez han
sido probados.
7. Comprobar si Organización ha implementado controles para garantizar que los
cambios de emergencia se realizan de forma adecuada y controlada.
8. Comprobar si la Organización dispone de procedimientos para evaluar cómo
afectan los nuevos desarrollos o la adquisición de paquetes de software que se
realizan, al funcionamiento habitual de los sistemas de información,
considerando el impacto en los procesos de negocio y la información generada.
9. Comprobar si la Organización prueba las copias de seguridad de forma periódica
para asegurarse de que son utilizables en caso de emergencia.
10. Comprobar si la Organización ha implementado controles para garantizar que
las incidencias de integridad de datos y de control de accesos son registradas,
analizadas, resueltas oportunamente y reportadas a la Dirección.
11. Comprobar si la Organización ha establecido controles sobre documentos de
usuario importantes, como hojas de cálculo, que intervienen en la elaboración
de la información financiera.
Por otra parte, los Controles Generales a ser desplegados serían los siguientes: