SlideShare una empresa de Scribd logo

Informe auditoria onti-publicacion-2013

Enrique Medina
Enrique Medina

Auditoría ONTI

Internet
1 de 10
Descargar para leer sin conexión
.J . , "2014 - jI110 dCJ{ometlaj!! a( jJf",iraflte C;uifkmlO lJ3rvWII, l'1I el (]Jice';teflalio de{ Com6at.e :}lavaf de IJfoflt.evideo" , " Jefatura de Gabinete de Ministros Secretarfa de Gabinete y Coordinación Administrativa Subsecretarfa de Tecnologfas de Gestión I REF: AFIP - Auditarla Anual Expediente Nº JefGabMin Nº 008039/2007 ANEXO ",,' Autoridad Certificante Administración Federal de Ingresos Públicos Informe de Auditoría
.. "20J4 - )lño áe J{omellaje a(jl(m;rante qui{[er1llo Q3roWlI, en er (}3;CClltclIan'o áef Com6ate J{d1)a( áe :Mollteviáeo" Jefatura de Gabinete de Ministros Secretaría de Gabinete y Coordinac¡ó~ Administrativa Subsecretaría de Tecnologías de Gestión 1.INTRODUCCiÓN REF: AFIP- Auditoría Anual Expediente Nº JefGabMin Nº 008039/2007 A partir de la obtención de la licencia por Resolución de la entonces Secretaría de la Gestión Pública Nº 88 de fecha 17 de diciembre de 2008, la Administración Federal de Ingresos Públicos (AFIP) adquiere la condición de Certificador Licenciado, en el marco de la Infraestructura de Firma Digital de la República Argentina, creada por Ley N" 25.506. La resolución antes mencionada, en su artículo 1º aprueba la "Política de Certificación para Personas Físicas de Autoridad Certificante de la Administración Federal de Ingresos Públicos- AFIP". Teniendo en cuenta la condición de Certificador Licenciado de ia AFIP, corresponde la realización de una auditoría, de acuerdo a lo dispuesto por el artículo 26 del Decreto Reglamentario Nº 2628/2002, el cual indica que "Los certificadores licenciados serán sometidos a auditorías anuales". La apertura del proceso de evaluación anual fue comunicada al organismo por nota firmada por ei Subsecretario de Tecnologías de Gestión. El presente informe describe, en primer lugar el objetivo y alcance de la revisión efectuada. Continúa con una breve reseña de los aspectos técnicos de la aplicación y de la infraestructura tecnológica sobre la que se prestan los servicios de certificación para la Política antes mencionada, seguida de una sección que resume las actividades de revisión efectuadas. Seguidamente se enumeran las observaciones encontradas, con la indicación del riesgo y la recomendación del auditor correspondiente. El informe incorpora además una serie de sugerencias con el propósito de contribuir a una mejora de los servicios a brindar por el Certificador Licenciado, en cuanto a la Política de Certificación mencionada. En último término, se presenta la conclusión del informe.
11,OBJETIVO La presente revisión se enmarca en lo establecido en la Ley W 25.506 y sus normas reglamentarias y en particular, en lo estipulado en la Decisión Administrativa N° 06/2007. Tiene por fin evaluar la confiabilidad y calidad de los sistemas utilizados por la AFIP en su calidad de Certificador Licenciado, la integridad, confidencialidad y disponibilidad de los datos vinculados a la gestión de los certificados, asi como el cumplimiento de las especificaciones de la Politica de Certificación para Personas Físicas de AFIP, el manual de procedimientos, el plan de seguridad y de contingencia y demás documentación aprobada oportunamente por el ente Iicenciante y que fuera base para la obtención de la licencia correspondiente. Los mencionados documentos obran en el Expediente JefGabMin Nº 008039/2007 del registro de la Jefatura de Gabinete de Ministros. 11I.ALCANCE La presente evaluación abarcó la revisión de la funcionalidad y de los controles implementados en la Autoridad Certificante (AC AFIP), en su servicio de publicación, en el sitio de contingencia, la Autoridad de Registro (AR) y sus Puestos de Atención. En particular, para estos últimos, se auditó la sede Central, la ubicada en la sede Azopardo de la Aduana, y la del edificio de Hipólito Yrigoyen, todas en esta Ciudad Autónoma de Buenos Aires. También se realizó una entrevista a los responsables del área de Auditoría en la sede Carlos Pellegrini de AFIP. La revisión de la aplicación tuvo un enfoque solamente funcional no abarcándose la revisión de código de ias aplicaciones. IV. DESCRIPCiÓN TÉCNICA La infraestructura tecnológica correspondiente a la AC AFIP para la Politica de Certificación antes referida consta de un dispositivo certificado FIPS 140-2 Nivel 3, servidores de publicación y de aplicación IBM con Sistema Linux RedHat. Para su control y monitoreo se "~ ". ,
,., ," Jefatura de Gabinete de Ministros Secretada de Gabinete y Coordinación Administrativa Subsecretarfa de Tecnologías de Gestión REF: AFIP - Auditoría Anual JefGabMin Nº 008039/2007 encuentran instalados un IDS (Sistema de Detección de Intrusiones) y un Firewall, así como un esquema de balanceo para los servidores de publicaciones. En el caso puntual del monitoreo, éste se lleva a cabo utilizando el sistema "Nagios". La capa de negocio está desarrollada por el organismo utilizando EJBCA(Enterprise Java Bean Certificate Authority), Jboss SEAM como framework de desarrollo, PostgreSQL como motor de base de datos y Apache como servidor web. El equipamiento de la AC AFIP se aloja en un recinto exclusivo dentro de la sala cofre de la sede central del organismo, con monitoreo de acceso físico y lógico a todo dispositivo perteneciente a la infraestructura. El equipamiento de la AC AFIP de contingencia se aloja en el Centro de Datos de Telefónica S.A., de la calle Osvaldo Cruz 2B90, Ciudad Autónoma de Buenos Aires. La autorización de las funciones criticas sobre los dispositivos criptográficos SafeNet LunaSA (principal y de contingencia) está basada en un esquema de roles, y cuenta con doble factor de autenticación realizado mediante dispositivos criptográficos USB y contraseñas. Cabe mencionar que a la fecha de realización de los trabajos de campo correspondientes a la presente revisión se habla iniciado un proceso de migración de los dispositivos criptográfícos de la AC AFIP, por la finalización del soporte por parte del proveedor. Los nuevos equipos ya se encontraban en poder del organismo y de acuerdo a lo manifestado por el Responsable de Seguridad, estaban avanzadas las pruebas previas a la migración final. V. ACTIVIDADES REALIZADAS El equipo de trabajo de la Subsecretaria concurrió a las instalaciones de AFIP entre los días martes 27 de agosto y miércoles 9 de octubre de 2013. En dicho lapso, se realizaron visitas, pruebas y entrevistas en las siguientes sedes: • Paseo Colón 635 - Subdirección General de Sistemas y Telecomunicaciones y sede de la instalación principal • Azopardo 3S0 - Puesto de Atención de la AR de AFIP
• Hipólito Yrigoyen 370 - PB - Puesto de Atención de la AR de AFIP • Osvaldo Cruz 2890 - Sitio de contingencia • Carlos Pellegrini 53, Auditoría Interna Se realizaron entrevistas con el siguiente personal de AFIP: Responsable de Seguridad (durante toda la auditoría) • Pablo Bonavía • Gestión de Accesos: Gastón Pazo • Monitoreo: Fabián Leis Aplicación • Ricardo Gorosito • Juan Bernasconi • Gastón Pazo Responsable Mesa de Ayuda • Osear Laricchia • Pablo Fascetta Responsable de HSM • Sebastían Guarino - Responsable • Administrador de las Particiones - Ricardo Gorosito Responsable de Comunicaciones • Horacio Franco • Silvia Heredia Responsable Sala Cofre • Daniel Acuña -, "
... Jefatura de Gabinete de Ministros Secretaría de Gabinete V Coordinación Administrativa Subsecretaría de Tecnologías de Gestión REF: AFIP - Auditoría Anual JefGabMin Nº 008039/2007 Puestos de Atención Paseo Colón • María Laura Rodríguez - Oficial de Registro Suplente Puestos de Atención Aduana • Carlos Pot - Responsable de área • Teresa Cabrera - Oficial de Registro Suplente Puestos de Atención Hipólito Yrigoyen • Adriana Lombardía - Oficial de Registro Suplente • Ignacio Yasky - Oficial de Registro Titular Auditoria interna • Néstor del Cuadro - Auditor • Daniel Slavich - Auditor Las entrevistas realizadas versaron sobre los siguientes temas: Seguridad Física de la AC de contingencia Plan de Contingencia Protección de recursos sensibles Prueba de los diferentes roles Análisis de vulnerabilidades Seguridad Física de la AC Plan de Seguridad Funcionalidad de la aplicación de la AC Apertura de la auditoría y presentación del programa de trabajo Hevisión de los registros de auditoría • • • • • • • • • • .l
• Funcionamiento, controles y roles y responsabilidades de ios Puestos de Atención de la Autoridad de Registro • Seguridad del Personal • Documentación de soporte del proceso de generación de certificados y de antecedentes del personal involucrado • Monitoreo de la Infraestructura de Firma Digital Sitio de Contingencia. Se participó de una actividad de recorrido por las instalaciones con una descripción de las tareas de recuperación de backup y revisión de libro de actas realizada por el personal de AFIP, el dia lunes 7 de octubre de 2013. Participaron de la tarea: Responsable de Seguridad - Pablo Bonavia Administrador del HSM - Gastón Pazo Administrador del HSM - Sebastián Guarino Testigo - Ariel Riedmatten VI. OBSERVACIONES RElEVANTES Respecto al Plan de Contingencia Observación NQ1: Pruebas al Plan de Contingencia No se obtuvo evidencia de la realización de pruebas semestrales completas del Plan de Contingencia, de acuerdo a lo requerido en la Decisión Administrativa 06/2007. De acuerdo a la documentación revisada, solo se realizaron pruebas parciales, que no cumplian con la exigencia de firmar una CRL, indicada en Plan de Contingencias aprobado dei organismo. Riesgo: Se incumple lo establecido en la legislación aplicable y en la normativa interna de la ".
. , o' .' Jefatura de Gabinete de Ministros Secretaría de Gabinete y Coordinación Administrativa Subsecretaría de Tecnologías de Gestión REF: AFIP - Auditoría Anual JefGabMin Nº 008039/2007 AC AFIP Y no se tiene la certeza de que se pueda poner en funcionamiento el sitio alternativo en tiempo y forma. Recomendación: Regularizar la situación realizando una prueba completa del plan de contingencia en lo inmediato y efectuar las pruebas semestrales, de acuerdo a lo indicado en la normativa vigente. Respecto al uso de los certificados Observación N" 2: información brindada a los solicitantes de certificados digitales. En algunos puestos de atención se informa erróneamente que los certificados pueden utilizarse para cualquier transacción, no respetando los usos permitidos enumerados en el punto "1.3.4 Aplicabilidad" de la Politica de Certificación vigente a la fecha. Riesgo: Es obligación del certificador, en forma directa o a través de sus autoridades de registro, informar a quien solicita un certificado digital las condiciones precisas de utilización del certificado digital. En este caso al proveerse información incorrecta respecto de la aplicabilidad de la firma, podría derivar en una firma inválida. Recomendación: Instruir a los oficiales de registro sobre la aplicabilidad de los certificados de acuerdo a la Política de Certificación vigente. Respecto a los dispositivos criptográficos Observación Nº 3: Estándar para dispositivos criptográficos de suscriptores Los dispositivos criptográficos SafeNet iKey 2032 no cumplen con el estándar FIPS-2 nivel 2 establecido como obligatorio en el punto "6.2 Estándares para dispositivos criptográficos" de la Politica de Certificación de la AFIP para los certificados clase 4. Riesgo: Se permite" a los titulares de certificados clase 4 la utilización de un dispositivo criptográfico con menores condiciones de seguridad en cuanto a la generación y almacenamiento de sus claves, respecto a ias establecidas en la Política de Certificación. Se incumple además con al propia normativa interna de la AC AFIP.
Recomendación: Ajustarse a lo indicado en la Politica de Certificación o bien, evaluar la posibilidad de modificar dicho documento, Respecto a la documentación Observación Nº 4: Informe de estado de operaciones El informe de estado de operaciones presentado se encuentra incompleto, ya que solo informa ios puestos de atención de ia Autoridad de Registro y los certificados emitidos, omitiendo la mención de otros hechos significativos que tuvieron lugar respecto a ia actividad de la AC AFiP. Riesgo: Se incumple la normativa vigente, en lo establecido en el inciso o) del articulo 34 del Decreto W 2628/2002. Recomendación: Remitir a la brevedad al Ente Licenciante el informe de estado de operaciones, con carácter de declaración jurada, detallando los hechos significativos vinculados al funcionamiento del Certificador Licenciado. Observación Nº 5: Publicación de los informes de auditoría No se encuentra publicada en el sitio web del Certificador Licenciado la información pertinente de los informes de auditoría realizados, tal como se establece en la Politica de Certificación aprobada y en el inciso k) del articulo 21 de la Ley W 25.506. Riesgo: Se incumple lo establecido en ia normativa aplicable y no se informa adecuadamente a ios interesados. Recomendación: Cumplimentar lo establecido en la normativa vigente y proceder a la publicación de la parte pertinente de los informes de auditoría realizados. Respecto a la Lista de Certificados Revocados Observación N" 6: Lista de Certificados revocados incompleta , .
. . '" , , . Jefatura de Gabinete de Ministros Secretaria de Gabinete y Coordinación Administrativa Subsecretaría de Tecnologías de Gestión REF: AFIP - Auditoría Anual JefGabMin Nº 008039/2007 Se detectó que la lista de certificados revocados publicada diariamente no incluye la totalidad de los certificados revocados, sino solo aquellos cuya fecha de vencimiento es posterior a la fecha de emisión de la mencionada lista. Riesgo: Si un tercero usuario realizara la verificación del estado del certificado en una fecha posterior a su fecha de expiración, podrla incurrir en un resultado incorrecto al no encontrar disponible la información respecto a si tuvo lugar una revocación. En este contexto, se deja constancia que la Politica de Certificación de la AC AFIP no contempla la modalidad implementada. Recomendación: Incorporar la totalidad de los certificados revocados a la lista de certificados revocados o bien, modificar la Política de Certificación y advertir al tercero usuario sobre el alcance de dicha Iísta, a fin de que no incurra en un error. IX. CONCLUSIÓN A partir del releva miento realizado con motivo de la auditoria anual, se concluye que luego de transcurrido el primer período por el cual se otorgara la licencia, la AFIP, en su calidad de Certificador Licenciado, mantiene un infraestructura adecuada y actualizada para la gestión del ciclo de vida de los certificados digitales que emite. Sin embargo, resulta necesario resaitar que el organismo debe cumplir en forma completa con el requisito de realización de pruebas semestrales del plan de continuidad de las operaciones de la AC AFIP para prever una respuesta oportuna frente a una contingencia e instruir a los responsables de los puestos de atención para que informen adecuadamente a los titulares de los certificados respecto a su aplicabilidad. Se recomienda subsanar tanto éstas como el resto de las observaciones formuladas en el presente informe, implementando las recomendaciones correspondientes, con el fin de s niveles de confiabilidad y cumplimiento requeridos en las normas vigentes.

Recomendados

Tarea 5 _Cardenas Lino Saul _413_6to ciclo_UNMSM_2020-2
Tarea 5 _Cardenas Lino Saul _413_6to ciclo_UNMSM_2020-2Tarea 5 _Cardenas Lino Saul _413_6to ciclo_UNMSM_2020-2
Tarea 5 _Cardenas Lino Saul _413_6to ciclo_UNMSM_2020-2SaulCardenasLino
 
198 2
198 2198 2
198 2Isaac Alvarez
 
Nias parte ii
Nias parte iiNias parte ii
Nias parte ii18370n
 
Exposición nias grupo nº 1 27 03-2021 df
Exposición nias grupo nº 1 27 03-2021 dfExposición nias grupo nº 1 27 03-2021 df
Exposición nias grupo nº 1 27 03-2021 dfGilberto Mateus Quintero
 
Informe auditoria siplag
Informe auditoria siplagInforme auditoria siplag
Informe auditoria siplagAmeli Gómez
 
Taylor Community Consulting Program - Network for Teaching Entrepreneurship
Taylor Community Consulting Program - Network for Teaching EntrepreneurshipTaylor Community Consulting Program - Network for Teaching Entrepreneurship
Taylor Community Consulting Program - Network for Teaching EntrepreneurshipJameson Cook
 
Metodologia evaluacionde viabilidades_editado5
Metodologia evaluacionde viabilidades_editado5Metodologia evaluacionde viabilidades_editado5
Metodologia evaluacionde viabilidades_editado5Cesar Montoya Campaña
 
Municipalidad de informe final auditoria de sistemas informaticos
Municipalidad de informe final auditoria de sistemas informaticosMunicipalidad de informe final auditoria de sistemas informaticos
Municipalidad de informe final auditoria de sistemas informaticosAaron Crespo
 

Recomendados

Tarea 5 _Cardenas Lino Saul _413_6to ciclo_UNMSM_2020-2
Tarea 5 _Cardenas Lino Saul _413_6to ciclo_UNMSM_2020-2Tarea 5 _Cardenas Lino Saul _413_6to ciclo_UNMSM_2020-2
Tarea 5 _Cardenas Lino Saul _413_6to ciclo_UNMSM_2020-2SaulCardenasLino
 
198 2
198 2198 2
198 2Isaac Alvarez
 
Nias parte ii
Nias parte iiNias parte ii
Nias parte ii18370n
 
Exposición nias grupo nº 1 27 03-2021 df
Exposición nias grupo nº 1 27 03-2021 dfExposición nias grupo nº 1 27 03-2021 df
Exposición nias grupo nº 1 27 03-2021 dfGilberto Mateus Quintero
 
Informe auditoria siplag
Informe auditoria siplagInforme auditoria siplag
Informe auditoria siplagAmeli Gómez
 
Taylor Community Consulting Program - Network for Teaching Entrepreneurship
Taylor Community Consulting Program - Network for Teaching EntrepreneurshipTaylor Community Consulting Program - Network for Teaching Entrepreneurship
Taylor Community Consulting Program - Network for Teaching EntrepreneurshipJameson Cook
 
Metodologia evaluacionde viabilidades_editado5
Metodologia evaluacionde viabilidades_editado5Metodologia evaluacionde viabilidades_editado5
Metodologia evaluacionde viabilidades_editado5Cesar Montoya Campaña
 
Municipalidad de informe final auditoria de sistemas informaticos
Municipalidad de informe final auditoria de sistemas informaticosMunicipalidad de informe final auditoria de sistemas informaticos
Municipalidad de informe final auditoria de sistemas informaticosAaron Crespo
 
20230307_ftcoin007_informe_auditoria_derechos_autor_software_legal_vigencia_2...
20230307_ftcoin007_informe_auditoria_derechos_autor_software_legal_vigencia_2...20230307_ftcoin007_informe_auditoria_derechos_autor_software_legal_vigencia_2...
20230307_ftcoin007_informe_auditoria_derechos_autor_software_legal_vigencia_2...sistemassistemas18
 
Mnp seguridad institucional_julio_2018
Mnp seguridad institucional_julio_2018Mnp seguridad institucional_julio_2018
Mnp seguridad institucional_julio_2018Daniel López
 
BEBEVC
BEBEVCBEBEVC
BEBEVCDennysita Felix
 
NICC1-Calidad-Contador-Independiente-2019-JCC-Microempresas.pdf
NICC1-Calidad-Contador-Independiente-2019-JCC-Microempresas.pdfNICC1-Calidad-Contador-Independiente-2019-JCC-Microempresas.pdf
NICC1-Calidad-Contador-Independiente-2019-JCC-Microempresas.pdfManuel Borge Garcia
 
280612074657
280612074657280612074657
280612074657persolato
 
RSG_N°_037-2022-MINEDU.pdf.pdf
RSG_N°_037-2022-MINEDU.pdf.pdfRSG_N°_037-2022-MINEDU.pdf.pdf
RSG_N°_037-2022-MINEDU.pdf.pdfMitsuoCovinos
 
Informe final auditoria_nformatica
Informe final auditoria_nformaticaInforme final auditoria_nformatica
Informe final auditoria_nformaticaViviana Pc
 
Cas 024 2016-ugel 01 ep
Cas 024 2016-ugel 01 epCas 024 2016-ugel 01 ep
Cas 024 2016-ugel 01 epELVIN VEGA ESPINOZA
 
Convocat
ConvocatConvocat
ConvocatHoracio Ibañez
 
Auditoria2
Auditoria2Auditoria2
Auditoria2Monic Arguello
 
Reglamento de Organización y Funciones (ROF) - Dr. Enrique Miguel Cueva Valve...
Reglamento de Organización y Funciones (ROF) - Dr. Enrique Miguel Cueva Valve...Reglamento de Organización y Funciones (ROF) - Dr. Enrique Miguel Cueva Valve...
Reglamento de Organización y Funciones (ROF) - Dr. Enrique Miguel Cueva Valve...Colegiado Unidos por un Perú con Valores
 
Certificado OEA
Certificado OEACertificado OEA
Certificado OEAmanelguiex
 
Presentación slide oea
Presentación slide oeaPresentación slide oea
Presentación slide oeamanelguiex
 
Mapro 2005
Mapro 2005Mapro 2005
Mapro 2005lokillo1977
 
Legajo de programacion
Legajo de programacionLegajo de programacion
Legajo de programacionMijail Rivera Montaño
 
Pres.res.65.up.2011
Pres.res.65.up.2011Pres.res.65.up.2011
Pres.res.65.up.2011resguarda
 
Auditoria interna
Auditoria internaAuditoria interna
Auditoria internaCorporacion Unificada Nacional CUN
 
lineamientos y certificaciones de auditoria de sistemas
lineamientos y certificaciones de auditoria de sistemaslineamientos y certificaciones de auditoria de sistemas
lineamientos y certificaciones de auditoria de sistemasalexa992
 
Tarea8.docx
Tarea8.docxTarea8.docx
Tarea8.docxKaren Osorio
 
DIAPOSITIVAS POLICIA JUDICILA, DOCUMENTOLOGIA
DIAPOSITIVAS POLICIA JUDICILA, DOCUMENTOLOGIADIAPOSITIVAS POLICIA JUDICILA, DOCUMENTOLOGIA
DIAPOSITIVAS POLICIA JUDICILA, DOCUMENTOLOGIALISFAVER
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdflauradbernals
 
COMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfCOMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfOscarBlas6
 

Más contenido relacionado

Similar a Informe auditoria onti-publicacion-2013

20230307_ftcoin007_informe_auditoria_derechos_autor_software_legal_vigencia_2...
20230307_ftcoin007_informe_auditoria_derechos_autor_software_legal_vigencia_2...20230307_ftcoin007_informe_auditoria_derechos_autor_software_legal_vigencia_2...
20230307_ftcoin007_informe_auditoria_derechos_autor_software_legal_vigencia_2...sistemassistemas18
 
Mnp seguridad institucional_julio_2018
Mnp seguridad institucional_julio_2018Mnp seguridad institucional_julio_2018
Mnp seguridad institucional_julio_2018Daniel López
 
NICC1-Calidad-Contador-Independiente-2019-JCC-Microempresas.pdf
NICC1-Calidad-Contador-Independiente-2019-JCC-Microempresas.pdfNICC1-Calidad-Contador-Independiente-2019-JCC-Microempresas.pdf
NICC1-Calidad-Contador-Independiente-2019-JCC-Microempresas.pdfManuel Borge Garcia
 
280612074657
280612074657280612074657
280612074657persolato
 
RSG_N°_037-2022-MINEDU.pdf.pdf
RSG_N°_037-2022-MINEDU.pdf.pdfRSG_N°_037-2022-MINEDU.pdf.pdf
RSG_N°_037-2022-MINEDU.pdf.pdfMitsuoCovinos
 
Informe final auditoria_nformatica
Informe final auditoria_nformaticaInforme final auditoria_nformatica
Informe final auditoria_nformaticaViviana Pc
 
Reglamento de Organización y Funciones (ROF) - Dr. Enrique Miguel Cueva Valve...
Reglamento de Organización y Funciones (ROF) - Dr. Enrique Miguel Cueva Valve...Reglamento de Organización y Funciones (ROF) - Dr. Enrique Miguel Cueva Valve...
Reglamento de Organización y Funciones (ROF) - Dr. Enrique Miguel Cueva Valve...Colegiado Unidos por un Perú con Valores
 
Certificado OEA
Certificado OEACertificado OEA
Certificado OEAmanelguiex
 
Presentación slide oea
Presentación slide oeaPresentación slide oea
Presentación slide oeamanelguiex
 
Pres.res.65.up.2011
Pres.res.65.up.2011Pres.res.65.up.2011
Pres.res.65.up.2011resguarda
 
lineamientos y certificaciones de auditoria de sistemas
lineamientos y certificaciones de auditoria de sistemaslineamientos y certificaciones de auditoria de sistemas
lineamientos y certificaciones de auditoria de sistemasalexa992
 
DIAPOSITIVAS POLICIA JUDICILA, DOCUMENTOLOGIA
DIAPOSITIVAS POLICIA JUDICILA, DOCUMENTOLOGIADIAPOSITIVAS POLICIA JUDICILA, DOCUMENTOLOGIA
DIAPOSITIVAS POLICIA JUDICILA, DOCUMENTOLOGIALISFAVER
 

Similar a Informe auditoria onti-publicacion-2013 (20)

20230307_ftcoin007_informe_auditoria_derechos_autor_software_legal_vigencia_2...
20230307_ftcoin007_informe_auditoria_derechos_autor_software_legal_vigencia_2...20230307_ftcoin007_informe_auditoria_derechos_autor_software_legal_vigencia_2...
20230307_ftcoin007_informe_auditoria_derechos_autor_software_legal_vigencia_2...
 
Mnp seguridad institucional_julio_2018
Mnp seguridad institucional_julio_2018Mnp seguridad institucional_julio_2018
Mnp seguridad institucional_julio_2018
 
BEBEVC
BEBEVCBEBEVC
BEBEVC
 
NICC1-Calidad-Contador-Independiente-2019-JCC-Microempresas.pdf
NICC1-Calidad-Contador-Independiente-2019-JCC-Microempresas.pdfNICC1-Calidad-Contador-Independiente-2019-JCC-Microempresas.pdf
NICC1-Calidad-Contador-Independiente-2019-JCC-Microempresas.pdf
 
280612074657
280612074657280612074657
280612074657
 
RSG_N°_037-2022-MINEDU.pdf.pdf
RSG_N°_037-2022-MINEDU.pdf.pdfRSG_N°_037-2022-MINEDU.pdf.pdf
RSG_N°_037-2022-MINEDU.pdf.pdf
 
Informe final auditoria_nformatica
Informe final auditoria_nformaticaInforme final auditoria_nformatica
Informe final auditoria_nformatica
 
Cas 024 2016-ugel 01 ep
Cas 024 2016-ugel 01 epCas 024 2016-ugel 01 ep
Cas 024 2016-ugel 01 ep
 
Convocat
ConvocatConvocat
Convocat
 
Auditoria2
Auditoria2Auditoria2
Auditoria2
 
Reglamento de Organización y Funciones (ROF) - Dr. Enrique Miguel Cueva Valve...
Reglamento de Organización y Funciones (ROF) - Dr. Enrique Miguel Cueva Valve...Reglamento de Organización y Funciones (ROF) - Dr. Enrique Miguel Cueva Valve...
Reglamento de Organización y Funciones (ROF) - Dr. Enrique Miguel Cueva Valve...
 
Certificado OEA
Certificado OEACertificado OEA
Certificado OEA
 
Presentación slide oea
Presentación slide oeaPresentación slide oea
Presentación slide oea
 
Mapro 2005
Mapro 2005Mapro 2005
Mapro 2005
 
Legajo de programacion
Legajo de programacionLegajo de programacion
Legajo de programacion
 
Pres.res.65.up.2011
Pres.res.65.up.2011Pres.res.65.up.2011
Pres.res.65.up.2011
 
Auditoria interna
Auditoria internaAuditoria interna
Auditoria interna
 
lineamientos y certificaciones de auditoria de sistemas
lineamientos y certificaciones de auditoria de sistemaslineamientos y certificaciones de auditoria de sistemas
lineamientos y certificaciones de auditoria de sistemas
 
Tarea8.docx
Tarea8.docxTarea8.docx
Tarea8.docx
 
DIAPOSITIVAS POLICIA JUDICILA, DOCUMENTOLOGIA
DIAPOSITIVAS POLICIA JUDICILA, DOCUMENTOLOGIADIAPOSITIVAS POLICIA JUDICILA, DOCUMENTOLOGIA
DIAPOSITIVAS POLICIA JUDICILA, DOCUMENTOLOGIA
 

Último

Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdflauradbernals
 
COMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfCOMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfOscarBlas6
 
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfisrael garcia
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdfedwinmelgarschlink2
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenadanielaerazok
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenajuniorcuellargomez
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webDecaunlz
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAdanielaerazok
 

Último (8)

Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdf
 
COMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfCOMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdf
 
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalena
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalena
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la web
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
 

Informe auditoria onti-publicacion-2013

  • 1. .J . , "2014 - jI110 dCJ{ometlaj!! a( jJf",iraflte C;uifkmlO lJ3rvWII, l'1I el (]Jice';teflalio de{ Com6at.e :}lavaf de IJfoflt.evideo" , " Jefatura de Gabinete de Ministros Secretarfa de Gabinete y Coordinación Administrativa Subsecretarfa de Tecnologfas de Gestión I REF: AFIP - Auditarla Anual Expediente Nº JefGabMin Nº 008039/2007 ANEXO ",,' Autoridad Certificante Administración Federal de Ingresos Públicos Informe de Auditoría
  • 2. .. "20J4 - )lño áe J{omellaje a(jl(m;rante qui{[er1llo Q3roWlI, en er (}3;CClltclIan'o áef Com6ate J{d1)a( áe :Mollteviáeo" Jefatura de Gabinete de Ministros Secretaría de Gabinete y Coordinac¡ó~ Administrativa Subsecretaría de Tecnologías de Gestión 1.INTRODUCCiÓN REF: AFIP- Auditoría Anual Expediente Nº JefGabMin Nº 008039/2007 A partir de la obtención de la licencia por Resolución de la entonces Secretaría de la Gestión Pública Nº 88 de fecha 17 de diciembre de 2008, la Administración Federal de Ingresos Públicos (AFIP) adquiere la condición de Certificador Licenciado, en el marco de la Infraestructura de Firma Digital de la República Argentina, creada por Ley N" 25.506. La resolución antes mencionada, en su artículo 1º aprueba la "Política de Certificación para Personas Físicas de Autoridad Certificante de la Administración Federal de Ingresos Públicos- AFIP". Teniendo en cuenta la condición de Certificador Licenciado de ia AFIP, corresponde la realización de una auditoría, de acuerdo a lo dispuesto por el artículo 26 del Decreto Reglamentario Nº 2628/2002, el cual indica que "Los certificadores licenciados serán sometidos a auditorías anuales". La apertura del proceso de evaluación anual fue comunicada al organismo por nota firmada por ei Subsecretario de Tecnologías de Gestión. El presente informe describe, en primer lugar el objetivo y alcance de la revisión efectuada. Continúa con una breve reseña de los aspectos técnicos de la aplicación y de la infraestructura tecnológica sobre la que se prestan los servicios de certificación para la Política antes mencionada, seguida de una sección que resume las actividades de revisión efectuadas. Seguidamente se enumeran las observaciones encontradas, con la indicación del riesgo y la recomendación del auditor correspondiente. El informe incorpora además una serie de sugerencias con el propósito de contribuir a una mejora de los servicios a brindar por el Certificador Licenciado, en cuanto a la Política de Certificación mencionada. En último término, se presenta la conclusión del informe.
  • 3. 11,OBJETIVO La presente revisión se enmarca en lo establecido en la Ley W 25.506 y sus normas reglamentarias y en particular, en lo estipulado en la Decisión Administrativa N° 06/2007. Tiene por fin evaluar la confiabilidad y calidad de los sistemas utilizados por la AFIP en su calidad de Certificador Licenciado, la integridad, confidencialidad y disponibilidad de los datos vinculados a la gestión de los certificados, asi como el cumplimiento de las especificaciones de la Politica de Certificación para Personas Físicas de AFIP, el manual de procedimientos, el plan de seguridad y de contingencia y demás documentación aprobada oportunamente por el ente Iicenciante y que fuera base para la obtención de la licencia correspondiente. Los mencionados documentos obran en el Expediente JefGabMin Nº 008039/2007 del registro de la Jefatura de Gabinete de Ministros. 11I.ALCANCE La presente evaluación abarcó la revisión de la funcionalidad y de los controles implementados en la Autoridad Certificante (AC AFIP), en su servicio de publicación, en el sitio de contingencia, la Autoridad de Registro (AR) y sus Puestos de Atención. En particular, para estos últimos, se auditó la sede Central, la ubicada en la sede Azopardo de la Aduana, y la del edificio de Hipólito Yrigoyen, todas en esta Ciudad Autónoma de Buenos Aires. También se realizó una entrevista a los responsables del área de Auditoría en la sede Carlos Pellegrini de AFIP. La revisión de la aplicación tuvo un enfoque solamente funcional no abarcándose la revisión de código de ias aplicaciones. IV. DESCRIPCiÓN TÉCNICA La infraestructura tecnológica correspondiente a la AC AFIP para la Politica de Certificación antes referida consta de un dispositivo certificado FIPS 140-2 Nivel 3, servidores de publicación y de aplicación IBM con Sistema Linux RedHat. Para su control y monitoreo se "~ ". ,
  • 4. ,., ," Jefatura de Gabinete de Ministros Secretada de Gabinete y Coordinación Administrativa Subsecretarfa de Tecnologías de Gestión REF: AFIP - Auditoría Anual JefGabMin Nº 008039/2007 encuentran instalados un IDS (Sistema de Detección de Intrusiones) y un Firewall, así como un esquema de balanceo para los servidores de publicaciones. En el caso puntual del monitoreo, éste se lleva a cabo utilizando el sistema "Nagios". La capa de negocio está desarrollada por el organismo utilizando EJBCA(Enterprise Java Bean Certificate Authority), Jboss SEAM como framework de desarrollo, PostgreSQL como motor de base de datos y Apache como servidor web. El equipamiento de la AC AFIP se aloja en un recinto exclusivo dentro de la sala cofre de la sede central del organismo, con monitoreo de acceso físico y lógico a todo dispositivo perteneciente a la infraestructura. El equipamiento de la AC AFIP de contingencia se aloja en el Centro de Datos de Telefónica S.A., de la calle Osvaldo Cruz 2B90, Ciudad Autónoma de Buenos Aires. La autorización de las funciones criticas sobre los dispositivos criptográficos SafeNet LunaSA (principal y de contingencia) está basada en un esquema de roles, y cuenta con doble factor de autenticación realizado mediante dispositivos criptográficos USB y contraseñas. Cabe mencionar que a la fecha de realización de los trabajos de campo correspondientes a la presente revisión se habla iniciado un proceso de migración de los dispositivos criptográfícos de la AC AFIP, por la finalización del soporte por parte del proveedor. Los nuevos equipos ya se encontraban en poder del organismo y de acuerdo a lo manifestado por el Responsable de Seguridad, estaban avanzadas las pruebas previas a la migración final. V. ACTIVIDADES REALIZADAS El equipo de trabajo de la Subsecretaria concurrió a las instalaciones de AFIP entre los días martes 27 de agosto y miércoles 9 de octubre de 2013. En dicho lapso, se realizaron visitas, pruebas y entrevistas en las siguientes sedes: • Paseo Colón 635 - Subdirección General de Sistemas y Telecomunicaciones y sede de la instalación principal • Azopardo 3S0 - Puesto de Atención de la AR de AFIP
  • 5. • Hipólito Yrigoyen 370 - PB - Puesto de Atención de la AR de AFIP • Osvaldo Cruz 2890 - Sitio de contingencia • Carlos Pellegrini 53, Auditoría Interna Se realizaron entrevistas con el siguiente personal de AFIP: Responsable de Seguridad (durante toda la auditoría) • Pablo Bonavía • Gestión de Accesos: Gastón Pazo • Monitoreo: Fabián Leis Aplicación • Ricardo Gorosito • Juan Bernasconi • Gastón Pazo Responsable Mesa de Ayuda • Osear Laricchia • Pablo Fascetta Responsable de HSM • Sebastían Guarino - Responsable • Administrador de las Particiones - Ricardo Gorosito Responsable de Comunicaciones • Horacio Franco • Silvia Heredia Responsable Sala Cofre • Daniel Acuña -, "
  • 6. ... Jefatura de Gabinete de Ministros Secretaría de Gabinete V Coordinación Administrativa Subsecretaría de Tecnologías de Gestión REF: AFIP - Auditoría Anual JefGabMin Nº 008039/2007 Puestos de Atención Paseo Colón • María Laura Rodríguez - Oficial de Registro Suplente Puestos de Atención Aduana • Carlos Pot - Responsable de área • Teresa Cabrera - Oficial de Registro Suplente Puestos de Atención Hipólito Yrigoyen • Adriana Lombardía - Oficial de Registro Suplente • Ignacio Yasky - Oficial de Registro Titular Auditoria interna • Néstor del Cuadro - Auditor • Daniel Slavich - Auditor Las entrevistas realizadas versaron sobre los siguientes temas: Seguridad Física de la AC de contingencia Plan de Contingencia Protección de recursos sensibles Prueba de los diferentes roles Análisis de vulnerabilidades Seguridad Física de la AC Plan de Seguridad Funcionalidad de la aplicación de la AC Apertura de la auditoría y presentación del programa de trabajo Hevisión de los registros de auditoría • • • • • • • • • • .l
  • 7. • Funcionamiento, controles y roles y responsabilidades de ios Puestos de Atención de la Autoridad de Registro • Seguridad del Personal • Documentación de soporte del proceso de generación de certificados y de antecedentes del personal involucrado • Monitoreo de la Infraestructura de Firma Digital Sitio de Contingencia. Se participó de una actividad de recorrido por las instalaciones con una descripción de las tareas de recuperación de backup y revisión de libro de actas realizada por el personal de AFIP, el dia lunes 7 de octubre de 2013. Participaron de la tarea: Responsable de Seguridad - Pablo Bonavia Administrador del HSM - Gastón Pazo Administrador del HSM - Sebastián Guarino Testigo - Ariel Riedmatten VI. OBSERVACIONES RElEVANTES Respecto al Plan de Contingencia Observación NQ1: Pruebas al Plan de Contingencia No se obtuvo evidencia de la realización de pruebas semestrales completas del Plan de Contingencia, de acuerdo a lo requerido en la Decisión Administrativa 06/2007. De acuerdo a la documentación revisada, solo se realizaron pruebas parciales, que no cumplian con la exigencia de firmar una CRL, indicada en Plan de Contingencias aprobado dei organismo. Riesgo: Se incumple lo establecido en la legislación aplicable y en la normativa interna de la ".
  • 8. . , o' .' Jefatura de Gabinete de Ministros Secretaría de Gabinete y Coordinación Administrativa Subsecretaría de Tecnologías de Gestión REF: AFIP - Auditoría Anual JefGabMin Nº 008039/2007 AC AFIP Y no se tiene la certeza de que se pueda poner en funcionamiento el sitio alternativo en tiempo y forma. Recomendación: Regularizar la situación realizando una prueba completa del plan de contingencia en lo inmediato y efectuar las pruebas semestrales, de acuerdo a lo indicado en la normativa vigente. Respecto al uso de los certificados Observación N" 2: información brindada a los solicitantes de certificados digitales. En algunos puestos de atención se informa erróneamente que los certificados pueden utilizarse para cualquier transacción, no respetando los usos permitidos enumerados en el punto "1.3.4 Aplicabilidad" de la Politica de Certificación vigente a la fecha. Riesgo: Es obligación del certificador, en forma directa o a través de sus autoridades de registro, informar a quien solicita un certificado digital las condiciones precisas de utilización del certificado digital. En este caso al proveerse información incorrecta respecto de la aplicabilidad de la firma, podría derivar en una firma inválida. Recomendación: Instruir a los oficiales de registro sobre la aplicabilidad de los certificados de acuerdo a la Política de Certificación vigente. Respecto a los dispositivos criptográficos Observación Nº 3: Estándar para dispositivos criptográficos de suscriptores Los dispositivos criptográficos SafeNet iKey 2032 no cumplen con el estándar FIPS-2 nivel 2 establecido como obligatorio en el punto "6.2 Estándares para dispositivos criptográficos" de la Politica de Certificación de la AFIP para los certificados clase 4. Riesgo: Se permite" a los titulares de certificados clase 4 la utilización de un dispositivo criptográfico con menores condiciones de seguridad en cuanto a la generación y almacenamiento de sus claves, respecto a ias establecidas en la Política de Certificación. Se incumple además con al propia normativa interna de la AC AFIP.
  • 9. Recomendación: Ajustarse a lo indicado en la Politica de Certificación o bien, evaluar la posibilidad de modificar dicho documento, Respecto a la documentación Observación Nº 4: Informe de estado de operaciones El informe de estado de operaciones presentado se encuentra incompleto, ya que solo informa ios puestos de atención de ia Autoridad de Registro y los certificados emitidos, omitiendo la mención de otros hechos significativos que tuvieron lugar respecto a ia actividad de la AC AFiP. Riesgo: Se incumple la normativa vigente, en lo establecido en el inciso o) del articulo 34 del Decreto W 2628/2002. Recomendación: Remitir a la brevedad al Ente Licenciante el informe de estado de operaciones, con carácter de declaración jurada, detallando los hechos significativos vinculados al funcionamiento del Certificador Licenciado. Observación Nº 5: Publicación de los informes de auditoría No se encuentra publicada en el sitio web del Certificador Licenciado la información pertinente de los informes de auditoría realizados, tal como se establece en la Politica de Certificación aprobada y en el inciso k) del articulo 21 de la Ley W 25.506. Riesgo: Se incumple lo establecido en ia normativa aplicable y no se informa adecuadamente a ios interesados. Recomendación: Cumplimentar lo establecido en la normativa vigente y proceder a la publicación de la parte pertinente de los informes de auditoría realizados. Respecto a la Lista de Certificados Revocados Observación N" 6: Lista de Certificados revocados incompleta , .
  • 10. . . '" , , . Jefatura de Gabinete de Ministros Secretaria de Gabinete y Coordinación Administrativa Subsecretaría de Tecnologías de Gestión REF: AFIP - Auditoría Anual JefGabMin Nº 008039/2007 Se detectó que la lista de certificados revocados publicada diariamente no incluye la totalidad de los certificados revocados, sino solo aquellos cuya fecha de vencimiento es posterior a la fecha de emisión de la mencionada lista. Riesgo: Si un tercero usuario realizara la verificación del estado del certificado en una fecha posterior a su fecha de expiración, podrla incurrir en un resultado incorrecto al no encontrar disponible la información respecto a si tuvo lugar una revocación. En este contexto, se deja constancia que la Politica de Certificación de la AC AFIP no contempla la modalidad implementada. Recomendación: Incorporar la totalidad de los certificados revocados a la lista de certificados revocados o bien, modificar la Política de Certificación y advertir al tercero usuario sobre el alcance de dicha Iísta, a fin de que no incurra en un error. IX. CONCLUSIÓN A partir del releva miento realizado con motivo de la auditoria anual, se concluye que luego de transcurrido el primer período por el cual se otorgara la licencia, la AFIP, en su calidad de Certificador Licenciado, mantiene un infraestructura adecuada y actualizada para la gestión del ciclo de vida de los certificados digitales que emite. Sin embargo, resulta necesario resaitar que el organismo debe cumplir en forma completa con el requisito de realización de pruebas semestrales del plan de continuidad de las operaciones de la AC AFIP para prever una respuesta oportuna frente a una contingencia e instruir a los responsables de los puestos de atención para que informen adecuadamente a los titulares de los certificados respecto a su aplicabilidad. Se recomienda subsanar tanto éstas como el resto de las observaciones formuladas en el presente informe, implementando las recomendaciones correspondientes, con el fin de s niveles de confiabilidad y cumplimiento requeridos en las normas vigentes.