• Author / Uploaded
• jgil

Citation preview

Auditoría de Sistemas Objetivo: Realizar la evaluación los controles de seguridad e integridad de la información implementados sobre el Sistema Integrado de Información para Copropiedades (SISCO1) a través del cual se registra la contabilidad de XYZ, así como los controles tecnológicos implementados al interior de la red corporativa donde funciona dicho sistema, identificando la existencia de vulnerabilidades informáticas que incrementan los riesgos de accesos no autorizados al sistema, fuga de información financiera de XYZ y posible afectación de la operación. Así mismo, formular las recomendaciones y oportunidades de mejora identificadas que permitan mitigar los riesgos identificados. Alcance: 1. Control de acceso: análisis de los mecanismos para gestión de acceso al sistema SISCO, tales como la implementación de controles de autenticación y autorización, así como la gestión de los privilegios. 2. Control de cambios: análisis los mecanismos de control que permiten garantizar que las actualizaciones o cambios sobre el sistema SISCO no tengan impacto sobre la integridad de la información, ni que afecten la continuidad de la operación. 3. Gestión de la continuidad y disponibilidad: revisión de procedimientos de respaldo de información implementados, que garantizan la disponibilidad e integridad de la información financiera de XYZ registrada en el sistema SISCO. A continuación, los resultados más significativos de la evaluación del sistema SISCO: a. Control de Acceso: se pudo establecer que el sistema SISCO cuenta con mecanismos de autenticación y autorización, permite la asignación de usuarios y contraseñas y la configuración de perfiles de acceso, mediante los cuales se limitan y controlan los privilegios asignados y que adicionalmente cuenta con la respectiva licencia de funcionamiento y un contrato de soporte con el proveedor de la herramienta:

Figura 1 Acceso sistema SISCO

1

Sistema Integrado de Información para Copropiedades (SISCO) http://admysis.com

1

Figura 2 Lista de usuarios y perfiles

Figura 3 Licencia de software SISCO

Hallazgos relevantes:  

No se observó una gestión oportuna de los accesos configurados en el sistema SISCO, de un total de 34 usuarios configurados y activos, se logró identificar que 28 usuarios (82%) corresponden a personal retirado. El sistema SISCO no exige el cambio periódico de contraseña, ni parámetros mínimos de complejidad, por ejemplo: longitud mínima de la contraseña, uso de caracteres alfanuméricos,

2

 

mayúsculas, minúsculas, etc.; razón por la cual, es posible configurar contraseñas muy simples y que las mismas nunca expiren. El sistema SISCO no tiene implementados controles para bloqueo de usuarios por intentos fallidos de acceso, dicha situación permitiría realizar infinitos intentos de ingreso hasta adivinar la posible contraseña de un usuario. Adicionalmente se logró establecer que el sistema SISCO utiliza para su funcionamiento archivos de base de datos en formato DBF los cuales se consideran una tecnología obsoleta e insegura, toda vez que la información es almacenada en texto plano y puede ser consultada sin necesidad de autenticarse en el sistema SISCO.

La figura a continuación evidencia que es posible acceder al archivo APPUSER.DBF, el cual contiene la lista de los usuarios configurados y la comparación con el reporte de la herramienta:

Figura 4 Archivo DBF con la lista de usuarios

La figura a continuación evidencia el acceso al archivo NITS.DBF, el cual contiene la lista de los terceros configurados en sistema SISCO, en el archivo se observan nombres, direcciones, teléfonos y correos electrónicos, dicha información es considerada datos personales de acuerdo con lo lineamentos establecidos en la Ley 1581 de 2012:

3

Figura 5 Acceso al archivo NITS.DBF

b. Control de Cambios: Todos los cambios o actualizaciones en el sistema SISCO, son realizados únicamente por personal autorizado del proveedor de dicho sistema, quienes acceden de forma remota desde internet hacia al equipo de cómputo donde se encuentra instalado el sistema, mediante el uso de la herramienta TeamViewer QuickSupport, como se muestra en las figuras a continuación:

Figura 6 Acceso remoto por parte del proveedor

4

Se logró establecer que el sistema SISCO se encuentra instalado en un equipo de cómputo al interior de la red corporativa de XXXXXX identificado con dirección IP 192.168.1.14, el cual hace las funciones de servidor y permite que los diferentes usuarios configurados accedan al sistema:

Figura 7 Equipo de cómputo donde está instalado el sistema SISCO

Adicionalmente, se observó que en el sistema SISCO se registra la contabilidad de diferentes copropiedades horizontales incluyendo XYZ, por tal motivo quien acceda al sistema puede acceder a la información contable y financiera de las demás copropiedades:

Figura 8 Carpeta del sistema SISCO con información de XYZ

Hallazgos relevantes: 

Debilidades en los parámetros de configuración de la herramienta “TeamViewer QuickSupport” mediante la cual se accede remotamente al equipo de cómputo donde está instalado el sistema SISCO, toda vez que solo se exige un código de acceso de 4 dígitos, existiendo así, el riesgo de acceder de forma no autorizada desde internet, ya que solo es necesario conocer el número de identificación del equipo (985431167) y la clave respectiva.

5



El acceso al equipo de cómputo donde se encuentra instalado el sistema SISCO se realiza con la cuenta que tiene el máximo nivel de privilegios “Administrador” (Ver Figura 8); por lo anterior, es posible realizar la instalación de software o modificaciones en la configuración sin ningún tipo de restricciones.

Figura 9 Usuarios configurados en el equipo 192.168.1.14



No se observaron medidas de control al interior de la red corporativa de XXX que limite el acceso a las carpetas compartidas utilizadas por el sistema SISCO; en consecuencia, cualquier computador al interior de la red estaría en capacidad de consultar, modificar o eliminar los archivos necesarios para el funcionamiento del sistema SISCO, incrementando así el riesgo de copiar de forma no autorizada la información de XYZ y de las demás copropiedades que allí se gestionan, así como afectar la operación del sistema mediante la manipulación de los archivos.



No existen controles automáticos que limiten el acceso a internet por parte de los funcionarios de XXXX; adicionalmente, es posible realizar la instalación de software sin ningún tipo de restricción en los equipos de cómputo de los Auxiliares contables encargados de operar el sistema SISCO; lo anterior, incrementa el riesgo de instalar software no deseado o malicioso que afecte la integridad y confidencialidad de la información de XYZ.

c. Gestión de la Continuidad y Disponibilidad: El sistema SISCO ofrece a los usuarios en el momento de ingresar, la posibilidad de realizar una copia de seguridad antes de operar el sistema; adicionalmente, el personal de XXXX a cargo de la administración, realiza periódicamente copias de seguridad de la información, las cuales son almacenadas tanto localmente en el equipo de cómputo donde se encuentra instalado el sistema SISCO, así como un disco duro externo en caso de contingencia. Durante las pruebas realizadas, se observaron 8.427 archivos con copias de seguridad de hace más de 4 años, como se observa en la figura a continuación:

6

Figura 10 Copias de seguridad

Independientemente de que el sistema SISCO es de propiedad de XXXX esta auditoría percibe un riesgo alto en cuanto a la información que tiene que ver con XYZ, teniendo en cuenta las debilidades mencionadas anteriormente. Oportunidades de Mejora: 

Solicitar a XXXX la implementación de una política de seguridad de la información, así como el establecimiento de procedimientos y controles que garanticen la integridad, confidencialidad y disponibilidad de todos los datos propiedad de XYZ de acuerdo con la normatividad vigente.



Evaluar la viabilidad contractual para solicitar a XXXX el fortalecimiento de los controles de acceso hacia el Sistema Integrado de Información para Copropiedades (SISCO), mediante la coordinación con el proveedor de dicha herramienta y la implementen funcionalidades tales como: forzar el cambio periódico de contraseña de acceso, exigir parámetros mínimos de complejidad al momento de establecer las contraseñas, por ejemplo: longitud mínima de la contraseña, uso de caracteres alfanuméricos, mayúsculas, minúsculas, entre otros.



Evaluar la viabilidad contractual para solicitar a XXXX el fortalecimiento de los controles tecnológicos al interior de la red corporativa, tales como: limitar el acceso a las carpetas compartidas requeridas por el sistema SISCO solo a los equipos de cómputo de XXXX, restringir los permisos de instalación de software y las opciones de Administrador en los equipos de cómputo solo para personal de soporte, limitar la navegación en internet solo a sitios autorizados, fortalecer los controles de acceso remoto mediante la herramienta TeamViewer QickSupport implementado claves de acceso robustas, entre otros aspectos..

7



Realizar un inventario de la información recolectada y tratada por XXXX en el ejercicio de las funciones de Administradores de Propiedad Horizontal de XYZ y exigir el cumplimiento de la Ley Estatutaria 1581 de 2012 para la Protección de Datos Personales y los Decretos 1377 de 2013, 1074 de 2015 y 1759 de 2016, así como con las Circulares Externas 001 de 2016 y 001 de 2017 expedidas por la Superintendencia de Industria y Comercio (SIC), considerando la responsabilidad que frente al tratamiento de datos personales de propietarios y residentes de XYZ, tales como: o o o o

Datos generales de identificación de la persona. Ej: Nombre, Apellido, Cédula, sexo, etc. Datos específicos de identificación de la persona. Ej: Firma, Nacionalidad, edad, etc. Datos sensibles. Ej: Datos de menores, datos biométricos, videovigilancia, etc. Datos de ubicación. Ej: Dirección, Teléfono Fijo, Teléfono Celular, correo electrónico, placa vehículo, bitácoras de ingreso, etc.

Lo anterior, considerando que para la SIC no es suficiente el simple registro de Bases de Datos Personales y la publicación de una política o aviso de privacidad, pues se debe demostrar la debida diligencia, en concordancia con los principios de seguridad y confidencialidad establecidos por la Ley 1581: o

…“Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento”.

o

Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma”...

Nuestras pruebas se basan en muestras selectivas o aleatorias, a la información que ha sido suministrada por la Administración XXXX, conforme a lo establecido en las normas de auditoría internacionales. Cordialmente,

Gerente de Auditoría T.P. No. ABCDE4567-T Miembro de ACME Audit S.A.S. c.c. Gerente General XXXX SAS

8