EVALUACIÓN A LOS SISTEMAS DE INFORMACIÓN

CUESTIONARIO DE CONTROL INTERNO

6 de abril de 2011
 EVALUACIÓN A LOS SISTEMAS DE INFORMACIÓN
CUESTIONARIO DE CONTROL INTERNO

Informe Técnico de Seguridad Informática:

Caso: Auditoria al proyecto:

Propuesta referencial para la implementación de elementos de Seguridad
en Cajeros Electrónicos: Reducir fraudes e incrementar la confianza de
clientes

Contenido:
Formato DS-05- Garantizar la Seguridad
Conclusiones

CONSULTORES DE SEGURIDAD “Grupo 2”:

Mamani Cornejo Percy Angel

Armando Peña Cruz
Luis Guerra
Manuel Novoa
Yesica Alcalde Huaman
Kellygomero Nontol
 Josue Paul Ruiz Rosas
6 de abril de 2011
 EVALUACIÓN A LOS SISTEMAS DE INFORMACIÓN
CUESTIONARIO DE CONTROL INTERNO

ENTIDAD GRUPO 03 FECHA DE CORTE:

EVALUA DA:

Aplicado por: Alumnos de la UTP Fecha 08/04/2011

Revisado por: Grupo 02 Fecha 08/04/2001

ENTREGA DE SERVICIOS Y SOPORTE

DS 5 Garantizar la Seguridad de Sistemas

Criterios de información involucrados en el objetivo:

Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
P P S S S

Recursos de TI a considerar:

Personal Aplicaciones Tecnología Facilidades Datos

    

Objetivo General Verificar los procedimientos empleados para salvaguardar la información contra uso no autorizados,
divulgación, modificación, daño o pérdida, mediante controles de acceso lógico que aseguren que el acceso a sistemas,
datos y programas está restringido a usuarios autorizados, tomando en consideración la autorización, la autenticación,
acceso, los perfiles e identificación de usuarios, la administración de llaves criptográficas, el manejo, reporte y
seguimiento de incidentes, la prevención y detección de virus y los Firewalls

Objetivos específicos de control a verificar:

Objetivo N° Objetivo de Control Conclusión Tiempo

a aplicar Estim. - Real
1. Manejo de las Medidas de Seguridad Se menciona medidas de seguridad 
en el proyecto ,todo dentro de su
propuesta
2. Identificación, Autenticación y Acceso El cajero tiene una 
identificación y control de
6 de abril de 2011

acceso ,pero esta debe

validar mas dado las
clonaciones, robos de
tarjeta,etc
3. Seguridad de Acceso a Datos en Línea No se menciona a ingresos en 
línea ni la seguridad en esta.
4. Administración de Cuentas de Usuario Una vez robado la 
información del cliente el
acceso queda libre ,pero en
 EVALUACIÓN A LOS SISTEMAS DE INFORMACIÓN
CUESTIONARIO DE CONTROL INTERNO

el proyecto no se menciona
nada sobre la administración
de cuentas de clientes.
5. Revisión Gerencial de Cuentas de Usuario Tiene que haber más 
validación sobre las cuentas
y sus tarjetas de créditos, en
el proyecto no se menciona
que haya un control gerencial
de las mismas
6. Control de Usuario de las Cuentas de Usuario No se menciona el control 
sobre los movimientos de la
cuentas de los clientes
7. Vigilancia de Seguridad En la propuesta menciona 
algunas alternativas para
mejorar la seguridad en los
cajeros automáticos(Cámaras
de Video vigilancia, Software
de monitoreo)
8. Clasificación de Datos Se debe tener una alarma 
sobre acciones y/o
movimientos sospechas
sobre las cuentas de los
clientes y de esta manera
alertar a los clientes sobre los
movimientos en su tarjeta
9. Administración Centralizada de Identificación y Se debe mejorar el 
Derechos de Acceso monitoreo por cámaras de
alta resolución para
identificar a los infractores, y
todo esto bajo un central que
menaje toda las videos
cámaras, así mismo
implementar alguna clave
adicional y otro clave de
prevención que muestra en
6 de abril de 2011

la interfaz con saldos ceros y

así evitar el robo.
10. 1Reportes de Actividades de Violación y Seguridad Se debe implementar 
software más inteligentes
para evitar la violación y que
estos emitan reporte
detallado sobre los
movimientos sospechas
sobre cada cuenta.
 EVALUACIÓN A LOS SISTEMAS DE INFORMACIÓN
CUESTIONARIO DE CONTROL INTERNO

11. 2Manejo de Incidentes Registrar, grabar ,todo tipo

de incidencias que se
registren desde el ingreso
hasta salida de las personas
que entren al cajero, usar
cámaras más pequeñas que
no sean visibles para que no
sean destruidas, deben estar
ubicadas estratégicamente ,
se menciona un poco en el
proyecto.
12. 3Re-acreditación No se especifica.

13. 4Confianza en el Colega No se especifica. 

14. Autorización de Transacción Deben implementar claves 

alternativas que funcionen
como en la web haciendo uso
de un Token antes de la
transacción, esto no se
menciona en el proyecto.

15. No Rechazo No se debe aceptar un rechazo de 

tarjeta del cajero.
16. Ruta Confiable Ubicación de cajeros 
automáticos idóneos
17. Protección de las Funciones de Seguridad Evaluar las condiciones de 
instalación de seguridad
adoptadas.
18. Administración de Llaves Criptográficas se debe tomar mas 
encuentas las renovaciones
de la llaves criptográficas.
19. Prevención, Detección y Corrección del Software Se debe avisar el ingreso 
Dañino dispositivos ajenos mediante
el envío de alertas.
20. Arquitectura de Firewalls y Conexiones con las Implementar sistemas de 
6 de abril de 2011

Redes Públicas seguridad más sofisticados

basados en soluciones LINUX,
no se menciona mucho sobre
este tema de redes y
conexiones
21. Protección del Valor Electrónico No se menciona nada sobre 
transacciones electrónicas
 EVALUACIÓN A LOS SISTEMAS DE INFORMACIÓN
CUESTIONARIO DE CONTROL INTERNO

RUBRO ENTREGA DE SERVICIOS Y SOPORTE

DS 5 Garantizar la Seguridad de Sistemas
N° Descripción de la tarea Resultado Ref
PT
1. Verificar que se cuenta con un plan de seguridad estratégico que proporcione Si se cuenta
una con este plan
dirección y control centralizados sobre la seguridad de los sistemas de información,
medianteasípresentación de si
como requerimientos de seguridad de usuario con propósitos de consistenciaplanes de seguridad, pero
no son muy sofisticados
para la actualidad
2. Verificar si se cuenta con una organización de seguridad centralizada En el proyecto no se registra
responsable de asegurar el acceso apropiado a los recursos del todas la vulnerabilidades si
sistema aparte de las especificadas
y/o encontradas pero no hay
mas profundización del tema
3. Verificar si se cuenta con un esquema de clasificación de datos en No se menciona nada al
operación que indique que todos los recursos del sistema cuentan con respecto.
un propietario responsable de su seguridad y contenido
4. Verificar si se cuenta con perfiles de seguridad de usuario que Falta un plan adicional de
representen “los menos accesos requeridos” y que muestren validación que acredita las si
revisiones regulares a los perfiles por parte de la administración con transacciones(Uso de token
fines de reacreditación para confirmar Y/O clave de
emergencia para mostrar
saldos ceros en caso de
extorsiona miento y/O
asaltos)
5. Verificar si se el entrenamiento de los empleados incluye un Se hay recomendación en el
conocimiento y conciencia sobre seguridad, las responsabilidades de proyecto para capacitaciones si
los propietarios y los requerimientos de protección contra virus
6. Verificar si se cuenta con reportes de violaciones a la seguridad y En la propuesta hace
procedimientos formales de solución de problemas. Estos reportes menciono a ciertos puntos
deberán incluir: mencionados en la lista ,pero si
 intentos no autorizados de acceso al sistema (sign on) no muestra vulnerabilidades
 intentos no autorizados de acceso a los recursos del sistema de las redes internas y
 intentos no autorizados para consultar o modificar las seguridad del banco en si.
definiciones y reglas de seguridad
 privilegios de acceso a recursos por ID de usuario
 modificaciones autorizadas a las definiciones y reglas de
seguridad
 accesos autorizados a los recursos (seleccionados por usuario o
recurso)
6 de abril de 2011

 cambio de estatus de la seguridad del sistema

 accesos a las tablas de parámetros de seguridad del sistema
operativo.
7. Verificar si existen módulos criptográficos y procedimientos clave de Si se ve este tema pero no
mantenimiento, si éstos son administrados centralizadamente y si son muy profundizado si
utilizados para todas las actividades de acceso externo y de
transmisión
8. Verificar si existen estándares de administración criptográfica claves No este tema para los
tanto para la actividad centralizada como para la de los usuarios usuarios no se emplean no
9. Analizar si los controles de cambios al software de seguridad son Hay un ofrecimiento de
 EVALUACIÓN A LOS SISTEMAS DE INFORMACIÓN
CUESTIONARIO DE CONTROL INTERNO

formales y consistentes con los estándares normales de desarrollo y software pero no sabemos si si
mantenimiento de sistemas cumple los estándares de
seguridad internacional .
10. Verificar si los mecanismos de autenticidad en uso proveen las Hay un programa de
siguientes facilidades: capacitación a los clientes si
 uso individual de datos de autenticidad (ej., passwords y no re sobre el uso de sus TC pero no
utilizables) son suficientes, el banco debe
 autentificación múltiple (ej., se utilizan dos o más mecanismos de ofrecer más modalidades de
autenticidad diferentes) validación de identificación
 autenticidad basada en la política (ej., capacidad para especificar del usuario.
procedimientos de autenticidad aparte en los eventos
específicos)
 autenticidad a demanda (ej., capacidad de volver a autentificar al
usuario, en ocasiones, después de la autentificación inicial)
11. Revisar que el número de sesiones concurrentes correspondientes al Hay un plan de auditoría para si
mismo usuario están limitadas revisar el tema ,pero no
soluciones al problema de
sesiones concurrentes que
deben estar evaluadas y
mejoradas
12. Revisar que al entrar, aparece un mensaje de advertencia preventivo Si esto se cumple en el
en relación al uso adecuado del hardware, software o conexión. esquema si
13. Revisar si se despliega una pantalla de advertencia antes de completar Si se cumple en el proyecto
la entrada para informar al lector que los accesos no autorizados si
podrían causar responsabilidades legales
14. Revisar si al lograrse la sesión exitosamente, se despliega el historial No este tema no esta no
de los intentos exitosos y fallidos de acceso a la cuenta del usuario planteado
15. Verificar que la política de password incluye: Si se cumple este objetivo, si
 cambio inicial de password la primera vez de uso pero no se menciona clave de
 longitud adecuada mínima del password validación de transacción (uso
 la frecuencia obligada mínima de cambio de password de token) y/O claves de
 verificación del password en la lista de valores no permitidos (ej., emergencia para bloquear
verificación de diccionario) cuenta o mostrar saldos ceros
 protección adecuada para los passwords de emergencia en pantalla
16. Verificar que el procedimiento formal para resolución de problemas Si esta en el proyecto si
incluye: presentado.
 ID de usuario suspendido después de 5 intentos de entrada
fallidos
 Fecha del último acceso y el número de intentos fallidos se
despliega al usuario autorizado de las entradas
 El tiempo de autenticidad se limita a 5 minutos, después del cual
se concluye la sesión
6 de abril de 2011

 Se le informa al usuario la suspensión, pero no la razón de la

misma
17. Revisar si los procedimientos de marcación incluyen la marcación No se especifica bien este no
anterior o autenticidad base prueba tema
18. Revisar silos métodos de control de locación se utilizan para aplicar Si se presenta este punto en si
restricciones adicionales a las locaciones específicas el proyecto
19. Revisar si el acceso al servicio VoiceMail y el sistema PBX está No se menciona proyecto si
controlado con los mismos controles físicos y lógicos de los sistemas
computacionales
 EVALUACIÓN A LOS SISTEMAS DE INFORMACIÓN
CUESTIONARIO DE CONTROL INTERNO

20. Verificar si en las políticas de posición delicada, inluye: No se deduce bien este tema no
 se les pide a los empleados en puestos delicados que
permanezcan alejados de la organización durante un periodo
adecuado cada año gregoriano; durante este tiempo su ID de
usuario se suspende; y las personas que lo sustituyen deben
notificar a la administración en caso de advertirse cualquier
anormalidad de seguridad
 la rotación de personal sin previa notificación al personal en áreas
delicadas se realiza de tiempo en tiempo
21. Verificar si el hardware y software de seguridad, como los módulos de Si está procesado este si
encriptación, están protegidos contra la intromisión o divulgación, el proyecto,pero falta más
acceso se limita a la base de la “necesidad de conocimiento” detalle técnico del mismo
22. Revisar que el acceso a los datos de seguridad como el manejo de la Si está planteado este tema, si
seguridad, datos de transacción delicados, passwords y claves de falta más información de la
encriptación se limita a la base de la “necesidad de conocimiento” solución a realizar
23. Revisar que se utilizan rutas confiables para transmitir información Si está planteado este tema si
delicada no encriptados
24. Verificar si para evitar la suspensión del servicio por ataques con faxes Si bueno se avisa al servidor si
basura, se toman medidas de seguridad como: falta explicarlo bien.
 evitar la publicación de números de fax fuera de la organización
en la base de “necesidad de conocimiento”
 las líneas de fax utilizadas para solicitudes del negocio no se
utilizan con otros fines
25. Revisar si las medidas preventivas y detectoras de control se han Hay una parte de procesos si
establecido con respecto a los virus de computadoras financieros seguros ,pero no
existen las medidas exactas a
realizar sobre los problemas
de virus en las estaciones
26. Verificar si para reforzar la integridad de los valores electrónicos, se No este tema no se está no
toman las medidas: planteando
 facilidades de lector de tarjeta protegido contra la destrucción,
publicación o modificación de la información de la tarjeta
 la información de la tarjeta (NIP y demás información) se protege
contra la divulgación del intruso
 se evita la falsificación de las tarjetas
27. Verificar si para reforzar la protección de las facilidad de seguridad, se No este tema esta fuera del no
toman medidas: proyecto
 el proceso de identificación y autenticidad requiere ser repetido
después de un cierto periodo de inactividad un sistema de
candado, un botón de fuerza o una secuencia de salida se puede
activar cuando la terminal se deja encendida
6 de abril de 2011

RUBRO ENTREGA DE SERVICIOS Y SOPORTE

DS 5 Garantizar la Seguridad de Sistemas
Tarea N° Descripción Respuesta Comentario o
SI NO N/A Ref. P/T
1. La función de servicios de información cumple con los estándares de NO
seguridad relacionados con:
 autenticación y acceso
 administración de clasificación de perfiles de usuario y seguridad
 EVALUACIÓN A LOS SISTEMAS DE INFORMACIÓN
CUESTIONARIO DE CONTROL INTERNO

de datos
 reportes y revisión gerencial de las violación e incidentes de
seguridad
 estándares criptográficos administrativos clave
 detección de virus, solución y comunicación
 clasificación y propiedad de datos
2. Existen procedimientos para la requisición, establecimiento y NO
mantenimiento del acceso de usuarios al sistema
3. Existen procedimientos para el acceso externo de recursos del NO Pero no se detalla
sistema, por ejemplo, "logon”, “ID”, “password” o contraseña y “dial bien
back”
4. Se lleva un inventario de los dispositivos del sistema para verificar su SI
suficiencia
5. Los parámetros de seguridad del sistema operativo tienen como base SI No se menciona
estándares locales / del proveedor los estares usados
6. Las prácticas de administración de seguridad de la red son NO
comunicadas, comprendidas e impuestas
7. Los contratos de los proveedores de acceso externo incluyen NO
consideraciones sobre responsabilidades y procedimientos de
seguridad
8. Existen procedimientos de “logon” reales para sistemas, usuarios y NO
para el acceso de proveedores externos
9. Se emiten reportes de seguridad en cuanto a la oportunidad, precisión SI Pero no están
y respuesta gerencial a incidentes muy bien definidos
10. El acceso a las llaves y módulos criptográficos se limita a necesidades NO
reales de consulta
11. Existen llaves secretas para la transmisión NO
12. Los procedimientos para la protección contra software maligno NO
incluyen:
 todo el software adquirido por la organización se revisa contra los
virus antes de su instalación y uso
 existe una política por escrito para bajar archivos (downloads),
aceptación o uso de aplicaciones gratuitas y compartidas y esta
política está vigente
 el software para aplicaciones altamente sensibles está protegido
por MAC (Messsage Authentication Code- Código de
Autentificación de Mensajes) o firma digital, y fallas de
verificación para evitar el uso del software
 los usuarios tienen instrucciones para la detección y reportes de
virus, como el desempeño lento o crecimiento misterioso de
archivos
6 de abril de 2011

 existe una política y un procedimiento vigente para la verificación

de disquetes externos al programa de compra normal de la
organización. S
13. Los firewalls poseen por lo menos las siguientes propiedades: NO No se menciona
 todo el tráfico de adentro hacia fuera y viceversa debe pasar por Sobre la
estos firewalls (esto no debe limitarse a los controles digitales, infraestructura
debe reforzarse físicamente) De red y
 sólo se permitirá el paso al tráfico autorizado, como se define en de seguridad del ban
la política de seguridad local
 los firewalls por sí misma es inmune a la penetración
 el tráfico se intercambia en firewalls a la capa de aplicación
 EVALUACIÓN A LOS SISTEMAS DE INFORMACIÓN
CUESTIONARIO DE CONTROL INTERNO

únicamente
 la arquitectura del firewall combina las medidas de control tanto
a nivel de la red como de la aplicación
 la arquitectura del firewall refuerza la discontinuidad de un
protocolo en la capa de transportación
 la arquitectura del firewall debe estar configurada de acuerdo a la
“filosofía de arte mínima”
 la arquitectura del firewall debe desplegar sólida autentificación
para la administración y sus componentes
 la arquitecura del firewall oculta la estructura de la red interna
 la arquitectura del firewall provee una auditoría de todas las
comunicaciones hacia o a través del sistema del firewall y activará
alarmas cuando se detecte alguna actividad sospechosa
 el host de la organización, que provee el soporte para las
solicitudes de entrada al servicio de las redes públicas,
permanece fuera del firewall
 la arquitectura del firewall se defiende de los ataques directos
(ej., a través del monitoreo activo de la tecnología de
reconocimiento de patrones y tráfico)
 todo código ejecutable se explora en busca de códigos malignos
ej., virus, applets dañinos) antes de introducirse a la red interna

Aplicado a:

Puesto: CONSULTORES DE SEGURIDAD INFORMATICA

FIRMA

GRUPO02

“SECURITY & SOLUTIONS UTP”

6 de abril de 2011