determinando el universo de auditoria en sistemas de

Determinando el universo de Auditoria en sistemas de comercio electrónico

Carlos G. Masi CISA, CISM

Auditor Informático – Bancard S.A. – Asunción, Paraguay

Carlos G. Masi

Auditor Interno. Especializado en assurance de TI. Desde 1996 que trabajo en esto.

Bancard S.A. Casa Matriz en

Asunción, Paraguay

Introducción

Introducción El auditor deberá determinar una estrategia y un universo de auditoría con foco en los riesgos y controles de este tipo de negocio

Agenda

!"! #$%&'&(&$%&)*(&*+,)*)-)%&./)*(&*.&(-,)*(&*0/1,"*

2"! 3/*0&4)0&'56/*(&+*/7(-%,4"*

8"! 9:;.,*&)%/<+&'&4*&+*7$-6&4),*(&*7$/*/7(-%,4=/*>*

?"! @4-$'-0/+&)*A,'/+*0,-$%)*0/4/*/7(-%,4&)"*

B"! C$*'D&'E+-)%*<F)-',*/*)&4*%&$-(,*&$*'7&$%/"*

G"! :,$'+7)-,$&)"*

Antecedentes de los medios de pago

antigua Grecia

480 aC

primeras estructuras bancarias

70-80 dC

antigua Roma

primeras estructuras monetarias •! registro de transacciones •! cobro de intereses sobre depósitos y préstamos

siglo XII

cheque siglo XVII

papel moneda 1891

traveller’s check


1950

1951

Franklin National Bank New York

1° emitir TC a no clientes 1958 1970 1966

1ra. tarjeta emitida fuera de EEUU


1968

1er. ATM en red Dallas, EEUU

1978 First National

Bank of Seattle 1º emitir tarj. de

débito

1984

POS 1992

1º emitir tarj. chip Carte Bancaire Francia

1979

Michael Aldrich presenta la venta

por TV


1995 2010 2012

aprox. 2000 millones TC 30 millones de comercios

2009

aprox. 15 millones de ATM’s

ventas proyectas por U$S 226 billones

La perspectiva del auditor •! Procesos de eCommerce forman parte del ciclo de ingresos y

egresos de una organización, por lo que deben ser auditados en forma adecuada.

•! Las consideraciones del auditor son: •! Identificación de las partes que realizan la

transacción (autenticación) •! Quién carga los datos clave de la

transacción, como contratos, precios, descuentos (autorización)

•! Integridad de órdenes de compras, pagos, remisiones, confirmaciones.

•! Seguridad de la información y de los datos transmitidos y procesados.

•! Alcance del control gerencial sobre el proceso

•! Cómo se gestionan los riesgos del negocio.

La perspectiva del auditor •! Los controles de seguridad incluyen:

•! Encriptación de las comunicaciones y mecanismos de autenticación de usuarios.

•! Cumplimiento con regulaciones de la industria, contratos, acuerdos de niveles de servicio (SLA) y estatus de privacidad.

•! Documentación adecuada de acuerdos comerciales, incluyendo los términos de las transacciones y los métodos de autorización y autenticación.

•! Capacidad planificada de los sistemas para prevenir ausencias de servicio, inactividad (downtime) y resistir ataques de malware.

•! Mecanismos de seguridad de la información a lo largo de todo el ciclo de vida de la transacción (end-to-end) incluyendo proveedores externos.

La perspectiva del auditor

Mas

terC

ard

Visa

Am

eric

an E

xpre

ss

POS

ATM

Débitos Automáticos

IVR

eCommerce Internet

eCommerce mobile

Mail Order

Phone Order

Banco

Facturador Incoming

Outgoing Cajas registradoras

•! Arquitecturas del Comercio Electrónico –! 2 capas –! 3 capas –! Múltiples capas

La perspectiva del auditor

browser

web server

application server

Db Db Db

capa de presentación

adm. de contenidos y conexiones

lógica del negocio

datos de cliente, productos, click stream

¿Cómo establecer el alcance de una auditoría ? •! Las implicancias para los auditores incluyen:

•! Las transacciones de eComm eliminan la evidencia documental en papel, por ej. documentación interna y externa, que son la base para muchos procedimientos de pruebas sustantivas y pruebas de control.

•! Los procesos rediseñados para eComm pueden haber eliminado incluso los equivalentes electrónicos de los documentos en papel. •! Ej. un POS transmite la información del vendedor/cobrador al

procesador/facturador, Las órdenes de compra, facturas y resportes de recepción son reemplazados por: •! Un contrato a largo plazo que establece tarifas, tipos de

transacciones, condiciones de procesamiento. •! Programas informáticos que procesan las operaciones en un

servidor de producción remoto (tercerizado) •! Los pagos se realizan por medio de transferencias electrónicas

de fondos directamente a las cuentas de cada parte que interviene en el ciclo de vida de la transacción.

¿Cómo establecer el alcance de una auditoría ? •! Para establecer el alcance de la auditoría, el auditor debe

comprender los procesos del ciclo del negocio a ser auditado que dependen de eCommerce en forma total/parcial. •! Documentar el flujo del proceso

teniendo una visión holística de las funciones del negocio.

•! Definir el ciclo de la vida de la transacción que origina y da vida al proceso.

•! Identificar todas les entidades internas y/o externas que intervienen.

•! Desarrollar una estrategia y un enfoque de auditoría basados en los riesgos del proceso.

•! Desarrollar los programas de trabajo correspondientes.

Focal points para el auditor

Focal points para el auditor Ej. 1 : Identificación de dispositivos firewalls en la infraestructura tecnológica

Focal points para el auditor Ej. 2: Identificación de controles de red vigentes/ausentes


password: ******************

Focal points para el auditor Ej. 3: Perfiles privilegiados que deben ser controlados


•! Protección de datos confidenciales en transacciones con tarjetas de crédito.


•! Protección de datos confidenciales en transacciones con tarjetas de crédito.

Tipo de dato Elemento de dato Storage permitido

Protección requerida

Mask requerido

Datos del cardholder

Primary Account Number (PAN)

Si Si Si

Nombre Si Si No

Codigo servicio Si Si No

Fecha expiración Si Si No

Datos de la autenticación

Track completo No

CVV No

PIN No

Un checklist básico a ser tenido en cuenta Secuencia Procedimiento Tercerizado Comentarios

1 ¿Qué tipo de procesos de eCommerce posee la organización? Por ej: Home Banking, Intranets, red de cobranzas, Switch, etc.

2 ¿Qué tan críticos son los productos y servicios de eCommerce para los objetivos y estrategias del negocio?

3 ¿Cuál es la estructura organizacional responsable por estos procesos?

4 Se cuenta con un sitio web : a)!Informativo b)!Interactivo c)!Transaccional

5 El sitio web se encuentra alojado en: a)!La organización b)!Un proveedor c)!Un procesador tercerizado (Third Party Procesor)

6 ¿Los sistemas de eCommerce fueron desarrollados internamente o adquiridos externamente?

7 Describir todos los servicios, procesos y actividades de eCommerce realizados por la organización

Un checklist básico a ser tenido en cuenta Secuencia Procedimiento Tercerizado Comentarios

8 ¿Hasta qué punto la seguridad de las redes/aplicaciones de eCommerce se son testeades y monitoreadas?

9 La Política de Seguridad de la Información ¿ha sido adaptada para contemplar los riesgos y controles vinculados a los procesos de eCommerce?

10 Verificar que todas las conexiones externas de eCommerce se encuentran protegidas mediante dispositivos firewall (actualizados)

11 Las conexiones que transmiten datos de eCommerce ¿estan protegidas mediante encriptación ?

12 ¿Hasta que punto las aplicaciones de eCommerce están sujetas a PenTest para prevenir vulnerabilidades como por ej. SQL Injection ?

13 ¿Qué tipo de controles de acceso han sido implementados para prevenir el acceso no autorizado a las aplicaciones y datos de eCommerce?

14 ¿Hasta qué punto el Plan de Continuidad del Negocio contempla los riesgos asociados a las aplicaciones de eCommerce?

Conclusiones •! Actualmente la mayoría de las organizaciones (públicas y

privadas) poseen algún tipo de proceso/función del negocio del tipo eCommerce. •! Deben ser auditados en forma adecuada.

•! La auditoría de los procesos eCommerce debe ser realizada por especialistas, en algunos casos podrán ser contratados especialmente para este efecto. •! El alcance del trabajo es definido por el auditor líder responsable

por la auditoría general de la organización.

Información de Contacto

Preguntas y Respuestas

¡Muchas Gracias por su atención!

determinando el universo de auditoria en sistemas de

Documents