informe auditoria onti publicacion 2013
DESCRIPTION
Ejemplo ONTITRANSCRIPT
.J . ,"2014 - jI110 dCJ{ometlaj!! a( jJf",iraflte C;uifkmlO lJ3rvWII, l'1I el (]Jice';teflalio de{ Com6at.e :}lavaf de IJfoflt.evideo",
"
Jefatura de Gabinete de MinistrosSecretarfa de Gabinete y Coordinación Administrativa
Subsecretarfa de Tecnologfas de Gestión
I
REF: AFIP - Auditarla AnualExpediente Nº JefGabMin Nº 008039/2007
ANEXO
",,' Autoridad Certificante
Administración Federal de Ingresos Públicos
Informe de Auditoría
.. "20J4 - )lño áe J{omellaje a(jl(m;rante qui{[er1llo Q3roWlI, en er (}3;CClltclIan'o áef Com6ate J{d1)a( áe :Mollteviáeo"
Jefatura de Gabinete de MinistrosSecretaría de Gabinete y Coordinac¡ó~ Administrativa
Subsecretaría de Tecnologías de Gestión
1. INTRODUCCiÓN
REF: AFIP- Auditoría AnualExpediente Nº JefGabMin Nº 008039/2007
A partir de la obtención de la licencia por Resolución de la entonces Secretaría de la Gestión
Pública Nº 88 de fecha 17 de diciembre de 2008, la Administración Federal de Ingresos
Públicos (AFIP) adquiere la condición de Certificador Licenciado, en el marco de la
Infraestructura de Firma Digital de la República Argentina, creada por Ley N" 25.506. La
resolución antes mencionada, en su artículo 1º aprueba la "Política de Certificación para
Personas Físicas de Autoridad Certificante de la Administración Federal de Ingresos Públicos-
AFIP".
Teniendo en cuenta la condición de Certificador Licenciado de ia AFIP, corresponde la
realización de una auditoría, de acuerdo a lo dispuesto por el artículo 26 del Decreto
Reglamentario Nº 2628/2002, el cual indica que "Los certificadores licenciados serán
sometidos a auditorías anuales".
La apertura del proceso de evaluación anual fue comunicada al organismo por nota firmada
por ei Subsecretario de Tecnologías de Gestión. El presente informe describe, en primer lugar
el objetivo y alcance de la revisión efectuada. Continúa con una breve reseña de los aspectos
técnicos de la aplicación y de la infraestructura tecnológica sobre la que se prestan los
servicios de certificación para la Política antes mencionada, seguida de una sección que
resume las actividades de revisión efectuadas.
Seguidamente se enumeran las observaciones encontradas, con la indicación del riesgo y la
recomendación del auditor correspondiente.
El informe incorpora además una serie de sugerencias con el propósito de contribuir a una
mejora de los servicios a brindar por el Certificador Licenciado, en cuanto a la Política de
Certificación mencionada.
En último término, se presenta la conclusión del informe.
11,OBJETIVO
La presente revisión se enmarca en lo establecido en la Ley W 25.506 y sus normas
reglamentarias y en particular, en lo estipulado en la Decisión Administrativa N° 06/2007.
Tiene por fin evaluar la confiabilidad y calidad de los sistemas utilizados por la AFIP en su
calidad de Certificador Licenciado, la integridad, confidencialidad y disponibilidad de los datos
vinculados a la gestión de los certificados, asi como el cumplimiento de las especificaciones de
la Politica de Certificación para Personas Físicas de AFIP, el manual de procedimientos, el plan
de seguridad y de contingencia y demás documentación aprobada oportunamente por el ente
Iicenciante y que fuera base para la obtención de la licencia correspondiente.
Los mencionados documentos obran en el Expediente JefGabMin Nº 008039/2007 del
registro de la Jefatura de Gabinete de Ministros.
11I.ALCANCE
La presente evaluación abarcó la revisión de la funcionalidad y de los controles
implementados en la Autoridad Certificante (AC AFIP), en su servicio de publicación, en el sitio
de contingencia, la Autoridad de Registro (AR) y sus Puestos de Atención. En particular, para
estos últimos, se auditó la sede Central, la ubicada en la sede Azopardo de la Aduana, y la del
edificio de Hipólito Yrigoyen, todas en esta Ciudad Autónoma de Buenos Aires. También se
realizó una entrevista a los responsables del área de Auditoría en la sede Carlos Pellegrini de
AFIP.
La revisión de la aplicación tuvo un enfoque solamente funcional no abarcándose la revisión
de código de ias aplicaciones.
IV. DESCRIPCiÓN TÉCNICA
La infraestructura tecnológica correspondiente a la AC AFIP para la Politica de Certificación
antes referida consta de un dispositivo certificado FIPS 140-2 Nivel 3, servidores de
publicación y de aplicación IBM con Sistema Linux RedHat. Para su control y monitoreo se
"~ ".,
,.,,"
Jefatura de Gabinete de MinistrosSecretada de Gabinete y Coordinación Administrativa
Subsecretarfa de Tecnologías de Gestión
REF: AFIP - Auditoría AnualJefGabMin Nº 008039/2007
encuentran instalados un IDS (Sistema de Detección de Intrusiones) y un Firewall, así como un
esquema de balanceo para los servidores de publicaciones. En el caso puntual del monitoreo,
éste se lleva a cabo utilizando el sistema "Nagios".
La capa de negocio está desarrollada por el organismo utilizando EJBCA(Enterprise Java Bean
Certificate Authority), Jboss SEAM como framework de desarrollo, PostgreSQL como motor de
base de datos y Apache como servidor web.
El equipamiento de la AC AFIP se aloja en un recinto exclusivo dentro de la sala cofre de la
sede central del organismo, con monitoreo de acceso físico y lógico a todo dispositivo
perteneciente a la infraestructura.
El equipamiento de la AC AFIP de contingencia se aloja en el Centro de Datos de Telefónica
S.A., de la calle Osvaldo Cruz 2B90, Ciudad Autónoma de Buenos Aires.
La autorización de las funciones criticas sobre los dispositivos criptográficos SafeNet LunaSA
(principal y de contingencia) está basada en un esquema de roles, y cuenta con doble factor
de autenticación realizado mediante dispositivos criptográficos USB y contraseñas.
Cabe mencionar que a la fecha de realización de los trabajos de campo correspondientes a la
presente revisión se habla iniciado un proceso de migración de los dispositivos criptográfícos
de la AC AFIP, por la finalización del soporte por parte del proveedor. Los nuevos equipos ya
se encontraban en poder del organismo y de acuerdo a lo manifestado por el Responsable de
Seguridad, estaban avanzadas las pruebas previas a la migración final.
V. ACTIVIDADES REALIZADAS
El equipo de trabajo de la Subsecretaria concurrió a las instalaciones de AFIP entre los días
martes 27 de agosto y miércoles 9 de octubre de 2013. En dicho lapso, se realizaron visitas,
pruebas y entrevistas en las siguientes sedes:
• Paseo Colón 635 - Subdirección General de Sistemas y Telecomunicaciones y sede
de la instalación principal
• Azopardo 3S0 - Puesto de Atención de la AR de AFIP
• Hipólito Yrigoyen 370 - PB - Puesto de Atención de la AR de AFIP
• Osvaldo Cruz 2890 - Sitio de contingencia
• Carlos Pellegrini 53, Auditoría Interna
Se realizaron entrevistas con el siguiente personal de AFIP:
Responsable de Seguridad (durante toda la auditoría)
• Pablo Bonavía
• Gestión de Accesos: Gastón Pazo
• Monitoreo: Fabián Leis
Aplicación
• Ricardo Gorosito
• Juan Bernasconi
• Gastón Pazo
Responsable Mesa de Ayuda
• Osear Laricchia
• Pablo Fascetta
Responsable de HSM
• Sebastían Guarino - Responsable
• Administrador de las Particiones - Ricardo Gorosito
Responsable de Comunicaciones
• Horacio Franco
• Silvia Heredia
Responsable Sala Cofre
• Daniel Acuña
-,"
...
Jefatura de Gabinete de MinistrosSecretaría de Gabinete V Coordinación Administrativa
Subsecretaría de Tecnologías de Gestión
REF: AFIP - Auditoría AnualJefGabMin Nº 008039/2007
Puestos de Atención Paseo Colón
• María Laura Rodríguez - Oficial de Registro Suplente
Puestos de Atención Aduana
• Carlos Pot - Responsable de área
• Teresa Cabrera - Oficial de Registro Suplente
Puestos de Atención Hipólito Yrigoyen
• Adriana Lombardía - Oficial de Registro Suplente
• Ignacio Yasky - Oficial de Registro Titular
Auditoria interna
• Néstor del Cuadro - Auditor
• Daniel Slavich - Auditor
Las entrevistas realizadas versaron sobre los siguientes temas:
Seguridad Física de la AC de contingencia
Plan de Contingencia
Protección de recursos sensibles
Prueba de los diferentes roles
Análisis de vulnerabilidades
Seguridad Física de la AC
Plan de Seguridad
Funcionalidad de la aplicación de la AC
Apertura de la auditoría y presentación del programa de trabajo
Hevisión de los registros de auditoría
•
•
•
•
•
••
••
•.l
• Funcionamiento, controles y roles y responsabilidades de ios Puestos de Atención
de la Autoridad de Registro
• Seguridad del Personal
• Documentación de soporte del proceso de generación de certificados y de
antecedentes del personal involucrado
• Monitoreo de la Infraestructura de Firma Digital
Sitio de Contingencia.
Se participó de una actividad de recorrido por las instalaciones con una descripción de las
tareas de recuperación de backup y revisión de libro de actas realizada por el personal de
AFIP, el dia lunes 7 de octubre de 2013.
Participaron de la tarea:
Responsable de Seguridad - Pablo Bonavia
Administrador del HSM - Gastón Pazo
Administrador del HSM - Sebastián Guarino
Testigo - Ariel Riedmatten
VI. OBSERVACIONES RElEVANTES
Respecto al Plan de Contingencia
Observación NQ1: Pruebas al Plan de Contingencia
No se obtuvo evidencia de la realización de pruebas semestrales completas del Plan de
Contingencia, de acuerdo a lo requerido en la Decisión Administrativa 06/2007. De acuerdo a
la documentación revisada, solo se realizaron pruebas parciales, que no cumplian con la
exigencia de firmar una CRL, indicada en Plan de Contingencias aprobado dei organismo.
Riesgo: Se incumple lo establecido en la legislación aplicable y en la normativa interna de la
".
. ,
o'.'
Jefatura de Gabinete de MinistrosSecretaría de Gabinete y Coordinación Administrativa
Subsecretaría de Tecnologías de Gestión
REF: AFIP - Auditoría AnualJefGabMin Nº 008039/2007
AC AFIP Y no se tiene la certeza de que se pueda poner en funcionamiento el sitio alternativo
en tiempo y forma.
Recomendación: Regularizar la situación realizando una prueba completa del plan de
contingencia en lo inmediato y efectuar las pruebas semestrales, de acuerdo a lo indicado en
la normativa vigente.
Respecto al uso de los certificados
Observación N" 2: información brindada a los solicitantes de certificados digitales.
En algunos puestos de atención se informa erróneamente que los certificados pueden
utilizarse para cualquier transacción, no respetando los usos permitidos enumerados en el
punto "1.3.4 Aplicabilidad" de la Politica de Certificación vigente a la fecha.
Riesgo: Es obligación del certificador, en forma directa o a través de sus autoridades de
registro, informar a quien solicita un certificado digital las condiciones precisas de utilización
del certificado digital. En este caso al proveerse información incorrecta respecto de la
aplicabilidad de la firma, podría derivar en una firma inválida.
Recomendación: Instruir a los oficiales de registro sobre la aplicabilidad de los certificados de
acuerdo a la Política de Certificación vigente.
Respecto a los dispositivos criptográficos
Observación Nº 3: Estándar para dispositivos criptográficos de suscriptores
Los dispositivos criptográficos SafeNet iKey 2032 no cumplen con el estándar FIPS-2 nivel 2
establecido como obligatorio en el punto "6.2 Estándares para dispositivos criptográficos" de
la Politica de Certificación de la AFIP para los certificados clase 4.
Riesgo: Se permite" a los titulares de certificados clase 4 la utilización de un dispositivo
criptográfico con menores condiciones de seguridad en cuanto a la generación y
almacenamiento de sus claves, respecto a ias establecidas en la Política de Certificación. Se
incumple además con al propia normativa interna de la AC AFIP.
Recomendación: Ajustarse a lo indicado en la Politica de Certificación o bien, evaluar la
posibilidad de modificar dicho documento,
Respecto a la documentación
Observación Nº 4: Informe de estado de operaciones
El informe de estado de operaciones presentado se encuentra incompleto, ya que solo
informa ios puestos de atención de ia Autoridad de Registro y los certificados emitidos,
omitiendo la mención de otros hechos significativos que tuvieron lugar respecto a ia actividad
de la AC AFiP.
Riesgo: Se incumple la normativa vigente, en lo establecido en el inciso o) del articulo 34 del
Decreto W 2628/2002.
Recomendación: Remitir a la brevedad al Ente Licenciante el informe de estado de
operaciones, con carácter de declaración jurada, detallando los hechos significativos
vinculados al funcionamiento del Certificador Licenciado.
Observación Nº 5: Publicación de los informes de auditoría
No se encuentra publicada en el sitio web del Certificador Licenciado la información
pertinente de los informes de auditoría realizados, tal como se establece en la Politica de
Certificación aprobada y en el inciso k) del articulo 21 de la Ley W 25.506.
Riesgo: Se incumple lo establecido en ia normativa aplicable y no se informa adecuadamente
a ios interesados.
Recomendación: Cumplimentar lo establecido en la normativa vigente y proceder a la
publicación de la parte pertinente de los informes de auditoría realizados.
Respecto a la Lista de Certificados Revocados
Observación N" 6: Lista de Certificados revocados incompleta
, .
. . '\", , .
Jefatura de Gabinete de MinistrosSecretaria de Gabinete y Coordinación Administrativa
Subsecretaría de Tecnologías de Gestión
REF: AFIP - Auditoría AnualJefGabMin Nº 008039/2007
Se detectó que la lista de certificados revocados publicada diariamente no incluye la totalidad
de los certificados revocados, sino solo aquellos cuya fecha de vencimiento es posterior a la
fecha de emisión de la mencionada lista.
Riesgo: Si un tercero usuario realizara la verificación del estado del certificado en una fecha
posterior a su fecha de expiración, podrla incurrir en un resultado incorrecto al no encontrar
disponible la información respecto a si tuvo lugar una revocación. En este contexto, se deja
constancia que la Politica de Certificación de la AC AFIP no contempla la modalidad
implementada.
Recomendación: Incorporar la totalidad de los certificados revocados a la lista de certificados
revocados o bien, modificar la Política de Certificación y advertir al tercero usuario sobre el
alcance de dicha Iísta, a fin de que no incurra en un error.
IX. CONCLUSIÓN
A partir del releva miento realizado con motivo de la auditoria anual, se concluye que luego de
transcurrido el primer período por el cual se otorgara la licencia, la AFIP, en su calidad de
Certificador Licenciado, mantiene un infraestructura adecuada y actualizada para la gestión
del ciclo de vida de los certificados digitales que emite. Sin embargo, resulta necesario resaitar
que el organismo debe cumplir en forma completa con el requisito de realización de pruebas
semestrales del plan de continuidad de las operaciones de la AC AFIP para prever una
respuesta oportuna frente a una contingencia e instruir a los responsables de los puestos de
atención para que informen adecuadamente a los titulares de los certificados respecto a su
aplicabilidad.
Se recomienda subsanar tanto éstas como el resto de las observaciones formuladas en el
presente informe, implementando las recomendaciones correspondientes, con el fin de
s niveles de confiabilidad y cumplimiento requeridos en las normas vigentes.