determinando el universo de auditoria en sistemas de
Post on 26-Jun-2022
9 Views
Preview:
TRANSCRIPT
Determinando el universo de Auditoria en sistemas de comercio electrónico
Carlos G. Masi CISA, CISM
Auditor Informático – Bancard S.A. – Asunción, Paraguay
Carlos G. Masi
Auditor Interno. Especializado en assurance de TI. Desde 1996 que trabajo en esto.
Bancard S.A. Casa Matriz en
Asunción, Paraguay
Introducción
Introducción
Introducción El auditor deberá determinar una estrategia y un universo de auditoría con foco en los riesgos y controles de este tipo de negocio
Agenda
!"! #$%&'&(&$%&)*(&*+,)*)-)%&./)*(&*.&(-,)*(&*0/1,"*
2"! 3/*0&4)0&'56/*(&+*/7(-%,4"*
8"! 9:;.,*&)%/<+&'&4*&+*7$-6&4),*(&*7$/*/7(-%,4=/*>*
?"! @4-$'-0/+&)*A,'/+*0,-$%)*0/4/*/7(-%,4&)"*
B"! C$*'D&'E+-)%*<F)-',*/*)&4*%&$-(,*&$*'7&$%/"*
G"! :,$'+7)-,$&)"*
Antecedentes de los medios de pago
antigua Grecia
480 aC
primeras estructuras bancarias
70-80 dC
antigua Roma
primeras estructuras monetarias •! registro de transacciones •! cobro de intereses sobre depósitos y préstamos
siglo XII
cheque siglo XVII
papel moneda 1891
traveller’s check
Antecedentes de los medios de pago
1950
1951
Franklin National Bank New York
1° emitir TC a no clientes 1958 1970 1966
1ra. tarjeta emitida fuera de EEUU
Antecedentes de los medios de pago
1968
1er. ATM en red Dallas, EEUU
1978 First National
Bank of Seattle 1º emitir tarj. de
débito
1984
POS 1992
1º emitir tarj. chip Carte Bancaire Francia
1979
Michael Aldrich presenta la venta
por TV
Antecedentes de los medios de pago
1995 2010 2012
aprox. 2000 millones TC 30 millones de comercios
2009
aprox. 15 millones de ATM’s
ventas proyectas por U$S 226 billones
Antecedentes de los medios de pago
La perspectiva del auditor •! Procesos de eCommerce forman parte del ciclo de ingresos y
egresos de una organización, por lo que deben ser auditados en forma adecuada.
•! Las consideraciones del auditor son: •! Identificación de las partes que realizan la
transacción (autenticación) •! Quién carga los datos clave de la
transacción, como contratos, precios, descuentos (autorización)
•! Integridad de órdenes de compras, pagos, remisiones, confirmaciones.
•! Seguridad de la información y de los datos transmitidos y procesados.
•! Alcance del control gerencial sobre el proceso
•! Cómo se gestionan los riesgos del negocio.
La perspectiva del auditor •! Los controles de seguridad incluyen:
•! Encriptación de las comunicaciones y mecanismos de autenticación de usuarios.
•! Cumplimiento con regulaciones de la industria, contratos, acuerdos de niveles de servicio (SLA) y estatus de privacidad.
•! Documentación adecuada de acuerdos comerciales, incluyendo los términos de las transacciones y los métodos de autorización y autenticación.
•! Capacidad planificada de los sistemas para prevenir ausencias de servicio, inactividad (downtime) y resistir ataques de malware.
•! Mecanismos de seguridad de la información a lo largo de todo el ciclo de vida de la transacción (end-to-end) incluyendo proveedores externos.
La perspectiva del auditor
Mas
terC
ard
Visa
Am
eric
an E
xpre
ss
POS
ATM
Débitos Automáticos
IVR
eCommerce Internet
eCommerce mobile
Mail Order
Phone Order
Banco
Facturador Incoming
Outgoing Cajas registradoras
•! Arquitecturas del Comercio Electrónico –! 2 capas –! 3 capas –! Múltiples capas
La perspectiva del auditor
browser
web server
application server
Db Db Db
capa de presentación
adm. de contenidos y conexiones
lógica del negocio
datos de cliente, productos, click stream
¿Cómo establecer el alcance de una auditoría ? •! Las implicancias para los auditores incluyen:
•! Las transacciones de eComm eliminan la evidencia documental en papel, por ej. documentación interna y externa, que son la base para muchos procedimientos de pruebas sustantivas y pruebas de control.
•! Los procesos rediseñados para eComm pueden haber eliminado incluso los equivalentes electrónicos de los documentos en papel. •! Ej. un POS transmite la información del vendedor/cobrador al
procesador/facturador, Las órdenes de compra, facturas y resportes de recepción son reemplazados por: •! Un contrato a largo plazo que establece tarifas, tipos de
transacciones, condiciones de procesamiento. •! Programas informáticos que procesan las operaciones en un
servidor de producción remoto (tercerizado) •! Los pagos se realizan por medio de transferencias electrónicas
de fondos directamente a las cuentas de cada parte que interviene en el ciclo de vida de la transacción.
¿Cómo establecer el alcance de una auditoría ? •! Para establecer el alcance de la auditoría, el auditor debe
comprender los procesos del ciclo del negocio a ser auditado que dependen de eCommerce en forma total/parcial. •! Documentar el flujo del proceso
teniendo una visión holística de las funciones del negocio.
•! Definir el ciclo de la vida de la transacción que origina y da vida al proceso.
•! Identificar todas les entidades internas y/o externas que intervienen.
•! Desarrollar una estrategia y un enfoque de auditoría basados en los riesgos del proceso.
•! Desarrollar los programas de trabajo correspondientes.
Focal points para el auditor
Focal points para el auditor Ej. 1 : Identificación de dispositivos firewalls en la infraestructura tecnológica
Focal points para el auditor Ej. 2: Identificación de controles de red vigentes/ausentes
Focal points para el auditor
password: ******************
Focal points para el auditor Ej. 3: Perfiles privilegiados que deben ser controlados
Focal points para el auditor
•! Protección de datos confidenciales en transacciones con tarjetas de crédito.
Focal points para el auditor
•! Protección de datos confidenciales en transacciones con tarjetas de crédito.
Tipo de dato Elemento de dato Storage permitido
Protección requerida
Mask requerido
Datos del cardholder
Primary Account Number (PAN)
Si Si Si
Nombre Si Si No
Codigo servicio Si Si No
Fecha expiración Si Si No
Datos de la autenticación
Track completo No
CVV No
PIN No
Un checklist básico a ser tenido en cuenta Secuencia Procedimiento Tercerizado Comentarios
1 ¿Qué tipo de procesos de eCommerce posee la organización? Por ej: Home Banking, Intranets, red de cobranzas, Switch, etc.
2 ¿Qué tan críticos son los productos y servicios de eCommerce para los objetivos y estrategias del negocio?
3 ¿Cuál es la estructura organizacional responsable por estos procesos?
4 Se cuenta con un sitio web : a)!Informativo b)!Interactivo c)!Transaccional
5 El sitio web se encuentra alojado en: a)!La organización b)!Un proveedor c)!Un procesador tercerizado (Third Party Procesor)
6 ¿Los sistemas de eCommerce fueron desarrollados internamente o adquiridos externamente?
7 Describir todos los servicios, procesos y actividades de eCommerce realizados por la organización
Un checklist básico a ser tenido en cuenta Secuencia Procedimiento Tercerizado Comentarios
8 ¿Hasta qué punto la seguridad de las redes/aplicaciones de eCommerce se son testeades y monitoreadas?
9 La Política de Seguridad de la Información ¿ha sido adaptada para contemplar los riesgos y controles vinculados a los procesos de eCommerce?
10 Verificar que todas las conexiones externas de eCommerce se encuentran protegidas mediante dispositivos firewall (actualizados)
11 Las conexiones que transmiten datos de eCommerce ¿estan protegidas mediante encriptación ?
12 ¿Hasta que punto las aplicaciones de eCommerce están sujetas a PenTest para prevenir vulnerabilidades como por ej. SQL Injection ?
13 ¿Qué tipo de controles de acceso han sido implementados para prevenir el acceso no autorizado a las aplicaciones y datos de eCommerce?
14 ¿Hasta qué punto el Plan de Continuidad del Negocio contempla los riesgos asociados a las aplicaciones de eCommerce?
Conclusiones •! Actualmente la mayoría de las organizaciones (públicas y
privadas) poseen algún tipo de proceso/función del negocio del tipo eCommerce. •! Deben ser auditados en forma adecuada.
•! La auditoría de los procesos eCommerce debe ser realizada por especialistas, en algunos casos podrán ser contratados especialmente para este efecto. •! El alcance del trabajo es definido por el auditor líder responsable
por la auditoría general de la organización.
Información de Contacto
Preguntas y Respuestas
¡Muchas Gracias por su atención!
top related