respuesta auditoria diitec-publicacion-2011 - afip · auditoria celebrado entre la unidad de...

"2012- ")}ño :J{(mU:lla}r. al iD. :Aíanuc(rBdgralI0"

Ref.: AFIP-Informe auditoría anual

BUENOS AIRES, ," /.; ¡P,', .".-4. l. l~,".. r•. :¡:'

Jefatura de Gabinete de MinistrasSecretaría de Gabínete y Coordinacíón Admínistrativa'

Subsecretaría de Tecnalagías de GestíónOficina Nacional de tecnologías de Informacíón

NOTAONTI W

.~tÍ,;'." -1

'/2012

SUBDIRECTOR GENERAL DE SISTEMAS Y TELECOMUNICACIONES

De mi mayor consideración,

Me dirijo' a usted con motivo de la reciente realización de la auditoría anual de la AutoridadCertificante de la Administración Federal de Ingresos Públicos, realizada entre los meses de julio ynoviembre de 2011, por los auditores Ricardo Gastello y Miguel Montes de la Universidad nacional deCórdoba, y Gustavo Pereyra de la OfiCIna nacional de Tecnologías de Información. Cabe acotar quedicho personal. fue designado oportunamente para la realización de las tareas de revisión, encu'mplimiento con la ley 25.506 y sus' normas complementarias.

En ese marco, se acompaña. el informe elaborado por el personal antes citado, el cual refleja lasobservaciones y conclusiones correspondientes.

Sin otro particular, saludo a usted atentamente.

"

Prosecretaría de InformáticaUrriversidad N~cionalde Córdoba

Auditoría a tas Autoridades Certificantes de la RA-2011Segundo Infonne de Avance - AFIP .

Auditoría a las Autoridades Certificantes de la RA _ 2011

Segundo Informe de Avance - AFrp•

Córdoba, 04 de noviembre de 20111.INTRODUCCION

La Infraestructura de Firma Digital (FD) de la República Argentina prevé realizarauditorías operativas a las Autoridades Certificantes (AC) licenciadas a fin de verificar

que su funcionamiento se corresponde con las disposiciones vigentes. Como parte de

los procedimientos, las normas contemplan la realización de auditorlas anuales que

evalúen la adecuación de los componentes tecnológicos, procedimentales, humanos ydocumentales de las Autoridades Certificantes sobre la base de la Ley N0 25.506 Y sus

normas reglamentarias: el Decreto N° 2628/02 Y la Decisión Administrativa N" 06/2007.

El objeto general del presente documento es la presentación del SegundoInforme de Avance, resultado de la prestación de los servicios de auditoria defuncionamiento a la Politica de Certificación implementada por la AC AF!P, en el marco

de la Infraestructura de Firma Digital de la República Argentina y donde se contempló

la evaluación y verificación del efectivo cumplimiento de la normativa actual y de los

procedimientos y especificaciones previstos en los documentos presentados ante laautoridad de aplicación.

Este trabajo se realizó en el marco del contrato de prestación de Servicios deAuditoria celebrado entre la Unidad de Coordinación del Proyecto Modernización' delEstado (UCP) - Jefatura de Gabinete de Ministros y la Universidad Nacional deCórdoba, entidad a la que pertenecen los autores de este informe.

1.1. Objetivo y alcance

yetano M"."o',()og. N~30.017/42

Dlsp.67/08v. dm. Rse: (SOG.SlTl

ES:COPIA

El objetivo de la auditoria -fijado por el referido contrato- comprende laevaluación de las siguientes actividades relacionadas a la infraestructura de FD:

• Verificar el cumplimiento de lo establecido en los documentos elaborados porlas. propias Autoridades Certificantes.

o Inspeccionar las instalaciones de las Autoridades Certificant~ y susAutoridades de Registro (AR). 1

. I

• Verificar e inspeccionar los servicios de publicación y del sitio de cont'ngenciade las Autoridades Certificantes sus AR.r

Prosecretaría de Informática. Universidad Nacional de Cór~oba

Auditarla a las Autoridades Cerlificantes de la RA-2011Segundo Informe de Avance - AFIP

5 Evaluar los controles implementados que resulten necesarios para el correcto

funcionamiento de las Autoridades Certificantes y .sus AR.

5 Evaluar el plan de trabajo propuesto por las Autoridades Certificantes y verificar

la adecuación de los documentos, especificaciones, procesos y dispositivos de

las mismas según las recomendaciones formuladas.

En esta segunda etapa del trabajo, el alcance comprende' a la AC AFIP y su

AR-Puesto de Atencion Central-, y donde se evaluaron los siguientes procesos:

• Ciclo de vida de los ce~ificados

5 Operación de la AC

• Ejecución Plan de Contingencia

• Seguridad Fisica yambiental

5 Acceso a información disponible en Internet

• Políticas de Certificación y docu.mentación técnica de la AC

1.2. Actividades de relevamiento

El 21 de.Julio, se visitaron las instalaciones de AFIP, en Av. Paseo Colon 635,

Se entrevistó allng. Sergio Blanco, Director de Infraestructura Tecnológica y Seguridad

de. la AFIP. y al Sr. Gastón Pazo, responsable de la División de Administración de

Accesos. Ambos funcionarios vinculados a la Autoridad Certificante de AFIP. Se

coordinarori actividades de reli3vamiento y se puso a disposición de los auditores

documentación relacionada. '

El 28 de setiembre, se visitaron nuevamente las instalaciones de AFIP, Se

'entrevistó al Sr. Pablo Bonavia -a cargo del Dpto. Seguridad Informática y Oficial de

Seguridad de la AC AFIP- y al Sr. Gastón Pazo -responsable de HSM-, se coordinaron.

fechas posibles para el relevamiento de campo, los proce,sos a evaluar y el personal a

entrevistar.

2

!1/lf\/

9~,iI

, .

Los' días 12, 1'3, 14, 17 Y 18 de octubre se concurrió a, las siguientes

instalaciones' de AFIP:5 Subdirección Gral. de Infómiática y Telecomunicaciones - Paseo Colon'635.

,5 AR - Puesto de Atención Central - Hipólito Yrigoyen 370.

• Gerencia de Auditoría Interna - C.arlos Pellegrini 53, Piso 11,

• Sitio,de contingencia en Data Center de Telefónica - Osvaldo Cruz

Barracas

!¡

l¡}

Prosecretaría de InformáticaUnrversidad Nacional de Córdoba


y se entrevistó al personal de las siguientes áreas de AFIP, relacionadas con la

Infraestructura de Firma Digital:• Gerente de Seguridad Informática - Sergio Blanco

• Responsable de Seguridad y Oficial de Seguridad - Pablo Bonavia.

• Administración de HSM - Gaston Pazo

• Administración de HSM - Sebastian Guarino~

• Administrador de Servidores y de Partición - Ricardo Gorosito

• Testigos - Daniel Rolando y Luis Nuñez• Responsables de Sala Cofre y Continger:lcia - Marcelo Barone

• Responsables de Infraestructura de Comunic¡¡ciones - Horacio Franco, Silvio

Heredia

• Responsable Mesa de Ayuda - Juan Torrilla• Responsables de AR-Puesto de Atención Central-Ignacio Yaski, Karina

Ferreyra y Adriana Lombardi• Responsable de Auditoria Interna - Néstor del Cuadro

Se entrevistaron todos los roles propuestos en el Plan de Auditoría excepto el

responsable de Monitoreo, esta entrevista no fue necesaria ya que el monitoreo de los

servicios de la AC AFIP lo hace personal del área FD (Sebastian Guarino).

Las entrevistas se realizaron en los lugares de trabajo del personal de AFIP

involucrado. Se realizó una visita al recinto de Firma Digital dentro de la Sala Cofre

donde se verificaron los controles de acceso, los registros de ingreso, el equipamiento

y el contenido de la caja de seguridad. También se visitó el' Sitio de Contingencia,

donde se verificaron los controles de acceso, el equipamiento y el contenido de la caja

de seguridad.

La documentación correspondiente a la AC AFIP puesta a disposición de los

auditores fue la siguiente:• Politica de Certificación' OID: 2.16.32.1.1.1 - Versión 1 - 19/12/2008

• Manual de Procedimientos de Certificación OID: 2.16.32.1.1.1 - Versión 1 -

19/12/08• Acuerdo tipo con Suscriptores - Versión 1 - 19/12/08• Términos y Condiciones tipo con Terceros Usuarios - Versión 1 - 19/12/08

• Politica de Privacidad - Versión 1 - 19/12/08,• Plan de Cese de Actividades - Versión 1 - 19/12/08

• Plan de Seguridad - Versión 1.1 - 01/04/09

• Plan deContingencia - Versión 1 - 19/12/08• Arquitectura Tecnológica - Versión 1 - 19/12/08 .

E_.S COPI~ ca{~:~?o.3a.~¿:~~;>.r¡eo/v Ad sp. 67/08 '. .

. m Roe (S_' .' .. ' DG"~'TJ

,

3

'. ..'

Auditoria a las Autoridades Certificantes de la RA-2011Segundo Infanne de Avance - AFIP

Prosecretaría de InformáticaUniversidad Nacional de Córdoba

Asignación de Roles de la AC AFIP - 10/05/2010

Procedimientos de la Autoridad de Registro 010 Nro: 2.16.32.1.1.1 - Versión 1del 19/12108

o Guia para gestión de certificados digitales - Versión 0.5 - 26/02/09

• Proyecto Autoridad Certificante FD, Carpeta Testing V1.0.0.; Departamento de

Inf9rmática Juridica y Colaborativa (DIJyC), Nov. 2008.-

•

Se tomó como marco de referenCia para realizar las actividades de auditoria y

sus respectivos objetivos de control, el documento "Guia para Auditorías de

Certificadores" -vs. 1.1 de julio 2011- provisto por ONTI.

Por úliimo queremos destacar la buena predisposición de todo el personal de

AFIP entrevistado y, en especial, la colaboración y actitud de Pablo 8onavía, Gastón

Pazo, Sebastian Guarino y Daniel Rolando .

.. // :. ~. ,

4


Auditarla a las Autoridadas Certifican/es de la RA-2011Segundo Informe de Avance - AFIP "{;,

2, OBSERVACIONES Y RECOMENDACIONES

2.1. Proceso: Ciclo de vida de los certificados

Observación 1:

En la función de consulta que realizan los Oficiales de Registro utilizando la

aplicación de aprobación de Certificados Digitales, se verificó la existencia de

certificados pendientes de tramitación con una antigüedad mayor a 30 días (existían

solicitudes de certificados pendientes, del año 2009). En la documentación se indicaque el trámite debe completarse en 30 días.

Recomendación:

Contemplar que la aplicación depure los certificados pendientes cuyo plazopara continuación del trámite esté vencido.

Observación 2:

La Aplicación de la AC dispone de un campo para registrar la razón de revocación deun Certificado. Digital, el cual frecuentemente no se completa.

Recomendación:

Completar en todos los casos este campo detallando la causa de la revocación. Sesugiere utilizar las causas de revocación propuestas por la RFC 5280.

2.2. Proceso: Operación de la AC

Observación 3:

Se constató la existencia de un único.Libro de Actas guardado en la caja fuerte

de la oficina del Responsable de Seguridad (Pablo Bonavía). Por otro lado, en el

documento "POLlTICA DE CERTIFICACiÓN"; punto "4.6. - Archivo de registros de

eventos', se menciona que "El Libro de Actas será res.guardado dentro de la caja de

seguridad dispuesta en el recinto de la AC de la AFIP"; y en el documento "PLAN DE

CONTINGENCIA"; punto "1.- Descripción", se menciona que "El Plan involucra a los

recursos físicos, de hardware, software, humanos y de información", ent¡e los cuales

figura el "Libro de Actas y actuaciones".. ' \

Recomendación:

ESCO 5

.;

,,II,\


Auditoria a las Autoridades Celtificantes de la RA-2011Segundo Infonne de Avance - AFIP f

Implementar el uso y resguardo de los Libros de Actas mencionados en ladocumentación.

Observación 4:

Los puestos de trabajo de la AR-Puesto de Atención Central sólo se diferencian

del rest() por tener instalados los drivers para configuración de los dispositivoscriptográficos. token. Esto permitiria a un oficial de registro con sus credenciales de AR

poder acceder desde cualquier puesto de trabajo con sólo instalar los driversmencionados.

Recomendación:

Implementar el mecanismo de autenticación necesario para garantizar que sólo desdelos puestos de trabajo de la AR Central se pueda tramitar la emisión de un Certificado Digital.

Observación 5:

Mesa de Ayuda Interna es responsable de atender incidentes de Firma Digital. Al

momento de la auditoría no. tenia registrado ninguno. La aplicación contempla la apertura de

un ticket por incidente, pero no permite asignarlo a Firma Digital.

Recomendación:

Actualizar aplicación de administración de Mesa de Ayuda Interna para que contempleclasificar incidentes de Firma Digital.

Observación 6:

Si bien existe una casilla de correo electrónico ([email protected]') a ia cual puedenrecurrir los suscriptores de Certificados Digitales emitidos por AFIP para realizar consultas y

solicitar ayuda específica, no existe un claro "propietario" de la misma, ni evidencias deseguimiento de las consultas.

Recomendación:

Asignar la propiedad de esta casilla de correo a Mesa de Ayuda Interna para que los

reclamos y consultas por este canal puedan tener un tratamiento y seguimiento equivalente alos incidentes recibidos por los canales habituales.

Observación 7:

No se verificaron registros de monitoreo de laAFIP.

Recomendación:

ES COPIA

Base de Datos de la Aplicación AC

"iI

¡UMU (/ 6

mailto:[email protected]'



Implementar procedimientos de monitoreo de la Base de Datos de la Aplicación ACAFIP.

Observación 8:

No se verificaron registros de monitoreo de syslog de los Servidores de la AplicaciónACAFIP.

Recomendación:

Implementar procedimientos de monitoreo de syslog de Servidores de la Aplicación ACAFIP.

Observación 9:

No existe un inventario de activos que permita mantener el control de equipos, tal cualse especifica en el punto "6.6.2. - Administración de controles y seguridad" del documento'POLlTICA DE CERTIFICACiÓN".

Recomendación:

Implementar un documento formal con el inventario actualizado de activos de equiposde los Recintos de FD de producción y de contingencia.

Observación 10:

Se verificó en la documentación de homologación de la aplicación "Proyecto AutoridadCertificante Finna Digital", que la documentación de especificación de requerimientos: "casos

de uso y escenarios" fue elaborada por la Dirección de Infonnática Jurídica y Colaborativa y, asu vez, dicha área fue la encargada de la homologación.

Recomendación:

La documentación de especificación de requerimientos debe 'ser elaborada por un áreadiferente a la que homologa.

Observación 11:

Los servicios de Firma Digital de la AC AFIP no están contemplados en los programasde la Unidad de Auditoria Interna.

Recomendación:

Interna, la

7

8

¡¡"¡

,I

Prosecretaria de InformáticaUniversidad Nacional de C6rdoba

Auditorla a las Autoridades Certificantes de la RA-2011Segundo Infonne de Avance - AFIP

2.3. Proceso: Ejecución Plan de Contingencia

Observación 12:

Si bien se en'contraron evidencias de actualizaciones periódicas sincronizando lainformación de los Servidores del sitio de contingencia, no se pudo constar el pase aproducción del sitio de contingencia,

Recomendación:

Implementar el punto "7,- Pruebas" del "PLAN DE CONTINGENCIA", que menciona:'Se realizará un procedimiento de pruebas de recuperación ante desastres, con unaperiodicidad de seis meses",

2.4. Proceso: Seguridad Fisica y ambiental

Sin observaciones.

2.5. Proceso: Acceso a información disponible en Internet

Sin observaciones.

2.6..Proceso: Politicas de Certificación y documentación técnica de la AC

Observación 13:

En el "Manual de Procedimientos", punto "6.2.9. - Método de destrucción de clavesprivadas", se menciona: "La destrucción del par de claves en una partición del Hardware

Security Module (HSM) de la AC de la AFIP se realiza en forma remota desde el Terminal delHSM". Esta tarea se realiza en mediante un acceso local al HSM.'

, Recomendación:

Actualizar documentación.

Observación 14:

En el "Manual de Procedi'mientos", punto "6.5.1.- Requisitos Técnicos específicos", semenciona: "La autenticación del personal de la AFIP involucrado en la o ratoria del sistemainformático de la AC de la AFIP, se efectúa por medio de Clave Fiscal, 91 e e implementa por

medio de un dispositivo de autenticación externo". Esto no es así ,ya qué la Clave Fiscal no seimplementa por medio de un dispositivo de autenticación externo.

~

Cayetano Marcon ~Leg. N9 30.047/42ES COPIA DIV.Ad~''t~~.7:~~G.sm~j

•'.

~I'

•,

¡

t,.¡

1t{!,i

fJ,II

i

1tj¡

1

If

¡

1

!.

w¡,

Prosecretaria de InformáticaUniversidad Nacional de Córdoba

Auditoria a las AutOridades Certlficantes de la RA-2011Segundo InfomJe de Avance _AFIP

Recomendación:


ObseNación 15:

En el "Manual de Procedimientos", punto "6.7. - Controles de seguridad de recr, SE

menciona: "La AFIP POsee mecanismos de Control de acceso basados en una estructurEseparada de autenticación y de autorización de acceso a los sistemas, por medio del módulc

de administración de uSuarios de la AC de la AFIP, que es administrado por el Responsablede la AR". Esto no aplica.

Recomendación:


ObseNación 16:

En el "Plan de SegUridad", punto "3.1.3.- Controles de acceso físico", se menciona: "Lainfraestructura tecnológica necesaria para la gestión de certíficados y CRLs se alojará en

seNidores físicamente independientes y afectados en forma exclusiva a las tareas de

certificación". Se obseNÓ que la gestión de certificados y CRLs están fisicamente en unmismo seNidor.

Recomendación:

Actualizar documentación o cumplir con este punto del Plan de Seguridad.

CaYetano Mleo. N' 38 Oarcona

O. . 47/42DI IS/).6710a

". Adl1) ~lA . Oc. (SOG.Srt¡

., ~ .

•Prosecretaría de InformáticaUniversidad Nacional de C6rdoba

Auditoria a las Autoridades Certificantes de la RA-2011 ,Segundo Informe de Avance - AFIP 'j

10

3. CONCLUSIONES

La platafonna tecnológica que soporta los servicIos de la AC AFIP estáincorporada dentro de la infraestructura infonnática del organismo. Esta situación

permite compartir y trasladar los controles estructurales. 'los recursos tecnológicos y la

experiencia de los profesionales informáticos de AFIP al diseño. soporte y monitoreo desus servicios de Firma Digital.

El personal responsable de la mayoria de los roles técnicos de la AC AFIP estáintegrado por funcionarios de la División Accesos -a cargo de Gaston Pazo-o

dependiente del Departamento Seguridad Informática -Pablo 80navia-, dependiente, a

su vez, de la Dirección de Infraestructura Tecnológica y Seguridad -Sergio Blanco- y

dentro de la Subdirección Genral.de Informática y Telecomunicaciones -SilviaBrucciamonti-.

La estructura operativa cuenta con una plantilla adecuada, las funciones

técnicas y responsabilidades operativas requeridas por la AC AFIP se distribuyen como

una tarea complementaria a las habituales del Departamento Seguridad Informática,

en especial, en su División Control de Accesos. Esto ha permitido incorporar lainfraestructura de Finna Digital en "fonna natural", sin derr¡andar grandes cambios en elorgan¡'grama ni requerir recursos extraordinarios.

Estas fortalezas estructurales -manifestadas en controles por distribución defunciones y oposición de intereses de su propio organigrama, asignación de los roles

de la AC a una división con una dotación de siete personas, disponibilidad de recursos

de seguridad no corrientes como la Sala Cofre y la infraestructura de alta disponibilidadcon el sitio de contingencia- brindan la necesaria confiabilidad estructural a losservicios de Finna Digital prestados por AFIP.

También destacamos que esta auditoría operativa es la primera específicarealizada a la AC AFIP por el organismo de control de licenciamiento de Firma Digital.Tampoco han sido evaluados por la Unidad de Auditoría Interna del organismo.

Las consideraciones de los párrafos anteriores, sustentan nuestra opinión deque la AC AFIP se desenvuelve dentro del, marco reglamentario exigido y en un

ambiente de control que la hace confiable y efectiva en 'su operación. Sin embargo,

también es necesario destacar que en el transcurso de la presentr~ditoría se han

detectado observaciones que recomendamos corregir prioritariam~nte: por su mayor

impacto potencial, tales como: l;~.Cayelano Marcone V\.¡

lego N9 30.047/42ES COI' Ol.p, 67/0A /. 1. Div. Mm. Aec. (SaG.COY)

...~ .~

Prosecretaréa de InformáticaUniversidad Nacional de Córdoba

Auditorla a las Autoridades Certificantes de le RA-2011.Segundo Informe de Avance - AFIP

.,-; .

•

•

•

•

Realizar pruebas de paso a producción del' si96 de contingencia, con unaperiodicidad de seis meses. (Observación 12). /

Implementar el uso y resguardo de Libro .de Actas en' ~cs Recintos de FirmaDigital dé producción y contingencia. (Observación 3). /

Implementar procedimientos de monitoreo .de la Base de Datos y syslog deSe~idores de la Aplicación AC AFIP. (Observación 7 y 8). /

Modificar procedimiento de. homologación de la aplicación AC AFIP parafuturas modificaciones (Observ~ción 10). /

Por último, dejamos constancia que el sector de Firma Digital del organismo

actualmente se encuentra abocado en el proceso de modificación de su' Politica de

Certificación para homologarla a la nueva modalidad acordada con ONTI y ANSES. En

este .proceso, están modificando la documentación pertinente y adaptando lasaplicaciones y procedimientos operativos ..

Ing. Miguel Angel SolinasDN113. 09.806

Cayetano MarceneLeg. NI' '38.047/42

Oisp.67/08Div. Adm. Roc. (SDG.SfT'

11

respuesta auditoria diitec-publicacion-2011 - afip · auditoria celebrado entre la unidad de...

Documents