Determinando el universo de Auditoria en sistemas de comercio electrónico

Transcripción

1 Determinando el universo de Auditoria en sistemas de comercio electrónico Carlos G. Masi CISA, CISM Auditor Informático Bancard S.A. Asunción, Paraguay

2 Carlos G. Masi Auditor Interno. Especializado en assurance de TI. Desde 1996 que trabajo en esto. Bancard S.A. Casa Matriz en Asunción, Paraguay

3 Introducción

4 Introducción

5 Introducción El auditor deberá determinar una estrategia y un universo de auditoría con foco en los riesgos y controles de este tipo de negocio

6 Agenda!"! #$%&'&(&$%&)*(&*+,)*)-)%&./)*(&*.&(-,)*(&*0/1,"* 2"! 3/*0&4)0&'56/*(&+*/7(-%,4"* 8"! B"! C$*'D&'E+-)%*<F)-',*/*)&4*%&$-(,*&$*'7&$%/"* G"! :,$'+7)-,$&)"*

7 Antecedentes de los medios de pago antigua Grecia primeras estructuras bancarias primeras estructuras monetarias registro de transacciones cobro de intereses sobre depósitos y préstamos dc siglo XII papel moneda ac antigua Roma cheque siglo XVII traveller s check

8 Antecedentes de los medios de pago 1950 Franklin National Bank New York 1 emitir TC a no clientes 1ra. tarjeta emitida fuera de EEUU

9 Antecedentes de los medios de pago 1968 Michael Aldrich presenta la venta por TV º emitir tarj. chip Carte Bancaire Francia 1er. ATM en red Dallas, EEUU 1978 First National Bank of Seattle 1º emitir tarj. de débito 1979 POS 1992

10 Antecedentes de los medios de pago aprox. 15 millones de ATM s ventas proyectas por U $S 226 billones aprox millones TC 30 millones de comercios

11 Antecedentes de los medios de pago

12 La perspectiva del auditor Procesos de ecommerce forman parte del ciclo de ingresos y egresos de una organización, por lo que deben ser auditados en forma adecuada. Las consideraciones del auditor son: Identificación de las partes que realizan la transacción (autenticación) Quién carga los datos clave de la transacción, como contratos, precios, descuentos (autorización) Integridad de órdenes de compras, pagos, remisiones, confirmaciones. Seguridad de la información y de los datos transmitidos y procesados. Alcance del control gerencial sobre el proceso Cómo se gestionan los riesgos del negocio.

13 La perspectiva del auditor Los controles de seguridad incluyen: Encriptación de las comunicaciones y mecanismos de autenticación de usuarios. Cumplimiento con regulaciones de la industria, contratos, acuerdos de niveles de servicio (SLA) y estatus de privacidad. Documentación adecuada de acuerdos comerciales, incluyendo los términos de las transacciones y los métodos de autorización y autenticación. Capacidad planificada de los sistemas para prevenir ausencias de servicio, inactividad (downtime) y resistir ataques de malware. Mecanismos de seguridad de la información a lo largo de todo el ciclo de vida de la transacción (end-to-end) incluyendo proveedores externos.

14 La perspectiva del auditor POS ATM IVR Phone Order Cajas registradoras Facturador Banco Incoming Outgoing Mail Order ecommerce mobile ecommerce Internet MasterCard Visa American Express Débitos Automáticos

15 La perspectiva del auditor Arquitecturas del Comercio Electrónico! 2 capas! 3 capas! Múltiples capas browser capa de presentación web server adm. de contenidos y conexiones application server lógica del negocio Db Db Db datos de cliente, productos, click stream

16 Cómo establecer el alcance de una auditoría? Las implicancias para los auditores incluyen: Las transacciones de ecomm eliminan la evidencia documental en papel, por ej. documentación interna y externa, que son la base para muchos procedimientos de pruebas sustantivas y pruebas de control. Los procesos rediseñados para ecomm pueden haber eliminado incluso los equivalentes electrónicos de los documentos en papel. Ej. un POS transmite la información del vendedor/cobrador al procesador/facturador, Las órdenes de compra, facturas y resportes de recepción son reemplazados por: Un contrato a largo plazo que establece tarifas, tipos de transacciones, condiciones de procesamiento. Programas informáticos que procesan las operaciones en un servidor de producción remoto (tercerizado) Los pagos se realizan por medio de transferencias electrónicas de fondos directamente a las cuentas de cada parte que interviene en el ciclo de vida de la transacción.

17 Cómo establecer el alcance de una auditoría? Para establecer el alcance de la auditoría, el auditor debe comprender los procesos del ciclo del negocio a ser auditado que dependen de ecommerce en forma total/parcial. Documentar el flujo del proceso teniendo una visión holística de las funciones del negocio. Definir el ciclo de la vida de la transacción que origina y da vida al proceso. Identificar todas les entidades internas y/o externas que intervienen. Desarrollar una estrategia y un enfoque de auditoría basados en los riesgos del proceso. Desarrollar los programas de trabajo correspondientes.

18 Focal points para el auditor

19 Focal points para el auditor Ej. 1 : Identificación de dispositivos firewalls en la infraestructura tecnológica

20 Focal points para el auditor Ej. 2: Identificación de controles de red vigentes/ausentes

21 Focal points para el auditor password: ******************

22 Focal points para el auditor Ej. 3: Perfiles privilegiados que deben ser controlados

23 Focal points para el auditor Protección de datos confidenciales en transacciones con tarjetas de crédito.

24 Focal points para el auditor Protección de datos confidenciales en transacciones con tarjetas de crédito. Tipo de dato Elemento de dato Storage permitido Datos del cardholder Primary Account Number (PAN) Protección requerida Mask requerido Si Si Si Nombre Si Si No Codigo servicio Si Si No Fecha expiración Si Si No Datos de la autenticación Track completo CVV PIN No No No

25 Un checklist básico a ser tenido en cuenta Secuencia Procedimiento Tercerizado Comentarios 1 Qué tipo de procesos de ecommerce posee la organización? Por ej: Home Banking, Intranets, red de cobranzas, Switch, etc. 2 Qué tan críticos son los productos y servicios de ecommerce para los objetivos y estrategias del negocio? 3 Cuál es la estructura organizacional responsable por estos procesos? 4 Se cuenta con un sitio web : a)!informativo b)!interactivo c)!transaccional 5 El sitio web se encuentra alojado en: a)!la organización b)!un proveedor c)!un procesador tercerizado (Third Party Procesor) 6 Los sistemas de ecommerce fueron desarrollados internamente o adquiridos externamente? 7 Describir todos los servicios, procesos y actividades de ecommerce realizados por la organización

26 Un checklist básico a ser tenido en cuenta Secuencia Procedimiento Tercerizado Comentarios 8 Hasta qué punto la seguridad de las redes/aplicaciones de ecommerce se son testeades y monitoreadas? 9 La Política de Seguridad de la Información ha sido adaptada para contemplar los riesgos y controles vinculados a los procesos de ecommerce? 10 Verificar que todas las conexiones externas de ecommerce se encuentran protegidas mediante dispositivos firewall (actualizados) 11 Las conexiones que transmiten datos de ecommerce estan protegidas mediante encriptación? 12 Hasta que punto las aplicaciones de ecommerce están sujetas a PenTest para prevenir vulnerabilidades como por ej. SQL Injection? 13 Qué tipo de controles de acceso han sido implementados para prevenir el acceso no autorizado a las aplicaciones y datos de ecommerce? 14 Hasta qué punto el Plan de Continuidad del Negocio contempla los riesgos asociados a las aplicaciones de ecommerce?

27 Conclusiones Actualmente la mayoría de las organizaciones (públicas y privadas) poseen algún tipo de proceso/función del negocio del tipo ecommerce. Deben ser auditados en forma adecuada. La auditoría de los procesos ecommerce debe ser realizada por especialistas, en algunos casos podrán ser contratados especialmente para este efecto. El alcance del trabajo es definido por el auditor líder responsable por la auditoría general de la organización.

28 Información de Contacto

29 Preguntas y Respuestas

30 Muchas Gracias por su atención!