View
7
Download
0
Category
Preview:
Citation preview
"2014 - JA ño cíe 'J [amena je aiJA fmirante Cjmffenno <J)wwn, en eC(Bicentemrio deíCombate N ava C de 'M ontevideo '
Jefatura de Gabinete de Ministros Secretaria de Gabinete
Subsecretaría de Tecnologías de Gestión Oficina Nacional de Tecnologías de Información
Ref.: CUDAP E X P -JG M : N° 0019786/2014
BUENOS AIRES,
ASUNTO: Licénciamiento BOX / CUSTODIA DE ARCHIVOS S.A. Informe de Auditoría.
I. INTRODUCCIÓN .
A partir del proceso de licénciam iento iniciado por la em presa BOX / CUSTODIA
DE ARCH IVO S S.A. m ediante la Solicitud de Licencia de Certificador ingresada a la
SU BSECRETARÍA DE TECNO LO G ÍAS DE GESTIÓN dependiente de la SECRETARÍA DE
GABINETE Y COORDINACIÓN AD M IN ISTRATIVA de la JEFATU RA DE GABINETE DE
M INISTROS, el día 23 de octubre de 2014, se dio inicio a la auditoría de la Autoridad
Certificante AC - BOX / CUSTODIA DE ARCHIVOS, en el m arco de la Infraestructura de
Firma Digital de la República Argentina, creada por la Ley de Firma Digital N° 25.506.
La revisión de la docum entación presentada por la em presa solicitante tuvo por
objetivo determ inar el efectivo cum plim iento de las norm as vigentes y lo establecido
en los docum entos elaborados por BOX / CUSTO DIA DE ARCHIVOS S.A., y que fueran
utilizados como base de la presente evaluación.
Como m odalidad de trabajo se presenta en prim er lugar, el objetivo y alcance de
la auditoría realizada a BOX / CUSTODIA DE ARCHIVOS S.A., luego se continúa con una
breve reseña sobre los aspectos técnicos de la aplicación y de la infraestructura
tecnológica sobre la que se prestarán los servicios de certificación y finalm ente una
sección que resum e las actividades de revisión efectuadas y los hallazgos encontrados.
Sin perjuicio de ello corresponde adelantar que no se encontraron
observaciones clasificadas como "relevantes" que im plicarían un alto grado de
exposición para la em presa y un condicionante para la continuidad del proceso de
licénciam iento.
1 de 7
No obstante ello resulta procedente form ular algunas observaciones
"Adicionales" que la Auditoría designada al efecto, consideró de m enor criticidad,
pero que sí requieren de acciones correctivas, sin que ello obstaculice la continuación
del trám ite de Licénciam iento de la AC - BOX / CUSTO DIA DE ARCHIVO S de BOX /
CU STO DIA DE ARCH IVO S S.A. aludido precedentem ente.
El inform e incorpora adem ás una serie de sugerencias con el propósito de
contribuir a una m ejora de los servicios a brindar por la AC - BOX / CUSTO DIA DE
ARCH IVO S en trám ite.
En últim o térm ino, se presenta la conclusión del inform e de Auditoría.
II. OBJETIVO.
La presente revisión se enm arca en lo establecido en la Ley de Firma Digital N°
25.506 y sus norm as reglam entarias y en particular, en lo establecido en la Decisión
Adm inistrativa N° 06/07. Tiene por fin verificar el cum plim iento de los requisitos de
licénciam iento previstos en la norm ativa antes citada, así com o la efectiva aplicación
de lo indicado en los docum entos elaborados y presentados por BOX / CUSTODIA DE
ARCH IVO S S.A., en el m arco de la Infraestructura de Firma Digital de la República
Argentina.
III. ALCANCE.
La Auditoría realizada abarcó la revisión de la funcionalidad y de los controles
im plem entados en el sitio principal de la AC - BOX / CU STO DIA DE ARCHIVOS, en su
servicio de publicación, en el sitio de contingencia y en la Autoridad de Registro
Central.
La revisión de la aplicación tuvo un enfoque funcional, no abarcándose la
revisión de su código.
IV. DESCRIPCIÓN TÉCNICA.
La infraestructura correspondiente a la AC - BOX / CUSTO DIA DE ARCH IVO S se
basa en los servicios criptográficos de la EJBCA (Enterprise Java Bean Certifícate Authority),
"2014 - JA ña de Jfomenaje a(JA fmirante CjwlTenna <Bnnvn, en e(<Bicentenario de í Combate íHavaf de ‘M ontevideo
Jefatura de Gabinete de Ministros Secretaria de Gabinete
Subsecretaría de Tecnologías de Gestión Oficina Nacional de Tecnologías de Información
con algunos desarrollos propios que corren com o servicios y una aplicación web para
la gestión de solicitudes de certificados, renovación y revocación. Se encuentra
com puesta por tres capas: capa de presentación, capa de negocios y capa de datos.
El equipam iento la Autoridad Certificante se aloja en un recinto exclusivo dentro
del área de máxima seguridad.
La autorización de las funciones críticas del H5M está basada en roles, y cuenta
con doble factor de autenticación realizado m ediante sm artcards criptográficos y PIN.
El esquem a de seguridad se basa en la utilización de firew alls y conexiones de
VPN.
V. ACTIVID AD ES REALIZADAS.
El equipo de auditores de la Oficina Nacional de Tecnologías de Inform ación de
la SU BSECRETARÍA DE TECNO LO G ÍAS DE GESTIÓN dependiente de la SECRETARÍA DE
GABINETE Y COORDINACIÓN AD M IN ISTRATIVA de la JEFATU RA DE GABINETE DE
M INISTROS integrado por la Dra. Iris CIDALE y el Lic. Guillerm o KOZYRA concurrió a la
em presa BOX / CUSTODIA DE ARCHIVOS S.A., a fin de proceder a auditar a la AC - BOX
/ CUSTODIA DE ARCHIVOS de BOX / CUSTODIA DE ARCHIVOS S.A., ubicada en la Ruta 19
KM 3 y Z i de la ciudad de Córdoba, donde se llevaron a cabo diversas pruebas y
entrevistas con el personal designado por la em presa solicitante, según el docum ento
roles y funciones oportunam ente acom pañado.
Estuvieron presentes y participaron en el proceso de la auditoría:
• Fernando Boiero (Responsable de Seguridad )
• Francisco M anzoni (Responsable de Com unicaciones)
• Em iliano Verazay (Desarrollador)
• M arcelo Rocha (Responsable de Servicios Críticos)
• Gustavo Serrano (Responsable de Mesa de Ayuda)
j o • Diego Fernández (Responsable de la Autoridad de Registro)
3 de 7
• Pablo Murga Velasco (Oficial de Registro)
Las entrevistas realizadas versaron sobre los siguientes tem as:
• Apertura de la auditoría y presentación del program a de trabajo.
• Funcionalidad de la aplicación de la AC.
• Plan de Seguridad.
• Configuración de los Firewall.
• Análisis de vulnerabilidades.
• Seguridad Física de la AC.
• Configuración de la AC.
• Protección de recursos sensibles.
• Prueba de los diferentes roles.
• Revisión de los registros de auditoría.
• Plan de contingencia.
• Seguridad Física del sitio de contingencia.
• Responsabilidades de la Autoridad de Registro.
• Funcionam iento y controles de la Autoridad de Registro.
• Seguridad del Personal.
VI. O BSERVACIO N ES RELEVANTES
No surgen observaciones de carácter relevante que form ular.
VII. O BSERVACIO N ES ADICIO N ALES.
Observación 1: Del relevam iento efectuado surge que las actividades que debieran
realizarse dentro del nivel operativo de la AC y aquellas a realizar en el nivel de
operaciones críticas de la AC, se llevan a cabo dentro del mismo nivel de acceso
físico.
Riesgo: El operador podría afectar el servicio de la AC o del HSM.
Recom endación: que la actividades de am bos niveles sean separadas físicam ente
según es requerido en la Decisión Adm inistrativa 06/2007.
"2014 - jAño de “Kovienaje aCjftCmiranle Q'uiUetwo (Bmwn, en eC(Bicentenano de(Combate 'N avaíde ‘M ontevideo
Jefatura de Gabinete de Ministros Secretaria de Gabinete
Subsecretaría de Tecnologías de Gestión Oficina Nacional de Tecnologías de Información
Observación 2: Del relevam iento sobre el proceso de solicitud del certificado en la
aplicación surge que desde el inicio del trám ite donde el solicitante ingresa sus
datos, la intervención del Oficial de Registro para su aprobación y luego el
m om ento en que genera el par de clave, el proceso no asegura que la clave privada
se encuentra bajo el único control del solicitante.
Riesgo: Que quien adquiera un certificado de firma digital no sea la misma persona
que realizó el trám ite.
Recom endación: Se sugiere reforzar el proceso generando el par de claves en el
m om ento que envía la solicitud desde la aplicación con los datos del solicitante,
luego la intervención del Oficial de Registro. Adicionalm ente utilizar procesos con
hash en la solicitud.
Observación 3: Del relevam iento sobre el proceso de solicitud del certificado en la
aplicación surge que el correo electrónico no es validado.
Riesgo: Que quien adquiera un certificado de firma digital no sea la misma persona
que realizó el trám ite.
Recom endación: Se sugiere reforzar el proceso validando el correo electrónico
antes de ser aprobada la solicitud por parte del Oficial de Registro.
Observación 4: Del relevam iento sobre el procedim iento que efectúa el Oficial de
Registro en la aplicación que adm inistra el ciclo de vida de los certificados surge
que al aprobar un trám ite de solicitud la misma no registra la actividad firm ada por
el Oficial de Registro. Y que el ingreso al sistem a se realiza por usuario y clave.
Riesgo: Dada una auditoría de seguim iento el Oficial de Registro puede expresar
que esa tarea no fue ejecutada por él.
Recom endación: Se sugiere agregar a la aplicación que el OR firm e digitalm ente la
tarea en la aplicación.
5 de 7
Observación 5: Del relevam iento sobre el proceso de revocación de un certificado
em itido surge que si el certificado fue em itido a una persona física en nom bre de
otra por m edio de un poder, ésta última no tiene el medio para revocar el
certificado de form a inm ediata.
Riesgo: ante el com prom iso de la clave privada sin poder revocar el certificado por
quien otorgó el poder.
Recom endación: Se sugiere que se entregue un PIN de revocación a quien otorgó el
poder a fin de solicitar un certificado por su apoderado y que cualquier cam bio de
estado sea com unicado a am bos.
Observación 6 : Del relevam iento surge que la inicialización y configuración del HSM
actúan credenciales provistas por el fabricante que se encuentran asociadas a las
personas cum pliendo un rol descrito en la docum entación. Dichas credenciales se
encuentran en poder de las personas asignadas.
Riesgo: La pérdida de las m encionadas credenciales puede afectar la operación
crítica de la AC en caso de ser necesario su uso por el HSM.
Recom endación: guardar las credenciales en el nivel 6 de seguridad y registrar su
uso.
O bservación 7: De la visita a la infraestructura de firma digital se observa que el
ingreso al nivel 4 se accede por escalera la cual no cuenta con techo.
Riesgo: perm ite el ingreso a esta zona desde nivel 2 no cum pliendo con lo
requerido en la DA 06/2007
Recom endación: realizar una obra que impida el acceso al nivel 4 si no es m ediante
el ingreso al nivel 3
VIH. SUGERENCIAS.
Incluir en el Plan de Contingencia solo aquellos riesgos que im plican la
declaración de la contingencia y adjuntar com o Anexo del M anual de Procedim ientos
de Certificación (Reservado) toda la evaluación de riesgos realizada.
'2014 - JA ño de 'Homenaje aiJA [mirante QuiCfermo <Brown, en e í CBicentenario deC Combate JKavaf de M ontevideo
Jefatura de Gabinete de Ministros Secretaria de Gabinete
Subsecretaría de Tecnologías de Gestión Oficina Nacional de Tecnologías de Información
IX. CONCLUSIÓN.
De la auditoría llevada a cabo por equipo de auditoría ya m encionado, surgen
algunas observaciones adicionales de m enor criticidad y algunas sugerencias
form uladas con el propósito de contribuir con la mejora de los servicios a brindar por
la Autoridad Certificante BOX / CUSTODIA DE ARCH IVO S de BOX / CUSTODIA DE
ARCH IVO S S.A.
Sin perjuicio de ello se considera procedente seguir adelante con el proceso de
licénciam iento en trám ite.
Abog. Iris D. CidaleD ire cto ra de In n o va c ió n T « cn o ló g ica Oficina Nacional de Tecnologías de Información
Subsecretaría de Tecnologías de Gestión Secretaria de Gabinete
Jefatura de Gabinete de Ministros
7 de 7
Recommended