2014 - JA ño cíe 'J [amena je aiJA fmirante Cjmffenno

"2014 - JA ño cíe 'J [amena je aiJA fmirante Cjmffenno <J)wwn, en eC(Bicentemrio deíCombate N ava C de 'M ontevideo '

Jefatura de Gabinete de Ministros Secretaria de Gabinete

Subsecretaría de Tecnologías de Gestión Oficina Nacional de Tecnologías de Información

Ref.: CUDAP E X P -JG M : N° 0019786/2014

BUENOS AIRES,

ASUNTO: Licénciamiento BOX / CUSTODIA DE ARCHIVOS S.A. Informe de Auditoría.

I. INTRODUCCIÓN .

A partir del proceso de licénciam iento iniciado por la em presa BOX / CUSTODIA

DE ARCH IVO S S.A. m ediante la Solicitud de Licencia de Certificador ingresada a la

SU BSECRETARÍA DE TECNO LO G ÍAS DE GESTIÓN dependiente de la SECRETARÍA DE

GABINETE Y COORDINACIÓN AD M IN ISTRATIVA de la JEFATU RA DE GABINETE DE

M INISTROS, el día 23 de octubre de 2014, se dio inicio a la auditoría de la Autoridad

Certificante AC - BOX / CUSTODIA DE ARCHIVOS, en el m arco de la Infraestructura de

Firma Digital de la República Argentina, creada por la Ley de Firma Digital N° 25.506.

La revisión de la docum entación presentada por la em presa solicitante tuvo por

objetivo determ inar el efectivo cum plim iento de las norm as vigentes y lo establecido

en los docum entos elaborados por BOX / CUSTO DIA DE ARCHIVOS S.A., y que fueran

utilizados como base de la presente evaluación.

Como m odalidad de trabajo se presenta en prim er lugar, el objetivo y alcance de

la auditoría realizada a BOX / CUSTODIA DE ARCHIVOS S.A., luego se continúa con una

breve reseña sobre los aspectos técnicos de la aplicación y de la infraestructura

tecnológica sobre la que se prestarán los servicios de certificación y finalm ente una

sección que resum e las actividades de revisión efectuadas y los hallazgos encontrados.

Sin perjuicio de ello corresponde adelantar que no se encontraron

observaciones clasificadas como "relevantes" que im plicarían un alto grado de

exposición para la em presa y un condicionante para la continuidad del proceso de

licénciam iento.

1 de 7

No obstante ello resulta procedente form ular algunas observaciones

"Adicionales" que la Auditoría designada al efecto, consideró de m enor criticidad,

pero que sí requieren de acciones correctivas, sin que ello obstaculice la continuación

del trám ite de Licénciam iento de la AC - BOX / CUSTO DIA DE ARCHIVO S de BOX /

CU STO DIA DE ARCH IVO S S.A. aludido precedentem ente.

El inform e incorpora adem ás una serie de sugerencias con el propósito de

contribuir a una m ejora de los servicios a brindar por la AC - BOX / CUSTO DIA DE

ARCH IVO S en trám ite.

En últim o térm ino, se presenta la conclusión del inform e de Auditoría.

II. OBJETIVO.

La presente revisión se enm arca en lo establecido en la Ley de Firma Digital N°

25.506 y sus norm as reglam entarias y en particular, en lo establecido en la Decisión

Adm inistrativa N° 06/07. Tiene por fin verificar el cum plim iento de los requisitos de

licénciam iento previstos en la norm ativa antes citada, así com o la efectiva aplicación

de lo indicado en los docum entos elaborados y presentados por BOX / CUSTODIA DE

ARCH IVO S S.A., en el m arco de la Infraestructura de Firma Digital de la República

Argentina.

III. ALCANCE.

La Auditoría realizada abarcó la revisión de la funcionalidad y de los controles

im plem entados en el sitio principal de la AC - BOX / CU STO DIA DE ARCHIVOS, en su

servicio de publicación, en el sitio de contingencia y en la Autoridad de Registro

Central.

La revisión de la aplicación tuvo un enfoque funcional, no abarcándose la

revisión de su código.

IV. DESCRIPCIÓN TÉCNICA.

La infraestructura correspondiente a la AC - BOX / CUSTO DIA DE ARCH IVO S se

basa en los servicios criptográficos de la EJBCA (Enterprise Java Bean Certifícate Authority),

"2014 - JA ña de Jfomenaje a(JA fmirante CjwlTenna <Bnnvn, en e(<Bicentenario de í Combate íHavaf de ‘M ontevideo



con algunos desarrollos propios que corren com o servicios y una aplicación web para

la gestión de solicitudes de certificados, renovación y revocación. Se encuentra

com puesta por tres capas: capa de presentación, capa de negocios y capa de datos.

El equipam iento la Autoridad Certificante se aloja en un recinto exclusivo dentro

del área de máxima seguridad.

La autorización de las funciones críticas del H5M está basada en roles, y cuenta

con doble factor de autenticación realizado m ediante sm artcards criptográficos y PIN.

El esquem a de seguridad se basa en la utilización de firew alls y conexiones de

VPN.

V. ACTIVID AD ES REALIZADAS.

El equipo de auditores de la Oficina Nacional de Tecnologías de Inform ación de

la SU BSECRETARÍA DE TECNO LO G ÍAS DE GESTIÓN dependiente de la SECRETARÍA DE

GABINETE Y COORDINACIÓN AD M IN ISTRATIVA de la JEFATU RA DE GABINETE DE

M INISTROS integrado por la Dra. Iris CIDALE y el Lic. Guillerm o KOZYRA concurrió a la

em presa BOX / CUSTODIA DE ARCHIVOS S.A., a fin de proceder a auditar a la AC - BOX

/ CUSTODIA DE ARCHIVOS de BOX / CUSTODIA DE ARCHIVOS S.A., ubicada en la Ruta 19

KM 3 y Z i de la ciudad de Córdoba, donde se llevaron a cabo diversas pruebas y

entrevistas con el personal designado por la em presa solicitante, según el docum ento

roles y funciones oportunam ente acom pañado.

Estuvieron presentes y participaron en el proceso de la auditoría:

• Fernando Boiero (Responsable de Seguridad )

• Francisco M anzoni (Responsable de Com unicaciones)

• Em iliano Verazay (Desarrollador)

• M arcelo Rocha (Responsable de Servicios Críticos)

• Gustavo Serrano (Responsable de Mesa de Ayuda)

j o • Diego Fernández (Responsable de la Autoridad de Registro)

3 de 7

• Pablo Murga Velasco (Oficial de Registro)

Las entrevistas realizadas versaron sobre los siguientes tem as:

• Apertura de la auditoría y presentación del program a de trabajo.

• Funcionalidad de la aplicación de la AC.

• Plan de Seguridad.

• Configuración de los Firewall.

• Análisis de vulnerabilidades.

• Seguridad Física de la AC.

• Configuración de la AC.

• Protección de recursos sensibles.

• Prueba de los diferentes roles.

• Revisión de los registros de auditoría.

• Plan de contingencia.

• Seguridad Física del sitio de contingencia.

• Responsabilidades de la Autoridad de Registro.

• Funcionam iento y controles de la Autoridad de Registro.

• Seguridad del Personal.

VI. O BSERVACIO N ES RELEVANTES

No surgen observaciones de carácter relevante que form ular.

VII. O BSERVACIO N ES ADICIO N ALES.

Observación 1: Del relevam iento efectuado surge que las actividades que debieran

realizarse dentro del nivel operativo de la AC y aquellas a realizar en el nivel de

operaciones críticas de la AC, se llevan a cabo dentro del mismo nivel de acceso

físico.

Riesgo: El operador podría afectar el servicio de la AC o del HSM.

Recom endación: que la actividades de am bos niveles sean separadas físicam ente

según es requerido en la Decisión Adm inistrativa 06/2007.

"2014 - jAño de “Kovienaje aCjftCmiranle Q'uiUetwo (Bmwn, en eC(Bicentenano de(Combate 'N avaíde ‘M ontevideo



Observación 2: Del relevam iento sobre el proceso de solicitud del certificado en la

aplicación surge que desde el inicio del trám ite donde el solicitante ingresa sus

datos, la intervención del Oficial de Registro para su aprobación y luego el

m om ento en que genera el par de clave, el proceso no asegura que la clave privada

se encuentra bajo el único control del solicitante.

Riesgo: Que quien adquiera un certificado de firma digital no sea la misma persona

que realizó el trám ite.

Recom endación: Se sugiere reforzar el proceso generando el par de claves en el

m om ento que envía la solicitud desde la aplicación con los datos del solicitante,

luego la intervención del Oficial de Registro. Adicionalm ente utilizar procesos con

hash en la solicitud.

Observación 3: Del relevam iento sobre el proceso de solicitud del certificado en la

aplicación surge que el correo electrónico no es validado.

Riesgo: Que quien adquiera un certificado de firma digital no sea la misma persona

que realizó el trám ite.

Recom endación: Se sugiere reforzar el proceso validando el correo electrónico

antes de ser aprobada la solicitud por parte del Oficial de Registro.

Observación 4: Del relevam iento sobre el procedim iento que efectúa el Oficial de

Registro en la aplicación que adm inistra el ciclo de vida de los certificados surge

que al aprobar un trám ite de solicitud la misma no registra la actividad firm ada por

el Oficial de Registro. Y que el ingreso al sistem a se realiza por usuario y clave.

Riesgo: Dada una auditoría de seguim iento el Oficial de Registro puede expresar

que esa tarea no fue ejecutada por él.

Recom endación: Se sugiere agregar a la aplicación que el OR firm e digitalm ente la

tarea en la aplicación.

5 de 7

Observación 5: Del relevam iento sobre el proceso de revocación de un certificado

em itido surge que si el certificado fue em itido a una persona física en nom bre de

otra por m edio de un poder, ésta última no tiene el medio para revocar el

certificado de form a inm ediata.

Riesgo: ante el com prom iso de la clave privada sin poder revocar el certificado por

quien otorgó el poder.

Recom endación: Se sugiere que se entregue un PIN de revocación a quien otorgó el

poder a fin de solicitar un certificado por su apoderado y que cualquier cam bio de

estado sea com unicado a am bos.

Observación 6 : Del relevam iento surge que la inicialización y configuración del HSM

actúan credenciales provistas por el fabricante que se encuentran asociadas a las

personas cum pliendo un rol descrito en la docum entación. Dichas credenciales se

encuentran en poder de las personas asignadas.

Riesgo: La pérdida de las m encionadas credenciales puede afectar la operación

crítica de la AC en caso de ser necesario su uso por el HSM.

Recom endación: guardar las credenciales en el nivel 6 de seguridad y registrar su

uso.

O bservación 7: De la visita a la infraestructura de firma digital se observa que el

ingreso al nivel 4 se accede por escalera la cual no cuenta con techo.

Riesgo: perm ite el ingreso a esta zona desde nivel 2 no cum pliendo con lo

requerido en la DA 06/2007

Recom endación: realizar una obra que impida el acceso al nivel 4 si no es m ediante

el ingreso al nivel 3

VIH. SUGERENCIAS.

Incluir en el Plan de Contingencia solo aquellos riesgos que im plican la

declaración de la contingencia y adjuntar com o Anexo del M anual de Procedim ientos

de Certificación (Reservado) toda la evaluación de riesgos realizada.

'2014 - JA ño de 'Homenaje aiJA [mirante QuiCfermo <Brown, en e í CBicentenario deC Combate JKavaf de M ontevideo



IX. CONCLUSIÓN.

De la auditoría llevada a cabo por equipo de auditoría ya m encionado, surgen

algunas observaciones adicionales de m enor criticidad y algunas sugerencias

form uladas con el propósito de contribuir con la mejora de los servicios a brindar por

la Autoridad Certificante BOX / CUSTODIA DE ARCH IVO S de BOX / CUSTODIA DE

ARCH IVO S S.A.

Sin perjuicio de ello se considera procedente seguir adelante con el proceso de

licénciam iento en trám ite.

Abog. Iris D. CidaleD ire cto ra de In n o va c ió n T « cn o ló g ica Oficina Nacional de Tecnologías de Información

Subsecretaría de Tecnologías de Gestión Secretaria de Gabinete

Jefatura de Gabinete de Ministros

7 de 7

2014 - JA ño cíe 'J [amena je aiJA fmirante Cjmffenno

Documents

Transcript of 2014 - JA ño cíe 'J [amena je aiJA fmirante Cjmffenno