Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Documento:
INFORME FINAL DE AUDITORIA
Proyecto:
“SERVICIO DE AUDITORIA DE SEGURIDAD DEL PROCESO DEL VOTO ELECTRONICO DE LA
OFICINA NACIONAL DE PROCESOS ELECTORALES”
y ONPE
Elaborado por:
PRIME PROFESIONAL S.A.C.
OFICINA NACIONAL DE PROCISOS ELECTORALES
CUADRO DE CRITERIOS DE SEGURIDAD EN EL VOTO ELECTRONICO
No. Base principal Detalle Requisito 1 Determinar los criterios de análisis ISO 27034 5.5
Riesgo y aceptación del riesgo ISO 3100 2 Inventario de activos detallado y en ISO 27034
5.5 Riesgo forma exhaustiva ISO 3100 3 Eventos de riesgos de seguridad ISO 27034 5.5
Riesgo de información, operacionales, ISO 3100 legales, tecnológicos (primer nivel),
continuidad 4 Relación de riesgos identificados ISO 27034 5.5 Riesgo z . (activos, eventos,
vulnerabilidad, ISO 3100 Gestión de Riegos controles existentes, consecuencias) 5 Análisis
de los riesgos (niveles de ISO 27034 5.5 Riesgo probabilidad, impacto y riesgo) ISO 3100 6
Evaluación del riesgo (inaceptable ISO 27034 5.5 Riesgo O aceptable) ISO 3100 Y Opciones
de Tratamiento ISO 27034 5.5 Riesgo ISO 3100 8 Plan de tratamiento de riesgos ISO 27034
5.5 Riesgo ISO 3100 9 Revisión del código del software ISO 27034 8.1.2.6.5 Control de
mediante una herramienta Seguridad de las Aplicaciones 10 Análisis de riesgos de la ISO
27034 5.5 Riesgo Arquitectura Tecnológica ISO 3100 11 Pruebas de penetración para ISO
27034 8.1.2.6.5 Control de olaa id ad validar la Arquitectura Tecnológica Seguridad de las
Aplicaciones 12 Pruebas de seguridad basados en ISO 27034 8.1.2.6.5 Control de software
E - . Se riesgos (funcional) Seguridad de las Aplicaciones 13 Casos de abusos funcional y de
ISO 27034 8.1.2.6.5 Control de características emergentes Seguridad de las Aplicaciones 14
Seguridad de las operaciones ISO 27034 8.1.2.6.5 Control de Seguridad de las Aplicaciones
15 Recolectar los conocimientos . z (gestión de incidentes, monitoreo, pas Ciclo de vida
auditorías, revisiones) 16 | Conocimiento 2 ISO 27034 8.3.4 Ciclo de vida Encapsular el
conocimiento de la aplicación 1 Emntarelomatalade ISO 27034 8.3.4 Ciclo de vida de la
aplicación
Este documento contiene información de propiedad de la ONPE, tiene carácter
CONFIDENCIAL, no puede ser copiado ni reproducido, ya sea de manera parcial o total, sin
autorización escrita.
Documento:
INFORME FINAL DE AUDITORIA
Proyecto:
“SERVICIO DE AUDITORIA DE SEGURIDAD DEL PROCESO DEL VOTO ELECTRONICO DE LA
OFICINA NACIONAL DE PROCESOS ELECTORALES”
al ONPE
Elaborado por:
PRIME PROFESIONAL S.A.C.
OFICINA NACIONAL DE PROCESOS ELECTORALES
CRITERIO DE SEGURIDAD DE LA INFORMACION
No. Dominio Objetivo Control Inventario de activos Responsabilidad de los | Propietarios
de los activos activos Uso aceptable de los activos Devolución de los activos 4 Gestión de
Clasificación de la información activos Información clasificada Etiquetado de la información
Manipulación de los activos Manipulación de los Gestión de medios removibles .
Disposición de los medios medios o == Transferencia de los medios físicos Gsaión de sesos
8 Gestión de la información secreta de 108 ONANOS autenticación de los usuarios o Gestión
del correcto acceso de privilegios Responsabilidad de los | Uso de la información de
autenticación > ds usuarios secreta : _ Restricción de acceso a la información Control de
aeosenca los Procedimientos seguros de log-on ] sistemas y aplicaciones Gestión de las
contraseñas de los sistemas Uso privilegiado de utilitarios Control de acceso a los códigos
fuentes : Ñ : EE Políticas de criptografía Criptografía Control criptográfico Seo de Tavos 4
Seguridad física y | Equipamiento Remover el equipo del entorno Procedimiento y |
Documentación de las operaciones responsabilidades de Gestión de capacidades las
operaciones ELO seniES Control contra malware Eventos de log-in Seguridad de las , :
Protección del log de información 9 operaciones Pepi ES Administración y operación de los
logs Sincronización del reloj Gestión técnica de | Gestión de vulnerabilidades
vulnerabilidades Restricciones de instalación de software Consideraciones de la : . —
información de andtaría o de la información de auditoría del de sistemas Políticas y
procedimientos de transferencia E Transferencia de | de información 6 SOMIIeSconas
información Acuerdos de confidencialidad y no divulgación
Este documento contiene información de propiedad de la ONPE, tiene carácter
CONFIDENCIAL, no puede ser copiado ni reproducido, ya sea de manera parcial o total, sin
autorización escrita.
Documento:
INFORME FINAL DE AUDITORIA
Proyecto:
“SERVICIO DE AUDITORIA DE SEGURIDAD DEL PROCESO DEL VOTO ELECTRONICO DE LA
OFICINA NACIONAL DE PROCESOS ELECTORALES”
a ONPE
Elaborado por:
PRIME PROFESIONAL S.A.C.
OSICINA NACIONAL DE PROCESOS ELECTORALES
Requerimientos de Requerimientos de análisis y Adquisición seguridad de los
especificaciones en seguridad de la ! : ; , información 7 zo a AN Proteger la transacción de
las aplicaciones sistemas Seguridad en el a s8 AROS Seguro ] desarrollo y los soportes
Principios de ingeniería de seguridad de los sistemas Responsabilidad y procedimiento
Reportar los eventos de seguridad Gestión de Reportar las debilidades de seguridad 8
incidentes de | Gestión de incidentes | segundad. y decialón ue las! eventos de aro
Respuesta de los incidentes de seguridad Aprendiendo de los incidentes de seguridad
Manejo de evidencias 9 Cumplimiento Revisión de la seguridad | Revisión de cumplimiento
técnico
Los criterios establecidos están basados en las mejores prácticas de las normas ISO 27034,
ISO 27001, ISO 27002, ISO 31000 e ISO 15408.
Este documento contiene información de propiedad de la ONPE, tiene carácter
CONFIDENCIAL, no puede ser copiado ni reproducido, ya sea de manera parcial o total, sin
autorización escrita.
Documento:
INFORME FINAL DE AUDITORIA
Proyecto:
“SERVICIO DE AUDITORIA DE SEGURIDAD DEL PROCESO DEL VOTO ELECTRONICO DE LA
OFICINA NACIONAL DE PROCESOS ELECTORALES”
Elaborado por:
PRIME PROFESIONAL S.A.C.
ly ONPE
OFICINA NACIONAL DE PROCESOS ELECTORALES
Cronograma de la Auditoría:
11:00 — 12:00 a.m.
Revisión de la
Hora 05/04/2016 06/04/2016 07/04/2016 9:00 — 10:00 a.m. Solicitud de información |
Entrevista con Oficial | Revisión de la 10:00 — 11:00 a.m. de Seguridad información
recolectada
Entrevista con el Sub-
Análisis e identificación
15:00 — 16:00 p.m.
electrónico
Dirección de Proyectos
] . información Gerente de Proyectos 12:00 — 13:00 p.m. Electoralos de hallazgos 13:00 -—
14:00 p.m. | Almuerzo Almuerzo Almuerzo 14:00 — 15:00 p.m. . % Entrevista con |
Elaboración y Siiación: del “ot Especialista en | presentación del primer
informe de Auditoría
17:00 — 18:00 p.m.
Análisis del proceso del voto electrónico
Reunión de cierre del día
Hora 10/04/2016 11/04/2016 12/04/2016 9:00 — 10:00 a.m. Solicitar reunión e 10:00-
11:00 a.m. | Monitoreo del proceso omación 88 electrónico, entrevistas poeniados 11:00 —
12:00 a.m. A Recolectar información 12:00 — 13:00 p.m. ROA EnES periodística 13:00 -—
14:00 p.m. | Almuerzo Almuerzo Almuerzo 14:00 — 15:00 p.m. | Recolección de ] .
información televisiva y 15:00 — 16:00 p.m. redes sociales Hora 13/04/2016 14/04/2016
15/04/2016 9:00 — 10:00 a.m. Revisión de los 10:00 — 11:00 a.m. resultados de los . .
11:00 — 12:00 a.m. incidentes del voto Reunión de cierre 12:00 — 13:00 p.m. electrónico
13:00 -— 14:00 p.m. | Almuerzo
14:00 — 16:00 p.m.
16:00 — 17:00 p.m.
17:00 — 18:00 p.m.
Entrevista y revisión de información
Elaboración de informe final
La Auditoría se ha realizado desde el 5 al 15 de abril.
Este documento contiene información de propiedad de la ONPE, tiene carácter
CONFIDENCIAL, no puede ser copiado ni reproducido, ya sea de manera parcial o total, sin
autorización escrita.
Documento:
INFORME FINAL DE AUDITORIA
Proyecto:
“SERVICIO DE AUDITORIA DE SEGURIDAD DEL PROCESO DEL VOTO ELECTRONICO DE LA
OFICINA NACIONAL DE PROCESOS ELECTORALES”
Elaborado por:
PRIME PROFESIONAL S.A.C.
OFICINA NACIONAL DE PROCESOS ELECTORALES
3 RESULTADO DE LA AUDITORIA
CONFORMIDADES
Este documento contiene información de propiedad de la ONPE, tiene carácter
CONFIDENCIAL, no puede ser copiado ni reproducido, ya sea de manera parcial o total, sin
autorización escrita.
o
Documento:
INFORME FINAL DE AUDITORIA
Proyecto:
“SERVICIO DE AUDITORIA DE SEGURIDAD DEL PROCESO DEL VOTO ELECTRONICO DE LA
OFICINA NACIONAL DE PROCESOS ELECTORALES”
Elaborado por:
PRIME PROFESIONAL S.A.C.
OFICINA NACIONAL DE PROCESOS ELECTORALES
Voto Electrónico General
Verificación de los Controles de Seguridad de las Aplicaciones
ISO 27001 10.1
Políticas criptográficas
10.2
Gestión de llaves
N? Proceso Cláusula Descripción Evidencias Al analizar el proceso del voto electrónico y el
manejo ISO 27034 de información como en las memorias USB, Inicios de Sesión,
contraseñas de los miembros de mesa del 8.1.2.6.5.5 Coordinar Técnico de Mesa, se
evidencia en los
manuales técnicos que la información sensible esta
cifrada y existe una gestión de dispositivos
criptográficos, eliminando el riesgos que el desarrollador tenga acceso a las claves
criptográficas
que se generan en el proceso de voto electrónico. Conformidad
De acuerdo al inventario de la información y los activos que lo soportan, se evidenció en la
demostración del proceso del voto electrónico, que dicha información se encuentra cifrada
y que la gestión de llaves mantiene la trazabilidad y la confidencialidad de las partes que
pueden entrar en conflictos como los desarrolladores, los de soporte técnico y los
miembros de mesa. Las tarjetas de inicio de sesión son inteligentes y cuentan con dos
núcleos: lectura y lectura/escritura.
Este documento contiene información de propiedad de la ONPE, tiene carácter
CONFIDENCIAL, no puede ser copiado ni reproducido, ya sea de manera parcial o total, sin
autorización escrita.
Documento:
INFORME FINAL DE AUDITORIA
Proyecto:
“SERVICIO DE AUDITORIA DE SEGURIDAD DEL PROCESO DEL VOTO ELECTRONICO DE LA
OFICINA NACIONAL DE PROCESOS ELECTORALES”
a ONPE
Elaborado por:
PRIME PROFESIONAL S.A.C.
OFICINA NACIONAL DE PROCESOS ELECTORALES
Voto Electrónico
Principio de voto
secreto
Evidencia
Al identificar la información del voto de los electores, se evidencio que, en la estación de la
cabina del voto electrónico, se consignaba los registros del voto de las tres listas de
votación, en forma aleatoria y sin registros
2 General Ley 29733 Ley de | que lo haga identificable con el elector. protección de
Conformidad datos personales La no identificabilidad del voto electrónico con el elector
garantiza el cumplimiento del voto secreto y la privacidad de los datos personales Ley N*
29733. Evidencia: En las entrevistas realizadas sobre el código seguro de la aplicación,
solicitamos la Políticas de código seguro y la pruebas que han realizado, nos mostraron la
Política de Código Seguro y los informes de conformidad de QA, donde se evidencia las
pruebas seguridad de la ISO 27001, 150 aplicación, adicionalmente nos manifestaron como
una 27002 buena práctica los mismos programadores de 3 Voto Electrónico A.14.2.1 —
Política | Desarrollo se encargan de realizar auto-evaluaciones. General de Código Seguro
Conformidad:
Existe una Política de código seguro, adicionalmente
existen pruebas funcionales y no funcionales (seguridad) de las aplicaciones del voto
electrónico. Existe un ambiente de Calidad QA, que realiza pruebas funcionales y no
funcionales de seguridad, que garantiza que la aplicación tenga la calidad requerida
para el proceso de voto electrónico.
Este documento contiene información de propiedad de la ONPE, tiene carácter
CONFIDENCIAL, no puede ser copiado ni reproducido, ya sea de manera parcial o total, sin
autorización escrita.
Documento:
INFORME FINAL DE AUDITORIA
Proyecto:
“SERVICIO DE AUDITORIA DE SEGURIDAD DEL PROCESO DEL VOTO ELECTRONICO DE LA
OFICINA NACIONAL DE PROCESOS ELECTORALES” ONPE
Elaborado por:
PRIME PROFESIONAL S.A.C.
OFICINA NACIONAL DE PROCESOS ELECTORALES
Voto Electrónico General
ISO 27034 6.3.6
Contexto Tecnológico de la Seguridad de las
Aplicaciones
Evidencias
Al solicitar el diagrama independiente de Arquitectura de Seguridad de la Aplicación del
Voto Electrónico, nos mostraron un diagrama de arquitectura donde se detalla las capas de
seguridad, los componentes y sus dependencias y el flujo de información que trata esa
información. Conformidad
Si bien existe un Diagrama de Arquitectura Funcional que contempla aspectos no
funcionales de seguridad, también se cuenta con un Diagrama de Arquitectura de
Seguridad del voto electrónico en forma independiente, dado que el voto electrónico tiene
componentes altamente sensibles y críticos, adicionalmente se cuenta con un contexto
tecnológico independiente de la seguridad de las aplicaciones.
Este documento contiene información de propiedad de la ONPE, tiene carácter
CONFIDENCIAL, no puede ser copiado ni reproducido, ya sea de manera parcial o total, sin
autorización escrita.
Documento:
INFORME FINAL DE AUDITORIA
Proyecto:
“SERVICIO DE AUDITORIA DE SEGURIDAD DEL PROCESO DEL VOTO ELECTRONICO DE LA
OFICINA NACIONAL DE PROCESOS ELECTORALES”
Elaborado por:
PRIME PROFESIONAL S.A.C.
OFICINA NACIONAL DE PROCESOS ELECTORALES
Voto Electrónico General
ISO 27034 8.1.2.6.5.5
Verificación de los de Seguridad de las
Controles
Aplicaciones ISO 27002 18.2.3
Revisión independiente del cumplimiento técnico
Evidencia
En la revisión a los resultados técnicos finales de la Prueba de Penetración (ethical hacking)
en los activos de los procesos del voto electrónico, se evidenció, que no se pudo realizar
ningún ataque utilizando accesos
inalámbricos. Conformidad
Se cuenta con un informe técnico final de resultados de una Prueba de Penetración los
componentes de la solución de voto electrónico, adicionalmente con un informe técnico
final de resultados de una Prueba de Penetración a los servidores del proceso electoral, el
cual reduce a probabilidad de cualquier ataque externo
e interno.
Este documento contiene información de propiedad de la ONPE, tiene carácter
CONFIDENCIAL, no puede ser copiado ni reproducido, ya sea de manera parcial o total, sin
autorización escrita.
Documento:
INFORME FINAL DE AUDITORIA
Proyecto:
“SERVICIO DE AUDITORIA DE SEGURIDAD DEL PROCESO DEL VOTO ELECTRONICO DE LA
OFICINA NACIONAL DE PROCESOS ELECTORALES”
Elaborado por:
PRIME PROFESIONAL S.A.C.
OFICINA NACIONAL DE PROCESOS ELECTORALES
ISO 27002 APS Evidencias: respuesta Se Al solicitar los procedimientos de respuesta de
ERA de incidentes de seguridad de la aplicación (protocolo), en seguras las entrevistas
realizadas nos mostraron un 16.1.6 procedimiento de respuesta a incidentes de seguridad
del voto electrónico, donde mediante los logs y la Evidencias información de la base de
datos se puede evidenciar ISO 27037 las actividades y resultados de la mesa del voto ñ
Voto Electrónico electrónico. General Guía para la identificación, Estimada: colección, El
contar con una respuesta de incidentes adquisición y documentada (reclamos, denuncias,
impugnaciones por preservación de | inconsistencias de los resultados del voto
electrónico), evidencia digital | genera confianza a los ciudadanos y fortalece la ISO 27034
imagen y el cumplimiento de los principios de transparencia, auditibilidad e integridad del
voto 7.3.6 Auditando la | electrónico. seguridad de la Aplicación H Este documento contiene
información de propiedad de la ONPE, tiene carácter CONFIDENCIAL, no puede Al ser
copiado ni reproducido, ya sea de manera parcial o total, sin autorización escrita. NS Ú Í '
4 DNI SN ys TES
p7
A
Documento:
INFORME FINAL DE AUDITORIA
Proyecto: “SERVICIO DE AUDITORIA DE SEGURIDAD DEL PROCESO DEL VOTO |
ELECTRONICO DE LA OFICINA NACIONAL DE PROCESOS ELECTORALES” ONPE Elaborado
por: | PRIME PROFESIONAL S.A.C. CFICINA NACIONAL DEPNOCESOS ELECTORALES
Evidencias
Voto Electrónico General
ISO 27034 6.5.1
Amenazas a las aplicaciones
Al consultar sobre la identificación de casos de mal uso en la aplicación del voto
electrónico, producto de los accesos a los recursos de la aplicación, nos comentaron que, si
lo habían considerado, presentando los resultados de las pruebas de seguridad (pruebas no
funcionales) donde se muestra los casos de prueba revisados y validados con resultados
conformes.
Conformidad
Se cuenta con registros que evidencian los resultados de las pruebas de casos de mal uso de
la aplicación de voto electrónico, con la finalidad de que la aplicación responda en forma
adecuada ante esos eventos (alertas, bloqueos, restablecimiento del sistema, entre otros).
Este documento contiene información de propiedad de la ONPE, tiene carácter
CONFIDENCIAL, no puede ser copiado ni reproducido, ya sea de manera parcial o total, sin
autorización escrita.
Documento:
INFORME FINAL DE AUDITORIA
Proyecto:
“SERVICIO DE AUDITORIA DE SEGURIDAD DEL PROCESO DEL VOTO ELECTRONICO DE LA
OFICINA NACIONAL DE PROCESOS ELECTORALES” ONPE
Elaborado por:
PRIME PROFESIONAL S.A.C.
OFICINA NACIONAL DE PROCESOS ¿LECTORALES
OPORTUNIDAD DE MEJORAS
N?2
Proceso
Cláusula
Descripción
Voto Electrónico General
ISO 27001
A.8.1.1 Inventario de activos
A.8.2.1 Clasificación de la
información
Evidencia
Si bien se cuenta con un inventario de activos de información del proceso electoral, es
necesario contar con inventario de activos detallado tanto de información, tecnológico y no
tecnológico. En las entrevistas se consultó sobre la información que se encuentra en las
memorias SD de las estaciones de comprobación de identidad y de la cabina de voto
electrónico, nos alcanzaron el inventario de información del voto electrónico mediante un
Cuadro de Activos de Información relacionados al voto electrónico.
Oportunidad de mejora
Si bien es cierto existe un inventario de activos de información, por la importancia del
proceso de voto electrónico se recomienda tomar en cuenta la norma ISO 27005 y evaluar
la formulación de un inventario más detallado de la información como activo primario
(información y procesos), y la relación con los activos soporte (software, hardware,
comunicación, proveedores, organización, servicios y otros), que ayuden a clasificar
adecuadamente la información y de esta forma implementar controles para un mejor
tratamiento de riesgos.
Este documento contiene información de propiedad de la ONPE, tiene carácter
CONFIDENCIAL, no puede ser copiado ni reproducido, ya sea de manera parcial o total, sin
autorización escrita.
Documento:
INFORME FINAL DE AUDITORIA
Proyecto:
“SERVICIO DE AUDITORIA DE SEGURIDAD DEL PROCESO DEL VOTO ELECTRONICO DE LA
OFICINA NACIONAL DE PROCESOS ELECTORALES”
E! ONPE
Elaborado por:
PRIME PROFESIONAL S.A.C.
OFICINA NACIONAL DE PROCESOS ELECTORALES
ISO 27034 6.5
Riesgos de las
Evidencias
Al solicitar el análisis de riesgo del proceso electoral se identificó las actividades de
tratamiento de riesgo mediante planes de acción con sus respectivos responsables,
existiendo actividades por ejecutar a la
fecha de la auditoría.
Oportunidad de mejora
gestión de riesgos de seguridad de la información
Aplicaciones Voto Electrónico o oo . 2 ISO 31000 Si bien se cuenta con un análisis de riesgos
del proceso General . e . electoral, donde se identifica los riesgos del proceso del 5.3 voto
electrónico como actividad crítica y sensible del Establecimiento | proceso electoral, es
necesario dar seguimiento a su del contexto de la | cumplimiento mediante indicadores.
Dentro de los Gestión de actores del voto electrónico se cuenta con personal Riesgos
permanente y contratados de la ONPE, miembros de mesa y electores (ciudadanos), es
necesario, mejorar la comunicación de los roles y responsabilidades de los actores en la
gestión de riesgos. Evidencias ISO 27001 Se evidencia que existe un inventario de activos
de A.8.1.1 Inventario | información del proceso de voto electrónico, nombre y de activos
descripción del activo, clasificación, propietario, entre otros. 3 o ISO 27005 Voto
Electrónico Oportunidad de mejora General Guía para la
Si bien se cuenta con un inventario de activos de
información del proceso electoral, se recomienda también contar con un catálogo de
eventos y
escenarios de riesgos relacionados a dichos activos.
Este documento contiene información de propiedad de la ONPE, tiene carácter
CONFIDENCIAL, no puede ser copiado ni reproducido, ya sea de manera parcial o total, sin
autorización escrita.
Documento:
INFORME FINAL DE AUDITORIA
Proyecto:
“SERVICIO DE AUDITORIA DE SEGURIDAD DEL PROCESO DEL VOTO ELECTRONICO DE LA
OFICINA NACIONAL DE PROCESOS ELECTORALES” ONPE
Elaborado por:
PRIME PROFESIONAL S.A.C.
OFICINA NACIONAL DE PROCESOS ELECTORALES
Voto Electrónico General
ISO 15408 A.4.2.3
Requisitos no TOE Hardware, software, firmware
Evidencia
Se solicitó las características técnicas de las Tablets donde estaba consignado los requisitos
de seguridad tecnológico tanto en el aspecto lógico como físico, y sus elementos de
hardware y firmware.
Oportunidad de mejora
En referencia a las características de las Tablets se solicitó los requisitos de seguridad del
equipo de hardware y firmware, sobre ello es recomendable realizar evaluaciones sobre la
aplicabilidad de actualización del Firmware, con la finalidad de gestionar los riesgos
tecnológicos.
Este documento contiene información de propiedad de la ONPE, tiene carácter
CONFIDENCIAL, no puede ser copiado ni reproducido, ya sea de manera parcial o total, sin
autorización escrita.
Documento:
INFORME FINAL DE AUDITORIA
Proyecto:
“SERVICIO DE AUDITORIA DE SEGURIDAD DEL PROCESO DEL VOTO
ELECTRONICO DE LA OFICINA NACIONAL DE PROCESOS ELECTORALES” ONPE
Elaborado por:
PRIME PROFESIONAL S.A.C.
OFICINA NACIONAL DE PROCESOS ELECTORALES
“SERVICIO DE AUDITORIA DE SEGURIDAD DEL PROCESO DEL VOTO ELECTRONICO DE LA
OFICINA NACIONAL DE PROCESOS ELECTORALES”
Evidencias de Auditoría
Anexo (Información sensible)
Este documento contiene información de propiedad de la ONPE, tiene carácter
CONFIDENCIAL, no puede ser copiado ni reproducido, ya sea de manera parcial o total, sin
autorización escrita.
Página: A1 / A13
Documento:
INFORME FINAL DE AUDITORIA
Proyecto:
“SERVICIO DE AUDITORIA DE SEGURIDAD DEL PROCESO DEL VOTO ELECTRONICO DE LA
OFICINA NACIONAL DE PROCESOS ELECTORALES”
Elaborado por:
PRIME PROFESIONAL S.A.C.
oheE
1.3.
aplicaciones
FUNCIONALIDAD CONDICIÓN
Principal Eliminado Cámara
Frontal Eliminado
Wifi Direct Eliminado
Bluetooth Eliminado Conectividad
GPS Eliminado
NFC Eliminado Sensores Movimiento Eliminado
Barra de notificaciones | Eliminado aca Y Barra de navegación | Eliminado
Aplicaciones
Deshabilitado
SEGURIDAD DE APLICACIÓN El sistema operativo “ONPEDROID” fue desarrollado bajo
estándares y buenas prácticas de programación segura, su estructura y servicios
implementados se describen a continuación:
a) Cabina de Votación Electrónica (CVE)
Configuración: Módulo encargado de realizar la configuración de la CVE para lo cual se
registra el código del equipo, esta configuración utiliza la Tarjeta Inteligente de
Configuración y el USB de configuración las cuales deben encontrarse previamente
vinculadas. El Servicio de SmartCard obtiene las credenciales de la tarjeta y procede a
descifrar la información del USB, can dicha
la Tarjeta.
Este documento contiene información de propiedad de la ONPE, tiene carácter
CONFIDENCIAL, no puede ser copiado ni reproducido, ya sea de manera parcial o total, sin
autorización escrita.
Pági
la: A3 / A13
Documento:
Proyecto:
INFORME FINAL DE AUDITORIA “SERVICIO DE AUDITORIA DE SEGURIDAD DEL PROCESO
DEL VOTO | ELECTRONICO DE LA OFICINA NACIONAL DE PROCESOS ELECTORALES” O e
Elaborado por:
PRIME PROFESIONAL S.A.C. A
1.5.
1.6.
d) Transmisión de datos: La transmisión de datos se realiza utilizando protocolos
criptográficos SSL (Secure Sockets Layer) que proporcionan comunicaciones seguras a
través de redes públicas.
Descripción: | Java Security Valida que el servidor web al que se conecta tiene un
certificado SSL cliente autorizado.
Envía el Certificado SSL de cliente ubicado en el dispositivo USB para su validación en el
Web Service.
Librerías: Java SE Security
SEGURIDAD DE EQUIPO
El KIT de VEP está compuesto de dos (02) módulos, la Estación de Comprobación de
Identidad (EC!) y de la Cabina de Votación Electrónica (CVE), ambos módulos tienen las
siguientes condiciones de seguridad:
• Caja de metal con llave, donde se ubican los componentes electrónicos.
SEGURIDAD FÍSICA
Los lugares y espacios donde se ubican los módulos están protegidos, de acuerdo al
siguiente detalle:
Este documento contiene información de propiedad de la ONPE, tiene carácter
CONFIDENCIAL, no puede ser copiado ni reproducido, ya sea de manera parcial o total, sin
autorización escrita.
Página: A9 / A13
Documento:
INFORME FINAL DE AUDITORIA
Proyecto:
“SERVICIO DE AUDITORIA DE SEGURIDAD DEL PROCESO DEL VOTO ELECTRONICO DE LA
OFICINA NACIONAL DE PROCESOS ELECTORALES”
ONPE
Elaborado por:
PRIME PROFESIONAL S.A.C.
N? ACTIVIDAD LUGAR SEGURIDA FÍSICA 4 Preparación de | Local Protección interna por
Seguridad Equipos CEPSA Privada El traslado lo efectúa un comisionado Traslado de de la
GGE resguardado por la PNP y/o ' al FF.AA. 2 | Equipos En tránsito ; Ss (Despliegue) Los
vehículos utilizados para el p!169 traslado cuentan con GPS y es monitoreado por la GGE y
la OSDN. ROcepción y Local de | Protección por la PNP y/o FF.AA Uso en la % 3 Votación
/|dentro y fuera de los locales de Jornada as ODPE votación. Electoral El traslado lo efectúa
un comisionado Tualado de de la GGE resguardado por la PNP y/o : al FF.AA. 4 | Equipos En
tránsito , SE (Repliegue) Los vehículos utilizados para el p!189 traslado cuentan con GPS y
es monitoreado por la GGE y la OSDN.
Este documento contiene información de propiedad de la ONPE, tiene carácter
CONFIDENCIAL, no puede ser copiado ni reproducido, ya sea de manera parcial o total, sin
autorización escrita.
Página: A10 / A13