Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Usted es el auditor encargado de ejecutar la revisión desde el punto de vista de controles de TI, seguridad de l
Onboarding digital del Banco ABC. Este proceso está relacionado con la adquisición desde canales digitales del
los productos ofrecidos por el Banco (Tarjeta de Crédito y Cuenta de Ahorros). Dado lo anterior, usted debe se
asociada a cumplimiento de normas de control interno de la superintendencia financiera de Colombia, así com
• El proceso de vinculación con el Banco de los potenciales clientes es totalmente digital, no hay validación
entrada como cedula, celular, correo electrónico y dirección.
• Se valida si ya tiene otros productos con el Banco o es un cliente nuevo
MATRIZ
RIESGO
Suplantación de
identidad
Fraude electrónico
PAPEL DE TRABAJO
RIESGO
Fraude electrónico
REPORTE
o 1 – Onboarding Digital
itor encargado de ejecutar la revisión desde el punto de vista de controles de TI, seguridad de la información y ciberseguridad
gital del Banco ABC. Este proceso está relacionado con la adquisición desde canales digitales del Banco como lo son su app y su
ofrecidos por el Banco (Tarjeta de Crédito y Cuenta de Ahorros). Dado lo anterior, usted debe seguir la metodología estándar de
plimiento de normas de control interno de la superintendencia financiera de Colombia, así como las normas internacionales de
eso - Caso 1:
de vinculación con el Banco de los potenciales clientes es totalmente digital, no hay validación de datos biométricos. Se toman
cedula, celular, correo electrónico y dirección.
ya tiene otros productos con el Banco o es un cliente nuevo
MATRIZ
ALTO
PAPEL DE TRABAJO
CONTROL DISEÑO
Cada vez que un usuario solicite un producto nuevo por medio de la pagina En reunión con el Director de TI del B
web o aplicación móvil el sistema deberá realizar validaciones de identidad obtuvo el procedimiento de Parámetr
antes de finalizar el proceso: Seguridad portal Web y App en donde
- En caso de que se hayan realizado cambios en la información personal del
usuario no se podrán realizar solicitudes de nuevos productos por medio de - Cada vez que un usuario ingrese a su
la pagina web o aplicación. por medio del portal web o aplicación
- El sistema deberá validar por medio de 5 preguntas aleatorias de validará en el ingreso usuario, contras
información personal la identidad del usuario. dinámica configurada en la aplicación
- Cada vez que el usuario solicite un n
el sistema validará por medio de 5 pre
aleatorias de la información personal
identidad del mismo, en caso de que
preguntas el sistema deberá mostrar
la solicitud no fue aprobada. Además
CVV2 de alguno de los productos que
banco.
- Cuando el usuario realice cambios d
en su perfil, el sistema deberá calcula
días que han pasado después del cam
menor a 90 días, no se podrán realiza
nuevos productos.
ción y ciberseguridad del proceso de
mo lo son su app y su página web de
etodología estándar de auditoria
mas internacionales de auditoría.
PRUEBAS
IMPACTO DISEÑO
Validar que la entidad cuenta con un
procedimiento establecido relacionado al proceso
de creación de cuentas o adquisición de
productos por los clientes en donde se definan los
parámetros de seguridad necesarios para dicho
proceso.
FRECUENTE
Validar que la entidad cuenta con un
procedimiento establecido relacionado a la
adquisición de productos donde se defina:
- El usuario no podrá solicitar nuevos productos si
su información personal fue cambiada en los
últimos 90 días
- El sistema debe solicitar que el usuario responda
5 preguntas aleatorias y si falla 4 le negará el
acceso al producto solicitado.
PROBABLE
DESARROLLO PRUEBA
DISEÑO EFICACIA
el Director de TI del Banco ABC, se En reunión con Francisco Ortega - Director de TI se realizó una prueba de recorrido en e
dimiento de Parámetros de Banco en donde se obtuvo:
al Web y App en donde se identificó: Portal Web:
- Se ingresó al perfil del cliente de pruebas "John Doce" y se realizó el proceso de autenti
un usuario ingrese a su perfil bancario observo que el sistema solicitó usuario, contraseña y clave dinámica.
portal web o aplicación el sistema - Al ingresar a la cuenta se observan los productos que el cliente tiene adquiridos con el
ngreso usuario, contraseña y clave observa la opción de solicitar un nuevo producto. El sistema solicita al usuario ingresar e
gurada en la aplicación del Banco. tarjeta asociada a la cuenta de ahorros, se ingresa y el sistema permite seguir, mostrand
el usuario solicite un nuevo producto verificación con pregunta de seguridad.
ará por medio de 5 preguntas El sistema solicita aleatoriamente información de seguridad que se encuentra asociada a
información personal del usuario la usuario y genera un total de 5 preguntas en donde en pro de nuestra prueba se respond
ismo, en caso de que se fallen 4 de 5 preguntas y se Omiten 3 y el sistema aprueba el proceso de solicitud de nuevo producto
tema deberá mostrar en pantalla que
ue aprobada. Además solicitará el Cambio datos de información perfil
o de los productos que tenga con el - Se realiza el cambio de dirección desde el perfil del usuario, se guarda cambios y se sol
Tarjeta de Crédito.
ario realice cambios de información - El sistema solicita al usuario ingresar el CCV2 de su tarjeta asociada a la cuenta de ahor
istema deberá calcular el numero de el sistema permite seguir, mostrando la primera verificación con pregunta de seguridad
sado después del cambio y si es
s, no se podrán realizar solicitudes de
os.
PRUEBAS
EFICACIA OP
Realizar una prueba de recorrido en donde se
validen:
- El sistema no permita solicitar un producto si no se
completa toda la información solicitada
- El sistema solicite reconocimiento facial
- El sistema solicite huella dactilar
Realizar una prueba de recorrido en donde se
validen:
- Ingresar a la cuenta de un usuario de prueba con
usuario y contraseña
- Al obtener el acceso, solicitar un nuevo producto
(Tarjeta de Crédito o Tarjeta Debito) y validar si el
sistema permite realizar la solicitud.
- Realizar un cambio en la información del perfil
como dirección de residencia, numero de teléfono o
email y solicitar un nuevo producto
- El sistema deberá mostrar en pantalla 5 preguntas
con posibles respuestas a selección
- Al fallar en 4 preguntas el sistema deberá mostrar
un mensaje en donde se evidencia que la solicitud del
producto no puede ser realizada.
EFICACIA Hallazgos
tor de TI se realizó una prueba de recorrido en el portal web del Durante la prueba de recorrido realizada con el Director de TI
evidenciamos las siguientes oportunidades de mejora en el pr
seguridad para los usuarios del Banco:
bas "John Doce" y se realizó el proceso de autenticación, se
contraseña y clave dinámica. - El sistema permite solicitar nuevos productos si se omiten la
productos que el cliente tiene adquiridos con el Banco y se de seguridad del usuario. Teniendo en cuenta el procedimien
producto. El sistema solicita al usuario ingresar el CCV2 de su usuario deberá contestar por lo menos 4 preguntas correctas
se ingresa y el sistema permite seguir, mostrando la primera sistema permita aprobar la solicitud.
- El sistema permite realizar solicitudes de adquisición de nue
mación de seguridad que se encuentra asociada al perfil del productos aunque información critica del perfil del usuario ha
s en donde en pro de nuestra prueba se responden solo 2 cambiada en un periodo menor a 90 días de acuerdo a lo esta
rueba el proceso de solicitud de nuevo producto. la política.
- El sistema permite al usuario realizar cambios sobre cualqui
su perfil bancario.
e el perfil del usuario, se guarda cambios y se solicita una nueva
Usted es el auditor encargado de ejecutar la revisión de los procesos de Gestión de Incidentes y Gestió
relacionados con fallas o eventos no planificados que afectan las diferentes aplicaciones, hardware u o
afectan tanto el normal funcionamiento como los servicios prestados a los clientes del Banco. Dado lo
auditoria asociada a cumplimiento de normas de control interno de la superintendencia financiera de C
• Entender los procesos de Gestión de incidentes y problemas como se definen en ITIL (tomar como
• Tener en cuenta áreas resolutoras dentro del proceso tanto internas como proveedores externos e
MATRIZ
RIESGO
RIESGO
Interrupcion en la continuidad del
servicio
REPORTE
Incidentes y Problemas de TI
e ejecutar la revisión de los procesos de Gestión de Incidentes y Gestión de Problemas de TI del Banco ABC. Estos procesos est
os no planificados que afectan las diferentes aplicaciones, hardware u otros recursos de TI que soportan las operaciones del Ba
amiento como los servicios prestados a los clientes del Banco. Dado lo anterior, usted debe seguir la metodología estándar de
nto de normas de control interno de la superintendencia financiera de Colombia, así como las normas internacionales de audito
estión de incidentes y problemas como se definen en ITIL (tomar como base este marco de referencia).
lutoras dentro del proceso tanto internas como proveedores externos en casos que se requiera escalamiento para la solución.
MATRIZ
ALTO
ALTO
PAPEL DE TRABAJO
DES
CONTROL DISEÑO
El proceso de Gestion de incidentes de TI deberá ser En reunion con el Director de TI del Banco ABC, se obtuvo
revisado y monitoreado permanenetemente para procedimiento de Gestion de Incidentes en donde se identi
garantizar que se realiza de acuerdo al procedimiento la que todas los incidentes deben:
gestión de incidentes por medio de la aplicación Service - Todos los incidentes clasificados como Altos deberan ser
Manager en los tiempos establecidos garantizando la gestionados por el area en un tiempo menor a los 8 dias
continua disponibilidad del servicio. - Los incidentes que generen tiempos de no disponibilidad
servicio por periodos largos deberán ser gestionados como
ser gestionados de acuerdo a su riesgo
- Todos los incidentes registrados como nivel medio o bajo
sistema deberan ser gestionados en tiempos menores a 60
menos que estos involucren la gestion de cambios y poste
desarrollo en el sistema.
oblemas de TI del Banco ABC. Estos procesos están
cursos de TI que soportan las operaciones del Banco y
r, usted debe seguir la metodología estándar de
ia, así como las normas internacionales de auditoría.
PRUEBAS
DISEÑO EFICACIA OP
Validar que la entidad cuente con un Mensualmente, el Analista encargado
procedimiento en donde se definan las genera de la herramienta Service
actividades de monitoreo de incidentes de la Manager el listado de incidentes
aplicación Service manager y planes de creados durante el ultimo mes con el fin
acción para aquellos incidentes que tienen de analizar aquellos incidentes criticos
un nivel de ocurrencia alta. con una ocurrencia alta con el fin de
validar los planes de accion definidos y
la ejecución de los mismos.