Caso de Estudio 1 – Onboarding Digital

Usted es el auditor encargado de ejecutar la revisión desde el punto de vista de controles de TI, seguridad de l
Onboarding digital del Banco ABC. Este proceso está relacionado con la adquisición desde canales digitales del
los productos ofrecidos por el Banco (Tarjeta de Crédito y Cuenta de Ahorros). Dado lo anterior, usted debe se
asociada a cumplimiento de normas de control interno de la superintendencia financiera de Colombia, así com

Notas del proceso - Caso 1:

• El proceso de vinculación con el Banco de los potenciales clientes es totalmente digital, no hay validación
entrada como cedula, celular, correo electrónico y dirección.
• Se valida si ya tiene otros productos con el Banco o es un cliente nuevo

MATRIZ

RIESGO

Suplantación de
identidad
Fraude electrónico

PAPEL DE TRABAJO

RIESGO
Fraude electrónico

REPORTE
o 1 – Onboarding Digital

itor encargado de ejecutar la revisión desde el punto de vista de controles de TI, seguridad de la información y ciberseguridad
gital del Banco ABC. Este proceso está relacionado con la adquisición desde canales digitales del Banco como lo son su app y su
ofrecidos por el Banco (Tarjeta de Crédito y Cuenta de Ahorros). Dado lo anterior, usted debe seguir la metodología estándar de
plimiento de normas de control interno de la superintendencia financiera de Colombia, así como las normas internacionales de

eso - Caso 1:

de vinculación con el Banco de los potenciales clientes es totalmente digital, no hay validación de datos biométricos. Se toman
cedula, celular, correo electrónico y dirección.
ya tiene otros productos con el Banco o es un cliente nuevo

MATRIZ

CONTROL NIVEL DE RIESGO

Cada vez que un usuario nuevo requiera adquirir un producto con el Banco el
sistema deberá solicitar y validar la información del cliente como:
- Numero de Cédula
- Numero de celular
- Correo electrónico
- Dirección residencia
- Foto cedula por lado A y lado B
- Reconocimiento facial MEDIO
- Registro de huella dactilar
Cada vez que un usuario solicite un producto nuevo por medio de la pagina
web o aplicación móvil el sistema deberá realizar validaciones de identidad
antes de finalizar el proceso:
- En caso de que se hayan realizado cambios en la información personal del
usuario no se podrán realizar solicitudes de nuevos productos por medio de
la pagina web o aplicación.
- El sistema deberá validar por medio de 5 preguntas aleatorias de
información personal la identidad del usuario.

ALTO

PAPEL DE TRABAJO

CONTROL DISEÑO
Cada vez que un usuario solicite un producto nuevo por medio de la pagina En reunión con el Director de TI del B
web o aplicación móvil el sistema deberá realizar validaciones de identidad obtuvo el procedimiento de Parámetr
antes de finalizar el proceso: Seguridad portal Web y App en donde
- En caso de que se hayan realizado cambios en la información personal del
usuario no se podrán realizar solicitudes de nuevos productos por medio de - Cada vez que un usuario ingrese a su
la pagina web o aplicación. por medio del portal web o aplicación
- El sistema deberá validar por medio de 5 preguntas aleatorias de validará en el ingreso usuario, contras
información personal la identidad del usuario. dinámica configurada en la aplicación
- Cada vez que el usuario solicite un n
el sistema validará por medio de 5 pre
aleatorias de la información personal
identidad del mismo, en caso de que
preguntas el sistema deberá mostrar
la solicitud no fue aprobada. Además
CVV2 de alguno de los productos que
banco.
- Cuando el usuario realice cambios d
en su perfil, el sistema deberá calcula
días que han pasado después del cam
menor a 90 días, no se podrán realiza
nuevos productos.
 ción y ciberseguridad del proceso de
mo lo son su app y su página web de
etodología estándar de auditoria
mas internacionales de auditoría.

biométricos. Se toman datos de

PRUEBAS
IMPACTO DISEÑO
Validar que la entidad cuenta con un
procedimiento establecido relacionado al proceso
de creación de cuentas o adquisición de
productos por los clientes en donde se definan los
parámetros de seguridad necesarios para dicho
proceso.
FRECUENTE
 Validar que la entidad cuenta con un
procedimiento establecido relacionado a la
adquisición de productos donde se defina:
- El usuario no podrá solicitar nuevos productos si
su información personal fue cambiada en los
últimos 90 días
- El sistema debe solicitar que el usuario responda
5 preguntas aleatorias y si falla 4 le negará el
acceso al producto solicitado.
PROBABLE

DESARROLLO PRUEBA
DISEÑO EFICACIA
 el Director de TI del Banco ABC, se En reunión con Francisco Ortega - Director de TI se realizó una prueba de recorrido en e
dimiento de Parámetros de Banco en donde se obtuvo:
al Web y App en donde se identificó: Portal Web:
- Se ingresó al perfil del cliente de pruebas "John Doce" y se realizó el proceso de autenti
un usuario ingrese a su perfil bancario observo que el sistema solicitó usuario, contraseña y clave dinámica.
portal web o aplicación el sistema - Al ingresar a la cuenta se observan los productos que el cliente tiene adquiridos con el
ngreso usuario, contraseña y clave observa la opción de solicitar un nuevo producto. El sistema solicita al usuario ingresar e
gurada en la aplicación del Banco. tarjeta asociada a la cuenta de ahorros, se ingresa y el sistema permite seguir, mostrand
el usuario solicite un nuevo producto verificación con pregunta de seguridad.
ará por medio de 5 preguntas El sistema solicita aleatoriamente información de seguridad que se encuentra asociada a
información personal del usuario la usuario y genera un total de 5 preguntas en donde en pro de nuestra prueba se respond
ismo, en caso de que se fallen 4 de 5 preguntas y se Omiten 3 y el sistema aprueba el proceso de solicitud de nuevo producto
tema deberá mostrar en pantalla que
ue aprobada. Además solicitará el Cambio datos de información perfil
o de los productos que tenga con el - Se realiza el cambio de dirección desde el perfil del usuario, se guarda cambios y se sol
Tarjeta de Crédito.
ario realice cambios de información - El sistema solicita al usuario ingresar el CCV2 de su tarjeta asociada a la cuenta de ahor
istema deberá calcular el numero de el sistema permite seguir, mostrando la primera verificación con pregunta de seguridad
sado después del cambio y si es
s, no se podrán realizar solicitudes de
os.
PRUEBAS
EFICACIA OP
Realizar una prueba de recorrido en donde se
validen:
- El sistema no permita solicitar un producto si no se
completa toda la información solicitada
- El sistema solicite reconocimiento facial
- El sistema solicite huella dactilar
 Realizar una prueba de recorrido en donde se
validen:
- Ingresar a la cuenta de un usuario de prueba con
usuario y contraseña
- Al obtener el acceso, solicitar un nuevo producto
(Tarjeta de Crédito o Tarjeta Debito) y validar si el
sistema permite realizar la solicitud.
- Realizar un cambio en la información del perfil
como dirección de residencia, numero de teléfono o
email y solicitar un nuevo producto
- El sistema deberá mostrar en pantalla 5 preguntas
con posibles respuestas a selección
- Al fallar en 4 preguntas el sistema deberá mostrar
un mensaje en donde se evidencia que la solicitud del
producto no puede ser realizada.

EFICACIA Hallazgos
tor de TI se realizó una prueba de recorrido en el portal web del Durante la prueba de recorrido realizada con el Director de TI
bas "John Doce" y se realizó el proceso de autenticación, se
contraseña y clave dinámica.
productos que el cliente tiene adquiridos con el Banco y se
producto. El sistema solicita al usuario ingresar el CCV2 de su
se ingresa y el sistema permite seguir, mostrando la primera
mación de seguridad que se encuentra asociada al perfil del
s en donde en pro de nuestra prueba se responden solo 2
rueba el proceso de solicitud de nuevo producto.
e el perfil del usuario, se guarda cambios y se solicita una nueva
l CCV2 de su tarjeta asociada a la cuenta de ahorros, se ingresa y
primera verificación con pregunta de seguridad.
evidenciamos las siguientes oportunidades de mejora en el pr
seguridad para los usuarios del Banco:
- El sistema permite solicitar nuevos productos si se omiten la
de seguridad del usuario. Teniendo en cuenta el procedimien
usuario deberá contestar por lo menos 4 preguntas correctas
sistema permita aprobar la solicitud.
- El sistema permite realizar solicitudes de adquisición de nue
productos aunque información critica del perfil del usuario ha
cambiada en un periodo menor a 90 días de acuerdo a lo esta
la política.
- El sistema permite al usuario realizar cambios sobre cualqui
su perfil bancario.
Hallazgos
 rrido realizada con el Director de TI,
es oportunidades de mejora en el proceso de
s del Banco:

ar nuevos productos si se omiten las preguntas

Teniendo en cuenta el procedimiento, el
por lo menos 4 preguntas correctas para que el
a solicitud.
ar solicitudes de adquisición de nuevos
ación critica del perfil del usuario haya sido
menor a 90 días de acuerdo a lo establecido en

ario realizar cambios sobre cualquier dato de

Caso de Estudio 2 – Gestión de Incidentes y Problemas de TI

Usted es el auditor encargado de ejecutar la revisión de los procesos de Gestión de Incidentes y Gestió
relacionados con fallas o eventos no planificados que afectan las diferentes aplicaciones, hardware u o
afectan tanto el normal funcionamiento como los servicios prestados a los clientes del Banco. Dado lo
auditoria asociada a cumplimiento de normas de control interno de la superintendencia financiera de C

Notas del proceso – Caso 2:

• Entender los procesos de Gestión de incidentes y problemas como se definen en ITIL (tomar como
• Tener en cuenta áreas resolutoras dentro del proceso tanto internas como proveedores externos e

MATRIZ

RIESGO

Reincidencia de incidentes criticos

Interrupcion en la continuidad del

servicio
 PAPEL DE TRABAJO

RIESGO
Interrupcion en la continuidad del
servicio

REPORTE
Incidentes y Problemas de TI

e ejecutar la revisión de los procesos de Gestión de Incidentes y Gestión de Problemas de TI del Banco ABC. Estos procesos est
os no planificados que afectan las diferentes aplicaciones, hardware u otros recursos de TI que soportan las operaciones del Ba
amiento como los servicios prestados a los clientes del Banco. Dado lo anterior, usted debe seguir la metodología estándar de
nto de normas de control interno de la superintendencia financiera de Colombia, así como las normas internacionales de audito

estión de incidentes y problemas como se definen en ITIL (tomar como base este marco de referencia).
lutoras dentro del proceso tanto internas como proveedores externos en casos que se requiera escalamiento para la solución.

MATRIZ

CONTROL NIVEL DE RIESGO

Implementar actividades de monitoreo de incidentes
altos, con el fin de identificar comportamientos
anomalos que se presenten y que permitan tomar
acciones oportunas.

ALTO

El proceso de Gestion de incidentes de TI deberá ser

revisado y monitoreado permanenetemente para
garantizar que se realiza de acuerdo al procedimiento la
gestión de incidentes por medio de la aplicación Service
Manager en los tiempos establecidos garantizando la
continua disponibilidad del servicio.

ALTO
PAPEL DE TRABAJO
CONTROL
El proceso de Gestion de incidentes de TI deberá ser
revisado y monitoreado permanenetemente para
garantizar que se realiza de acuerdo al procedimiento la
gestión de incidentes por medio de la aplicación Service
Manager en los tiempos establecidos garantizando la
continua disponibilidad del servicio.
DES
DISEÑO
En reunion con el Director de TI del Banco ABC, se obtuvo
procedimiento de Gestion de Incidentes en donde se identi
que todas los incidentes deben:
- Todos los incidentes clasificados como Altos deberan ser
gestionados por el area en un tiempo menor a los 8 dias
- Los incidentes que generen tiempos de no disponibilidad
servicio por periodos largos deberán ser gestionados como
ser gestionados de acuerdo a su riesgo
- Todos los incidentes registrados como nivel medio o bajo
sistema deberan ser gestionados en tiempos menores a 60
menos que estos involucren la gestion de cambios y poste
desarrollo en el sistema.
oblemas de TI del Banco ABC. Estos procesos están
cursos de TI que soportan las operaciones del Banco y
r, usted debe seguir la metodología estándar de
ia, así como las normas internacionales de auditoría.
ste marco de referencia).
s que se requiera escalamiento para la solución.
PRUEBAS
DISEÑO
Validar que la entidad cuente con un
procedimiento en donde se definan las
actividades de monitoreo de incidentes de la
aplicación Service manager y planes de
acción para aquellos incidentes que tienen
un nivel de ocurrencia alta.
Validar que la entidad cuenta con un
procedimiento de Gestion de Incidentes en
donde se defina:
- Clasificacion de los incidentes en la
herramienta
- Tiempos de gestión en la resolucion de los
incidentes de nivel Alto
- Tiempos de gestión en la resolucion de los
incidentes de nivel medio y bajo.
EFICACIA OP
Mensualmente, el Analista encargado
genera de la herramienta Service
Manager el listado de incidentes
creados durante el ultimo mes con el fin
de analizar aquellos incidentes criticos
con una ocurrencia alta con el fin de
validar los planes de accion definidos y
la ejecución de los mismos.
Generar de la herramienta de Gestion
de incidentes el listado de incidentes
presentados durante el periodo de
evaluación y evaluar:
- el incidente debe estar catalogado en
la herramienta de acuerdo a lo
establecido en el procedimiento
- Numero de incidentes catalogados
como Altos y sus tiempos de respuesta
- Numero de incidentes catalogados
como medios o bajos y tiempos
definidos en su resolución.
 DESARROLLO PRUEBA
DISEÑO EFICACIA OPERATIVA
n con el Director de TI del Banco ABC, se obtuvo el En reunión con Andres Gutierrez - Analista TI se generó la lista de
iento de Gestion de Incidentes en donde se identificó incidentes registrados en la herramienta de gestión en donde
s los incidentes deben: presentaron un total de 3450 casos en la herramienta de los
s incidentes clasificados como Altos deberan ser cuales 1.200 casos fueron catalogados como Altos, sin embargo
os por el area en un tiempo menor a los 8 dias se evidenció que:
dentes que generen tiempos de no disponibilidad del - los usuarios al realizar la creacion del ticket en la herramienta
or periodos largos deberán ser gestionados como altos y catalogan muchos incidentes como altos, sin embargo de acuerdo
nados de acuerdo a su riesgo al procedimiento de los 1.200 casos altos se identifico que 750
s incidentes registrados como nivel medio o bajo en el correspondian como altos y 450 casos fueron mal clasificados
eberan ser gestionados en tiempos menores a 60 dias a - Identificamos que 37 casos registrados como incidentes altos
ue estos involucren la gestion de cambios y posteior un llevan mas de 76 dias abiertos y no se ha realizado la
o en el sistema. correspondiente gestión
- Se identificó que de los incidentes catalogados como medios o
bajo en total fueron 2.250 presentados en el periodo de revisión
y de estos 340 casos llevan mas de 60 dias en estado Abierto.
A OPERATIVA
ez - Analista TI se generó la lista de
rramienta de gestión en donde
casos en la herramienta de los
logados como Altos, sin embargo

cion del ticket en la herramienta

omo altos, sin embargo de acuerdo
casos altos se identifico que 750
0 casos fueron mal clasificados
egistrados como incidentes altos
y no se ha realizado la

entes catalogados como medios o

sentados en el periodo de revisión
s de 60 dias en estado Abierto.