Documentos de Académico
Documentos de Profesional
Documentos de Cultura
B
Informe de Auditoría: HON.BAC.2022.22
N
Tegucigalpa, 15 julio de 2022
C
Para : Juan Sagastume – Vicepresidente Adjunto de Tecnología de Información
O
Ref. : Ciberseguridad
IV
Se remite el informe de la auditoría practicada en Banco de América Central Honduras, S.A.
(BAC|CREDOMATIC); referente al proceso de ciberseguridad; lo anterior, de acuerdo con lo
S
mencionado en nuestra comunicación de inicio de auditoría.
LU
En la revisión se aplicaron normas de auditoría generalmente aceptadas; para la auditoría de
aseguramiento se evaluaron los procesos relacionados a ciberseguridad mediante la efectividad de
las herramientas que brindad seguridad perimetral a la red interna, así como a la Zona
Desmilitarizada (DMZ), verificando la seguridad a nivel de servidores y computadoras mediante
C
Sophos Central, validación de escaneo en la red para la detección de amenazas, cambios en
herramientas de seguridad, línea base del DLP, conexión a la red interna, entre otros; por lo anterior,
X
los resultados obtenidos se limitan solamente al alcance de las pruebas efectuadas. Solo el
cumplimiento del control interno de manera sistemática y permanente representa la principal
fortaleza para prevenir y detectar errores o irregularidades del proceso.
E
I. Objetivo general:
O
Evaluar la gestión de los procesos de ciberseguridad para mitigar los riesgos inherentes relacionados
a la confidencialidad, integridad y disponibilidad de la información crítica de la Entidad
S
II. Alcance:
-U
Nuestra revisión se aplicó a la ejecución de pruebas sobre las operaciones y eventos que
corresponden al periodo comprendido del 1 de junio 2021 al 30 de mayo de 2022 para las plataformas
que brindan seguridad a la red y vulnerabilidades identificadas en las pruebas de penetración.
L
Normativa:
o Resolución No. 1301/22-11-2005. Normas para Regular la Administración de las
C
Lineamientos:
o L-BACLAT-0000261 - Política de Seguridad de la Información del Grupo Financiero BAC
Credomatic
E
Credomatic.
o L-BACLAT-0000143 • Estándar Para Análisis y mitigación de vulnerabilidades del GFBC
o L-BACLAT-0000458 • Lineamiento para controles de seguridad en Nube
FI
Navegación WEB
C
S
Manuales:
B
o MO-CORP-0000003 Manual Operativo DLP.
o MO-BACLAT-0000242 Seguridad en EndUser (Endpoint) - Herramienta Sophos EndUser
N
Protection
o P-BACLAT-0000273 • Administration de Eventos de Ciberseguridad
C
La evaluación de los riesgos incluye:
1. Los riesgos definidos por la administración en la matriz de riesgos, la cual es elaborada
O
conforme a la metodología del área de Riesgo Integral.
2. Los considerados como inherentes al proceso para el período en revisión y definidos como
IV
de mayor impacto por Auditoría Interna.
3. Los identificados por Auditoría Interna durante la ejecución de la revisión.
S
Seguimiento a los hallazgos emitidos en informes de los entes de control internos y externos
que se encuentren con estado “en proceso” o “implementado” y que estén asociadas a la
LU
auditoría realizada para validar la efectividad y continuidad de las acciones propuestas.
C
Resultados
No. Detalle de la prueba de Auditoría
Validación de fuga de información sensibles de clientes
mediante correo electrónico de Service Now, generar reporte de
X
Satisfactorio Insatisfactorio Requiere mejora
X
E
1
colas de servicio, luego enviar información para correo externo y Hallazgo 1
posteriormente se validará la alerta del DLP
Validación de la extracción de información sensible a sitios de X
O
2
almacenamiento en la nube. Hallazgos 5
Comprobación de desconexión de los usuarios conectados a la
3 X
S
Hallazgo 3
los controles permitidos por el NAC "Agente NAC, Antivirus, HHD
Cifrados, Agente del DLP.
N
Hallazgo 2
realizará la prueba de extracción de información.
Comprobación de los eventos reportados de seguridad de la
FI
10 X
información y Ciberseguridad.
Validación de los servidores que se encuentran en la DMZ, "No
X
11 debe de haber servidores de bases de datos y direcciones IP
Hallazgo 8
N
internas.
X
12 Validar los accesos lógicos del directorio activo de la DMZ
Hallazgo 4
O
B
Hallazgo 7
funciones
Validación de tecnología obsoleta o antigua en el desarrollo de X
15
N
la sucursal electrónica. Hallazgo 6
C
La auditoría se realizó entre el 01 de junio y el 13 de julio 2022
O
IV. Equipo de trabajo:
IV
Victor Figueroa / Oscar Flores
V. Resultado de la auditoría:
S
Se muestran buenas prácticas en la administración de los
procesos y la gestión de los riesgos asociados.
LU
Sobresaliente Se cumple con las políticas y normas establecidas de forma
(86-100) sobresaliente
No se detectó ninguna debilidad de control importante
durante la auditoría.
C
Los procesos y riesgos han mostrado que requieren algunas
mejoras, pero que son administrables.
Satisfactorio
(76-85)
razonable X
Se cumple con las políticas y normas establecidas de forma
Necesita
No se está cumpliendo adecuadamente con las políticas y
Mejorar
normas establecidas
S
B
La Entidad, mediante la Vicepresidencia Adjunta de Tecnología de Información, ha definido controles
para el proceso de ciberseguridad, que conlleva la implementación de herramientas que protegen la
N
red interna, asimismo tiene establecidas e implementadas las diferentes etapas y mecanismos de
control interno para el cumplimiento de las funciones propias a través de políticas y procedimientos
C
que aseguran la confidencialidad, integridad y disponibilidad de la información en los procesos de la
Entidad. Al respecto se evaluaron cuatro riesgos, los cuales tienen asociados diversos controles,
dichos riesgos fueron valorados con probabilidad e impacto entre el nivel 1 (Bajo) y el nivel 5 (Muy
O
Alto), considerados relevantes para la auditoría.
IV
Como parte de la revisión efectuada, a través de las pruebas de auditoría, se pudo evidenciar
situaciones que requieren atención por parte de las áreas involucradas en el proceso, relacionadas
con lo siguiente:
S
RESUMEN DE RESULTADOS
LU
Nivel de prioridad
No. Situaciones identificadas
Alto Medio Bajo
Salida de información sensible de Service Now mediante
1 Si
correo.
C
2 Conexión a servidor externo desde la red interna Si
3 Conexión a la red interna mediante una computadora
externa
Si
X
E
Usuarios activos de ex colaboradores en el dominio de la
4 Si
DMZ.
5 Extracción de información en sitios de almacenamiento. Si
O
respectiva documentación
8 Servidores con IP de la red interna en la Zona
Si
-U
Desmilitarizada (DMZ).
9 Servidores con puertos abiertos de comunicación
Si
inseguros
Now para atender y dar trazabilidad a los requerimientos de negocio, cada área de TI cuenta
con diferentes colas de atención. Durante nuestra revisión se observó lo siguiente:
IA
que contienen información sensible de clientes como ser: cuentas, TC, nombre de clientes,
ID, CIF, bines, así como información de tablas del Core Bancario con sus respectivos
N
parámetros. Mediante el correo personal del auditor, cabe mencionar que la información
extraída no genero alertas de fuga de información en la plataforma de Data Loss Prevention
E
(DLP).
D
2. Durante pruebas controladas se creó una instancia con Windows Server 2019 en Amazon
Web Services (AWS), plataforma de servicios de Cloud Computing que ofrece servidores,
FI
N° de TC, CIF, transacciones, entre otras. Situación que incumple con el lineamiento L-
BACLAT-0000283 Estándar de Seguridad de la Información del Grupo Financiero BAC
O
Credomatic, N° 4.12.2 “Debe restringirse a través del firewall que toda conexión (entrada y
salida) sea denegada excepto aquellas que el servicio lo requiera”.
C
S
3. La Vicepresidencia Adjunto de Tecnología de la Información utiliza la herramienta NAC
(Network Acces Control) con la finalidad de control de seguridad de acceso a la red interna,
B
en el cual se deben de bloquear durante la inspección los dispositivos no autorizados que
se conecten a la red y que no presenten la línea base como ser: agente NAC, servicio DLP,
N
antivirus, cifrado de disco duro, entre otros. Durante nuestra revisión se identificó lo
siguiente:
C
Mediante una prueba controlada se realizó conexión a través de VPN a la red interna con
una computadora ajena a la Entidad que no cumple con la línea base, la conexión duro 57
minutos, donde se ejecutaron diferentes actividades como ser: identificación de host dentro
O
de un segmento de red, verificación de puertos de comunicación abiertos en servidores,
capturar tráfico de red, identificación de carpetas compartidas y extracción de información,
IV
entre otros. Lo anterior incumplimiento con los tiempos de detección y bloqueos de
dispositivos no autorizados. Adicionalmente se realizaron pruebas con el Proveedor
TAUTENET donde se logró evidenciar que algunos dispositivos se quedan en la regla “Policy
HON - 2.1.5 - VPN Clarification”, con un estado “PENDING BAC Secure Connector Manage”,
S
siendo estos los equipos que se van encolando y el NAC no realiza el bloqueo automático.
LU
4. Al momento de nuestra revisión 24 de junio del año en curso se identificaron 2 usuarios de
ex colaboradores habilitados en directorio activo de la Zona Desmilitarizada (DMZ). Situación
anterior incumple con el lineamiento L-BACLAT-0000283 Estándar de Seguridad de la
Información del Grupo Financiero BAC Credomatic, N° 2.6 “Finalización de
C
responsabilidades: Es responsabilidad de la jefatura inmediata o encargado, a más tardar el
X
día anterior a la salida del colaborador o tercero, el solicitar el bloqueo de las cuentas de
usuario”. Adicionalmente no se observaron accesos y/o actividades de los usuarios en la
herramienta posterior a su salida y dichos usuarios fueron desactivados durante la auditoria.
E
A continuación, se detallan los usuarios:
O
almacena información confidencial de los clientes, se logró extraer información en dos (2)
sitios de almacenamiento en la nube (Google Drive y OpenDrive). Situación que incumple
IA
filtrado de contenido”.
N
en la versión 1.7.2, siendo esta obsoleta debido a que ya no tiene soporte por parte del
fabricante y presenta vulnerabilidades y exposiciones comunes. Cabe mencionar que la
D
6.
O
B
jQuery antes de la versión 1.9.0 es vulnerable a los ataques de
secuencias de comandos entre sitios (XSS). La función
jQuery(strInput) no diferencia los selectores de HTML de forma
N
CVE-2012-6708
1 6.1 fiable. En las versiones vulnerables, jQuery determinó si la
entrada era HTML buscando el carácter '<' en cualquier parte de
C
la cadena, lo que brinda a los atacantes más flexibilidad al intentar
construir una carga útil maliciosa.
jQuery antes de 3.0.0 es vulnerable a los ataques de Cross-site
Scripting (XSS) cuando se realiza una solicitud Ajax entre
O
2 CVE-2015-9251 6.1
dominios sin la opción dataType, lo que hace que se ejecuten
respuestas de texto/javascript.
jQuery antes de 3.4.0, como se usa en Drupal, Backdrop CMS y
IV
otros productos, maneja mal jQuery.extend(true, {}, ...) debido a la
CVE-2019-11358
3 4.3 contaminación de Object.prototype. Si un objeto de origen no
sanitado contenía una propiedad __proto__ enumerable, podría
extender el objeto Object.prototype nativo.
S
En las versiones de jQuery mayores o iguales a 1.2 y anteriores a Con formato: Fuente: (Predeterminada) Arial, 8 pto, Español
3.5.0, pasar HTML de fuentes que no son de confianza, incluso (España), Diseño: Claro
LU
después de desinfectarlo, a uno de los métodos de manipulación
4 CVE-2020-11022 6.5
DOM de jQuery (es decir, .html(), .append() y otros) puede Con formato: Fuente: (Predeterminada) Times New Roman
ejecutar código que no es de confianza. Este problema se corrige
en jQuery 3.5.0. Tabla con formato
Con formato: Español (México)
C
7. Evidenciamos que los cambios en la configuración de la herramienta Sophos Central no se
están documentando mediante una solicitud de cambio (CHG), ya que en nuestra revisión
X
se verifico que el 7 de julio del año en curso el Administrador de Seguridad de Sistemas
había realizado cambios en la hora y día de la ejecución del escaneo programado en
E
estaciones de trabado. Dicha situación permitiría realizar cambios no autorizados en la
herramienta.
O
7/7/2022 tcordova@baccredomatic.hn Policies Endpoint Protection - Política Antivirus - ThreatProtection; Con formato: Justificado
Scaning schedule time-Updated from 02:00 to 15:00
7/7/2022 tcordova@baccredomatic.hn Policies Endpoint Protection - Base Policy - ThreatProtection; Scaning Con formato: Justificado
schedule time-Updated from 03:00 to 15:00
7/7/2022 tcordova@baccredomatic.hn Policies Endpoint Protection - Base Policy - ThreatProtection; Scaning Con formato: Justificado
schedule days-Updated from [5, 1] to [5, 2]
L
8. BAC Credomatic cuenta con una Zona Desmilitarizada o Zona Media de Seguridad (DMZ)
IA
en la cual se alojan los servicios públicos que serán accesados desde redes externas, al
momento de nuestra revisión se identificaron 2 servidores con direcciones IP de la red
interna en la VLAN de la DMZ, cabe mencionar que dicha situación ya está siendo atendida
C
por la VPA de TI. Lo anterior expone segmento de red interna en redes externas.
A continuación, se detallan los servidores:
N
Servidor
HNBACVDEPAPP 10.89.2.248 Virtual Deposit
D
9. Esta auditoria evidencio que existen servidores con puerto de comunicación abiertos con
FI
protocolos inseguros como ser: 21 (FTP), 23 (Telnet), 80 (Http) y 389 (LDAP) en diferentes
segmentos de red, incumpliendo con el lineamiento L-BACLAT-0000309 Estándar de
Seguridad para Puertos Seguros, N° 3: “Deshabilite los servicios que no protegen la
N
B
A continuación, se detallan:
N
N° IP Nombre FTP Telnet HTTP LDAP
Servidor
C
1 10.89.2.133 HNCORSABWEB ✔
2 10.89.2.88 HNCORBI ✔
3 10.89.2.246 HNCORVSHIELD ✔ ✔ ✔
✔
O
4 10.89.1.225 HNCORDPS01
5 10.89.1.15 HNCOMAESNICE1 ✔ ✔ ✔
6 10.89.100.20 HON400N ✔ ✔
IV
7 10.89.100.36 - ✔ ✔ ✔
* 7 muestras de 130 servidores con puertos abiertos
S
Como resultado de la evaluación de riesgos y controles se obtuvo el mapa de calor que se puede
observar en el Anexo 1; el cual muestra la calificación de los riesgos inherente y residual realizada
LU
por la Administración y la calificación obtenida por la Auditoría Interna.
C
Como resultado del seguimiento efectuado sobre 2 oportunidades de mejora que al momento de
nuestra revisión se encontraban implementadas, correspondiente al informe 2021-
X
“HON.GFBC.TI.2021.13 – Seguridad de Red y Cifrado de datos” para el proceso relacionado, se
pudo observar un nivel de cumplimiento satisfactorio.
E
Estado No. de Planes Calificación %
En proceso 1 Satisfactorio 76 – 100
O
Atentamente,
L
Santiago Aguirre
Vicepresidente Adjunto de Auditoría Interna
IA
Auditoría Interna
E
D
FI
N
O
C
S
B
N
C
Anexo 1 – Mapa de calor
O
IV
S
LU
C
X
E
O
S
Riesgos evaluados
No. Cód. riesgo Riesgo
Afectación de la Confidencialidad de la información debido a debilidades en las
1 RSK-HON1462
L
3 RSK-HON3738: seguridad.
Incumplimiento en regulaciones.
N
4 RSK-HON941
E