1
00:00:00,270 --> 00:00:01,530
Altas de usuarios.

2
00:00:04,200 --> 00:00:10,290
Antes de iniciar, vamos a ver este caso de estudio como un supermercado pequeño, llamado a veces minimarket,

3
00:00:10,380 --> 00:00:17,370
nos contrató para auditar los controles internos de TAI, producto de un entendimiento y una evaluación

4
00:00:17,370 --> 00:00:18,150
de riesgos.

5
00:00:18,720 --> 00:00:24,990
Determinamos que debemos de revisar los controles de creación de usuarios en los sistemas críticos de

6
00:00:24,990 --> 00:00:25,680
la empresa.

7
00:00:26,340 --> 00:00:34,950
Estos sistemas son TPB un, dos, tres con el cual se administran los procesos del negocio y el sistema

8
00:00:34,950 --> 00:00:38,820
operativo Windows, que son los usuarios que están creados en el dominio.

9
00:00:42,450 --> 00:00:48,900
Antes de resolver este caso de estudio, vamos a hablar un poco acerca del otorgamiento de privilegios

10
00:00:49,530 --> 00:00:51,930
o como le llamamos también altas de usuarios.

11
00:00:52,770 --> 00:00:59,160
La creación de usuarios y el otorgamiento de privilegios en los sistemas de las empresa debe hacerse

12
00:00:59,160 --> 00:01:02,190
en base a solicitudes apropiadamente autorizadas.

13
00:01:03,990 --> 00:01:10,830
Estos son controles preventivos muy importantes y por tal razón debemos asegurarnos que el otorgamiento

14
00:01:10,830 --> 00:01:18,210
de acceso es realizado sólo cuando es aprobado por el dueño de los datos o el individuo que tiene en

15
00:01:18,210 --> 00:01:21,300
este momento la autoridad para tales fines.

16
00:01:22,380 --> 00:01:29,130
Y este otorgamiento sólo se hace, si es necesario, para el desempeño de las funciones de cada empleado

17
00:01:29,370 --> 00:01:30,360
o de cada usuario.

18
00:01:30,960 --> 00:01:37,950
Los dueños de los datos o dueños de los procesos son aquellas personas responsables de los procesos

19
00:01:37,950 --> 00:01:46,110
de negocio dentro de la empresa, y usualmente es el gerente, el director o encargado del área, responsable

20
00:01:46,110 --> 00:01:48,450
de las actividades que se realizan en el sistema.

21
00:01:48,990 --> 00:01:56,280
Es vital que en las empresas se tenga documentada una política de control de acceso basada en el negocio

22
00:01:56,280 --> 00:01:58,650
y en los requisitos de seguridad de la información.

23
00:02:00,750 --> 00:02:08,040
Esta política o este documento deben incluir lo siguiente Requisitos de seguridad de las aplicaciones

24
00:02:08,550 --> 00:02:10,680
normas para la autorización de acceso.

25
00:02:12,300 --> 00:02:14,550
Niveles de seguridad de la información.

26
00:02:14,790 --> 00:02:17,040
Segregación de roles de control de acceso.

27
00:02:19,040 --> 00:02:23,240
Requisitos para la autorización formal de solicitudes de acceso.

28
00:02:25,180 --> 00:02:28,830
Normas de revisión periódica de los derechos de accesos.

29
00:02:30,100 --> 00:02:38,500
Lineamientos para la eliminación de los derechos de accesos y el tratamiento de roles con accesos privilegiados.

30
00:02:41,240 --> 00:02:48,320
En una revisión de la gestión de acceso en general, el auditor debería de hacer lo siguiente Verificar

31
00:02:48,320 --> 00:02:55,010
la utilización de identificadores de usuarios únicos para permitir que los usuarios sean vinculados

32
00:02:55,070 --> 00:02:56,960
y responsables de sus acciones.

33
00:02:58,910 --> 00:03:04,460
Obtener la autorización del propietario del sistema de las cuentas creadas en el mismo.

34
00:03:06,320 --> 00:03:11,600
Obtener la aprobación de los derechos de accesos otorgados a los usuarios.

35
00:03:12,980 --> 00:03:18,440
Verificar que el nivel de acceso otorgado es apropiado con las políticas de acceso de la empresa.

36
00:03:19,580 --> 00:03:22,430
Verificar la correcta segregación de funciones.

37
00:03:23,450 --> 00:03:28,460
Asegurar que los derechos de accesos no fueron dados antes de la autorización.

38
00:03:29,360 --> 00:03:35,750
Asegurarse que los privilegios de proveedores de servicios sólo se habiliten cuando sea necesario y

39
00:03:35,750 --> 00:03:37,180
de manera temporal.

40
00:03:38,420 --> 00:03:46,340
Verificar si se mantiene un registro central de los derechos de accesos otorgados a los usuarios para

41
00:03:46,340 --> 00:03:47,930
accesar a los sistemas.

42
00:03:49,580 --> 00:03:55,430
Verificar que se actualicen los derechos de acceso de los usuarios que han cambiado de funciones dentro

43
00:03:55,430 --> 00:04:03,140
de la empresa y que se elimine la privilegios que no sean necesario o que no correspondan con sus nuevas

44
00:04:03,140 --> 00:04:03,920
funciones.

45
00:04:05,090 --> 00:04:12,710
Verificar que se habilitan o eliminan de inmediato las cuentas de los usuarios que han abandonado la

46
00:04:12,710 --> 00:04:18,000
organización y verificar que no existen cuentas activas en desuso.