1
00:00:00,620 --> 00:00:01,880
Bajas de usuarios

2
00:00:04,520 --> 00:00:11,660
en las empresas suele pasar que los accesos de los empleados desvinculados o movidos no son eliminados

3
00:00:11,660 --> 00:00:12,560
oportunamente.

4
00:00:13,580 --> 00:00:18,050
Este es uno de los casos que generan riesgos considerables para las empresas.

5
00:00:19,070 --> 00:00:25,970
Típicamente podemos encontrar cuentas de usuarios activas en los sistemas correspondientes a personas

6
00:00:25,970 --> 00:00:32,510
que ya no trabajan para la empresa, que pudieran ser utilizadas para realizar acciones fraudulentas,

7
00:00:33,140 --> 00:00:38,840
tanto por la persona dueña de la cuenta de usuario como por un empleado interno que conozca la contraseña

8
00:00:38,930 --> 00:00:44,190
y busque evadir la responsabilidad de las acciones que pudiera realizar con dicha cuenta.

9
00:00:47,260 --> 00:00:51,130
Ok, vamos a ver algunas consideraciones importantes sobre esto.

10
00:00:53,110 --> 00:00:59,440
Primero, los cambios de funciones deben reflejarse en la adecuación de todos los derechos de accesos

11
00:00:59,440 --> 00:01:01,840
que no son necesarios para el nuevo rol.

12
00:01:02,290 --> 00:01:09,280
Los derechos de accesos que deberían ser eliminados o ajustados incluyen los accesos físicos y lógicos.

13
00:01:11,530 --> 00:01:19,060
Se puede hacer la readecuación o ajuste mediante la eliminación, revocación o reemplazo de llaves magnéticas,

14
00:01:19,060 --> 00:01:29,350
por ejemplo, llaves convencionales, tarjeta de identificación, el acceso biométrico o de cualquier

15
00:01:29,350 --> 00:01:34,930
forma a las instalaciones de procesamiento de datos o datacenter, entre otros métodos.

16
00:01:36,670 --> 00:01:42,490
Cualquier documento que identifique los derechos de acceso de los empleados y contratistas, como el

17
00:01:42,490 --> 00:01:47,110
carnet de empleados, por ejemplo, debe reflejar el ajuste de los derechos de acceso.

18
00:01:48,400 --> 00:01:54,730
Si un empleado saliente o usuario externo conoce la contraseña de algún servicio o cuenta de usuario

19
00:01:54,730 --> 00:01:59,770
compartida que permanezca activa, esta contraseña debe cambiarse.

20
00:02:00,460 --> 00:02:06,610
Los usuarios de personal salientes deben de ser eliminados de cualquier lista de acceso grupal.

21
00:02:07,060 --> 00:02:13,960
Los derechos de accesos a la información y a los activos asociados deben ser reducidos o eliminados

22
00:02:14,380 --> 00:02:22,150
antes o al momento de la salida del empleado, y deben considerarse factores como si la terminación

23
00:02:22,180 --> 00:02:28,060
o cambio es iniciada por el empleado o si fue iniciada por la empresa.

24
00:02:29,260 --> 00:02:32,290
La razón de la terminación es importante evaluar eso.

25
00:02:32,890 --> 00:02:40,120
Las responsabilidades actuales del empleado o las responsabilidades que mantuvo el empleado y el valor

26
00:02:40,240 --> 00:02:44,350
de los activos a los cuales el empleado tuvo acceso.

27
00:02:45,250 --> 00:02:52,000
En el caso de terminación iniciada por la administración, es decir, por la empresa, los empleados

28
00:02:52,000 --> 00:02:57,790
descontentos o los usuarios externos pueden intentar cometer acciones no autorizadas.

29
00:02:58,870 --> 00:03:05,440
En el caso de las personas que renuncian, ellas pueden verse tentadas a recopilar la información para

30
00:03:05,440 --> 00:03:06,340
un uso futuro.

31
00:03:06,850 --> 00:03:13,240
Por estas razones, es importante que el auditor de sistema evalúe la efectividad de los controles de

32
00:03:13,240 --> 00:03:14,350
bajas de usuarios.

33
00:03:16,570 --> 00:03:19,140
Muy bien, ahora veamos nuestro caso de estudio.

34
00:03:20,800 --> 00:03:27,880
Un supermercado pequeño llamado ABECÉ Minimarket nos contrató para auditar sus controles internos BTI,

35
00:03:28,870 --> 00:03:32,710
producto de un entendimiento y una evaluación de riesgos.

36
00:03:33,100 --> 00:03:39,250
Determinamos que debemos de revisar los controles de desactivación de usuarios en los sistemas críticos

37
00:03:39,250 --> 00:03:39,940
de la empresa.

38
00:03:42,520 --> 00:03:49,720
Estos sistemas son de PBA 1-2-3, con el cual se administran los procesos de negocio y el sistema operativo

39
00:03:49,720 --> 00:03:50,260
Windows.

40
00:03:51,040 --> 00:03:57,610
El primer paso que vamos a realizar es obtener las políticas y procedimientos documentados relacionados

41
00:03:57,610 --> 00:04:00,830
a la desactivación o eliminación de las cuentas de usuarios.

42
00:04:01,900 --> 00:04:09,610
Al igual que con las televisiones de altas de usuarios, debemos de solicitar las políticas y procedimientos

43
00:04:10,390 --> 00:04:15,400
donde se definan las normativas y pasos a seguir para la desactivación de usuarios.

44
00:04:15,580 --> 00:04:21,430
También es importante que se definan los diferentes escenarios cuando se deba realizar o no una desactivación

45
00:04:21,430 --> 00:04:21,970
de usuarios.

46
00:04:23,680 --> 00:04:30,220
Hemos de revisar esta política para tener un entendimiento de los de las acciones que se realizan al

47
00:04:30,220 --> 00:04:36,700
momento de la salida de un empleado y cómo proceden a desactivar los privilegios de dicho empleado.

48
00:04:37,090 --> 00:04:43,810
Debemos de obtener esta política para entender cómo la empresa procede a desactivar las cuentas de usuario

49
00:04:43,900 --> 00:04:46,540
al momento de la salida o traslado de en personal.

50
00:04:48,380 --> 00:04:54,470
El siguiente paso que vamos a realizar es obtener el reporte de usuarios de los sistemas críticos que

51
00:04:54,470 --> 00:05:02,330
vamos a revisar que contengan por lo menos los siguientes campos de información y user Heidy, nombre,

52
00:05:02,570 --> 00:05:07,940
fecha de creación, estatus, último inicio de sesión y departamento.

53
00:05:09,140 --> 00:05:14,960
Luego de esto vamos a obtener el listado de los empleados desvinculados de la empresa en el período

54
00:05:14,960 --> 00:05:16,070
que ya hemos definido.

55
00:05:16,580 --> 00:05:20,720
Recuerden que un período es el lapso de tiempo que vamos a revisar.

56
00:05:21,530 --> 00:05:28,820
Entonces, para este ejercicio vamos a revisar el año 2019 desde el primero de enero 2019 hasta el 31

57
00:05:28,820 --> 00:05:30,170
de diciembre 2019.

58
00:05:30,800 --> 00:05:37,190
Todas las salidas de los empleados de ese año lo vamos a tomar en cuenta para nuestra revisión.

59
00:05:38,180 --> 00:05:45,140
Este listado debe tener por lo menos los siguientes campos de información nombre de empleado, puesto,

60
00:05:45,140 --> 00:05:48,170
departamento, fecha de ingreso y la fecha de salida.

61
00:05:49,700 --> 00:05:56,060
Por último, vamos a verificar si los empleados desvinculados poseen cuentas de usuarios en los sistemas

62
00:05:56,510 --> 00:05:58,880
y que las mismas estén desactivadas.

63
00:06:00,830 --> 00:06:07,610
Ese será nuestro proceso de validación, que para eso vamos a contar con una plantilla, al igual que

64
00:06:07,610 --> 00:06:12,260
con la validación de altas de usuario para facilitar el proceso de verificación.