1
00:00:00,630 --> 00:00:07,380
Pruebas de acceso a la integridad del negocio y su información se ve amenazada cuando falla la gestión

2
00:00:07,380 --> 00:00:14,490
de accesos lógicos, verificar de manera efectiva el acceso a la información o más bien dicho, los

3
00:00:14,490 --> 00:00:16,260
controles de acceso a la información.

4
00:00:16,950 --> 00:00:19,350
Nunca antes había sido tan importante.

5
00:00:23,370 --> 00:00:30,420
El rápido crecimiento del número de usuarios y de la complejidad de la distribución de accesos a múltiples

6
00:00:30,420 --> 00:00:38,100
fuentes de datos con distintos niveles de criticidad, importancia y demás, es un reto para la seguridad

7
00:00:38,100 --> 00:00:38,880
de la información.

8
00:00:40,500 --> 00:00:48,780
Por tal motivo, es recomendable utilizar controles de accesos basados en roles, que consiste en asignar

9
00:00:48,780 --> 00:00:55,440
derechos de acceso a los usuarios de la organización en función de sus responsabilidades y las tareas

10
00:00:55,440 --> 00:00:56,270
que realiza.

11
00:00:57,420 --> 00:01:02,790
Esto garantiza que los usuarios sólo puedan tener acceso a los niveles que pertenecen.

12
00:01:05,110 --> 00:01:12,160
El otorgamiento de privilegios a los sistemas de la empresa debe hacerse en base a solicitudes apropiadamente

13
00:01:12,160 --> 00:01:19,600
autorizadas y sólo si son estrictamente necesarios para el cumplimiento de las funciones de cada usuario.

14
00:01:21,170 --> 00:01:28,670
Estos accesos deben estar aprobados por el dueño de los datos o individuo con autoridad para tales fines,

15
00:01:28,790 --> 00:01:36,200
que usualmente es el gerente, director, jefe o encargado del proceso y dueño de los activos de información.

16
00:01:37,880 --> 00:01:43,850
Los dueños de los activos de información o dueños de los datos deben determinar las reglas apropiadas

17
00:01:43,910 --> 00:01:45,050
de control de acceso.

18
00:01:45,350 --> 00:01:51,530
Los derechos de accesos y las restricciones para roles de usuarios específicos, tomando en cuenta los

19
00:01:51,530 --> 00:01:54,080
riesgos de seguridad de la información asociados.

20
00:01:54,560 --> 00:02:01,070
Esto debe de estar planteado en un documento formal donde se establezcan los accesos permitidos para

21
00:02:01,070 --> 00:02:02,570
cada función o perfil.

22
00:02:04,290 --> 00:02:09,700
Para esto, por lo regular se utiliza una matriz de roles y perfiles de usuarios.

23
00:02:12,320 --> 00:02:18,290
Una matriz de roles y perfiles es una tabla donde cada rol, puesto de trabajo o función dentro de la

24
00:02:18,290 --> 00:02:24,320
empresa tiene establecido los niveles de accesos o privilegios que deben de poseer.

25
00:02:26,090 --> 00:02:34,160
Por ejemplo, una persona con el puesto de cajero tendría asignado el rol de cajero con acceso a las

26
00:02:34,160 --> 00:02:37,160
actividades de cobro y cuadro de caja.

27
00:02:38,480 --> 00:02:46,130
Un rol es una colección o agrupación de permisos definidos en el sistema que se le pueden asignar a

28
00:02:46,130 --> 00:02:47,180
los usuarios.

29
00:02:49,060 --> 00:02:56,200
La combinación de estos roles definirá entonces nuestro perfil de usuario, que sería algo semejante

30
00:02:56,470 --> 00:03:00,190
como al puesto de trabajo, en este caso caerá.

31
00:03:02,540 --> 00:03:09,740
En una auditoría de accesos debemos de obtener dicha matriz y verificar que los privilegios estén otorgados

32
00:03:09,740 --> 00:03:10,700
de acuerdo a ella

33
00:03:13,700 --> 00:03:15,710
en los trabajos de pruebas de acceso.

34
00:03:16,310 --> 00:03:19,070
Es importante para el auditor verificar lo siguiente.

35
00:03:20,560 --> 00:03:24,190
La utilización de un identificador único para cada usuario.

36
00:03:25,840 --> 00:03:30,400
De esta forma se puede vincular a los usuarios responsable de sus acciones.

37
00:03:31,180 --> 00:03:37,540
Se debería permitir el uso de identificadores de grupo sólo cuando sea muy necesario para el desarrollo

38
00:03:37,540 --> 00:03:39,250
de las actividades de la empresa.

39
00:03:40,210 --> 00:03:45,880
Un identificador único se refiere a que cada persona debe de tener una cuenta de usuario única.

40
00:03:46,900 --> 00:03:53,200
Existen otras modalidades como las cuentas de grupo, que es una cuenta de usuario utilizada por diferentes

41
00:03:53,200 --> 00:03:54,040
personas.

42
00:03:54,760 --> 00:04:01,270
También debemos de verificar la existencia de evidencia de autorización del dueño de los datos de aquellos

43
00:04:01,270 --> 00:04:07,540
accesos otorgados a los usuarios que están fuera de lo establecido en la matriz de roles y perfiles.

44
00:04:09,040 --> 00:04:15,970
También hay que verificar que el nivel de acceso asignado es adecuado y es importante también que esté

45
00:04:15,970 --> 00:04:22,930
establecida una revisión periódica de los accesos de los usuarios y su eliminación en caso de que sea

46
00:04:22,930 --> 00:04:23,620
necesario.

47
00:04:26,520 --> 00:04:31,170
Ahora bien, nosotros como auditores, cómo podemos hacer una auditoría de accesos?

48
00:04:32,130 --> 00:04:33,720
Veamos este caso de estudio.

49
00:04:34,650 --> 00:04:41,460
Un supermercado pequeño llamado ABECÉ Minimarket nos contrató para auditar sus controles internos de

50
00:04:41,460 --> 00:04:41,810
TAI.

51
00:04:42,870 --> 00:04:48,840
Producto de un entendimiento y una evaluación de riesgo, determinamos que debemos revisar los accesos

52
00:04:49,440 --> 00:04:57,870
de los usuarios del Sistema de Recursos Empresariales RP llamado TPB 1-2-3, con el cual se administran

53
00:04:57,870 --> 00:04:59,550
los procesos del negocio.

54
00:05:01,140 --> 00:05:01,600
Muy bien.

55
00:05:02,130 --> 00:05:05,220
Para realizar esta auditoría vamos a hacer lo siguiente.

56
00:05:06,030 --> 00:05:06,570
Número 1.

57
00:05:06,570 --> 00:05:09,270
Vamos a obtener la matriz de roles y perfiles.

58
00:05:10,510 --> 00:05:16,930
Que es el documento formal que nos definirá cuáles son los privilegios que deben de tener los usuarios.

59
00:05:18,130 --> 00:05:21,310
Número 2 vamos a obtener el listado de empleados de recursos humanos.

60
00:05:21,430 --> 00:05:26,770
Esto nos servirá para corroborar ciertas informaciones referente al puesto de trabajo de cada empleado.

61
00:05:28,170 --> 00:05:35,170
Vamos a obtener un reporte, pantallas o informaciones de cuáles son los accesos actuales de los usuarios

62
00:05:35,170 --> 00:05:35,980
en el sistema.

63
00:05:37,330 --> 00:05:45,010
Luego vamos a verificar que el sistema ERP o actualizado el puesto de trabajo de los usuarios.

64
00:05:45,250 --> 00:05:52,420
Es decir, comparando el puesto de trabajo registrado en el sistema versus el que tiene recursos humanos,

65
00:05:53,770 --> 00:05:59,050
vamos a verificar que los accesos están otorgados de acuerdo a la matriz de roles y perfiles.

66
00:05:59,500 --> 00:06:07,060
Este básicamente es el grueso de la revisión, que es verificar que los accesos otorgados a los usuarios

67
00:06:07,270 --> 00:06:12,190
en el sistema RP están acorde a la matriz de roles y perfiles.

68
00:06:13,030 --> 00:06:17,620
Para esto vamos a utilizar la plantilla que la verá más adelante.

69
00:06:18,520 --> 00:06:26,650
Y por último, en caso de identificar accesos adicionales o accesos que están fuera de la matriz de

70
00:06:26,650 --> 00:06:34,140
roles y perfiles, vamos a solicitar evidencia de la autorización y así vamos a concluir esta auditoría.