1
00:00:00,750 --> 00:00:07,290
Muy bien, vamos a iniciar nuestro primer paso es obtener la matriz de roles y perfiles.

2
00:00:08,490 --> 00:00:17,610
Siempre es una buena práctica al inicio de cada auditoría, obtener las las información que se tiene

3
00:00:17,610 --> 00:00:24,810
documentada acerca de los procesos, es decir, obtener las políticas, procedimientos y normativas

4
00:00:25,170 --> 00:00:27,720
relacionadas al proceso que vamos a auditar.

5
00:00:28,170 --> 00:00:35,880
En este caso, debemos de obtener antes de solicitar la matriz de roles y perfiles, las políticas,

6
00:00:35,970 --> 00:00:42,940
procedimientos o normativas que se tengan relacionados al otorgamiento de accesos a los usuarios.

7
00:00:43,980 --> 00:00:51,660
Con esta normativa o este documento podremos entender cuáles son los pasos y los requisitos que tiene

8
00:00:51,670 --> 00:00:56,970
la empresa para el otorgamiento de privilegios a los usuarios y en base a lo establecido.

9
00:00:56,970 --> 00:01:03,780
Entonces podemos hacer unas revisión, pero cuando no se tiene establecido nada.

10
00:01:04,710 --> 00:01:04,950
2.

11
00:01:04,970 --> 00:01:09,990
En ese caso vamos a proceder de acuerdo a las mejores prácticas.

12
00:01:11,320 --> 00:01:17,780
Y al final, en nuestro informe de auditoría podemos incluir un hallazgo y una recomendación relacionada

13
00:01:17,800 --> 00:01:19,180
que se tenga documentado.

14
00:01:19,630 --> 00:01:26,650
Las políticas o las normativas relacionadas al otorgamiento de accesos a los usuarios.

15
00:01:27,370 --> 00:01:34,300
Esto es sumamente importante, ya que este documento es un control y que define la guía que debe de

16
00:01:34,300 --> 00:01:38,350
seguir el personal de la empresa para el otorgamiento de privilegios.

17
00:01:40,180 --> 00:01:46,870
Para este caso de estudio, imaginemos que obtuvimos de parte del Departamento de tecnología las políticas

18
00:01:46,930 --> 00:01:53,170
relacionadas a la gestión de acceso, donde se indica que los accesos de los usuarios hacia el sistema

19
00:01:53,270 --> 00:02:00,400
RP de la empresa serán otorgados de acuerdo a lo que se indica en la matriz de roles y perfiles.

20
00:02:02,500 --> 00:02:09,010
Tomando en cuenta el puesto de trabajo de cada empleado y en caso de que se necesite accesos adicionales

21
00:02:09,070 --> 00:02:15,580
a un empleado en particular o a un usuario en particular, entonces se deberá rellenar el formulario

22
00:02:15,580 --> 00:02:22,840
de solicitud de acceso, el cual deberá estar debidamente completado y firmado por el dueño del proceso

23
00:02:23,020 --> 00:02:27,550
o el dueño de los datos antes de que le sea otorgado ese privilegio adicional.

24
00:02:29,130 --> 00:02:33,840
Al final, este formulario será resguardado por el Departamento de Tecnología.

25
00:02:35,350 --> 00:02:43,450
En vista de esto, solicitamos la matriz de roles y perfiles al Departamento de Tecnología o al departamento

26
00:02:43,450 --> 00:02:45,070
que esté a cargo de tenerla.

27
00:02:45,760 --> 00:02:48,790
No necesariamente debe de ser el Departamento de Tecnología.

28
00:02:48,820 --> 00:02:56,890
Puede haber un departamento de gestión de identidades, por ejemplo, gestión de acceso que se encargue

29
00:02:57,130 --> 00:02:58,990
de los accesos de los sistemas.

30
00:03:00,790 --> 00:03:05,140
Puede haber un departamento también en la empresa que tenga que ver con seguridad de la información

31
00:03:05,140 --> 00:03:08,980
y ellos tengan la responsabilidad de otorgar los accesos.

32
00:03:09,880 --> 00:03:18,700
Dependiendo de cómo esté conformada la estructura de la empresa, entonces la función o las actividades

33
00:03:18,700 --> 00:03:20,620
de otorgar acceso pudiera variar.

34
00:03:22,270 --> 00:03:27,790
En este caso tenemos un ejemplo de lo que sería una matriz de roles y perfiles.

35
00:03:28,390 --> 00:03:34,300
Una matriz de roles y perfiles es básicamente una tabla donde se establecen los puestos de trabajo y

36
00:03:34,300 --> 00:03:37,090
los accesos que van a tener cada puesto de trabajo.

37
00:03:37,570 --> 00:03:44,020
Por lo regular se hace a nivel de puesto de trabajo para que de acuerdo a las funciones de cada empleado,

38
00:03:44,020 --> 00:03:51,070
la empresa ya tenga definida cuáles son los accesos que necesitará para realizar las actividades que

39
00:03:51,070 --> 00:03:53,530
le corresponden dentro del sistema.

40
00:03:56,720 --> 00:04:02,870
Los campos de información que tenemos en este formulario son departamento.

41
00:04:04,790 --> 00:04:09,460
Que es el departamento el cual corresponde el perfil, que sería el puesto de trabajo.

42
00:04:12,080 --> 00:04:20,390
El rol, en este caso, lo tenemos a nivel de rol y actividades dentro de cada rol.

43
00:04:21,080 --> 00:04:25,250
El puesto de cajera tendrá el rol de caja que contiene estas actividades.

44
00:04:25,970 --> 00:04:33,530
Hay otros puestos como el de encargado de marketing, que tiene varios roles y cada rol tiene una serie

45
00:04:33,530 --> 00:04:34,490
de actividades.

46
00:04:37,040 --> 00:04:43,910
Dependiendo del puesto, puede variar la cantidad de accesos que requiera para realizar sus funciones.

47
00:04:45,080 --> 00:04:50,660
Aquí tenemos solo 8 perfiles en la vida real.

48
00:04:51,350 --> 00:04:59,950
Sería una matriz mucho más grande que ésta, con más perfiles, más puestos de trabajo, más accesos.

49
00:05:00,710 --> 00:05:08,090
Pero para ser el ejemplo mucho más fácil de entender, solo vamos a trabajar con estos ocho perfiles.

50
00:05:09,810 --> 00:05:10,800
Y sus accesos?

51
00:05:11,780 --> 00:05:14,210
Lo siguiente que vamos a obtener es el listado de empleados.

52
00:05:14,300 --> 00:05:21,500
Es necesario en nuestra validación para confirmar algunos datos sobre los empleados, como el puesto

53
00:05:21,500 --> 00:05:24,470
real que tiene cada empleado el nombre.

54
00:05:26,260 --> 00:05:33,280
Y el departamento, como la información que obtengamos de recursos humanos sería la información real

55
00:05:33,340 --> 00:05:37,090
actual en cuanto a la condición del empleado dentro de la empresa.

56
00:05:37,420 --> 00:05:44,230
Es importante tener esta información para entonces realizar comparativos contra la información que vamos

57
00:05:44,230 --> 00:05:51,130
a obtener en el sistema que vamos a auditar luego de obtener la matriz de roles y perfiles y el listado

58
00:05:51,130 --> 00:05:51,970
de empleados.

59
00:05:52,060 --> 00:05:57,430
Lo siguiente que debemos de hacer es obtener los privilegios de los usuarios dentro del sistema que

60
00:05:57,430 --> 00:05:58,270
vamos a auditar.

61
00:05:59,020 --> 00:06:04,360
Para este ejemplo es el sistema TPV un, dos, tres, que es éste que tengo acá.

62
00:06:04,450 --> 00:06:09,910
Esto es una máquina virtual que la utilicé para instalar nuestro sistema.

63
00:06:11,100 --> 00:06:13,650
Es el sistema игры de nuestro minimarket.

64
00:06:14,190 --> 00:06:19,020
Vamos a esperar que inicie o que ya ha terminado de inicializar.

65
00:06:19,660 --> 00:06:21,630
Bueno, ahora le hablo un poco acerca del sistema.

66
00:06:22,200 --> 00:06:25,500
Este es un sistema gratuito que encontré en Internet.

67
00:06:26,340 --> 00:06:32,390
El mismo lo pueden descargar en la página web TPB gratuito E.com:.

68
00:06:33,450 --> 00:06:40,290
De igual manera, trataré de dejarselo en los recursos descargable para que lo puedan descargar sencillamente

69
00:06:41,040 --> 00:06:43,770
desde la plataforma de VM y lo puedan instalar.

70
00:06:45,000 --> 00:06:48,290
Este sistema no tiene muchos requisitos de agua.

71
00:06:49,060 --> 00:06:50,040
Entiendo.

72
00:06:50,960 --> 00:06:56,360
Que sólo requiere Microsoft Office de 32 bit y listo.

73
00:06:57,470 --> 00:07:04,940
Entiendo que da problemas y si se tiene el office de 64 bit, por qué me pasó una vez este sistema será

74
00:07:04,940 --> 00:07:10,250
interesante que lo puedan tener para que así puedan hacer las prácticas de auditoría que requieran,

75
00:07:10,250 --> 00:07:17,000
incluso lo puedan recomendar para una persona que tenga un negocio pequeño, una bodega o un pequeño

76
00:07:17,150 --> 00:07:18,140
mini market.

77
00:07:19,100 --> 00:07:25,940
Este sistema ofrece opciones de mantenimiento como central para agregar o eliminar clientes, empleados,

78
00:07:25,970 --> 00:07:30,500
productos, proveedores, secciones en forma de pago.

79
00:07:31,400 --> 00:07:35,990
También tiene la opción de caja que es para para el cobro a los clientes.

80
00:07:36,860 --> 00:07:40,100
Listado que es una reportería.

81
00:07:41,930 --> 00:07:45,380
Tenemos el stock que es alimentario de la tienda.

82
00:07:49,020 --> 00:07:56,040
Los clientes con deuda, promociones, envío de mini mensajes, la opción de configuración.

83
00:07:56,160 --> 00:08:00,390
Esto es información acerca del sistema, opciones de accesos.

84
00:08:02,160 --> 00:08:11,760
Esto para cambiar de usuario, agendas, estadísticas, envío de correo electrónico, control de horario

85
00:08:11,760 --> 00:08:12,870
de los empleados.

86
00:08:13,470 --> 00:08:20,610
Es un sistema sencillo pero bien interesante porque tienen buenas opciones, el cual vamos a utilizar

87
00:08:20,610 --> 00:08:23,670
para este taller de estudio, este caso de estudio.

88
00:08:24,360 --> 00:08:29,220
Entonces no tenemos que ser expertos en el sistema ni conocer cada una de las opciones.

89
00:08:30,390 --> 00:08:37,290
Lo único que necesitamos para auditar este sistema o cualquier otro sistema es tener una idea general

90
00:08:37,320 --> 00:08:39,280
acerca de qué se hace en el sistema.

91
00:08:39,900 --> 00:08:42,800
Cuáles son las funciones principales del sistema?

92
00:08:42,810 --> 00:08:43,740
Las opciones?

93
00:08:45,240 --> 00:08:48,360
Muy bien, entonces ya tenemos una visión general del sistema.