1
00:00:00,600 --> 00:00:04,350
Entonces, recapitulando, hasta el momento tenemos.

2
00:00:07,140 --> 00:00:09,540
La matriz de roles y perfiles de la empresa.

3
00:00:14,330 --> 00:00:16,820
El listado de empleados de recursos humanos.

4
00:00:19,320 --> 00:00:21,810
Y los accesos de los usuarios en el sistema.

5
00:00:25,810 --> 00:00:31,240
Con la información del departamento y el puesto de trabajo que tiene cada usuario registrado en el sistema

6
00:00:31,240 --> 00:00:31,840
por igual.

7
00:00:32,350 --> 00:00:38,350
Entonces, luego de obtenida de esta información, la siguiente fase que vamos a realizar es completar

8
00:00:38,350 --> 00:00:40,690
nuestra matriz de validación de Access.

9
00:00:43,730 --> 00:00:50,360
Una matriz de validación de accesos es una plantilla que vamos a utilizar para comprobar si existen

10
00:00:50,360 --> 00:00:58,970
usuarios que tienen accesos otorgados que no están acorde a lo establecido en la matriz de roles y perfiles.

11
00:00:59,900 --> 00:01:07,670
La plantilla sencillamente es esta tabla donde colocamos la información que obtuvimos de la matriz de

12
00:01:07,670 --> 00:01:08,830
roles y perfiles.

13
00:01:11,180 --> 00:01:13,250
Tenemos la matriz de roles y perfiles.

14
00:01:13,380 --> 00:01:16,400
Es esta donde tenemos el departamento.

15
00:01:17,570 --> 00:01:18,470
El puesto.

16
00:01:19,920 --> 00:01:21,030
Y los accesos?

17
00:01:23,060 --> 00:01:33,470
Entonces la plantilla de validacion tenemos, tenemos el departamento, el puesto y los accesos, solo

18
00:01:33,470 --> 00:01:37,250
que esta plantilla le agregamos a este a ese puesto.

19
00:01:37,970 --> 00:01:39,950
Cual es el usuario que lo soporta?

20
00:01:40,760 --> 00:01:43,010
O cual es el usuario que lo tiene?

21
00:01:43,580 --> 00:01:44,180
Es información.

22
00:01:44,180 --> 00:01:46,580
La completamos con el estado de recursos humanos.

23
00:01:46,700 --> 00:01:53,210
En el estado de recursos humanos tenemos las personas con su con su cargo, su puesto de trabajo y con

24
00:01:53,210 --> 00:01:55,550
ese listado podemos completar esta parte.

25
00:01:55,550 --> 00:01:56,780
Aquí esta columna.

26
00:01:59,230 --> 00:01:59,710
Tonce.

27
00:02:02,260 --> 00:02:10,090
Esto corresponde, toda esta parte de acá corresponde a la información, contuvimos de la matriz de

28
00:02:10,090 --> 00:02:15,540
soles y perfiles y del listado de recursos humanos.

29
00:02:16,910 --> 00:02:26,230
Entonces en esta parte de acá en negro, porque es donde vamos a colocar los roles y acceso a las actividades

30
00:02:26,230 --> 00:02:36,520
que tiene este usuario en el sistema para poder hacer una comparación entre la matriz de roles y perfiles

31
00:02:37,660 --> 00:02:39,310
y el sistema.

32
00:02:41,120 --> 00:02:47,600
Aquí en este campo, vamos a colocar si está apropiado el acceso o no, en base a lo que observemos.

33
00:02:48,080 --> 00:02:56,150
Si el usuario tiene los mismos accesos definidos acá en la matriz de roles y perfiles, entonces el

34
00:02:56,150 --> 00:03:03,890
acceso sería apropiado y podemos agregar un comentario en caso de que aplique, vamos a colocar que

35
00:03:03,890 --> 00:03:10,610
si es apropiado, pero si no es apropiado, si os llevamos algún algún privilegio adicional o alguna

36
00:03:10,610 --> 00:03:11,600
actividad adicional.

37
00:03:13,230 --> 00:03:22,890
Podemos poner el comentario acá de cuál es ese acceso que no está acorde a la matriz de roles y perfiles

38
00:03:23,400 --> 00:03:25,650
y colocáramos que no es apropiado acá.

39
00:03:28,060 --> 00:03:29,530
Bien, vamos a ver un ejemplo.

40
00:03:31,440 --> 00:03:38,940
Ok, vamos a ver, vamos a empezar con este primer usuario, María del Monte, vamos a ver cuáles accesos

41
00:03:39,360 --> 00:03:40,440
tiene María del Monte.

42
00:03:42,670 --> 00:03:43,960
Si vamos al sistema.

43
00:03:47,350 --> 00:03:55,390
O la información que obtuvimos del sistema vemos que María del Monte sólo tiene Herron de acceso a caja.

44
00:03:58,230 --> 00:03:58,800
Con?

45
00:03:59,700 --> 00:04:04,290
Las primeras siete actividades desde cambiar fecha de venta hasta gastos.

46
00:04:04,830 --> 00:04:08,760
Esa fue la información que colocamos aquí en nuestro reporte.

47
00:04:10,510 --> 00:04:17,740
María Monte tiene el rol de caja y con las primeras siete actividades, desde cambiar fecha de venta

48
00:04:18,070 --> 00:04:26,920
hasta gastos, esta información la vamos a colocar aquí rol caja.

49
00:04:33,330 --> 00:04:35,410
Vamos a copiar esta información acá.

50
00:04:37,460 --> 00:04:39,020
Cuáles son esos accesos?

51
00:04:40,130 --> 00:04:41,030
Todos estos?

52
00:04:43,190 --> 00:04:49,250
Y ahora vamos a comparar de acuerdo a la matriz de roles y perfiles.

53
00:04:50,560 --> 00:04:53,740
Entonces hacemos la comparación.

54
00:04:58,140 --> 00:04:58,920
El rol.

55
00:05:00,740 --> 00:05:02,840
Gaja con K tiene el mismo rol.

56
00:05:04,430 --> 00:05:09,950
Vamos a ver las actividades cambiar fechas de venta, cambiar fecha de venta, apertura de cajón de

57
00:05:09,950 --> 00:05:17,570
monedas, apertura de cajón de monedas, opciones de K Opciones de K caja inicia k inicia observaciones

58
00:05:17,570 --> 00:05:18,650
de evento del día.

59
00:05:20,880 --> 00:05:22,470
Observaciones de venta del día.

60
00:05:23,220 --> 00:05:25,970
Devoluciones de ventas ya cobradas.

61
00:05:26,670 --> 00:05:28,680
Devoluciones de ventas ya cobradas.

62
00:05:28,860 --> 00:05:29,490
Gastos.

63
00:05:29,550 --> 00:05:30,180
Gastos.

64
00:05:30,810 --> 00:05:34,950
Entonces, como son los mismos accesos?

65
00:05:35,910 --> 00:05:37,050
Esto es apropiado?

66
00:05:39,520 --> 00:05:42,150
Y aquí le podemos poner este comentario.

67
00:05:45,160 --> 00:05:48,770
Los accesos son apropiados de acuerdo a lo establecido para su puesto.

68
00:05:52,340 --> 00:05:57,550
Muy bien, entonces seguimos con el siguiente caso.

69
00:05:57,800 --> 00:06:03,040
Ariel Paredes Vamos a ver cuáles son los accesos que tiene Ariel Paredes.

70
00:06:07,560 --> 00:06:09,270
Ariel Paredes tiene caja.

71
00:06:12,230 --> 00:06:14,420
Es supervisor de k tiene K.

72
00:06:30,620 --> 00:06:34,850
Y tiene estas actividades muy de.

73
00:06:38,020 --> 00:06:39,190
Vamos a comparar.

74
00:06:41,030 --> 00:06:43,430
Si Ariel Paredes de operaciones.

75
00:06:44,730 --> 00:06:48,160
Supervisor de caja tiene los accesos adecuados.

76
00:06:49,200 --> 00:06:51,390
El rol caja tiene el mismo rol.

77
00:06:52,980 --> 00:06:53,560
Muy bien.

78
00:07:01,320 --> 00:07:08,250
Y las actividades, modificaciones de venta, modificaciones de venta.

79
00:07:09,660 --> 00:07:11,490
Borrar ventas ya cobradas.

80
00:07:11,640 --> 00:07:15,630
Borrar ventas ya cobradas, nuevo cliente, nuevo cliente.

81
00:07:17,470 --> 00:07:18,670
Y aquí tenemos.

82
00:07:21,070 --> 00:07:25,030
Una actividad que tiene Ariel Paredes.

83
00:07:28,450 --> 00:07:34,060
La cual no está en su perfil, no está indicada en la matriz de roles y perfiles.

84
00:07:36,490 --> 00:07:39,310
Soy acaso colocábamos que no?

85
00:07:41,710 --> 00:07:47,050
E indicamos que el acceso no es apropiado por la actividad K inicia.

86
00:07:51,840 --> 00:08:00,300
De acuerdo a lo que leímos en la normativa de gestión de accesos de esta empresa, los accesos adicionales

87
00:08:00,420 --> 00:08:03,710
deben ser solicitados formalmente y autorizados.

88
00:08:04,500 --> 00:08:12,900
Entonces, luego de completar esta matriz para los accesos adicionales que identificamos, debemos de

89
00:08:12,900 --> 00:08:17,330
solicitar o indagar si existe alguna autorización referente a estos accesos.

90
00:08:21,410 --> 00:08:29,960
Todos seguimos con el siguiente caso y sería la misma dinámica completar acá cada uno de los.

91
00:08:32,720 --> 00:08:36,020
De los accesos que obtuvimos, lo que vamos a hacer es.

92
00:08:40,990 --> 00:08:44,190
Vamos a abrir esta pestaña donde ya tengo la tabla matriz llena.

93
00:08:47,640 --> 00:08:50,220
Okay, aquí tenemos la matriz completa.

94
00:08:53,490 --> 00:09:00,450
El tercer caso es hallar a Jimenez del área de contabilidad.

95
00:09:00,750 --> 00:09:03,540
Ella es encargada de inventario.

96
00:09:05,040 --> 00:09:07,070
Debe tener los roles stop.

97
00:09:08,030 --> 00:09:14,090
Y las actividades pedido a proveedores, entrada de stock, inventario, movimiento de stock de evolución

98
00:09:14,090 --> 00:09:14,960
de proveedores.

99
00:09:19,420 --> 00:09:27,310
Tiene el mismo rol Stok y tiene un rol adicional, el cual no está definido en su matriz de roles y

100
00:09:27,310 --> 00:09:28,150
perfiles.

101
00:09:31,770 --> 00:09:35,970
Y si vamos a las actividades, hay una actividad.

102
00:09:36,090 --> 00:09:37,170
Regulación.

103
00:09:37,650 --> 00:09:38,750
Regulación de stop.

104
00:09:39,870 --> 00:09:41,310
Que tampoco está definida.

105
00:09:43,220 --> 00:09:46,260
Este usuario tiene un rol y una actividad adicional.

106
00:09:48,540 --> 00:09:49,470
Colocábamos no?

107
00:09:49,560 --> 00:09:51,270
Y aquí agregamos la nota.

108
00:09:55,120 --> 00:09:59,580
En el caso de Ángel Salvador, encargado de tienda.

109
00:10:02,510 --> 00:10:05,570
Observamos que tiene el mismo rol.

110
00:10:07,600 --> 00:10:11,170
Pero en cuanto a las actividades, hay una de ellas.

111
00:10:11,200 --> 00:10:18,100
Mantenimiento de secciones que no la tienen, el sistema de acuerdo a la matriz de roles debería de

112
00:10:18,100 --> 00:10:20,590
tenerla, pero en el sistema no la tiene.

113
00:10:22,450 --> 00:10:30,340
En este escenario podemos concluir que sí es apropiado, porque el hecho de que el usuario tenga menos

114
00:10:30,340 --> 00:10:38,230
accesos del cual se indica en la matriz de roles, no necesariamente representa un riesgo para nosotros.

115
00:10:38,740 --> 00:10:45,330
Más bien, mientras menos accesos tenga los usuarios en el sistema para nosotros, mejor.

116
00:10:45,400 --> 00:10:51,220
Así que en este caso no es necesario que indiquemos que no es apropiado el acceso.

117
00:10:53,350 --> 00:10:59,290
Es muy posible que ya ese privilegio no lo necesite o que por algún motivo no sea necesario.

118
00:11:02,040 --> 00:11:04,590
Y por esa razón el usuario no lo tenga.

119
00:11:09,150 --> 00:11:14,100
Seguimos con el siguiente caso Laura Espaillat, de contabilidad oficial de cobros.

120
00:11:18,330 --> 00:11:27,120
O sea, el rol clientes con deuda y tres actividades de acceso es apropiado en el siguiente caso Manuel

121
00:11:27,120 --> 00:11:28,470
Moreno, de Contabilidad.

122
00:11:29,750 --> 00:11:32,480
Debe de poseer un rol y tres actividades.

123
00:11:33,070 --> 00:11:35,270
Posee ese rol clientes con deuda?

124
00:11:36,350 --> 00:11:37,340
Tres actividades.

125
00:11:37,400 --> 00:11:43,820
Y eso le causa una parte importante que debemos de comparar.

126
00:11:43,910 --> 00:11:49,460
Es el puesto de trabajo oficial de cobro.

127
00:11:50,270 --> 00:11:52,760
Manuel Moreno de acuerdo a Recursos Humanos.

128
00:11:53,630 --> 00:11:57,050
Es oficial de cobro del puesto de contabilidad.

129
00:12:00,610 --> 00:12:06,280
Si observamos la información que registramos del sistema.

130
00:12:08,090 --> 00:12:09,080
Manuel Moreno.

131
00:12:11,320 --> 00:12:17,590
Dice acá que es del departamento de contabilidad y tiene la posición de cajero.

132
00:12:22,270 --> 00:12:28,000
Entonces, aquí tenemos una discrepancia entre el puesto de trabajo que tiene el sistema registrado

133
00:12:28,090 --> 00:12:34,030
y el puesto de trabajo real que sustenta ese usuario o es empleado.

134
00:12:35,480 --> 00:12:42,190
Esto entonces, es muy posible que esa discrepancia haya provocado el acceso inadecuado, ya que aparentemente

135
00:12:42,460 --> 00:12:48,370
este empleado haya sido inicialmente cajero y haya tenido los privilegios de cajero.

136
00:12:48,490 --> 00:12:55,630
Luego fue ascendido a oficial de cobro y le hayan agregado los acceso del oficial de cobro sin haberle

137
00:12:55,630 --> 00:12:58,120
eliminado los accesos anteriores.

138
00:12:58,180 --> 00:13:02,860
Esto suele pasar en la gestión de acceso a las emociones de los usuarios.

139
00:13:02,890 --> 00:13:10,090
Pueden generar que se le agreguen accesos adicionales, pero si no existe un procedimiento de mantenimiento

140
00:13:10,090 --> 00:13:16,840
y actualización de privilegios, los privilegios anteriores se le pueden quedar provocando un riesgo.

141
00:13:22,190 --> 00:13:24,020
Entonces, en el caso de Manuel Moreno.

142
00:13:27,630 --> 00:13:30,510
No tenía su puesto actualizado en el sistema.

143
00:13:31,520 --> 00:13:40,110
Eso es algo que se puede reportar como un hallazgo y se puede recomendar que que sea revisado los puestos

144
00:13:40,110 --> 00:13:46,140
de trabajo de las informaciones de los empleados en el sistema de forma tal que se mantenga actualizada.

145
00:13:47,490 --> 00:13:50,250
Esa revisión debe de realizarse periódicamente.

146
00:13:51,720 --> 00:13:56,910
Entonces tiene un rol que no es apropiado de acuerdo a su perfil.

147
00:13:58,020 --> 00:14:02,510
Lo indicamos acá no acceso no apropiado por el rol K.

148
00:14:08,300 --> 00:14:10,550
El siguiente es de Urizar García.

149
00:14:13,390 --> 00:14:14,940
Quedas encargada de marketing?

150
00:14:16,410 --> 00:14:20,630
Y tiene exactamente los mismos privilegios que debería de tener.

151
00:14:23,250 --> 00:14:24,370
Por eso es apropiada.

152
00:14:31,750 --> 00:14:35,140
Tenemos nuestro siguiente caso Edward Castillo.

153
00:14:37,460 --> 00:14:39,170
Que también tiene un rol.

154
00:14:41,650 --> 00:14:42,690
Un rol adicional?

155
00:14:47,190 --> 00:14:48,440
Y otro último caso.

156
00:14:50,380 --> 00:14:53,240
Y es Abraham Castro encargado de contabilidad.

157
00:14:54,110 --> 00:14:56,240
Tiene los privilegios apropiados.

158
00:14:59,000 --> 00:15:07,660
Completada esta matriz, podemos ya observar cuantos usuarios tienen acceso adicionales que no son apropiados

159
00:15:08,930 --> 00:15:13,340
1, 2, 3, 4.

160
00:15:14,680 --> 00:15:17,150
Tenemos cuatro usuarios con acceso no apropiado.

161
00:15:18,310 --> 00:15:18,850
Muy bien.

162
00:15:18,970 --> 00:15:24,760
Luego de completar esta matriz, lo que hacemos es para los casos que identificamos que tienen acceso

163
00:15:24,760 --> 00:15:28,270
no apropiado, que fueron cuatro casos.

164
00:15:30,200 --> 00:15:37,310
Solicitamos al área, en este caso el área de tecnología, que de acuerdo al portal, que de acuerdo

165
00:15:37,310 --> 00:15:39,260
a la normativa de gestión de accesos.

166
00:15:39,380 --> 00:15:47,270
Ellos guardan las solicitudes de acceso adicionales y son quienes otorgan dichos accesos.

167
00:15:47,990 --> 00:15:55,990
Entonces a ellos les solicitamos los formularios de solicitud de acceso de estos usuarios.

168
00:15:57,260 --> 00:16:03,800
Entonces, luego de esta solicitud, ellos solamente nos enviaron un formulario que es este que tenemos

169
00:16:03,800 --> 00:16:04,190
acá.

170
00:16:05,540 --> 00:16:12,200
Formulario de solicitud de acceso a los sistemas aveses minimarket no tenemos la fecha.

171
00:16:15,280 --> 00:16:24,660
El nombre del empleado Ariel Paredes corresponde a este empleado Ariel Paredes.

172
00:16:26,810 --> 00:16:29,120
El cual tiene una actividad adicional.

173
00:16:31,210 --> 00:16:39,100
Entonces, formulario formularios indica que es un acceso para el sistema TPV, un 2 3, que es el sistema

174
00:16:39,130 --> 00:16:40,450
que estamos auditando.

175
00:16:41,620 --> 00:16:49,380
El error caja y la actividad keynesiano para este usuario se solicitó la actividad caja iniciada ronca

176
00:16:50,320 --> 00:16:55,510
y dice La nota se requiere para la comprobación de las modificaciones de venta.

177
00:16:56,830 --> 00:17:04,240
Confirmamos que la firma del dueño de los datos o de la persona autorizada para otorgar acceso.

178
00:17:06,780 --> 00:17:15,910
Y entonces corroboramos que es la misma actividad que fue requerida, tomando en cuenta que solamente

179
00:17:15,910 --> 00:17:25,570
recibimos el formulario de solicitud de acceso para el caso de Ariel Paredes y está debidamente completado

180
00:17:25,570 --> 00:17:29,170
de acuerdo a lo definido en la normativa de la empresa.

181
00:17:31,830 --> 00:17:34,500
Entonces este caso está justificado.

182
00:17:34,680 --> 00:17:42,540
Podemos podemos tomar como que este caso está justificado, pero para los demás.

183
00:17:44,220 --> 00:17:51,270
Casos no obtuvimos formulario de autorización de acceso, así que éstos debemos de reportarlo en el

184
00:17:51,270 --> 00:17:58,290
informe de auditoría, donde se indicaría que estos usuarios tienen accesos inapropiados o de acuerdo

185
00:17:58,290 --> 00:18:00,690
a la matriz de roles y perfiles.

186
00:18:01,860 --> 00:18:08,820
Entonces, ya con esta plantilla completada y luego de validar que no existe formulario de autorización

187
00:18:08,820 --> 00:18:13,050
de accesos adicionales, podemos dar como terminada esta revisión.