¿CÓMO EVALUAR LA SEGURIDAD EN EL ACCESO A UNA APLICACIÓN?
Estándar
Por: Javier Klus. Colaborador de Auditool
Aspectos claves a considerar al momento de evaluar la seguridad en el acceso a una aplicación
Uno de los aspectos más importantes a tener en consideración cuando evaluamos el ambiente de control de una compañía y más específicamente el grado de madurez de su marco de control interno, es poder determinar los controles que la compañía ha implementado en cuanto al acceso no autorizado a aplicaciones de la compañía.
Como sabemos las empresas cada vez más dependen de los sistemas y aplicaciones computadorizadas, es decir la mayoría de los procesos de una compañía están soportados por sistemas: liquidamos sueldos, generamos órdenes de compra, facturamos, despachamos, generamos el balance de la compañía y podemos seguir enumerando otras actividades y funciones en donde los sistemas se han convertido en protagonistas indispensables para que una empresa pueda funcionar.
Teniendo en cuenta esta realidad, la cual se irá cada vez más potenciando en el tiempo, resulta innegable que debemos tener establecidos mecanismos que establezcan controles en el acceso a los sistemas y a las funciones que los mismos otorgan.
Como una guía para quienes están analizando esta dimensión, les adjunto 5 controles claves (tomen estos controles como un marco mínimo que cualquier compañía debería tener implementado a los fines de evitar riesgos). Obviamente, en función de la complejidad, procesos y sistemas, cada compañía irá definiendo sus propias matrices de controles y controles claves.
Control Clave | Descripción |
Las solicitudes de acceso a la aplicación son revisadas y autorizadas adecuadamente por la gerencia | Todas las solicitudes de acceso para usuarios de aplicaciones nuevas o existentes se revisan para verificar el cumplimiento de las prácticas/ políticas de trabajo de la compañía para garantizar que los derechos de acceso sean proporcionales a sus responsabilidades laborales, y los mismos son aprobados por una persona adecuada e ingresados de manera precisa en el sistema. |
Los derechos de acceso de usuarios que han dejado de pertenecer a la organización son removidos en tiempo oportuno | Los derechos de acceso de los usuarios a las aplicaciones se eliminan de manera oportuna para los empleados despedidos. |
Las transacciones de súper-usuarios o bien usuarios genéricos sensitivos son monitoreadas de forma regular | Las transacciones o actividades de alto riesgo / poderosas (p.e. Super-usuarios, etc.) de aplicaciones y las identificaciones genéricas sensibles, se supervisan de acuerdo con la prácticas / políticas de trabajo de la compañía. Situaciones inesperadas son investigadas y resueltas de forma oportuna. |
Los derechos de acceso a las aplicaciones se monitorean periódicamente para determinar su idoneidad | La Gerencia revisa periódicamente los derechos de acceso a las aplicaciones para garantizar que los derechos de acceso individuales sean proporcionales a las responsabilidadades de trabajo. Las excepciones indicadas se investigan y resuelven de manera oportuna. |
Las contraseñas de las aplicaciones y las configuraciones de seguridad se parametrizan de manera efectiva | El acceso a las aplicaciones está protegido con contraseñas y cumple con políticas documentadas o prácticas de trabajo que detallan las configuraciones de contraseñas (p.e. longitud mínima, caducidad, complejidad, etc.) y parámetros de seguridad configurables (p.e. configuración de modo de seguridad, configuración fallida de bloqueo de inicio de sesión, etc.). |
Como anteriormente les mencioné este es un marco mínimo (columna vertebral) de controles claves que deberíamos tener en cuenta y que la compañía debería tener implementados a fin de por mitigar los riesgos más relevantes. Espero que los mismos les sean de utilidad.
No hay comentarios.:
Publicar un comentario