viernes, 7 de junio de 2019

¿CÓMO EVALUAR LA SEGURIDAD EN EL ACCESO A UNA APLICACIÓN?

Estándar
AUDITORÍA DE TI  
Por: Javier Klus. Colaborador de Auditool
Aspectos claves a considerar al momento de evaluar la seguridad en el acceso a una aplicación
Uno de los aspectos más importantes a tener en consideración cuando evaluamos el ambiente de control de una compañía y más específicamente el  grado de madurez de su marco de control interno, es poder determinar los controles que la compañía ha implementado en cuanto al acceso no autorizado a aplicaciones de la compañía.
Como sabemos las empresas cada vez más dependen de los sistemas y aplicaciones computadorizadas, es decir la mayoría de los procesos de una compañía están soportados por sistemas: liquidamos sueldos, generamos órdenes de compra, facturamos, despachamos, generamos el balance de la compañía y podemos seguir enumerando otras actividades y funciones en donde los sistemas se han convertido en protagonistas indispensables para que una empresa pueda funcionar.
Teniendo en cuenta esta realidad, la cual se irá cada vez más potenciando en el tiempo, resulta innegable que debemos tener establecidos mecanismos que establezcan controles en el acceso a los sistemas y a las funciones que los mismos otorgan.
Como una guía para quienes están analizando esta dimensión, les adjunto 5 controles claves (tomen estos controles como un marco mínimo que cualquier compañía debería tener implementado a los fines de evitar riesgos).  Obviamente, en función de la complejidad, procesos y sistemas, cada compañía irá definiendo sus propias matrices de controles y controles claves.
Control ClaveDescripción
Las solicitudes de acceso a la aplicación son revisadas y autorizadas adecuadamente por la gerenciaTodas las solicitudes de acceso para usuarios de aplicaciones nuevas o existentes se revisan para verificar el cumplimiento de las prácticas/ políticas de trabajo de la compañía para garantizar que los derechos de acceso sean proporcionales a sus responsabilidades laborales, y los mismos son aprobados por una persona adecuada e ingresados de manera precisa en el sistema.
Los derechos de acceso de usuarios que han dejado de pertenecer a la organización son removidos en tiempo oportunoLos derechos de acceso de los usuarios a las aplicaciones se eliminan de manera oportuna para los empleados despedidos.
Las transacciones  de súper-usuarios o bien usuarios genéricos sensitivos son monitoreadas de forma regularLas transacciones o actividades de alto riesgo / poderosas (p.e. Super-usuarios, etc.) de aplicaciones y las identificaciones genéricas sensibles, se supervisan de acuerdo con la prácticas / políticas de trabajo de la compañía. Situaciones inesperadas son investigadas y resueltas de forma oportuna.
Los derechos de acceso a las aplicaciones se monitorean periódicamente para determinar su idoneidadLa Gerencia revisa periódicamente los derechos de acceso a las aplicaciones para garantizar que los derechos de acceso individuales sean proporcionales a las responsabilidadades de trabajo. Las excepciones indicadas se investigan y resuelven de manera oportuna.
Las contraseñas de las aplicaciones y las configuraciones de seguridad se parametrizan de manera efectivaEl acceso a las aplicaciones  está protegido con contraseñas y cumple con políticas documentadas o prácticas de trabajo que detallan las configuraciones de contraseñas (p.e. longitud mínima, caducidad, complejidad, etc.) y parámetros  de seguridad configurables (p.e. configuración de modo de seguridad, configuración fallida de bloqueo de inicio de sesión, etc.).
Como anteriormente les mencioné este es un marco mínimo (columna vertebral) de controles claves que deberíamos tener en cuenta y que la compañía debería tener implementados a fin de por mitigar los riesgos más relevantes.  Espero que los mismos les sean de utilidad.
Javier Klus
Gerente de Auditoría de una firma internacional de auditoría, especialista en Auditoría Interna, Control Interno, Auditoría, Evaluación de Riesgos, Riesgo Financiero, SOX, Gestión de Riesgo, Gestión de Proyectos, Riesgo Operacional. (Universidades Pontificia Universidad Católica Argentina, Instituto de Auditores Internos, Universidad Politécnica de Madrid, Universidad Argentina de la Empresa).
Buenos Aires, Argentina

No hay comentarios.:

Publicar un comentario