Riesgo: Acceso a los sistemas
Enviado por nayareth27 • 21 de Octubre de 2019 • Apuntes • 655 Palabras (3 Páginas) • 92 Visitas
Riesgo: Acceso a los sistemas
Descripción del Riesgo: El acceso a los sistemas no se monitorea correctamente, causando fraudes, errores, o falta de protección de la información confidencial.
Nombre del Control: Mantenimiento de derechos de acceso y perfiles
Descripción del Control: Se definen, establecen y mantienen los derechos de acceso (incluyendo una revisión periódica por parte del dueño del sistema designado). En particular:
- los logins genéricos están limitados de acuerdo con la Política de Seguridad para IS & IT de SodexhoGroup
- los logins expirados y nunca usados se eliminan después de un período de tiempo definido
- los logins se desactivan a medida que los empleados dejan la compañía
- El acceso dado a terceros (contratistas, vendedores, y personal que no pertenece a Sodexho) está bien definido y monitoreado. Existen procedimientos para otorgar a los usuarios sólo el acceso que necesitan.
Detalle del Recorrido de Control Interno:
Se verifica la existencia de la Política de Seguridad en WT-IST-020-1.
Cada creación de cuentas de aplicación es visada por el dueño de la aplicación (ABO) Control WT-IST-010-2.
Existen un procedimiento escrito de Creación y Mantención de Usuarios Aplicaciones WT-IST-020-2
Para la creación de cuentas de usuarios correspondientes a funcionarios externos estos deberán indicar la fecha de término del servicio a prestar adjuntando adicionalmente los documentos de aceptación de política de seguridad de la información y el acuerdo de confidencialidad a terceros.
Mensualmente cada ABO recibirá un listado con todos los usuarios activos los cuales verificará su validez y su correcta asignación del perfil. Para posteriormente enviar un email a IT con la visación o no de la lista de usuarios, en caso de que un usuario no este correctamente asignado, se procederá a la eliminación de dicha cuenta y a la investigación del proceso de creación o mantención de dicha cuenta. WT-IST-020-4-1- WT-IST-020-4-2
Semestralmente cada ABO verificará que los perfiles están correctamente definidos y creados de acuerdo a la clasificación de información y matriz de segregación de funciones.
WT-IST-020-4-1. La revisión correspondiente al segundo semestre de 2007 se está realizando en marzo de 2008.
Existe la evidencia de los formularios de "Solicitud de creación y mantención de usuarios SAP" en WT-IST-020-5 y "Solicitud de creación y mantención de usuarios PAYROLL" en WT-IST-020-6.
Existe la evidencia de la transacción para el listado de cuentas de usuarios sin movimientos en 90 y 45 días para el sistema PAYROLL en WT-IST-020-7.
Se valida la existencia del formulario "Cuentas de Acceso a Red LAN y Correo" en WT-IST-020-8 con las debidas autorizaciones y validaciones por parte del área de Soporte IT.
Existe evidencia de Matriz de Clasificación de Datos
en IT. WT-IST-020-9
Se pide:
1.- Busque y liste 5 Políticas de Seguridad de la información donde se contemple la Confidencialidad de la información dentro de la empresa.
2.- Defina Confidencialidad
3.- Revise el Flujograma de proceso, en el cual se busca incluir el riesgo y control descrito, ¿qué mejoras realizaría de este flujo de proceso?
...