Mantente actualizado de lo que pasa en el mundo de la Auditoría y el Control Interno

REGÍSTRATE GRATIS EN NUESTRO BOLETÍN

ISSN IMPRESO: 2665-1696 - ISSN ONLINE: 2665-3508

Ratio: 4 / 5

Inicio activadoInicio activadoInicio activadoInicio activadoInicio desactivado
 

 

Por: Javier Klus. Colaborador de Auditool

Aspectos claves a considerar al momento de evaluar la seguridad en el acceso a una aplicación

Uno de los aspectos más importantes a tener en consideración cuando evaluamos el ambiente de control de una compañía y más específicamente el  grado de madurez de su marco de control interno, es poder determinar los controles que la compañía ha implementado en cuanto al acceso no autorizado a aplicaciones de la compañía.

Como sabemos las empresas cada vez más dependen de los sistemas y aplicaciones computadorizadas, es decir la mayoría de los procesos de una compañía están soportados por sistemas: liquidamos sueldos, generamos órdenes de compra, facturamos, despachamos, generamos el balance de la compañía y podemos seguir enumerando otras actividades y funciones en donde los sistemas se han convertido en protagonistas indispensables para que una empresa pueda funcionar.

Teniendo en cuenta esta realidad, la cual se irá cada vez más potenciando en el tiempo, resulta innegable que debemos tener establecidos mecanismos que establezcan controles en el acceso a los sistemas y a las funciones que los mismos otorgan.

Como una guía para quienes están analizando esta dimensión, les adjunto 5 controles claves (tomen estos controles como un marco mínimo que cualquier compañía debería tener implementado a los fines de evitar riesgos).  Obviamente, en función de la complejidad, procesos y sistemas, cada compañía irá definiendo sus propias matrices de controles y controles claves.

Control Clave

Descripción

Las solicitudes de acceso a la aplicación son revisadas y autorizadas adecuadamente por la gerencia

Todas las solicitudes de acceso para usuarios de aplicaciones nuevas o existentes se revisan para verificar el cumplimiento de las prácticas/ políticas de trabajo de la compañía para garantizar que los derechos de acceso sean proporcionales a sus responsabilidades laborales, y los mismos son aprobados por una persona adecuada e ingresados de manera precisa en el sistema.

Los derechos de acceso de usuarios que han dejado de pertenecer a la organización son removidos en tiempo oportuno

Los derechos de acceso de los usuarios a las aplicaciones se eliminan de manera oportuna para los empleados despedidos.

Las transacciones  de súper-usuarios o bien usuarios genéricos sensitivos son monitoreadas de forma regular

Las transacciones o actividades de alto riesgo / poderosas (p.e. Super-usuarios, etc.) de aplicaciones y las identificaciones genéricas sensibles, se supervisan de acuerdo con la prácticas / políticas de trabajo de la compañía. Situaciones inesperadas son investigadas y resueltas de forma oportuna.

Los derechos de acceso a las aplicaciones se monitorean periódicamente para determinar su idoneidad

La Gerencia revisa periódicamente los derechos de acceso a las aplicaciones para garantizar que los derechos de acceso individuales sean proporcionales a las responsabilidadades de trabajo. Las excepciones indicadas se investigan y resuelven de manera oportuna.

Las contraseñas de las aplicaciones y las configuraciones de seguridad se parametrizan de manera efectiva

El acceso a las aplicaciones  está protegido con contraseñas y cumple con políticas documentadas o prácticas de trabajo que detallan las configuraciones de contraseñas (p.e. longitud mínima, caducidad, complejidad, etc.) y parámetros  de seguridad configurables (p.e. configuración de modo de seguridad, configuración fallida de bloqueo de inicio de sesión, etc.).

Como anteriormente les mocioné este es un marco mínimo (columna vertebral) de controles claves que deberíamos tener en cuenta y que la compañía debería tener implementados a fin de por mitigar los riesgos más relevantes.  Espero que los mismos les sean de utilidad.

 

Javier Klus

Gerente de Auditoría de una firma internacional de auditoría, especialista en Auditoría Interna, Control Interno, Auditoría, Evaluación de Riesgos, Riesgo Financiero, SOX, Gestión de Riesgo, Gestión de Proyectos, Riesgo Operacional. (Universidades Pontificia Universidad Católica Argentina, Instituto de Auditores Internos, Universidad Politécnica de Madrid, Universidad Argentina de la Empresa).

Buenos Aires, Argentina


Regístrese para que pueda comentar este documento

Auditool.org

Como miembro de Auditool accedes a Cursos Virtuales de Auditoría y Control Interno CPE, y a una completa Caja de Herramientas de Auditoría, permitiendo mejorar las habilidades de los Auditores, ahorrando tiempo y recursos, y creando y protegiendo valor en las organizaciones.

📰 SUSCRÍBETE EN NUESTRO BOLETÍN

Mantente actualizado de lo que pasa en el mundo de la Auditoría y el Control Interno.

 

lateralG3.2