Cómo auditar el control de accesos sin ser ingeniero de sistemas

El 74% de las brechas de datos involucra accesos indebidos. Aquí está todo lo que necesitas saber para auditarlos — sin escribir una sola línea de código.

Cuando un empleado puede hacer cosas que no debería poder hacer en los sistemas de la empresa, hay un problema de control de accesos. Cuando ese mismo empleado lleva meses o años con esos permisos y nadie lo ha revisado, hay un problema de auditoría.

El control de accesos no es un tema de ingenieros. Es un tema de gobierno, segregación de funciones y gestión del riesgo. No necesitas entender cómo funciona un directorio activo para detectar que el contador tiene acceso de administrador al ERP, o que un ex-empleado todavía puede ingresar al sistema de nómina.

"El auditor no necesita saber cómo se configura un permiso. Necesita saber si el permiso que existe tiene sentido — y si alguien lo ha revisado alguna vez."

Los 3 errores que el auditor debe buscar siempre

Accesos huérfanos

Usuarios que siguen activos en el sistema después de haber salido de la empresa o cambiado de cargo. Son la puerta más fácil de abrir — no requieren sofisticación técnica, simplemente nadie los cerró.

Acumulación de privilegios

Empleados que han cambiado de área o cargo y conservan los permisos de todos sus roles anteriores. Con el tiempo acumulan un nivel de acceso que ningún cargo individual justifica.

Conflictos de segregación de funciones

Un mismo usuario que puede crear un proveedor y aprobar un pago. Que puede registrar un ingreso y también hacer el arqueo. Cada conflicto es una oportunidad de fraude sin necesidad de complicidad externa.

Cómo lo hace el auditor en la práctica

No se necesita acceso técnico directo a los sistemas. Se necesita la información correcta, pedida a las personas correctas.

Solicita el listado completo de usuarios activos

Con nombre, cargo, área, perfil de acceso y fecha del último ingreso. Cruza con el reporte de nómina activa. Cualquier usuario fuera de nómina es un acceso huérfano.

Compara perfiles contra funciones reales del cargo

Toma una muestra de 10 a 15 usuarios en áreas críticas (tesorería, compras, nómina). Por cada uno, contrasta qué funciones hace vs. qué tiene habilitado. La brecha entre ambas es el riesgo.

Identifica los conflictos de segregación

Define los pares de funciones incompatibles para tu sector. Busca si algún perfil las combina. Esto no requiere código: requiere criterio de negocio.

Verifica si existe un proceso formal de revisión periódica

¿Quién revisa accesos cuando alguien cambia de cargo? ¿Hay procedimiento para revocarlos al momento de la desvinculación? Si no hay evidencia de aplicación, es un hallazgo independiente.

Caso real

Empresa manufacturera, 400 empleados. El auditor solicita el listado del ERP: 23 usuarios activos no aparecen en nómina. De esos, 4 tienen perfil de administrador financiero. Uno había salido de la empresa 14 meses atrás.

Hallazgo crítico documentado en menos de 2 horas. Sin conocimiento técnico. Solo una lista de usuarios y el reporte de nómina activa.

Las tres preguntas que el auditor siempre debe exigir responder

¿Quién aprueba los accesos? — El dueño del proceso de negocio debe autorizar el acceso al proceso que controla, no simplemente el área de TI.

¿Con qué frecuencia se revisan? — La revisión anual es el mínimo aceptable para sistemas críticos. Semestral o trimestral es el estándar en organizaciones con mayor exposición al riesgo.

¿Qué pasa cuando alguien sale? — La revocación debe ser inmediata — el mismo día — con evidencia documentada. No la semana siguiente.

Herramienta gratuita para suscriptores

Checklist del auditor

Control de accesos: Verificaciones esenciales

El instrumento que necesitas para aplicar todo lo de este artículo en tu próxima auditoría: verificaciones organizadas por área de riesgo, columnas de evidencia y campo de hallazgo. Listo para usar desde el primer día.

Descargar gratis — Suscríbete a Auditool

Sin costo · Solo para suscriptores · Descarga inmediata

AUDITOOL

La comunidad de auditores más grande de América Latina · auditool.org