Hallazgo en una auditoria Genesis Torres

 Durante la revisión de los procedimientos de alta y baja de usuarios, así como la asignación de permisos en los sistemas críticos (ERP y CRM), se identificó que no existe un proceso formal y documentado para la revisión periódica de los derechos de acceso de los usuarios privilegiados. Se evidenció que las cuentas con permisos administrativos permanecen activas indefinidamente, incluso después de que los usuarios cambian de rol o dejan la organización, sin una justificación clara ni una fecha de caducidad establecida.

Evidencia:

  • Entrevistas con el personal de TI y Recursos Humanos.
  • Revisión de logs de acceso y listados de usuarios de los sistemas ERP y CRM, donde se encontraron cinco (5) cuentas con privilegios administrativos asignadas a exempleados o usuarios que ya no requieren dichos accesos.
  • Ausencia de registros o actas de reuniones que demuestren la revisión periódica de los permisos de acceso privilegiado.

Implicación (Riesgo Potencial):

La falta de una revisión periódica de los derechos de acceso privilegiado aumenta significativamente el riesgo de accesos no autorizados a información sensible y sistemas críticos. Esto podría conducir a:

  • Violaciones de datos: Exfiltración, alteración o destrucción de información confidencial.
  • Actividades maliciosas: Uso indebido de los accesos por parte de exempleados o por actores internos maliciosos.
  • Incumplimiento normativo: Potenciales multas y sanciones debido al incumplimiento de regulaciones de protección de datos (ej. GDPR, LOPD).
  • Daño a la reputación: Pérdida de confianza de clientes y socios comerciales.

Recomendación:

Implementar un procedimiento documentado para la revisión periódica (al menos trimestral) de los derechos de acceso privilegiado. Este procedimiento debe incluir:

  1. Definición de las responsabilidades para llevar a cabo la revisión.
  2. Criterios claros para determinar la necesidad de mantener o revocar permisos privilegiados.
  3. Un registro de las revisiones realizadas, incluyendo la fecha, los revisores, los usuarios y permisos revisados, y las acciones tomadas.
  4. Capacitación al personal relevante sobre la importancia y el procedimiento de la gestión de accesos privilegiados.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Normas COBIT 5 y 2019. Qué son, para qué sirven, y cuáles son sus beneficios (Ricardo Marín)

       En el complejo entorno empresarial actual, la información y la tecnología (I&T) son fundamentales para la innovación, el crecimiento y la eficiencia operativa. Para ayudar a las organizaciones a gestionar y gobernar sus activos de I&T de manera efectiva, ISACA (Information Systems Audit and Control Association) ha desarrollado COBIT, un marco de referencia reconocido globalmente , con dos versiones especialmente relevantes, COBIT 5 , y su evolución, COBIT 2019 . Antes de adentrarnos en estas versiones más recientes, es útil entender cómo y por qué surgió este influyente marco.      COBIT no apareció de la noche a la mañana como el extenso marco de gobierno que conocemos hoy. Sus raíces se remontan a principios de la década de 1990, cuando la comunidad de auditoría de sistemas de información identificó la necesidad de contar con un conjunto de controles y objetivos de control estandarizados para los procesos de TI. La primera versión, co...
Leer más

Artículo 9: Delitos Informáticos en Venezuela 2025: Análisis de la Legislación Vigente (Ricardo Marín)

Si bien la tecnología ha impulsado el progreso en Venezuela, también ha abierto un abanico de nuevas formas de delincuencia en el ciberespacio. A pesar de la existencia de la Ley Especial contra los Delitos Informáticos desde 2001, la pregunta que surge en este 2025 es si este marco legal se mantiene a la altura de la sofisticación y diversidad de los fraudes que hoy en día se presentan en el entorno digital venezolano. En opinión de muchos expertos y víctimas, la respuesta podría ser un tanto preocupante, dejando importantes áreas grises sin una clara definición ni sanción. La ley, en su momento, representó un avance al tipificar conductas como el acceso indebido, el daño a sistemas y la falsificación de documentos electrónicos. Sin embargo, el panorama del cibercrimen ha evolucionado a una velocidad vertiginosa, presentando desafíos que quizás la legislación actual no aborda de manera exhaustiva. Uno de los principales puntos de debate radica en la limitada extensión de la ley frent...
Leer más

Ley de Infogobierno y Auditoría de Sistemas en Venezuela (Ricardo Marín)

     La Ley de Infogobierno en Venezuela, formalmente conocida como Decreto con Rango, Valor y Fuerza de Ley sobre Infogobierno, fue promulgada y publicada en la Gaceta Oficial N° 40.274 el 17 de octubre de 2013. Su objetivo principal es establecer el marco normativo para el uso de las Tecnologías de Información (TI) en el Poder Público y el Poder Popular. Busca transformar la gestión pública a través de la eficiencia, la transparencia, la participación ciudadana y la promoción de la soberanía tecnológica, principalmente mediante el uso prioritario de Software Libre y estándares abiertos en la administración pública venezolana. Las implicaciones de esta ley para el país son significativas, ya que mandata una profunda transformación digital en el sector público. Exige que los entes gubernamentales adopten y utilicen las TI para optimizar sus procesos internos, mejorar la prestación de servicios a los ciudadanos (gobierno electrónico), garantizar la interoperabilidad entre ...
Leer más