ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Riesgo: Acceso a los sistemas


Enviado por   •  21 de Octubre de 2019  •  Apuntes  •  655 Palabras (3 Páginas)  •  76 Visitas

Página 1 de 3

Riesgo: Acceso a los sistemas

Descripción del Riesgo: El acceso a los sistemas no se monitorea correctamente, causando fraudes, errores, o falta de protección de la información confidencial.

Nombre del Control: Mantenimiento de derechos de acceso y perfiles

Descripción del Control: Se definen, establecen y mantienen los derechos de acceso (incluyendo una revisión periódica por parte del dueño del sistema designado). En particular:

- los logins genéricos están limitados de acuerdo con la Política de Seguridad para IS & IT de SodexhoGroup

- los logins expirados y nunca usados se eliminan después de un período de tiempo definido

- los logins se desactivan a medida que los empleados dejan la compañía

- El acceso dado a terceros (contratistas, vendedores, y personal que no pertenece a Sodexho) está bien definido y monitoreado. Existen procedimientos para otorgar a los usuarios sólo el acceso que necesitan.

Detalle del Recorrido de Control Interno:

Se verifica la existencia de la Política de Seguridad en WT-IST-020-1.

Cada creación de cuentas de aplicación es visada por el dueño de la aplicación (ABO) Control WT-IST-010-2.

Existen un procedimiento escrito de Creación y Mantención de Usuarios Aplicaciones WT-IST-020-2

Para la creación de cuentas de usuarios correspondientes a funcionarios externos estos deberán indicar la fecha de término del servicio a prestar adjuntando adicionalmente los documentos de aceptación de política de seguridad de la información y el acuerdo de confidencialidad a terceros.

Mensualmente cada ABO recibirá un listado con todos los usuarios activos los cuales verificará su validez y su correcta asignación del perfil. Para posteriormente enviar un email a IT con la visación o no de la lista de usuarios, en caso de que un usuario no este correctamente asignado, se procederá a la eliminación de dicha cuenta y a la investigación del proceso de creación o mantención de dicha cuenta. WT-IST-020-4-1- WT-IST-020-4-2

Semestralmente cada ABO verificará que los perfiles están correctamente definidos y creados de acuerdo a la clasificación de información y matriz de segregación de funciones.

WT-IST-020-4-1. La revisión correspondiente al segundo semestre de 2007 se está realizando en marzo de 2008.

Existe la evidencia de los formularios de "Solicitud de creación y mantención de usuarios SAP" en WT-IST-020-5 y "Solicitud de creación y mantención de usuarios PAYROLL" en WT-IST-020-6.

Existe la evidencia de la transacción para el listado de cuentas de usuarios sin movimientos en 90 y 45 días para el sistema PAYROLL en WT-IST-020-7.

Se valida la existencia del formulario "Cuentas de Acceso a Red LAN y Correo" en WT-IST-020-8 con las debidas autorizaciones y validaciones por parte del área de Soporte IT.

Existe evidencia de Matriz de Clasificación de Datos

en IT. WT-IST-020-9

Se pide:

1.- Busque y liste 5 Políticas de Seguridad de la información donde se contemple la Confidencialidad de la información dentro de la empresa.

2.- Defina Confidencialidad

3.- Revise el Flujograma de proceso, en el cual se busca incluir el riesgo y control descrito, ¿qué mejoras realizaría de este flujo de proceso?

...

Descargar como (para miembros actualizados)  txt (5 Kb)   pdf (91.1 Kb)   docx (112.8 Kb)  
Leer 2 páginas más »
Leer documento completo Guardar
Disponible sólo en Clubensayos.com