Riesgo: Acceso a los sistemas

Riesgo: Acceso a los sistemas

Descripción del Riesgo: El acceso a los sistemas no se monitorea correctamente, causando fraudes, errores, o falta de protección de la información confidencial.

Nombre del Control: Mantenimiento de derechos de acceso y perfiles

Descripción del Control: Se definen, establecen y mantienen los derechos de acceso (incluyendo una revisión periódica por parte del dueño del sistema designado). En particular:

- los logins genéricos están limitados de acuerdo con la Política de Seguridad para IS & IT de SodexhoGroup

- los logins expirados y nunca usados se eliminan después de un período de tiempo definido

- los logins se desactivan a medida que los empleados dejan la compañía

- El acceso dado a terceros (contratistas, vendedores, y personal que no pertenece a Sodexho) está bien definido y monitoreado. Existen procedimientos para otorgar a los usuarios sólo el acceso que necesitan.

Detalle del Recorrido de Control Interno:

Se verifica la existencia de la Política de Seguridad en WT-IST-020-1.

Cada creación de cuentas de aplicación es visada por el dueño de la aplicación (ABO) Control WT-IST-010-2.

Existen un procedimiento escrito de Creación y Mantención de Usuarios Aplicaciones WT-IST-020-2

Para la creación de cuentas de usuarios correspondientes a funcionarios externos estos deberán indicar la fecha de término del servicio a prestar adjuntando adicionalmente los documentos de aceptación de política de seguridad de la información y el acuerdo de confidencialidad a terceros.

Mensualmente cada ABO recibirá un listado con todos los usuarios activos los cuales verificará su validez y su correcta asignación del perfil. Para posteriormente enviar un email a IT con la visación o no de la lista de usuarios, en caso de que un usuario no este correctamente asignado, se procederá a la eliminación de dicha cuenta y a la investigación del proceso de creación o mantención de dicha cuenta. WT-IST-020-4-1- WT-IST-020-4-2

Semestralmente cada ABO verificará que los perfiles están correctamente definidos y creados de acuerdo a la clasificación de información y matriz de segregación de funciones.

WT-IST-020-4-1. La revisión correspondiente al segundo semestre de 2007 se está realizando en marzo de 2008.

Existe la evidencia de los formularios de "Solicitud de creación y mantención de usuarios SAP" en WT-IST-020-5 y "Solicitud de creación y mantención de usuarios PAYROLL" en WT-IST-020-6.

Existe la evidencia de la transacción para el listado de cuentas de usuarios sin movimientos en 90 y 45 días para el sistema PAYROLL en WT-IST-020-7.

Se valida la existencia del formulario "Cuentas de Acceso a Red LAN y Correo" en WT-IST-020-8 con las debidas autorizaciones y validaciones por parte del área de Soporte IT.

Existe evidencia de Matriz de Clasificación de Datos

en IT. WT-IST-020-9

Se pide:

1.- Busque y liste 5 Políticas de Seguridad de la información donde se contemple la Confidencialidad de la información dentro de la empresa.

2.- Defina Confidencialidad

3.- Revise el Flujograma de proceso, en el cual se busca incluir el riesgo y control descrito, ¿qué mejoras realizaría de este flujo de proceso?

[pic 1]

4.- Busque 5 Políticas de Seguridad de la Información diseñadas por empresas de Chile o Latinoamérica.

DESARROLLO

1)

• Establecer políticas del sistema de gestión de seguridad de la información.
• Establecer políticas de copias de seguridad para información de alto contenido.
• Establecer políticas de protección de datos y seguridad.
• Establecer políticas de intercambios de información con otras entidades con las cuales quiera hacer negocios.
• Establecer políticas de un control de acceso a las plataformas donde se encuentra la información.

2) Confidencialidad: Se debe garantizar que toda la información, según su clasificación, y sus medios de procesamiento y conservación, estén protegidos del acceso no autorizado, revelaciones accidentales, errores, fraudes, sabotaje, espionaje industrial, violación de la privacidad y otras acciones que pudieran dar acceso no autorizado a la información.

3) Las observaciones que le haría al flujo grama es implementar también una verificación más allá de que se vulnere la base de datos llevar un registro de quien también hace copias de los documentos de alto contenidos, intercambio de información, proteger los datos de personal de la propia entidad como también de hackers. 

...