Auditora de Sistemas de Informacin Universidad Diego Portales
Profesor: Carlos Lobos Medina
Pgina 1
Gestin de Accesos e Identidades I. CASO DE ESTUDIO
En la empresa de ingenieras y proyectos S.A. se han detectado recientemente una serie de fraudes realizados por dos ex trabajadores los cuales guardan relacin con la gestin de accesos e identidades. La problemtica se detect a partir de una serie de prdidas generadas por transacciones en las cuales se realizaba el pago de honorarios a personas que nunca han prestado servicios a la organizacin.
Despus de un intenso anlisis de los log de transacciones y auditora realizados por una empresa externa, se ha podido establecer la forma en la cual estos ex trabajadores realizaron el fraude, aprovechando debilidades en la gestin de accesos e identidades y el conocimiento del proceso, los ex funcionarios realizaban la suplantacin de usuarios para cometer el ilcito.
Entendiendo la problemtica y el dao no tan solo econmico que generan este tipo de incidentes, la alta gerencia ha decidido nombrarlo como el Gerente de Prevencin y Deteccin de Fraudes, siendo su primera misin el evaluar el estado actual de la gestin de accesos e identidades en los sistemas de informacin de la organizacin, para ello ha comenzado por revisar las polticas y procedimientos existentes.
Auditora de Sistemas de Informacin Universidad Diego Portales Profesor: Carlos Lobos Medina Pgina 2
La poltica de control de accesos e identidades establece que:
1. En relacin a las cuentas de accesos a los sistemas e informacin personal a) Todo empleado (RRHH) tiene un nico usuario en sistemas (tabla USUARIOS). Excepto los auxiliares, quienes no poseen cuenta. b) Las personas no se encuentran duplicadas en el sistema de RRHH (RRHH) c) El nombre del empleado (RRHH) debe ser igual al nombre en el sistema (tabla USUARIO) d) Los usuarios no pueden estar duplicados (USUARIOS) e) Valide que todos los usuarios creados (USUARIOS) se encuentren contratados (RRHH)
2. En relacin a las cuentas de correo a) Todo empleado (RRHH) debe tener un correo electrnico (USUARIOS). Excepto los auxiliares, quienes no poseen cuenta. b) Todo empleado debe tener un correo (USUARIOS) correspondiente a la empresa en la cual se desempea (RRHH) c) Toda cuentas de correos es personal e intransferible (USUARIOS)
3. En relacin a los plazos de creacin y eliminacin de cuentas a) Todo empleado contratado (RRHH) debe tener su cuenta creada (Usuarios) en un plazo no superior a los 5 das. b) Todo empleado desvinculado (RRHH) debe tener su cuenta cerrada (Usuarios) en un plazo no superior a 1 da.
4. En relacin a las contraseas a) Todo usuarios est obligado a cambiar su contrasea cada 90 das b) Todo usuario debe tener una contrasea de al menos un largo de 8 caracteres, la cual contenga letras (al menos una mayscula y minscula) ms nmeros. c) No se pueden utilizar contraseas ya utilizadas.
Auditora de Sistemas de Informacin Universidad Diego Portales Profesor: Carlos Lobos Medina Pgina 3
5. Sobre las restricciones de acceso a los sistemas a) El acceso a los sistemas (MUESTRA ACCESOS) es solo posible en el lugar y horario de trabajo (De 7:00 a 20:00), salvo en los casos que los usuarios requieran un acceso especial va VPN o FTP. b) Los usuarios que ingresan va VPN estn en un listado (ACCESO VPN) que debe estar aprobado por todos los miembros del comit de riesgo. Nadie que no est en la lista puede ingresar al sistema mediante VPN a la organizacin (MUESTRA ACCESOS). c) Los usuarios que utilizan FTP estn en un listado (ACCESO FTP) que debe estar aprobado por todos los miembros del comit de riesgo. Nadie que no est en la lista puede hacer uso de servicios de FTP en la organizacin (MUESTRA ACCESOS). . 6. Los perfiles de cargo de cada empleado (RRHH) deben contar con un adecuado perfil en el sistema (USUARIOS)
7. Sobre el uso de computadores y puestos de trabajos a) Todo usuario (USUARIOS) solo se puede conectar en su computador (Muestra Accesos) b) Todo computador (USUARIOS) debe permitir conectar a su usuario asignado (Muestra) c) Todo usuario (USUARIOS) solo debe conectarse con su IP (Muestra Accesos)
8. Uso de cuentas de invitado a) Existe una cuenta de invitados que solo debe ser utilizada por personal externo, nadie de la organizacin debe utilizar dicha cuenta para acceder a los sistemas. b) La conexin de invitados utiliza el usuario invitados y debe conectarse a travs del siguiente rango de IP: 175.54.22.10 - 175.54.22.15
Auditora de Sistemas de Informacin Universidad Diego Portales Profesor: Carlos Lobos Medina Pgina 4
CONSIDERACIONES GENERALES: Los auxiliares no poseen cuentas del sistemas ni correo electrnico Las contraseas estn codificadas en MD5 Dispone de una muestra de conexiones de Octubre del 2013 Cualquier anlisis que requiera una fecha de corete considere el 31-01-2013 Existe una cuenta invitados vlida para el uso de sistemas Los asesores cuentan con perfiles diversos de acuerdo al lugar y cargo de asesora, no existiendo un perfil ASESOR establecido La relacin entre IP y Computadores se encuentran adecuadamente en uso de acuerdo a una evaluacin externa realizada. Los datos duplicados le pueden traer problemas al momento de realizar las evaluaciones del punto 3 en adelante. Debe tomar la decisin de regularizarlos o excluirlos de cualquier anlisis. El comit de gestin de accesos lo componen el Gerente de Operaciones, el Gerente de Riesgo y el Gerente de TI.
Auditora de Sistemas de Informacin Universidad Diego Portales Profesor: Carlos Lobos Medina Pgina 5
SE PIDE: Genere un informe de auditora donde se establezca claramente: o Resumen Ejecutivo o Objetivo o Equipo Auditores o Desarrollo Criterios Poltica ISO 27002 COBIT 4.1 Procedimiento Hallazgos Evidencia Opciones de Mejora
Enve un informe en WORD y toda la evidencia desarrollada del caso a: o Carlos.lobos@udp.cl