Sunteți pe pagina 1din 5

Auditora de Sistemas de Informacin Universidad Diego Portales

Profesor: Carlos Lobos Medina


Pgina 1

Gestin de Accesos e Identidades
I. CASO DE ESTUDIO

En la empresa de ingenieras y proyectos S.A. se han detectado recientemente una serie de fraudes
realizados por dos ex trabajadores los cuales guardan relacin con la gestin de accesos e identidades. La
problemtica se detect a partir de una serie de prdidas generadas por transacciones en las cuales se
realizaba el pago de honorarios a personas que nunca han prestado servicios a la organizacin.

Despus de un intenso anlisis de los log de transacciones y auditora realizados por una empresa externa, se
ha podido establecer la forma en la cual estos ex trabajadores realizaron el fraude, aprovechando
debilidades en la gestin de accesos e identidades y el conocimiento del proceso, los ex funcionarios
realizaban la suplantacin de usuarios para cometer el ilcito.

Entendiendo la problemtica y el dao no tan solo econmico que generan este tipo de incidentes, la alta
gerencia ha decidido nombrarlo como el Gerente de Prevencin y Deteccin de Fraudes, siendo su primera
misin el evaluar el estado actual de la gestin de accesos e identidades en los sistemas de informacin de la
organizacin, para ello ha comenzado por revisar las polticas y procedimientos existentes.




Auditora de Sistemas de Informacin Universidad Diego Portales
Profesor: Carlos Lobos Medina
Pgina 2

La poltica de control de accesos e identidades establece que:

1. En relacin a las cuentas de accesos a los sistemas e informacin personal
a) Todo empleado (RRHH) tiene un nico usuario en sistemas (tabla USUARIOS). Excepto los
auxiliares, quienes no poseen cuenta.
b) Las personas no se encuentran duplicadas en el sistema de RRHH (RRHH)
c) El nombre del empleado (RRHH) debe ser igual al nombre en el sistema (tabla USUARIO)
d) Los usuarios no pueden estar duplicados (USUARIOS)
e) Valide que todos los usuarios creados (USUARIOS) se encuentren contratados (RRHH)

2. En relacin a las cuentas de correo
a) Todo empleado (RRHH) debe tener un correo electrnico (USUARIOS). Excepto los auxiliares,
quienes no poseen cuenta.
b) Todo empleado debe tener un correo (USUARIOS) correspondiente a la empresa en la cual se
desempea (RRHH)
c) Toda cuentas de correos es personal e intransferible (USUARIOS)

3. En relacin a los plazos de creacin y eliminacin de cuentas
a) Todo empleado contratado (RRHH) debe tener su cuenta creada (Usuarios) en un plazo no
superior a los 5 das.
b) Todo empleado desvinculado (RRHH) debe tener su cuenta cerrada (Usuarios) en un plazo no
superior a 1 da.

4. En relacin a las contraseas
a) Todo usuarios est obligado a cambiar su contrasea cada 90 das
b) Todo usuario debe tener una contrasea de al menos un largo de 8 caracteres, la cual contenga
letras (al menos una mayscula y minscula) ms nmeros.
c) No se pueden utilizar contraseas ya utilizadas.



Auditora de Sistemas de Informacin Universidad Diego Portales
Profesor: Carlos Lobos Medina
Pgina 3

5. Sobre las restricciones de acceso a los sistemas
a) El acceso a los sistemas (MUESTRA ACCESOS) es solo posible en el lugar y horario de trabajo
(De 7:00 a 20:00), salvo en los casos que los usuarios requieran un acceso especial va VPN o
FTP.
b) Los usuarios que ingresan va VPN estn en un listado (ACCESO VPN) que debe estar
aprobado por todos los miembros del comit de riesgo. Nadie que no est en la lista puede
ingresar al sistema mediante VPN a la organizacin (MUESTRA ACCESOS).
c) Los usuarios que utilizan FTP estn en un listado (ACCESO FTP) que debe estar aprobado por
todos los miembros del comit de riesgo. Nadie que no est en la lista puede hacer uso de
servicios de FTP en la organizacin (MUESTRA ACCESOS).
.
6. Los perfiles de cargo de cada empleado (RRHH) deben contar con un adecuado perfil en el sistema
(USUARIOS)

7. Sobre el uso de computadores y puestos de trabajos
a) Todo usuario (USUARIOS) solo se puede conectar en su computador (Muestra Accesos)
b) Todo computador (USUARIOS) debe permitir conectar a su usuario asignado (Muestra)
c) Todo usuario (USUARIOS) solo debe conectarse con su IP (Muestra Accesos)

8. Uso de cuentas de invitado
a) Existe una cuenta de invitados que solo debe ser utilizada por personal externo, nadie de la
organizacin debe utilizar dicha cuenta para acceder a los sistemas.
b) La conexin de invitados utiliza el usuario invitados y debe conectarse a travs del siguiente
rango de IP: 175.54.22.10 - 175.54.22.15




Auditora de Sistemas de Informacin Universidad Diego Portales
Profesor: Carlos Lobos Medina
Pgina 4

CONSIDERACIONES GENERALES:
Los auxiliares no poseen cuentas del sistemas ni correo electrnico
Las contraseas estn codificadas en MD5
Dispone de una muestra de conexiones de Octubre del 2013
Cualquier anlisis que requiera una fecha de corete considere el 31-01-2013
Existe una cuenta invitados vlida para el uso de sistemas
Los asesores cuentan con perfiles diversos de acuerdo al lugar y cargo de asesora, no existiendo
un perfil ASESOR establecido
La relacin entre IP y Computadores se encuentran adecuadamente en uso de acuerdo a una
evaluacin externa realizada.
Los datos duplicados le pueden traer problemas al momento de realizar las evaluaciones del
punto 3 en adelante. Debe tomar la decisin de regularizarlos o excluirlos de cualquier anlisis.
El comit de gestin de accesos lo componen el Gerente de Operaciones, el Gerente de Riesgo y
el Gerente de TI.




Auditora de Sistemas de Informacin Universidad Diego Portales
Profesor: Carlos Lobos Medina
Pgina 5

SE PIDE:
Genere un informe de auditora donde se establezca claramente:
o Resumen Ejecutivo
o Objetivo
o Equipo Auditores
o Desarrollo
Criterios
Poltica
ISO 27002
COBIT 4.1
Procedimiento
Hallazgos
Evidencia
Opciones de Mejora

Enve un informe en WORD y toda la evidencia desarrollada del caso a:
o Carlos.lobos@udp.cl

Fecha de entrega lunes 30 de junio.

S-ar putea să vă placă și