Día 3

Existen 14 RAFITs

Existen 12 RAFITs

Existen 13 RAFITs

No hay RAFITs definidos, se deben crear

Verdadero

Falso

Solicitud de creación/modificación de usuarios

Existencia de un GRC para la segregación de funciones

Aprobación para creación/modificación de usuarios

Evidencias de pruebas de cambios

Para identificar la cantidad de días en que el usuario accedió al sistema debo realizar una resta simple entre la fecha de deshabilitación en el sistema – fecha de cese

Para identificar la cantidad de días en que se demoró el área de TI en desactivar las cuentas de usuario debo realizar una resta simple entre la fecha de último logon en el sistema – fecha de cese

Para identificar la cantidad de días en que se demoró el área de TI en desactivar las cuentas de usuario debo realizar una resta entre la fecha de deshabilitación en el sistema – fecha de cese, sin considerar fines de semana ni feriados

Para identificar la cantidad de días en que se demoró el área de TI en desactivar las cuentas de usuario debo realizar una resta simple entre la fecha de deshabilitación en el sistema – fecha de cese

Informe de resultado de la certificación de cuentas de usuario

Archivos fuente e IPE de los archivos

Evidencias del análisis de impacto por los casos no autorizados

Matriz de segregación de funciones

Si el monitoreo se realiza sobre algunas transacciones/tablas críticas, se debe solicitar un análisis de riesgo (sustento) al cliente del motivo por el cual limita su monitoreo

La revisión de los usuarios privilegiados debe partir desde los usuarios conocidos

Los usuarios privilegiados que identificó el cliente en su monitoreo se puede corroborar en el control de GITC relacionado a gestión de usuarios privilegiados

Para validar el control de usuarios privilegiados, debo revisar todos los usuarios privilegiados creados en el periodo y obtener evidencia de solicitud y aprobación para la creación

Obtener evidencia sobre los usuarios privilegiados deshabilitados en el periodo de auditoría

Los usuarios privilegiados creados en años anteriores debo revisarlos y solo enviar los necesarios a revalidar al cliente para saber si están autorizados

Reviso, obligatoriamente, la última modificación de los programas relacionado a cada ITAC

Resultan inefectivos los ITACs de acceso

Resultan inefectivos los ITACs de acceso, cambios, interfaz

Resultan inefectivos los ITACs de configuración

Resultan inefectivos los ITACs de configuración, interfaz, accesos

Reviso el mini GITC de la herramienta de tickets

Selecciono la muestra de cambios sobre los objetos (con última fecha de modificación) extraído desde el ambiente de producción

Probar la integridad de los cambios, a través del cruce de los objetos del ambiente de producción vs los tickets de la herramienta

Identificar cuáles son los accesos que te permiten realizar pase a producción y desarrollar

Verificar que los accesos que te permiten realizar pase a producción está de acuerdo a sus responsabilidades

Que los cambios hayan sido puestos en producción después de su aprobación

Verificar que los usuarios con acceso a realizar pase a producción y desarrollo se encuentran segregados