Diseño e implementación de controles internos de seguridad de la información en el dominio de gestión de accesos con base a la Ley SOX

Abstract

El presente trabajo final de maestría tiene el propósito de relatar el trabajo realizado por el área de auditoría y seguridad de la información una compañía sobre el diseño e implementación de controles internos de gestión de acceso de usuarios en los sistemas de tecnología de información con base en la Ley Sarbanes Oxley. La compañía ofrece servicios de conectividad y entretenimiento digital en varios países de Latinoamérica, y cotiza sus acciones en la Bolsa de Nueva York, Estados Unidos. La Ley SOX establece estrictos requisitos para mejorar la precisión y fiabilidad de las divulgaciones corporativas. En este contexto, la gestión de accesos de usuarios se convierte en un elemento crítico para asegurar que solo las personas autorizadas tengan acceso a los sistemas y datos sensibles, reduciendo así los riesgos de accesos indebidos, brechas de seguridad, e incumplimiento normativo. El trabajo se estructura en varios puntos, inicia describiendo una visión general de la Ley Sarbanes Oxley, incluyendo su importancia y beneficios para las organizaciones, así como los impactos del incumplimiento tanto a nivel organizacional como individual. Seguidamente se aborda la política de gestión de accesos del usuario, describiendo las directrices y procedimientos establecidos para regular el acceso a los sistemas de información, así como los riesgos asociados y las medidas para mitigarlos. Luego, se explora el marco regulatorio, destacando normativas como la ISO/IEC 27002 y el marco COSO, que proporcionan estándares y mejores prácticas para la seguridad de la información y el control interno. La siguiente sección se centra en los controles corporativos, detallando la definición de riesgos y controles específicos para la gestión de acceso, así como la implementación de estos controles. Seguidamente, se resalta los resultados obtenidos tras la implementación y ejecución de los controles, evaluando su impacto en la seguridad y cumplimiento regulatorio de la organización. También, se describe el papel crucial de la auditoría interna y externa en la supervisión y validación de estos controles, asegurando su correcta aplicación y eficiencia. Posteriormente, se incluye un ejemplo práctico que ilustra la ejecución del control sobre bajas de usuarios, y se presente un control complementario del proceso. Finalmente, se proporciona un breve resumen y discusión sobre las limitaciones y los desafíos encontrados durante la implementación de los controles, así como las estrategias adoptadas para superarlos, y como último punto se ofrece las conclusiones del trabajo. Este análisis ofrece valiosas lecciones y recomendaciones para mejorar la seguridad y cumplir con regulaciones actuales.