Volver al Dashboard
Personal / Humanos

R-06

Acceso indebido por permisos amplios

2

Severidad
Evaluación Detallada
Acción Prioritaria / Recomendada
Implementar permisos granulares (mínimo privilegio), eliminar usuarios compartidos y establecer RBAC básico.
Activos Críticos en Riesgo
Datos sensibles de clientes (pasaportes, DNI), procesos de administración y sistemas como SharePoint.
Controles Existentes
Permisos limitados a nivel de carpetas en casos aislados y supervisión informal del equipo.
Costos de Oportunidad
Tiempo del personal administrativo desviado a la corrección de datos y auditorías internas de seguridad.
Descripción de la Amenaza
Uso inadecuado de privilegios de acceso para consultar, modificar o extraer información sin necesidad operativa.
Dimensión de Seguridad
Confidencialidad e Integridad: Riesgo de fuga de información privada o pérdida de veracidad en los registros.
Disparador (Trigger)
Detección de modificaciones no autorizadas en archivos críticos o acceso a carpetas por personal no relacionado.
Estrategia de Tratamiento
Mitigar: Aplicar controles de acceso estrictos para reducir la superficie de exposición interna.
Evidencias de Control
Matriz de permisos por roles, registro de altas/bajas de usuarios y actas de revisión de accesos.
Identificación del Riesgo
HUM-06: Uso indebido de acceso interno (intencional o por error) en plataformas y SharePoint.
Impacto Financiero (Ventas)
Pérdida de ventas por alteración de bases de datos de prospectos o cotizaciones modificadas indebidamente.
Impacto Reputacional
Pérdida de confianza de los clientes ante errores operativos o filtraciones internas de su identidad.
Impacto en Continuidad
Problemas operativos derivados de información alterada y necesidad de retrabajo para corregir errores.
Impacto en Cumplimiento
Dificultad extrema para realizar auditorías y atribuir responsabilidades individuales ante incidentes.
Impacto en Datos
Fuga o modificación no autorizada de información; pérdida de integridad en la documentación de ventas.
Mecanismos de Mitigación
Administrativo: Registro de altas/bajas. Técnico: Configuración de roles y permisos nominativos.
Métrica de Seguimiento (KPI)
Porcentaje de carpetas críticas con permisos granulares aplicados (Meta: 100%).
Plazo de Ejecución
Implementación obligatoria en una ventana de 30 a 60 días.
Responsables (Owners)
Administración (definición de procesos) y Proveedor IT (ejecución técnica en sistemas).
Riesgo Material (Cuantificar)
Costo de posibles multas por incumplimiento de normativas de protección de datos personales.
Severidad (Exposición)
Riesgo ALTO (6): Requiere plan de mitigación y atención prioritaria.
Vulnerabilidades Detectadas
SharePoint sin permisos granulares, ausencia de RBAC (roles), usuarios compartidos y falta de proceso formal de altas/bajas.