Diseño e implementación en Avianca de los controles 5 (administración de cuentas) y 6 (gestión de control de acceso) de la guía de controles cis - center for internet security (r) y diseño de la metodología para la integración de aplicaciones en la herramienta de gestión de identidades

Abstract

Avianca Group International Limited – Avianca AGIL, es el nuevo holding que consolida las sociedades operadoras de la antigua Avianca Holding – AVH, la cual fue liquidada el 30 de noviembre del 2021 producto de las estrategias financieras de recuperación establecidas en el marco de la ley de quiebras de EE. UU. – capítulo 11. La nueva holding nació como compañía privada no cotizante en ningún mercado bursátil; sin embargo, en la planeación estratégica está priorizado como un objetivo corporativo de corto plazo entrar en el mercado de bolsa de EEUU y se estima que en el segundo semestre 2022 se inicie el registro respectivo, por lo que esta coyuntura organizacional por la que atraviesa la Compañía la convierte en punto focal para sus stake holders (grupos de interés) y se mantiene la importancia de sustentar la confiabilidad en los estados financieros – EEFF. Lo anterior, es una de las varias razones por las que la alta gerencia ha decidido no solo mantener su ambiente de control interno sino fortalecerlo en todos los sentidos posibles, de manera que todas las políticas, procedimientos y controles que venían operando en los procesos claves de negocio y en áreas de soporte como tecnología siguen vigentes. Específicamente al interior del área de tecnología ahora identificada como CIO Área, uno de los lineamientos claves es mantener los controles definidos en torno a la seguridad de la información y ciberseguridad, adoptando los marcos de referencia internacionalmente aceptados y priorizando el cumplimiento de las regulaciones que se deben sustentar frente a los diferentes entes de control; en tal sentido, la implementación de controles de seguridad de la información que contribuyan en dicho propósito resulta relevante y se amplía el ámbito de aplicación ya que el nuevo enfoque no es solo el establecimiento de controles para salvaguardar la información financiera sino controles que blinden a la organización frente a los diferentes riesgos típicos y emergentes que puedan afectar la seguridad de la información El presente trabajo surge como una iniciativa a implementar al interior de la Dirección Riesgos de la Información de la CIO Área, con el propósito de fortalecer uno de los procesos claves bajo la responsabilidad de dicha dirección como lo es la gestión de accesos. El marco de referencia bajo el que se regirá este trabajo es CIS® Center for Internet Security – CIS Controls Version 8, específicamente en los siguientes controles: 1) Control 05 - Account Management. 2) Control 06 - Access Control Management. Adicionalmente se tendrá en consideración la matriz de controles generales de TI – ITGC V5/2021 definida en Avianca, en donde se referencian los siguientes controles para el cumplimiento financiero y están soportados en el procedimiento actual de gestión de accesos: • ITGC-05 Autorización de acceso a usuarios. • ITGC-06 Bajas de usuarios. • ITGC-21 Baja de usuarios en BD y SO. • ITGC-07 Autorización de creación o modificación de roles en SAP S4/HANA. • ITGC-08 Monitoreo de configuraciones de seguridad. • ITGC-09 Certificación de cuentas privilegiadas / especiales. • ITGC-10 Monitoreo de usuarios activos. • ITGC-11 Monitoreo de bajas de usuarios.