4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3

0:00

S… Speaker 3 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

Esa reunión en la que se siga bien el proceso, bien operativo con las personas, viendo las pantallas y siguiendo el proceso, para que nosotros nos podamos llevar de evidencia cómo esa persona ejecuta el proceso, los controles que intervienen y vayamos haciendo print de pantalla sobre eso. Tiene que ser un caso actualizado, digamos, no puede ser de años anteriores, tiene que ser lo más actualizado y que esté, digamos...

0:29

S… Speaker 3 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

productivo también, porque ahí decían los sistemas como que están cambiando, entonces vamos a entender los proyectos que están ahí en curso, pero la realidad es que tenemos que hacer una foto de cómo está funcionando el control hoy o cómo está funcionando el sistema hoy. No sé si ahí tienen alguna duda, pero bueno, eso sería como mi plan. Hoy vemos de mandarles como ese detalle viene de lo que es acceso, los controles, lo que necesitamos ver y ustedes nos dicen qué personas involucramos y hablamos y coordinamos el...

0:59

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

la siguiente sesión. Vale, yo del lado nuestro, como todos, imagino que estamos todos igual, la más apertura posible que tengas es mejor para coordinarlo y que esté la persona correcta, ¿no? Y está bueno, gracias Lau, que nos juntás con seguridad porque hay un montón de cosas que por ahí y viceversa va a pasar, ¿no? Los voy a necesitar, los vamos a necesitar nosotros también funcionalmente, así acomodamos esa agenda.

1:28

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

Claro, sí, bueno, en estas primeras reuniones, como eran específicas de SAP, ven que yo no estoy sumando a la gente de Lucas, porque no tiene sentido sumarla, pero sí veía y hace sentido que sumemos seguridad, obviamente, y también infraestructura, porque como vos veías, Omar, hay partes donde la tienen más clara. Lo que sí, a ver, para terminar de redondear, vos nos pasarías...

1:55

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

Los controles, o sea, por ejemplo, de esto de acceso relacionado con SAP, ahí, déjame que estoy viendo acá en la matriz, tenemos uno, dos...

2:07

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

O sea, igual yo no hago, no sé si estoy entendiendo mal, pero yo no estoy haciendo hincapié en el recorrido de este documento, sino lo que quieren hacer es un relevamiento funcional. Es decir, es un itemizado esto, pero si quieren revisar todo es un proceso que tenemos como empezar desde atrás, ¿no? Lo estoy entendiendo bien. ¿Por qué? Porque con lo que venimos trabajando, remediando, son sobre acciones ya detectadas y concretas. Y de la forma que lo quieren llevar adelante es un entendimiento y luego de ello...

2:37

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

Empezar a marcar las evidencias y las posibles correcciones, ¿entiendo bien Daniel o no? Es decir, al tener que mostrarte funcionalmente cómo funciona ese proceso y nosotros con ya evidencias recolectadas desde procesos anteriores que venimos haciendo, todo eso no tiene mucho sentido. Entonces tenemos que empezar de cero.

2:58

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

Pero ahí la idea no era partir de cero, por esto mismo, que nosotros estuvimos todo el año, pasó varios meses enviando información y contando el proceso.

3:10

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

La idea era partir de la base que hoy tenemos. Si en este caso las narrativas y los procesos van cambiando, porque nosotros teníamos, como decía, proyectos de implementación de una serie de herramientas para poder cumplir con el control, entonces eso sí tendríamos que organizarlo. Yo te pongo un ejemplo puntual. Yo tengo alrededor, en una distribuidora tengo 18 bases de datos distintas.

3:36

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

que conllevan el sistema comercial de una distribuidora, y eso lo maneja una persona. Después, en EDES tengo otra totalmente diferente que lo maneja otra persona. Entonces nosotros tenemos que hacer 10 sesiones para tener 10 sistemas comerciales. ¿Me explico? En SAP pasa otra cosa, y así sucesivamente. La parte de backup es lo mismo, la parte de infraestructura, monitoreo, y todos los puntos que se fueron recabando en auditorías anteriores.

4:06

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

Si nosotros vamos al punto de mostrar funcionalmente eso, el proyecto es desde cero de vuelta. Es decir, es el requerimiento cómo se está levantando de esta forma. Al menos yo entiendo eso. Todo lo que está acá es solamente una guía práctica de todo lo que tenemos que mostrar cómo funciona y está resumido. Pero cuando Diego pone, y bien señaló...

4:29

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

depende de donde quieran verlo en los cinco sistemas hay sistemas tres lo tiene seguridad completamente hoy dos los tenemos nosotros o tres lo tiene base de datos yo por la dinámica de

4:43

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

por la expectativa, Daniela, del entendimiento de lo que es la organización. Es decir, no está centrando, no todo SAP, SAP sí es el único que tenemos centralizado. Ahora, cuando vayamos a los sistemas comerciales, cuando vayamos a otro sistema, ese es un proceso de evolución tecnológica que está teniendo la organización que lo tiene en vista.

5:01

S… Speaker 3 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

A eso me refiero. Como se está planteando el inicio, es para yo preparar el equipo, vuelvo a decir, y no para no hacerlo, que no se malinterprete. Pero si nosotros tenemos que empezar a mostrar funcionalmente cómo funciona algo, para tomar las evidencias, todos los puntos que se levantaron anteriormente y se analizaron y llevaron esfuerzos, remedaciones...

5:25

S… Speaker 3 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

No sé cómo resultarán de esa evidencia que se muestra. Acostumbro que la auditoría se levanta un punteo de situaciones y dice, che, ¿cómo haces esto? ¿Cómo haces esto? ¿Cómo haces esto? Lo hago así, así, así. Estas son las evidencias y ahí se analiza y es el punto en el que estamos hoy revisando. Hay mejoras que se hicieron desde el punto que se levantó el primer documento que se pueden actualizar y ver cómo se reforzaron esos controles o se mejoraron. Hago un ejemplo puntual. Era el inventario. El inventario era individual y hoy es centralizado.

5:54

S… Speaker 3 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

Hoy por hoy te muestro un sistema con el inventario centralizado, pero muestro la bajada y la evidencia. Si me empiezan a preguntar cómo tengo que levantar un equipo y tengo que ir al nivel ni siquiera el jefe regional, si no tengo que ir al usuario funcional, porque creo que el jefe regional no sabe levantar un equipo en Gira. ¿Me explico? Entonces, tiene varios subprocesos, los cuales hoy están documentados avanzados.

6:19

S… Speaker 3 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

Si lo que se hizo hasta hoy no sirve, empezamos de cero, empezamos de cero, no pasa nada. Pero entender que yo lo estoy entendiendo así, ¿no? No sé si el resto es igual. Yo entiendo que...

6:35

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

Estás bien orientado, Omar, en ese sentido, porque nosotros tomamos de base esto, pero sí no tenemos evidencia de nada. O sea, yo lo que tengo son matrices y narrativas y necesito entonces el proceso. Pero fueron presentadas. Me explico, Daniela, nosotros ya presentamos, recolectamos, reforzamos y volvemos a documentar para su proceso final. Es decir, quizás no están en esta narrativa, quizás no sé cómo se habrán hecho y en dónde están, pero...

6:59

S… Speaker 3 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

A nosotros nos pedían evidencia, hasta nos han pedido videos, nos han pedido imágenes con pines de pantalla viendo el horario del equipo, los logs con fechas. No es una narrativa nada más lo que hicimos hasta hoy. Si todo eso lo tenemos que volver a hacer para después poder plasmarlo y ustedes tengan evidencia de eso, no hay problema, hay que empezarlo de vuelta.

7:20

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

Sí, mi entendimiento es que sí, pero ahí no sé, María Laura, como lo organizaron antes, que vieron que capaz algo nos puede servir, yo para hacerlo más eficiente también. ¿Se me escucha, hola? Sí, se te escucha. Me había levantado la mano, no sé si se ve. Buen día, Rodrigo Sabela es mi nombre, soy el gerente corporativo de seguridad, disculpen que llegué tarde, me había quedado con que no se había podido cambiar.

7:47

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

Fui yo que no vi el cambio que lo había pedido yo. Así que nada, gracias por el cambio de horario y disculpen la demora. A ver, yo entiendo esta narrativa, que había sido una duda que nos surgió con Diego. Esta narrativa se hizo en función de Laura. Lo que dejó Price después del relevamiento del año pasado. Ok, perfecto. Entonces, ustedes ahora desde Deloitte lo que van a hacer es...

8:19

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

auditar o reforzar, digamos, o actualizar esta narrativa de los procesos. Por ejemplo, en lo que es el alta-baja modificación, en SAP, ¿vamos a refrescar esta narrativa o se va a auditar si el proceso, como está escrito, hay evidencias de que se cumple así? ¿Cuál es el encuadre de esto? Perdón la pregunta, me estoy sumando tarde.

8:46

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

Esta vez nosotros tomamos de partida lo que hizo Price para no partir desde cero. Pero sí, nosotros tenemos que tener como una foto al día de hoy de cuáles son los sistemas, cuáles son los controles que están implementando. Y ahí como nos viene comentando el equipo, tienen planes de remediación también que están en curso. Entonces, llevarnos como una foto a hoy de todo eso que estuvieron trabajando.

9:13

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

pero también con evidencias que nosotros no vimos y no tenemos acceso si es que las vieron compradas anteriormente. Por ejemplo, yo necesito recorrer el proceso de acceso, cómo se hace un acceso, entender cómo eso se ve en el sistema con la parte que ejecuta, el proceso, el control, con los responsables, digamos, que tienen que intervenir en cada proceso. Bueno, ahí vamos, por ejemplo.

9:36

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

en el proceso de ABM. Vamos al sistema comercial porque en SAP por ahí es más simple y por ahí con esto acompaño la duda o lo que estaba planteando ahí Omar. Vamos a un alta de un sistema comercial. El proceso hoy tiene un requerimiento, tiene una aprobación del superior inmediato, tiene una revisión funcional de un área funcional.

10:00

S… Speaker 3 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

que verifica el rol necesario para la persona. Tiene un control de parte de seguridad de que todo eso está cumplido y de seguridad se deriva al área ejecutora que en general, por ejemplo, vamos a suponer un caso, es un administrador de base de datos que ya en función del rol tiene pretabulado la acción sobre la base de datos a nivel de SQL para otorgar ese rol. Vos lo que necesitas es que nosotros en vivo

10:29

S… Speaker 3 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

¿Te presentemos en una videollamada todo un caso y hagamos todo eso en Shira y se conecte el de la base de datos y muestre lo que ejecuta? Sí. ¿Ah, sí? Ah, ok. O sea que deberíamos... Pero deberíamos tener entonces casos de prueba, porque por ahí no tenemos casos de alta en una distribuidora como para en vivo mostrártelo.

10:54

S… Speaker 4 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

serviría que te mostremos, no sé, un caso de gira cercano, el último ticket, suponete de un alta en los sistemas comerciales, mostrarte el ticket y el paso a paso dentro del ticket te queda la trazabilidad de quién lo toma, qué tareas se ejecuta. Yo creo que eso serviría, ¿no? Mostrarte en vivo cómo se hace el alta. No, porque por ahí no tengo, estamos hablando de Eden y no tengo un alta. Pasa un 30 días y no hay un alta ni una modificación en un sistema comercial. Tranquilamente. Yo te tomaría la última.

11:23

S… Speaker 4 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

Claro, tomaría la última, el último alta de cada uno de los sistemas comerciales o de SAP y mostrarte la trazabilidad dentro de Gira y a dónde están las aprobaciones, porque los workflows vos tenés las aprobaciones, tenés todo el historial, en Gira te muestra todo el historial por qué manos va pasando, por qué sectores va pasando con las aprobaciones. Yo creo que con eso alcanzaría, no la tarea en sí de ver el DBA, porque en algunos lo hace un DBA, en SAP obvio que no.

11:50

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

Pero que entra al sistema... Pero eso es lo que voy, no, porque yo puedo explicarle el proceso. Vos creo que apuntabas ahí un poco, Omar, si era necesario apuntar gente que tuviese que estar... No, yo creo que no. Si vos necesitas que yo te explique el proceso de punta a punta, cómo lo realizamos, cómo lo evidencio, y ver casos como, por ejemplo, acá lo documenté, lo monitoreo con esta herramienta, lo veo. Ahora, si me decís, a ver, dame de alta a un usuario y quiero ver que la solapa, cómo la vas respetando y que se te bloquea.

12:17

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

No lo sé hacer yo, es decir, se lo tengo que pasar al usuario funcional que lo hace en el determinado sistema y por ahí en un proceso, por ahí un alta o un usuario con perfiles, dura una semana, Daniela, me explico de si no es que se hacen cinco minutos. ¿Por qué? Porque el usuario es funcional y quiere hacer determinada cosa, o hay un cambio X en la parte de auditoría.

12:41

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

Seguridad no va a decir sí, es decir, autorizo hacerlo y antes de hacer el cambio y pasarlo y aprobar el ticket, nosotros tenemos que probar funcionalmente un cambio en una base de datos. Son dos, tres días, por ahí está analizando la performance, tengo la gente de redes, tengo la gente de infraestructura. Es medio difícil hacer ese caso de esa forma. Es decir, bajo un documento, hago esto, hago esto, hago esto, cumplo esto, esto y esto.

13:06

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

Ok, bueno, sí, ahí creo que está Eugenia. Perdón, yo quería comentar, a ver, yo entiendo que la tarea no es de auditoría específicamente, o sea, no es hacer una auditoría, un relevamiento, un muestreo, es hacer un entendimiento, por lo que veníamos charlando, por lo tanto...

13:32

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

hacer un traseo completo con un caso real que haya sucedido, digamos, a lección, y documentado lo que está en los sistemas, en las pantallas. Creo que eso, en esta primera instancia, como es una etapa de entendimiento, debería servir.

13:56

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

Ahora, por ahí por lo que comentaba Omar o Rodrigo, si ustedes tienen algunos controles específicos dentro de ese proceso que hayan sido, aparte que estén documentados en esa matriz, por lo cual necesitan tener, no sé, un print de pantalla de algún caso que se haya ingresado mal o que haya saltado una alerta de algún control.

14:23

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

ahí se puede evidenciar en el mismo caso que se está mostrando. Pero quiero decir que me parece que no es que tienen que ustedes seleccionar o hacer en vivo, como decía.

14:37

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

Me parece que en esta etapa no sería necesario como para dar... Yo y Mario Peña, si puedo decir, entendí que... No, no es que entendí, se confirmó que se necesitaba hacer un caso operativo. Yo te digo cómo lo entiendo yo al proceso y hacia dónde vamos para una futura certificación SOX.

15:00

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

o cualquier índole que queramos hacerlo. Se sienta el consultor y te dice, ¿cómo controlas esto, esto y esto? Si el pozo lo haces con una cuchara, una pala o una máquina, si la norma dice que el pozo es de un metro por un metro y la evidencia muestra que el pozo por un metro por un metro se hace, es suficiente. Es decir, no me ha ocurrido a mí, por eso yo pregunto cómo hay que hacerlo y si la metodología es esa, la instrumentamos, no hay problema.

15:26

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

Pero nunca me pasó que yo tenga que funcionalmente mostrarle todo. A lo sumo, las evidencias son en vivo o bien documentadas. Por ejemplo, ¿cómo guardás los archivos de la base de datos? Y yo guardo 7 días, 20. Bueno, a ver, el día 4, levántamelo. Y lo hacía. Y otros me decían, documentame una restauración que esté ya registrada en base a lo que vos decís que haces. O restaurás.

15:52

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

o vas a una prueba de integridad. Y te muestro la evidencia a través de una herramienta que sea auditable. A veces es con una herramienta, como queremos optimizarla, y contó Diego, y a veces es con un hámter dando vueltas y recuperando, poniendo pendrive, pero el proceso se cumple, ¿me explico? Es decir, la entiendo más así y más efectiva ahora. Si el entendimiento es...

16:14

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

Entremos a SAP y creemos un usuario y yo hará 16 años que no entro creando un usuario. Imagino que en la S-01 no habrá cambiado, pero si puede, S-02 no está toda la mañana. Entonces, ahí es donde llamo al usuario. Sí, sí. No, o sea, por ahí esta pregunta yo también hice, le comenté a la Laura, pensando a ver cuál era la documentación que había quedado del trabajo hecho por Playa.

16:42

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

Evidentemente, todo lo que fue de papeles de trabajo no debe estar, digamos, como base. Salvo, o sea, eso sí, los entregables son los que estamos hoy viendo, ¿no? Hay procedimientos escritos. Yo no hablo de documentos de trabajo. Un documento de trabajo es de PRAI, de Deloitte, de BTR, de quien sea. Yo hablo de procedimientos.

17:11

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

Los entregables de Price fueron estas narrativas y la matriz con los 54 controles, con los gaps encontrados, con los planes de remediación propuestos por ellos, con los planes de remediación propuestos por nosotros y consensuados con ellos.

17:29

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

Y después cada uno de los frentes continuó con sus proyectos, porque atrás de cada uno de la remediación de esos controles hay una serie de proyectos, de escribir procedimientos en algunos casos, bueno, todo eso se viene haciendo. Ahora, ¿dónde está toda la documentación que le fuimos pasando para ahí? Tuvimos una cantidad de reuniones también, nos pidieron información de tickets de Gira, le mostramos casos, le mostramos algún ticket también en vivo, le mostramos GRC, o sea, todo eso...

17:59

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

Fue un proceso, un proceso durante todo el año pasado, que ya lo hicimos. Por eso, ahí lo que hablamos, por lo menos en la reunión de Kikoff, era que partíamos de la base, ese relevamiento ya estaba hecho, y si bien ustedes necesitan una actualización, que es lo que podemos llegar a hacer, no creo que sea necesario, porque tampoco lo hicimos con Bray, mostrarle en vivo cada uno de...

18:24

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

cada uno de los casos que teníamos, sin mostrarles evidencia de cómo quedaban documentados, de qué procesos teníamos a ese momento, qué procedimiento, pero no mostrarles en vivo la ejecución de cada uno de los casos. ¿Y eso, Daniela, ustedes tienen los procedimientos de los que estamos hablando?

18:43

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

¿En qué sentido? ¿Las narrativas, los controles? No una narrativa como esta, sino un documento del procedimiento. Eso no les pasó. No lo pidieron. Porque eso te facilita para después hacer el seguimiento, para el entendimiento del proceso, digo. El punto que están mostrando, el punto que están mostrando, digo, hay monitoreo de acceso al sistema operativo y bases de datos. Hoy quizás hay cinco o seis instrumentados.

19:10

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3)

distintos, y se está migrando a que obviamente es más fácil y mejora el proceso tenerlo en uno, pero hoy por hoy no es que no sea así, por ahí tiene 5, 6 en el sistema, en los backups yo lo hago de 18 formas distintas, es decir, existen backups en cada uno de los sistemas, ecosistemas, lo tratamos de un otro, pero yo tengo más de un documento, más de una evidencia, y no todas son iguales, es decir...

4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 3

सारांश

यो प्रतिलिपि बारे AI सोध्नुहोस्