Captain's log: Promoting process rigor, inside.
a la supervisora de un departamento de solicitudes por discapacidad que -por casi dos (02) años- usó su cuenta para modificar las solicitudes y enviar los pagos mensuales por discapacidad a su prometido. Su empleador falló en actualizar los privilegios de acceso luego que ella cambiara de posición laboral, lo que le permitió modificar datos y además aprobarlos. Ambas posiciones usaban la misma aplicación, pero con roles diferentes para ingresar, aprobar y autorizar pagos para solicitudes médicas y de discapacidad.
Cuando fue promovida, obtuvo autorización para su nuevo nivel de acceso, sin embargo los administradores rehusaron rescindir su nivel de acceso previo. Como resultado, ella consiguió tener acceso completo a la aplicación, sin requerir de nadie más para autorizar las transacciones de pago en el sistema.
En un intento de duplicar el monto de los cheques mensuales por discapacidad que iban a su prometido, la “insider” reclutó a una colega para que procese esas nuevas solicitudes a nombre de su prometido.
La compañera detectó el incidente cuando notó que la solicitud llevaba el nombre del prometido de ella y que el tal no estaba lisiado o discapacitado. Finalmente, la insider fue procesada y forzada a pagar $615,000 en restitución y sentenciada a 33 meses de prisión seguido de dos (02) años de libertad supervisada y 50 horas de servicio comunitario.
EXPERIENCIA DE CAMPO: En una compañía grande, realizamos un inventario de privilegios reales, al analizar el tráfico real de la aplicación, con nuestro equipo tcp13, y reconstruir/reprocesar con análisis de grandes datos (BIG DATA ANALYSIS) las solicitudes reales hacia la aplicación, a fin de estar 100% seguros si cada usuarios usaba realmente los privilegios que decía requerir y que le habían sido delegados a lo largo del tiempo. El inventario fue mucho más revelador, de lo que la misma compañía esperaba fuese lo real.