0/23Evaluados
0Conformes
0No Conformes
0OM
HACER
H-04
Prueba
Entrevista

A.8.5 ISO 27002:2022 + OWASP ASVS 2.8 + Ley 1581 Art. 4(g)

¿La plataforma ERP/TMS ofrece o exige autenticación multifactor (MFA) a los usuarios finales de los 60 clientes para acceder a módulos sensibles (facturación, nómina, gestión de flota GPS)?

Descripción de la prueba

Iniciar sesión en el ERP/TMS con un usuario de prueba y verificar si se solicita un segundo factor de autenticación. Acceder a la sección de Configuración → Seguridad de mi cuenta y verificar las opciones disponibles para activar MFA. Revisar si existe configuración por rol o si los administradores de cliente pueden forzar MFA a sus usuarios.

Evidencia / Muestreo esperado

Captura del flujo de login mostrando si se solicita o no segundo factor. Captura de la página de seguridad de la cuenta mostrando las opciones de MFA disponibles. Si MFA está marcado como 'no disponible' o 'próximamente', constituye no conformidad para un SaaS multi-tenant que procesa datos personales.

Justificación contextual OmniControl

En un modelo SaaS multi-tenant con 60 clientes, una credencial comprometida de usuario final puede exponer todos los datos de un cliente. El modelo BYOD sin MDM del equipo de desarrollo también requiere MFA como control compensatorio ante ausencia de controles de endpoint. La Ley 1581 Art. 4(g) exige medidas técnicas proporcionales.

Qué buscar como auditor
  • 01¿El flujo de login solicita un segundo factor de autenticación?
  • 02¿La página de seguridad de cuenta permite activar MFA?
  • 03¿MFA está disponible al menos para administradores de tenant?
  • 04¿Hay alguna política que prohíba desactivar MFA en módulos sensibles?
  • 05¿La autenticación es robusta para usuarios con acceso a facturación, nómina y GPS?

Artefactos para ejecutar la prueba

Herramienta
ERP/TMS OmniControl — flujo de autenticación
Probar el inicio de sesión y revisar las opciones de seguridad de cuenta disponibles
Interpretación según contexto OmniControl

La clasificación esperada está oculta para que ejecutes la prueba y descubras el hallazgo por ti mismo. Cuando hayas explorado los artefactos, puedes revelarla para contrastarla con tu juicio.

Recomendación del auditorOculta

La propuesta de acción correctiva está vinculada al toggle global “Mostrar interpretación según contexto”. Ejecuta primero la prueba con los artefactos y forma tu propio juicio. Cuando estés listo, revélala para contrastar con la recomendación del equipo auditor.

Hallazgo del auditor
Clasificación del hallazgo
Control anterior (H-02)Siguiente control (H-05)