Tener aplicaciones con un adecuado esquema de seguridad no es suficiente para mitigar el riesgo de un fraude dentro de la organización, si no se segregan funciones de forma adecuada.
En los últimos años se ha exigido a los desarrolladores de aplicaciones integrar robustos esquemas de seguridad, que manejen usuarios, perfiles, responsabilidades, etcétera. Y, sin embargo los fraudes se siguen consumando aprovechando las vulnerabilidades de los sistemas. Esto se debe en parte a una inadecuada segregación de funciones (SoD por sus siglas en inglés).
La segregación de funciones está orientada a evitar que una misma persona tenga accesos a dos o más responsabilidades dentro del sistema, de tal forma que pueda realizar acciones o transacciones que lleven a la consumación de un fraude.
Aunque el principal motivo que lleva a implementar un adecuado esquema de segregación de funciones es el cumplimiento con regulaciones, las compañías deben aprovechar este tema para mejorar su control interno y minimizar así los riesgos de fraude.
Pero para implantar una estrategia efectiva de SoD, es necesario considerar que esto no es un tema exclusivo del área de IT, sino de la dirección y la gerencia usuaria. De la misma manera como los sistemas son una herramienta para las operaciones de la empresa, los esquemas de seguridad definidos en los sistemas sólo son el medio para la implementación de una adecuada segregación de funciones.
Cada quien debe jugar su rol: La dirección debe exigir y apoyar la iniciativa de la implantación de SoD, la gerencia usuaria debe definirla, el área de IT debe proporcionar los medios, el oficial de seguridad debe implementarla y auditoría interna deberá monitorear periódicamente su cumplimiento.
Algunos conflictos entre dos acciones de una misma persona son muy evidentes, como la persona del área de atención a clientes que captura los pedidos y también tiene privilegios en el módulo para cambiar precios de los productos. Sin embargo, hay otros que dependen del tipo de industria, ambiente organizacional, complejidad y tamaño de la organización, por lo que se requiere mayor conocimiento de la empresa para identificarlos y solucionarlos.
Un aspecto importante para evitar fallas en un SoD es implantarlo de manera integral en todas las aplicaciones de la organización. Es un error mapear una aplicación o módulos de manera individual, puesto que el perfil de un usuario podría estar bien en uno, pero tener conflictos en otros módulos.
Las cinco etapas que se deben considerar para una estrategia efectiva de SoD son:
• Identificación de riesgos. En esta etapa se deben identificar, en los procesos de negocio, aquellas transacciones que son sensibles y susceptibles de un posible fraude. En cada caso, es importante indicar los riesgos existentes si una misma persona tiene acceso a estas transacciones.
• Definición técnica. En esta etapa se establecen las aplicaciones o módulos con los que se realizan cada una de las transacciones sensibles.
• Identificación de conflictos. El objetivo de esta etapa es utilizar la información de las dos anteriores para identificar usuarios con conflictos de segregación de funciones, de acuerdo a sus actividades y accesos en los sistemas.
• Remediación y Mitigación. En esta etapa se proponen y realizan los cambios necesarios para reducir lo más que se pueda el riesgo de las transacciones sensibles. Es importante tener en cuenta que no todos los riesgos podrán eliminarse, siempre queda un riesgo residual, del cual debe estar consiente la gerencia de la unidad de negocio.
• Monitoreo. Una vez implementada la segregación de funciones, deben realizarse auditorías periódicas, para asegurarse que esto prevalece a lo largo del tiempo, pero también con el fin de identificar nuevos conflictos y riesgos.
Uno de los impactos negativos que se presenta con la segregación de funciones es que al intervenir, dos o más personas en lugar de una, un proceso pudiera tomar más tiempo. Es importante tener esto en cuenta y evitar una burocracia excesiva e innecesaria, ya que esto podría ser un motivo para boicotear el SoD. Como siempre la seguridad va en contra de la comodidad. Bueno eso pienso yo, pero usted ¿qué cree?
SÍGUENOS
© 2009 Netmedia S.A. de C.V.
Políticas de privacidad
Sócrates 128 4to piso, Polanco
CP 11560, México D.F.
Tel: 2629 7260