En arca abierta, el justo peca.
El factor informático en la ecuación de la complejidad de la gestión de accesos, la prevención de fraude y el control interno
30 de setiembre de 2015
Página 2 Ingeniería de roles y segregación de funciones
Complejidad de los entornos informáticos
Página 3 Ingeniería de roles y segregación de funciones
Complejidad del entorno de negocios y de sistemas de información
Empresas► Modelos de negocio cambiantes► Modificaciones en las estructuras organizacionales
Los sistemas de información► Cobertura funcional mayor y especializada► Coexistencia de sistemas legado y nuevos sistemas► Más vías de acceso: red, internet, mobile
Página 4 Ingeniería de roles y segregación de funciones
Cumplimiento regulatorio, prevención de riesgos y control interno
Cumplimiento regulatorio► Ley de protección de datos► Seguridad de información
Prevención de riesgos y control interno► Identificación de riesgos que propicien el fraude► Limitaciones en la efectividad de los controles en los
sistemas de información
Página 5 Ingeniería de roles y segregación de funciones
Gestión de accesos y privilegios de usuario
Accesos a los sistemas de información► La definición del acceso y su autorización► Los conflictos de segregación de funciones
Privilegios de acceso y operación► El acceso según el rol y responsabilidad► El control de cambios en los privilegios► El cambio a nuevas posiciones en la organización► El acceso de personal temporal y de terceros
Página 6 Ingeniería de roles y segregación de funciones
Retos de la gestión de accesos y privilegios
A nivel operativo► La automatización de la creación, modificación y baja de
usuarios, accesos y privilegios► La consistencia en la aplicación de procedimientos y
controles
A nivel de control► La identificación y mitigación de riesgos► La sostenibilidad de modelos de gestión de segregación
de funciones e ingeniería de roles
Página 7 Ingeniería de roles y segregación de funciones
Ingeniería de roles y segregación de funciones
Página 8 Ingeniería de roles y segregación de funciones
Ingeniería de roles responde la pregunta: ¿A qué se tiene acceso?
USUARIOS RECURSOS
Acceso de los usuarios a los recursos informáticos y de información de la empresa según su responsabilidad.
ROL 1
ROL 2
ROL 3
Página 9 Ingeniería de roles y segregación de funciones
Ingeniería de roles: simplificar la complejidad de la gestión de accesos
ROLES FUNCIONALES
USUARIOS PERMISOS RECURSOS
Los usuarios tienden a cambiar a lo largo del tiempo; los roles funcionales son más estables en la organización.
Página 10 Ingeniería de roles y segregación de funciones
Segregación de funciones: responde a la pregunta ¿Qué se puede hacer?
Identificar y resolver los conflictos de segregación de funciones en los sistemas de información que soportan procesos operativos en la empresa
Página 11 Ingeniería de roles y segregación de funciones
Segregación de funciones ataca la “oportunidad” en la prevención del fraude
► Si la funcionalidad del sistema de información no considera la mitigación de riesgos por conflictos de segregación de funciones, el riesgo existe.
► Si los privilegios de acceso del usuario del sistema son amplios y no contemplan restricciones de acceso según el rol y responsabilidad, el riesgo existe.
Presión (motivo o incentivo)
Oportunida
d
Justif
icació
n
Página 12 Ingeniería de roles y segregación de funciones
La gestión de la segregación de funciones debe ser sostenible
► Gobierno de accesos y privilegios en los sistemas de información de la empresa:
Gestión:► Matriz de puestos por actividades .► Matriz de reglas de segregación de funciones ► Revisión periódica de los privilegios de perfiles de usuario► Gestión de super-usuarios
Recursos:► Automatización de la gestión► Personal capacitado asignado
Página 13
¿Qué pasa en la realidad?
Ingeniería de roles y segregación de funciones
Página 14 Ingeniería de roles y segregación de funciones
Casos reales
► Proveedor “fantasma”, pagos reales► Empleados cesados con asignaciones no devengadas► Apropiación de fondos en tesorería► Colusión en mantenimiento de equipos► Niveles de acceso no advertidos
Página 15 Ingeniería de roles y segregación de funciones
¿Qué observamos en las empresas?
► Limitada disciplina en la aplicación de controles de acceso a los sistemas de información
► Implementaciones de sistemas no consideran la segregación de funciones como un frente de trabajo
► Usuarios con privilegios totales► Poco entendimiento o interés ► Eventos de fraude propiciados por la limitada o ausente
segregación de funciones
Página 16 Ingeniería de roles y segregación de funciones
Conclusión:
► La gestión de accesos y la segregación de funciones son una actividad continua en la empresa
► El volumen de actividades (altas, bajas y modificaciones de usuarios, cambios en la estructura organizacional, cambios funcionales en los sistemas) representa una complejidad cada vez mayor
► El cumplimiento regulatorio y la prevención del fraude demandan disciplina en la aplicación de procedimientos y controles
► El uso de herramientas de automatización ayudan en el gobierno de accesos y segregación de funciones
En arca abierta, el justo peca.
El factor informático en la ecuación de la complejidad de la gestión de accesos, la prevención de fraude y el control interno
30 de setiembre de 2015