Gestionando los riesgos a nivel de sistemas cuando más dependemos de ellos

Por Carlos Manuel Caballero, Socio de Risk Assurance Services

Ha pasado más de un año desde que empezamos a trabajar de una manera diferente. Hoy en día, y todavía por algún tiempo, muchas entidades se encuentran operando principalmente de forma remota, es decir, sin presencia física en sus lugares habituales de trabajo, gracias a la tecnología. Esta nos ayuda a comunicarnos vía reuniones virtuales, a través de diferentes aplicaciones en nuestro día a día, pero también acerca el negocio a nuestros domicilios, permitiéndonos operar nuestros sistemas como si estuviéramos físicamente en nuestro escritorio de la oficina.

Es así como millones de dólares continúan su movimiento por la economía, en la medida que las operaciones retornan a una determinada “normalidad”, muy diferente según la industria, ya sea porque las entidades retoman actividades de explotación, fabricación, intermediación o apoyo logístico a aquellos sectores que se encuentran activos y autorizados para operar. Una porción relevante de las actividades antes indicadas es soportada por sistemas informáticos y aplicaciones que dan soporte, por ejemplo, a los ciclos de ventas, de compras, de manejo de inventario, de colocaciones, de cobranzas y al registro de las transacciones correspondientes en la contabilidad de dichas entidades.

Para poder realizar sus actividades en los sistemas, normalmente cada empleado cuenta con un “usuario”, el cual recibe un conjunto de permisos en función del cargo y funciones de la persona. Para asegurar un entorno de trabajo controlado, la asignación de permisos suele ser previamente validada y autorizada (por el dueño de la información), a fin de evitar incompatibilidades con el cargo o autorizaciones que entren en conflicto con otros accesos y permisos asignados.

Tanto la definición de la forma de operar del sistema o aplicación, como la definición de la asignación de los permisos son relevantes para una entidad. Hoy en día, estas cobran aún más importancia, dado que muchos otros controles manuales/físicos o que requerían alguna interacción o actividad presencial, podrían haber sido reemplazados por tareas en los sistemas o mediante comunicaciones y aprobaciones vía correos electrónicos.

En este contexto, consideramos relevante tener cierta visibilidad de la forma en que los sistemas se encuentran configurados (es decir, cómo se encuentran definidos sus parámetros de operación). No es necesario para un ejecutivo entrar en el detalle técnico, pero sí contar con determinada información que le permita tener una lectura y formarse una opinión de cuán relevante pueda ser la necesidad de reforzar algunos controles, sobre todo en aquellos sistemas que tengan mayor incidencia en el soporte de los estados financieros, como por ejemplo el sistema ERP SAP.

Entre las preguntas que no están en nuestro día a día, pero son importantes para toda compañía podemos mencionar las siguientes:

¿Qué tan sencillo es que una persona ingrese al sistema? ¿Se tienen usuarios únicos asignados a cada individuo o se trabaja con usuarios genéricos?

¿Qué tan robustas son las claves de acceso? ¿Cada cuánto se cambian?

¿Qué tan relevante es separar las tareas para evitar las incompatibilidades? Por ejemplo: Solicitar una compra, aprobarla y pagar la factura.

¿Cuántas personas deberían tener acceso total al sistema? Es decir, que tienen los permisos para modificar desde la forma en que el sistema opera hasta los cálculos o procesos que realiza. ¿Cuántas personas podrían realizar modificaciones en la forma de operar del sistema? ¿Es posible identificar quiénes efectuaron las modificaciones de ser el caso?

¿Qué sucede con los usuarios de aquellas personas que cambiaron de función o que ya no trabajan en la compañía? ¿Qué sucede si sus accesos no son retirados de manera oportuna? ¿Se revisa si el usuario que fue dado de baja en forma tardía tuvo acceso y actividad en el sistema?

¿Cuántas personas tienen la posibilidad de registrar asientos contables en forma directa?

Son bastantes configuraciones y definiciones que deben ser evaluadas y monitoreadas en las compañías. Como parte de nuestro trabajo revisamos este tipo de situaciones y hemos tomado como punto de partida uno de los sistemas ERP más utilizados a nivel global (ERP SAP R3 y SAP S/4 Hana) y en nuestro medio, para abordar esta necesidad.

Identificamos las transacciones más sensibles y relevantes y llevamos la abstracción de los códigos a una presentación visual, que busca facilitar la identificación de debilidades tales como: controles de seguridad que no se encuentren configurados adecuadamente, accesos no autorizados a la administración del sistema, creación y eliminación de roles y usuarios que cuentan con acceso y/o ejecutaron transacciones sensibles. Este tipo de transacciones incluyen modificar la configuración del sistema, mantener autorizaciones, cambiar cualquier tabla del sistema y eliminar archivos de registro de auditoría de seguridad, situación que sería riesgosa por el impacto de las actividades que permiten estas funciones y los eventuales conflictos de segregación de funciones que podrían generar. Visualizar los roles asignados (gráfico 1) a los usuarios permite identificar roles que pudieran estar brindando accesos sensibles, conocer los posibles conflictos que la combinación de roles puede ocasionar y definir los posibles ajustes a realizar en el sistema.

Adicionalmente, podemos revisar parámetros que, de estar mal configurados, podrían incrementar los siguientes riesgos (gráfico 2):

  • Acceso a usuarios privilegiados
  • Acceso no autorizado
  • Cambios no autorizados
  • Logs no almacenados
  • Vulneración de contraseñas

Es necesario que las compañías evalúen los riesgos a nivel de sistemas e identifiquen aquellos que resulten ser más críticos. Una vez identificados es posible efectuar el mapeo y la evaluación de la criticidad de los mismos y, con dicha información, priorizar su monitoreo. La construcción de tableros de control basados en buenas prácticas y en las políticas de la compañía es un adicional que básicamente facilita la lectura de los resultados por personal no especialista. De este modo, las compañías podrían contar con la información suficiente y con la frecuencia requerida para reducir el impacto de la materialización de los riesgos asociados a los accesos y funcionalidad de los sistemas.

Deja un comentario