¿Por qué es importante la gestión de accesos y la segregación de funciones en los procesos de negocio?

Por Marlon Tello, gerente de Auditoría de PwC

Los accesos y la segregación de funciones son aspectos clave del control interno. Su importancia radica en restringir las tareas incompatibles que los usuarios pueden realizar dentro de un flujo de proceso. Como tareas incompatibles tenemos, por ejemplo, que un mismo usuario no pueda registrar una orden de compra y liberarla.

Los conflictos de segregación de funciones pueden ser de tres tipos: entre dos funciones automáticas; entre una función automática y una manual; y entre dos funciones manuales.

Actualmente, existen dudas respecto a quiénes son responsables de gestionar el acceso a los sistemas. Las áreas de negocio son dueñas de la información que se almacena en los sistemas y son las responsables de los accesos a dicha información. Si bien el área de TI ejecuta el aprovisionamiento y gestión de los usuarios, la definición de qué cargos o puestos dentro de la organización deben contar con un determinado acceso depende del área de negocio.

El área de negocio debe intervenir en la definición de un nuevo rol o perfil dentro de los sistemas, como principal solicitante y dueño de la información a la cual se va a acceder. El área de TI, participa como experto del aplicativo, debido a que conoce técnicamente los permisos con los que cuenta cada rol o perfil; y el área de seguridad de información, que revisa que este nuevo rol o perfil no genere algún conflicto de segregación de funciones con alguno ya existente. Si en alguna ocasión este conflicto se genera y por las características del negocio debe mantenerse, el conflicto deberá ser elevado como un nuevo riesgo a evaluar.

Existen controles sobre la configuración de usuarios dentro de los aplicativos que las organizaciones implementan para mantener una adecuada asignación de accesos y segregación de funciones. Uno de estos es la revisión periódica de accesos, ejecutada una o dos veces por año, que consiste en confirmar con los usuarios clave de las áreas de negocio que los permisos asignados son autorizados de acuerdo con sus funciones actuales. En caso existieran usuarios no autorizados, se debe verificar la fecha en que finalizaron los permisos y si accedieron a las funcionalidades no autorizadas desde entonces. De encontrar ocurrencias se deberá realizar una investigación para mitigar el riesgo de cualquier acceso o modificación no autorizada.

Las organizaciones que cuentan con una matriz de roles/perfiles deben asegurarse de que los accesos a esta se encuentren restringidos, normalmente debe ser el área de seguridad de información la que custodie dicha matriz. Es un error que quienes gestionan los accesos puedan modificarla, ya que genera un conflicto de segregación de funciones entre las tareas de definición de accesos y su otorgamiento. Asimismo, esta matriz de roles/perfiles debe contar con un log de modificaciones, que permita verificar que cualquier cambio se encuentre aprobado por el usuario de negocio, dueño de la información.

Es necesario contar con los conceptos claros al momento de evaluar los controles que la organización debe implementar, para mitigar los riesgos de acceso y segregación de funciones dentro de los procesos de negocio. Además, es recomendable iniciar esta evaluación cuando la organización es pequeña, debido a que a medida que crece a nivel de personas, funciones y sistemas se vuelve más complejo mapear los roles/perfiles por aplicación y su gestión. Por ello, las organizaciones contratan a terceros para el mapeo e implementación de la matriz de roles/perfiles, o para que las ayuden a diseñar el flujo adecuado de gestión y monitoreo de los accesos y segregación de funciones.

Deja un comentario

Volver arriba