1. En arca abierta, el justo
peca.
El factor informático en la ecuación de la
complejidad de la gestión de accesos, la
prevención de fraude y el control interno
30 de setiembre de 2015
2. Página 2
Complejidad de los entornos informáticos
Ingeniería de roles y segregación de funciones
3. Página 3
Complejidad del entorno de negocios y de
sistemas de información
Empresas
► Modelos de negocio cambiantes
► Modificaciones en las estructuras organizacionales
Los sistemas de información
► Cobertura funcional mayor y especializada
► Coexistencia de sistemas legado y nuevos sistemas
► Más vías de acceso: red, internet, mobile
Ingeniería de roles y segregación de funciones
4. Página 4
Cumplimiento regulatorio, prevención de
riesgos y control interno
Cumplimiento regulatorio
► Ley de protección de datos
► Seguridad de información
Prevención de riesgos y control interno
► Identificación de riesgos que propicien el fraude
► Limitaciones en la efectividad de los controles en los
sistemas de información
Ingeniería de roles y segregación de funciones
5. Página 5
Gestión de accesos y privilegios de usuario
Accesos a los sistemas de información
► La definición del acceso y su autorización
► Los conflictos de segregación de funciones
Privilegios de acceso y operación
► El acceso según el rol y responsabilidad
► El control de cambios en los privilegios
► El cambio a nuevas posiciones en la organización
► El acceso de personal temporal y de terceros
Ingeniería de roles y segregación de funciones
6. Página 6
Retos de la gestión de accesos y privilegios
A nivel operativo
► La automatización de la creación, modificación y baja de
usuarios, accesos y privilegios
► La consistencia en la aplicación de procedimientos y
controles
A nivel de control
► La identificación y mitigación de riesgos
► La sostenibilidad de modelos de gestión de segregación
de funciones e ingeniería de roles
Ingeniería de roles y segregación de funciones
7. Página 7
Ingeniería de roles y segregación de
funciones
Ingeniería de roles y segregación de funciones
8. Página 8
Ingeniería de roles responde la pregunta: ¿A
qué se tiene acceso?
Ingeniería de roles y segregación de funciones
USUARIOS RECURSOS
Acceso de los usuarios a los recursos informáticos y de
información de la empresa según su responsabilidad.
ROL 1
ROL 2
ROL 3
9. Página 9
Ingeniería de roles: simplificar la
complejidad de la gestión de accesos
Ingeniería de roles y segregación de funciones
ROLES
FUNCIONALES
USUARIOS PERMISOS RECURSOS
Los usuarios tienden a cambiar a lo largo del tiempo; los
roles funcionales son más estables en la organización.
10. Página 10
Segregación de funciones: responde a la
pregunta ¿Qué se puede hacer?
Ingeniería de roles y segregación de funciones
Identificar y
resolver los
conflictos de
segregación de
funciones en
los sistemas de
información que
soportan
procesos
operativos en la
empresa
11. Página 11
Segregación de funciones ataca la
“oportunidad” en la prevención del fraude
Ingeniería de roles y segregación de funciones
► Si la funcionalidad del sistema
de información no considera la
mitigación de riesgos por
conflictos de segregación de
funciones, el riesgo existe.
► Si los privilegios de acceso del
usuario del sistema son
amplios y no contemplan
restricciones de acceso según
el rol y responsabilidad, el
riesgo existe.
Presión
(motivo o incentivo)
12. Página 12
La gestión de la segregación de funciones
debe ser sostenible
Ingeniería de roles y segregación de funciones
► Gobierno de accesos y privilegios en los sistemas de
información de la empresa:
Gestión:
► Matriz de puestos por actividades .
► Matriz de reglas de segregación de funciones
► Revisión periódica de los privilegios de perfiles de usuario
► Gestión de super-usuarios
Recursos:
► Automatización de la gestión
► Personal capacitado asignado
13. Página 13
¿Qué pasa en la realidad?
Ingeniería de roles y segregación de funciones
14. Página 14
Casos reales
Ingeniería de roles y segregación de funciones
► Proveedor “fantasma”, pagos reales
► Empleados cesados con asignaciones no devengadas
► Apropiación de fondos en tesorería
► Colusión en mantenimiento de equipos
► Niveles de acceso no advertidos
15. Página 15
¿Qué observamos en las empresas?
Ingeniería de roles y segregación de funciones
► Limitada disciplina en la aplicación de controles de
acceso a los sistemas de información
► Implementaciones de sistemas no consideran la
segregación de funciones como un frente de trabajo
► Usuarios con privilegios totales
► Poco entendimiento o interés
► Eventos de fraude propiciados por la limitada o ausente
segregación de funciones
16. Página 16
Conclusión:
Ingeniería de roles y segregación de funciones
► La gestión de accesos y la segregación de funciones
son una actividad continua en la empresa
► El volumen de actividades (altas, bajas y modificaciones
de usuarios, cambios en la estructura organizacional,
cambios funcionales en los sistemas) representa una
complejidad cada vez mayor
► El cumplimiento regulatorio y la prevención del fraude
demandan disciplina en la aplicación de procedimientos
y controles
► El uso de herramientas de automatización ayudan en el
gobierno de accesos y segregación de funciones
17. En arca abierta, el justo
peca.
El factor informático en la ecuación de la
complejidad de la gestión de accesos, la
prevención de fraude y el control interno
30 de setiembre de 2015