En arca abierta, el justo peca
-
Upload
ey-peru -
Category
Presentations & Public Speaking
-
view
497 -
download
2
Transcript of En arca abierta, el justo peca
En arca abierta, el justo peca.
El factor informático en la ecuación de la complejidad de la gestión de accesos, la prevención de fraude y el control interno
30 de setiembre de 2015
Página 2 Ingeniería de roles y segregación de funciones
Complejidad de los entornos informáticos
Página 3 Ingeniería de roles y segregación de funciones
Complejidad del entorno de negocios y de sistemas de información
Empresas► Modelos de negocio cambiantes► Modificaciones en las estructuras organizacionales
Los sistemas de información► Cobertura funcional mayor y especializada► Coexistencia de sistemas legado y nuevos sistemas► Más vías de acceso: red, internet, mobile
Página 4 Ingeniería de roles y segregación de funciones
Cumplimiento regulatorio, prevención de riesgos y control interno
Cumplimiento regulatorio► Ley de protección de datos► Seguridad de información
Prevención de riesgos y control interno► Identificación de riesgos que propicien el fraude► Limitaciones en la efectividad de los controles en los
sistemas de información
Página 5 Ingeniería de roles y segregación de funciones
Gestión de accesos y privilegios de usuario
Accesos a los sistemas de información► La definición del acceso y su autorización► Los conflictos de segregación de funciones
Privilegios de acceso y operación► El acceso según el rol y responsabilidad► El control de cambios en los privilegios► El cambio a nuevas posiciones en la organización► El acceso de personal temporal y de terceros
Página 6 Ingeniería de roles y segregación de funciones
Retos de la gestión de accesos y privilegios
A nivel operativo► La automatización de la creación, modificación y baja de
usuarios, accesos y privilegios► La consistencia en la aplicación de procedimientos y
controles
A nivel de control► La identificación y mitigación de riesgos► La sostenibilidad de modelos de gestión de segregación
de funciones e ingeniería de roles
Página 7 Ingeniería de roles y segregación de funciones
Ingeniería de roles y segregación de funciones
Página 8 Ingeniería de roles y segregación de funciones
Ingeniería de roles responde la pregunta: ¿A qué se tiene acceso?
USUARIOS RECURSOS
Acceso de los usuarios a los recursos informáticos y de información de la empresa según su responsabilidad.
ROL 1
ROL 2
ROL 3
Página 9 Ingeniería de roles y segregación de funciones
Ingeniería de roles: simplificar la complejidad de la gestión de accesos
ROLES FUNCIONALES
USUARIOS PERMISOS RECURSOS
Los usuarios tienden a cambiar a lo largo del tiempo; los roles funcionales son más estables en la organización.
Página 10 Ingeniería de roles y segregación de funciones
Segregación de funciones: responde a la pregunta ¿Qué se puede hacer?
Identificar y resolver los conflictos de segregación de funciones en los sistemas de información que soportan procesos operativos en la empresa
Página 11 Ingeniería de roles y segregación de funciones
Segregación de funciones ataca la “oportunidad” en la prevención del fraude
► Si la funcionalidad del sistema de información no considera la mitigación de riesgos por conflictos de segregación de funciones, el riesgo existe.
► Si los privilegios de acceso del usuario del sistema son amplios y no contemplan restricciones de acceso según el rol y responsabilidad, el riesgo existe.
Presión (motivo o incentivo)
Oportunida
d
Justif
icació
n
Página 12 Ingeniería de roles y segregación de funciones
La gestión de la segregación de funciones debe ser sostenible
► Gobierno de accesos y privilegios en los sistemas de información de la empresa:
Gestión:► Matriz de puestos por actividades .► Matriz de reglas de segregación de funciones ► Revisión periódica de los privilegios de perfiles de usuario► Gestión de super-usuarios
Recursos:► Automatización de la gestión► Personal capacitado asignado
Página 13
¿Qué pasa en la realidad?
Ingeniería de roles y segregación de funciones
Página 14 Ingeniería de roles y segregación de funciones
Casos reales
► Proveedor “fantasma”, pagos reales► Empleados cesados con asignaciones no devengadas► Apropiación de fondos en tesorería► Colusión en mantenimiento de equipos► Niveles de acceso no advertidos
Página 15 Ingeniería de roles y segregación de funciones
¿Qué observamos en las empresas?
► Limitada disciplina en la aplicación de controles de acceso a los sistemas de información
► Implementaciones de sistemas no consideran la segregación de funciones como un frente de trabajo
► Usuarios con privilegios totales► Poco entendimiento o interés ► Eventos de fraude propiciados por la limitada o ausente
segregación de funciones
Página 16 Ingeniería de roles y segregación de funciones
Conclusión:
► La gestión de accesos y la segregación de funciones son una actividad continua en la empresa
► El volumen de actividades (altas, bajas y modificaciones de usuarios, cambios en la estructura organizacional, cambios funcionales en los sistemas) representa una complejidad cada vez mayor
► El cumplimiento regulatorio y la prevención del fraude demandan disciplina en la aplicación de procedimientos y controles
► El uso de herramientas de automatización ayudan en el gobierno de accesos y segregación de funciones
En arca abierta, el justo peca.
El factor informático en la ecuación de la complejidad de la gestión de accesos, la prevención de fraude y el control interno
30 de setiembre de 2015