Separación de funciones

Concepto de tener más de una persona necesaria para completar una tarea.

La separación de funciones (SoD), también conocida como segregación de funciones , es el concepto de que se requiera que más de una persona complete una tarea. Es un control administrativo utilizado por las organizaciones para prevenir fraudes, sabotajes, robos, uso indebido de la información y otros riesgos de seguridad. En el ámbito político , se conoce como separación de poderes , como se puede ver en las democracias donde el gobierno está dividido en tres ramas independientes: una legislativa , una ejecutiva y una judicial .

Descripción general

La separación de funciones es un concepto clave de los controles internos. La mayor protección contra el fraude y los errores debe equilibrarse con el mayor esfuerzo y costo requerido.

En esencia, SoD implementa un nivel adecuado de controles y equilibrios sobre las actividades de los individuos. RA Botha y JHP Eloff en IBM Systems Journal describen SoD de la siguiente manera.

La separación de funciones, como principio de seguridad, tiene como objetivo principal la prevención de fraudes y errores. Este objetivo se logra difundiendo las tareas y los privilegios asociados para un proceso empresarial específico entre múltiples usuarios. Este principio se demuestra en el ejemplo tradicional de separación de funciones que se encuentra en el requisito de dos firmas en un cheque. ^[1]

Los títulos de los puestos y la estructura organizativa pueden variar mucho de una organización a otra, dependiendo del tamaño y la naturaleza de la empresa. En consecuencia, el rango o la jerarquía son menos importantes que el conjunto de habilidades y capacidades de las personas involucradas. Con el concepto de SoD, las tareas críticas para la empresa se pueden clasificar en cuatro tipos de funciones: autorización, custodia, mantenimiento de registros y conciliación. En un sistema perfecto, ninguna persona debería manejar más de un tipo de función.

Principios

Básicamente, varios enfoques son opcionalmente viables como paradigmas parcial o totalmente diferentes:

• Separación secuencial (principio de dos firmas)
• Separación individual ( principio de los cuatro ojos )
• Separación espacial (acciones separadas en lugares separados)
• separación factorial (varios factores contribuyen a la completitud)

Patrones Auxiliares

Una persona con múltiples funciones tiene la oportunidad de abusar de esos poderes. El patrón para minimizar el riesgo es el siguiente:

1. Comience con una función que sea indispensable, pero potencialmente sujeta a abuso.
2. Divida la función en pasos separados, cada uno necesario para que la función funcione o para el poder que permite abusar de esa función.
3. Asigne cada paso a una persona u organización diferente.

Categorías generales de funciones a separar:

• función de autorización
• Función de grabación, por ejemplo, preparación de documentos fuente o códigos o informes de rendimiento.
• custodia de activos, ya sea directa o indirectamente, por ejemplo, recibiendo cheques por correo o implementando cambios en el código fuente o en la base de datos.
• conciliación o auditoría
• dividir una clave de seguridad en dos (más) partes entre personas responsables

En primer lugar se aborda la separación individual como única opción.

Aplicación en los negocios en general y en la contabilidad.

El término SoD ya es bien conocido en los sistemas de contabilidad financiera. Las empresas de todos los tamaños entienden que no deben combinar funciones como recibir cheques (pago a cuenta) y aprobar cancelaciones, depositar efectivo y conciliar extractos bancarios, aprobar tarjetas de tiempo y tener la custodia de cheques de pago, etc. SoD es bastante nuevo para la mayoría de los departamentos de Tecnología de la Información (TI), pero un alto porcentaje de los problemas de auditoría interna de Sarbanes-Oxley provienen de TI. ^[2]

En los sistemas de información, la segregación de funciones ayuda a reducir el daño potencial que pueden causar las acciones de una persona. El departamento de SI o de usuario final debe organizarse de manera que se logre una separación adecuada de funciones. Según la matriz de control de segregación de funciones de ISACA ^[3] , algunas funciones no deben combinarse en un solo puesto. Esta matriz no es un estándar de la industria, sino solo una guía general que sugiere qué puestos deben separarse y cuáles requieren controles compensatorios cuando se combinan.

Dependiendo del tamaño de la empresa, las funciones y designaciones pueden variar. Las empresas más pequeñas que carecen de una separación de funciones suelen enfrentarse a problemas en los ciclos de desembolso, en los que pueden producirse compras y pagos no autorizados. ^[4] Cuando no es posible separar las funciones, deben establecerse controles compensatorios. Los controles compensatorios son controles internos cuyo objetivo es reducir el riesgo de una debilidad de control existente o potencial. Si una sola persona puede llevar a cabo y ocultar errores o irregularidades en el curso de la realización de sus actividades cotidianas, se le han asignado funciones incompatibles con la separación de funciones. Existen varios mecanismos de control que pueden ayudar a hacer cumplir la segregación de funciones:

1. Los registros de auditoría permiten a los administradores de TI o auditores recrear el flujo de transacciones real desde el punto de origen hasta su existencia en un archivo actualizado. Se deben habilitar buenos registros de auditoría para proporcionar información sobre quién inició la transacción, la hora del día y la fecha de entrada, el tipo de entrada, qué campos de información contenía y qué archivos actualizó.
2. La conciliación de las aplicaciones y un proceso de verificación independiente son en última instancia responsabilidad de los usuarios, lo que puede utilizarse para aumentar el nivel de confianza de que una aplicación se ejecutó correctamente.
3. Los informes de excepciones se tramitan a nivel de supervisión, respaldados por evidencia que demuestre que las excepciones se gestionan de manera adecuada y oportuna. Normalmente se requiere la firma de la persona que prepara el informe.
4. Se deben mantener registros de transacciones de sistemas o aplicaciones manuales o automatizados, que registren todos los comandos del sistema o transacciones de aplicaciones procesados.
5. La revisión supervisora ​​debe realizarse mediante la observación y la investigación.
6. Para compensar los errores o las fallas intencionales en el cumplimiento de un procedimiento prescrito, se recomiendan revisiones independientes. Dichas revisiones pueden ayudar a detectar errores e irregularidades.

Aplicación en sistemas de información

La profesión contable ha invertido significativamente en la separación de funciones debido a los riesgos comprendidos y acumulados durante cientos de años de práctica contable.

En cambio, muchas corporaciones de los Estados Unidos descubrieron que una proporción inesperadamente alta de sus problemas de control interno derivados de la ley Sarbanes-Oxley provenían de TI. La separación de funciones se utiliza habitualmente en las grandes organizaciones de TI para que ninguna persona esté en posición de introducir código o datos fraudulentos o maliciosos sin ser detectada. El control de acceso basado en roles se utiliza con frecuencia en los sistemas de TI donde se requiere separación de funciones. Más recientemente, a medida que aumenta el número de roles en una organización en crecimiento, se utiliza un modelo de control de acceso híbrido con control de acceso basado en atributos para resolver las limitaciones de su contraparte basada en roles. ^[5]

El control estricto de los cambios de software y datos requerirá que la misma persona u organización desempeñe solo una de las siguientes funciones:

• Identificación de un requisito (o solicitud de cambio); por ejemplo, una persona de negocios
• Autorización y aprobación; por ejemplo, un consejo o gerente de gobernanza de TI
• Diseño y desarrollo; por ejemplo, un desarrollador
• Revisión, inspección y aprobación ; por ejemplo, otro desarrollador o arquitecto.
• Implementación en producción; típicamente un cambio de software o del administrador del sistema .

Esta no es una presentación exhaustiva del ciclo de vida del desarrollo de software , sino una lista de funciones de desarrollo críticas aplicables a la separación de funciones.

Para implementar con éxito la separación de funciones en los sistemas de información es necesario abordar una serie de cuestiones:

• El proceso utilizado para garantizar que los derechos de autorización de una persona en el sistema estén en consonancia con su función en la organización.
• El método de autenticación utilizado, como el conocimiento de una contraseña, la posesión de un objeto (llave, token) o una característica biométrica.
• La evasión de derechos en el sistema puede ocurrir a través del acceso a la administración de bases de datos, el acceso a la administración de usuarios, herramientas que brindan acceso por la puerta trasera o cuentas de usuario instaladas por proveedores. Es posible que se requieran controles específicos, como una revisión de un registro de actividades, para abordar este problema específico.

Referencias

1. RA Botha; JHP Eloff (2001). "Separación de funciones para la aplicación del control de acceso en entornos de flujo de trabajo". IBM Systems Journal . 40 (3): 666–682. doi :10.1147/sj.403.0666. Archivado desde el original el 18 de diciembre de 2001.
2. Alyson Behr; Kevin Coleman (3 de agosto de 2017). "Separación de funciones y seguridad informática". csoonline.com .
3. "Matriz de control de segregación de funciones". ISACA . Archivado desde el original el 2011-07-03 . Consultado el 2022-07-17 .
4. Gramling, Audrey; Hermanson, Dana; Hermanson, Heather; Ye, Zhongxia (1 de julio de 2010). "Cómo abordar los problemas relacionados con la segregación de funciones en las empresas más pequeñas". Publicaciones de la facultad .
5. Soni, Kritika; Kumar, Suresh (1 de febrero de 2019). "Comparación de los modelos de seguridad RBAC y ABAC para la nube privada". Conferencia internacional de 2019 sobre aprendizaje automático, big data, computación en la nube y paralela (COMITCon) . págs. 584–587. doi :10.1109/COMITCon.2019.8862220. ISBN . 978-1-7281-0211-5. Número de identificación del sujeto  204231677.

Enlaces externos

• Ensayo de Nick Szabo sobre la separación de funciones en Wayback Machine (archivado el 6 de marzo de 2016)
• Definición de segregación/separación de funciones, ISACA
• "Segregar funciones para reducir los riesgos de seguridad", Datamation
• “Transparencia, partición, separación, rotación y supervisión de responsabilidades”, ISM3