stringtranslate.com

Separación de tareas

La separación de funciones (SoD), también conocida como segregación de funciones , es el concepto de que se requiere más de una persona para completar una tarea. Es un control administrativo utilizado por las organizaciones para prevenir fraudes, sabotajes, robos, uso indebido de información y otros compromisos de seguridad. En el ámbito político , se conoce como separación de poderes , como se puede observar en las democracias donde el gobierno está separado en tres poderes independientes: un legislativo , un ejecutivo y un judicial .

Descripción general

La separación de funciones es un concepto clave de los controles internos. Una mayor protección contra el fraude y los errores debe equilibrarse con el mayor costo/esfuerzo requerido.

En esencia, SoD implementa un nivel apropiado de controles y contrapesos sobre las actividades de los individuos. RA Botha y JHP Eloff en IBM Systems Journal describen SoD de la siguiente manera.

La separación de funciones, como principio de seguridad, tiene como objetivo primordial la prevención del fraude y los errores. Este objetivo se logra mediante la difusión de las tareas y los privilegios asociados para un proceso de negocio específico entre múltiples usuarios. Este principio se demuestra en el ejemplo tradicional de separación de funciones que se encuentra en el requisito de dos firmas en un cheque. [1]

Los títulos de trabajo reales y la estructura organizacional pueden variar mucho de una organización a otra, según el tamaño y la naturaleza de la empresa. En consecuencia, el rango o la jerarquía son menos importantes que las habilidades y capacidades de los individuos involucrados. Con el concepto de SoD, las tareas críticas para el negocio se pueden clasificar en cuatro tipos de funciones: autorización, custodia, mantenimiento de registros y conciliación. En un sistema perfecto, ninguna persona debería encargarse de más de un tipo de función.

Principios

Principalmente, varios enfoques son opcionalmente viables como paradigmas parcial o totalmente diferentes:

Patrones auxiliares

Una persona con múltiples roles funcionales tiene la oportunidad de abusar de esos poderes. El patrón para minimizar el riesgo es:

  1. Comience con una función que sea indispensable, pero potencialmente sujeta a abuso.
  2. Divida la función en pasos separados, cada uno de los cuales es necesario para que la función funcione o para obtener el poder que permite abusar de esa función.
  3. Asigne cada paso a una persona u organización diferente.

Categorías generales de funciones a separar:

Principalmente se aborda la separación individual como única elección.

Aplicación en negocios generales y en contabilidad.

El término SoD ya es bien conocido en los sistemas de contabilidad financiera. Las empresas de todos los tamaños entienden que no deben combinar funciones como recibir cheques (pago a cuenta) y aprobar cancelaciones, depositar efectivo y conciliar extractos bancarios, aprobar tarjetas de tiempo y custodia de cheques de pago, etc. SoD es bastante nuevo para la mayoría de la información. departamentos de tecnología (TI), pero un alto porcentaje de los problemas de auditoría interna Sarbanes-Oxley provienen de TI. [2]

En los sistemas de información, la segregación de funciones ayuda a reducir el daño potencial de las acciones de una persona. El departamento de SI o usuario final debe organizarse de manera que se logre una adecuada separación de funciones. Según la matriz de Control de Segregación de Funciones de ISACA, [3] algunas funciones no deben combinarse en un solo puesto. Esta matriz no es un estándar de la industria, solo una guía general que sugiere qué posiciones deben separarse y cuáles requieren controles compensatorios cuando se combinan.

Dependiendo del tamaño de una empresa, las funciones y designaciones pueden variar. Las empresas más pequeñas con falta de SoD generalmente enfrentan preocupaciones en los ciclos de desembolso donde pueden ocurrir compras y pagos no autorizados. [4] Cuando no es posible separar funciones, deben establecerse controles compensatorios. Los controles compensatorios son controles internos que tienen como objetivo reducir el riesgo de una debilidad de control existente o potencial. Si una sola persona puede cometer y ocultar errores y/o irregularidades en el desempeño de sus actividades diarias, se le han asignado tareas incompatibles con SoD. Existen varios mecanismos de control que pueden ayudar a hacer cumplir la segregación de funciones:

  1. Los seguimientos de auditoría permiten a los administradores de TI o a los auditores recrear el flujo de transacciones real desde el punto de origen hasta su existencia en un archivo actualizado. Se deben habilitar buenos registros de auditoría para proporcionar información sobre quién inició la transacción, la hora del día y la fecha de entrada, el tipo de entrada, qué campos de información contenía y qué archivos actualizó.
  2. La conciliación de aplicaciones y un proceso de verificación independiente es, en última instancia, responsabilidad de los usuarios, lo que puede utilizarse para aumentar el nivel de confianza de que una aplicación se ejecutó correctamente.
  3. Los informes de excepciones se manejan a nivel de supervisión, respaldados por evidencia que indica que las excepciones se manejan de manera adecuada y oportuna. Normalmente se requiere la firma de la persona que prepara el informe.
  4. Se deben mantener registros de transacciones de aplicaciones o sistemas manuales o automatizados, que registren todos los comandos procesados ​​del sistema o las transacciones de aplicaciones.
  5. La revisión de supervisión debe realizarse mediante observación e indagación.
  6. Para compensar errores o fallas intencionales siguiendo un procedimiento prescrito, se recomiendan revisiones independientes. Estas revisiones pueden ayudar a detectar errores e irregularidades.

Aplicación en sistemas de información.

La profesión contable ha invertido significativamente en la separación de funciones debido a los riesgos acumulados durante cientos de años de práctica contable.

Por el contrario, muchas corporaciones en Estados Unidos descubrieron que una proporción inesperadamente alta de sus problemas de control interno según la ley Sarbanes-Oxley procedían de TI. La separación de funciones se utiliza comúnmente en grandes organizaciones de TI para que ninguna persona esté en condiciones de introducir códigos o datos fraudulentos o maliciosos sin ser detectados. El control de acceso basado en roles se utiliza con frecuencia en sistemas de TI donde se requiere SoD. Más recientemente, a medida que aumenta el número de roles en una organización en crecimiento, se utiliza un modelo de control de acceso híbrido con control de acceso basado en atributos para resolver las limitaciones de su contraparte basado en roles. [5]

Un control estricto de los cambios de software y datos requerirá que la misma persona u organización desempeñe solo una de las siguientes funciones:

Esta no es una presentación exhaustiva del ciclo de vida del desarrollo de software , sino una lista de funciones de desarrollo críticas aplicables a la separación de funciones.

Para implementar con éxito la separación de funciones en los sistemas de información es necesario abordar una serie de preocupaciones:

Referencias

  1. ^ RA Botha; JHP Eloff (2001). "Separación de funciones para la aplicación del control de acceso en entornos de flujo de trabajo". Revista de sistemas IBM . 40 (3): 666–682. doi :10.1147/sj.403.0666. Archivado desde el original el 18 de diciembre de 2001.
  2. ^ Alyson Behr; Kevin Coleman (3 de agosto de 2017). "Separación de funciones y seguridad informática". csoonline.com .
  3. ^ "Matriz de Control de Segregación de Funciones". ISACA . Archivado desde el original el 3 de julio de 2011 . Consultado el 17 de julio de 2022 .
  4. ^ Gramática, Audrey; Hermanson, Dana; Hermanson, Heather; Sí, Zhongxia (1 de julio de 2010). "Abordar los problemas de la segregación de funciones en las empresas más pequeñas". Publicaciones de la facultad .
  5. ^ Soni, Krítika; Kumar, Suresh (1 de febrero de 2019). "Comparación de modelos de seguridad RBAC y ABAC para nube privada". Conferencia Internacional 2019 sobre Aprendizaje Automático, Big Data, Nube y Computación Paralela (COMITCon) . págs. 584–587. doi :10.1109/COMITCon.2019.8862220. ISBN 978-1-7281-0211-5. S2CID  204231677.

enlaces externos