Qu'est ce que la ségrégation des droits ?
La separación de funciones (SoD), también conocida como separación de funciones, es un sistema de controles internos dentro de una organización. Las políticas de SoD actúan como primera línea de defensa cuando protegen a las organizaciones contra el incumplimiento normativo y la actividad fraudulenta.
Muchos procesos comerciales, si los realiza una sola persona, crearían un conflicto de intereses. Por ejemplo, un empleado no debería poder enviar y aprobar sus propias órdenes de compra. Los principios de SoD dictan que estos procesos deben distribuirse entre varias personas dentro de una organización. Un proceso puede incluso requerir múltiples aprobadores para procesos de alto riesgo.
No es posible simplemente comprar conceptos de SoD. Las organizaciones implementan la segregación de funciones a través de prácticas de gestión de riesgos. Sin embargo, existen soluciones de software que ayudan a hacer cumplir las políticas de SoD. Lo hacen reforzando los controles de acceso, además de proporcionar monitoreo y la capacidad de realizar un seguimiento de los registros de auditoría.
Ejemplos de SdD
Estos son algunos otros ejemplos de procesos que utilizan el SoD:
- Los empleados no pueden escribir sus propios cheques de reembolso ni ejecutar sus propias órdenes de compra.
- Los gerentes de proyecto deben revisar y validar el trabajo o la documentación de su equipo.
- El personal de recursos humanos no puede establecer niveles de salario
Los controles internos separan las tareas incompatibles para prevenir el fraude y minimizar la tentación o los errores. El chantaje y la coerción son preocupaciones importantes para los empleados que desempeñan funciones importantes o que manejan datos valiosos. Sin políticas de SoD, estos son algunos ejemplos:
- Los empleados podrían realizar transferencias fraudulentas a su favor:
- Los empleados que controlan su propio trabajo pueden no detectar un error o pueden abusar del acceso no conforme.
- La persona que contrata personal puede ofrecer a un amigo un puesto o un salario exagerado en comparación con otros candidatos.
- Un empleado podría crear y cubrir una variación de pedido para tomar los productos por sí mismo.
El SoD y las regulaciones (Sarbanes-Oxley)
En 2002, Estados Unidos introdujo la Ley Sarbanes-Oxley (SOX). Esto se hizo después de numerosos actos fraudulentos de alto perfil en el sector financiero. Esta nueva legislación ha influido directamente en la SoD y los requisitos de auditoría para las instituciones financieras y públicas. El cumplimiento de SOX requería la aplicación estricta de controles de auditoría interna. Específicamente, requería que las organizaciones contrataran auditores independientes para revisar sus prácticas contables, en lugar de utilizar auditores internos.
Estas auditorías independientes han hecho mucho más difícil ocultar el fraude. SOX ha fortalecido aún más el cumplimiento al restringir que los auditores independientes brinden ciertos servicios que no son de auditoría para eliminar los conflictos de intereses [1].
SoD y gestión de acceso e identidad
SOX contribuyó significativamente al desarrollo inicial de los sistemas modernos de gestión de acceso e identidad (IAM). Las compañías financieras inicialmente lucharon por adaptarse a las nuevas regulaciones. Los procesos tuvieron que ser revisados. De repente, se requirieron recursos legales y de auditoría a niveles sin precedentes. Los sistemas IAM han abordado estos nuevos desafíos comerciales en dos frentes: control de acceso y registros de auditoría.
La aplicación de controles de acceso basados en roles (RBAC) de IAM es la base de muchas prácticas de SoD. Con RBAC, se pueden colocar restricciones en los sistemas de información según el rol de un empleado. Los roles se pueden determinar por departamento, jerarquía o función. RBAC garantiza que los usuarios solo tengan acceso a los recursos específicos que requieren sus roles; Ni más ni menos.
Los sistemas IAM también compilan pistas de auditoría mediante el registro de la actividad del usuario. Los administradores de TI pueden generar informes sobre estos registros de auditoría para demostrar el cumplimiento. Además, los registros de auditoría ayudan a identificar y resolver cualquier problema dentro de la estructura RBAC. Estos registros de auditoría reducen la carga de preparación para auditorías gubernamentales o de terceros. La preparación manual, por otro lado, puede requerir meses de esfuerzo analítico por parte de grandes equipos.
Sin embargo, los roles más amplios no siempre se aplican a todos los usuarios. En casi todas las organizaciones, se requieren cambios y asignaciones ad hoc. Estos requisitos deben cumplirse sin dejar de cumplir tanto con la SoD como con las reglamentaciones aplicables. Con este fin, muchos sistemas IAM incorporan un método de plataformas de flujo de trabajo de aprobación y solicitud de autoservicio.
Con una plataforma de autoservicio, los usuarios pueden solicitar acceso adicional a su propia discreción. Luego, sus solicitudes se envían para su aprobación por una o más partes responsables. Algunas plataformas consideran las políticas de SoD durante la etapa de solicitud, evitando que los usuarios soliciten acceso que violaría las políticas internas.
Nueva normativa y privacidad de datos
La última ola de regulaciones que afectan a las organizaciones públicas y privadas se centrará principalmente en la protección de datos. El Reglamento General de Protección de Datos (RGPD) de la UE ya ha introducido cambios radicales en la recopilación, el almacenamiento y el acceso a los datos. Ahora, saber qué usuarios tienen acceso a los datos del sistema de archivos de su organización es necesario para el cumplimiento.
[1] https://searchcio.techtarget.com/definition/Sarbanes-Oxley-Act
