Segregacion Funciones
Páginas: 8 (1966 palabras)
Publicado: 7 de junio de 2012
Segregación de funciones
Definición: evita la posibilidad de que una persona pueda ser responsable de funciones diversas y criticas de tal forma que pudieran ocurrir errores o apropiaciones indebidas y no ser detectadas. Es un importante medio por el cual se puede prevenir y disuadir actos fraudulentos.
Dimensiones: políticas-usuarios- flujo de procesos. Negocio-activos-aplicacionesDefiniendo el perfil de acceso de un usuario: es la representación digital de un usuario, incluye identificador único, credenciales y asignación de perfiles comunes y específicos dentro de las aplicaciones.
* Identificador del usuario: nombre, fecha nacimiento.
* Cuenta: login id y password
* Perfiles comunes: roles funcionales, unidad de negocio, ubicación, jefatura
* Perfilaplicativo: niveles de permiso, control de acceso.
Ciclo de vida del perfil de usuario
* Requerimiento de acceso al sistema: la identidad es creada en un sistema interno, la identidad es creada en una fuente autorizada
* Provisión de acceso: cuentas de usuarios se definen en cada recurso al que tendrá acceso, permisos y reglas de acceso inicial, registro en el sistema.
* Mantención acceso:actualización de la cuenta y perfil de acceso. Reporte y auditoria, recertificación, administración de acceso
* Termino de acceso: revocación de permisos y accesos del usuario en todos los recursos, termino de usuarios programado y no programado, respaldo de la identificad del usuario.
Conflictos de incompatibilidad
* Ámbito procesos de negocio: iniciar, autorizar, registrar, custodiar,conciliar o cuadrar grupos de transacciones, identificación y seguimiento de excepciones, aprobación de la lista de acceso para cada transacción clave, realizar actividades propias de TI.
* Ámbito tecnológico: desarrolladores con acceso al ambiente de producción, responsable de seguridad con funciones de definir implementar y monitorear políticas de seguridad, administrar base de datos,desarrolladores con capacidades para administrar la plataforma tecnológicas, personal de informática son propietarios de los sistemas y datos, personal de informática con privilegios para explotar las aplicaciones de negocio.
Problemas de inadecuada segregación funcional
* Apropiación indebida de activos, estados financieros falsos, usos indebidos de fondos, delimitación de responsabilidades porsuplantación de identidades, incumplimiento de políticas de control interno, incumplimiento regulatorio
Causas mas comunes que originan una inadecuada SoD
* Recursos humanos limitados para las tareas del proceso, bajo compromiso de la administración, falta de una política de control de acceso, errores en la asignación de privilegios de acceso, cambios en el proceso de negocio.
Principalescontroles:
* Políticas y procedimientos de control de acceso que consideran a un nivel suficiente la segregación funcional tanto a nivel de proceso como a nivel de la tecnología, poseer herramientas de control tales como: lista de acceso, matrices de conflictos para las funciones criticas, controles compensatorios, definir estándares de seguridad mínimos a cumplir en toda la plataformatecnológica, establecer monitorios permanentes.
Auditar la segregación de funciones
* Entendimiento: conocer el proceso, reglas del negocio, transacciones criticas, descripciones de funciones, políticas de acceso, soporte de la plataforma tecnológica
* Análisis: obtención de perfiles y transacciones por puesto, realizar cruces entre las funciones y las transacciones activas, analizar losriesgos, identificar los conflictos
* Conclusión: reportar riesgos de segregación funcional
GESTION DE TERCEROS
Externalización de servicios
Definición: es cuando una organización transfiere la propiedad de un proceso de negocio a un proveedor. Se basa en el desprendimiento de alguna actividad que no forma parte de las habilidades principales de una organización a un tercero especializado....
Definición: evita la posibilidad de que una persona pueda ser responsable de funciones diversas y criticas de tal forma que pudieran ocurrir errores o apropiaciones indebidas y no ser detectadas. Es un importante medio por el cual se puede prevenir y disuadir actos fraudulentos.
Dimensiones: políticas-usuarios- flujo de procesos. Negocio-activos-aplicacionesDefiniendo el perfil de acceso de un usuario: es la representación digital de un usuario, incluye identificador único, credenciales y asignación de perfiles comunes y específicos dentro de las aplicaciones.
* Identificador del usuario: nombre, fecha nacimiento.
* Cuenta: login id y password
* Perfiles comunes: roles funcionales, unidad de negocio, ubicación, jefatura
* Perfilaplicativo: niveles de permiso, control de acceso.
Ciclo de vida del perfil de usuario
* Requerimiento de acceso al sistema: la identidad es creada en un sistema interno, la identidad es creada en una fuente autorizada
* Provisión de acceso: cuentas de usuarios se definen en cada recurso al que tendrá acceso, permisos y reglas de acceso inicial, registro en el sistema.
* Mantención acceso:actualización de la cuenta y perfil de acceso. Reporte y auditoria, recertificación, administración de acceso
* Termino de acceso: revocación de permisos y accesos del usuario en todos los recursos, termino de usuarios programado y no programado, respaldo de la identificad del usuario.
Conflictos de incompatibilidad
* Ámbito procesos de negocio: iniciar, autorizar, registrar, custodiar,conciliar o cuadrar grupos de transacciones, identificación y seguimiento de excepciones, aprobación de la lista de acceso para cada transacción clave, realizar actividades propias de TI.
* Ámbito tecnológico: desarrolladores con acceso al ambiente de producción, responsable de seguridad con funciones de definir implementar y monitorear políticas de seguridad, administrar base de datos,desarrolladores con capacidades para administrar la plataforma tecnológicas, personal de informática son propietarios de los sistemas y datos, personal de informática con privilegios para explotar las aplicaciones de negocio.
Problemas de inadecuada segregación funcional
* Apropiación indebida de activos, estados financieros falsos, usos indebidos de fondos, delimitación de responsabilidades porsuplantación de identidades, incumplimiento de políticas de control interno, incumplimiento regulatorio
Causas mas comunes que originan una inadecuada SoD
* Recursos humanos limitados para las tareas del proceso, bajo compromiso de la administración, falta de una política de control de acceso, errores en la asignación de privilegios de acceso, cambios en el proceso de negocio.
Principalescontroles:
* Políticas y procedimientos de control de acceso que consideran a un nivel suficiente la segregación funcional tanto a nivel de proceso como a nivel de la tecnología, poseer herramientas de control tales como: lista de acceso, matrices de conflictos para las funciones criticas, controles compensatorios, definir estándares de seguridad mínimos a cumplir en toda la plataformatecnológica, establecer monitorios permanentes.
Auditar la segregación de funciones
* Entendimiento: conocer el proceso, reglas del negocio, transacciones criticas, descripciones de funciones, políticas de acceso, soporte de la plataforma tecnológica
* Análisis: obtención de perfiles y transacciones por puesto, realizar cruces entre las funciones y las transacciones activas, analizar losriesgos, identificar los conflictos
* Conclusión: reportar riesgos de segregación funcional
GESTION DE TERCEROS
Externalización de servicios
Definición: es cuando una organización transfiere la propiedad de un proceso de negocio a un proveedor. Se basa en el desprendimiento de alguna actividad que no forma parte de las habilidades principales de una organización a un tercero especializado....
Leer documento completo
Regístrate para leer el documento completo.