Experto Antifraude

Auditoría de TI

Segregación de funciones en TI: Importancia y Auditoría

Detalles
Categoría de nivel principal o raíz: Blog
TI

Por: Equipo Auditool

La segregación de funciones (SoD, por sus siglas en inglés) es un principio fundamental en el control interno de las organizaciones, cuya finalidad es prevenir errores, fraudes o abusos mediante la distribución adecuada de las responsabilidades entre diferentes personas o equipos. En el ámbito de la tecnología de la información (TI), este concepto es crucial para garantizar que ningún individuo tenga control total sobre los aspectos clave de los sistemas o procesos, reduciendo así los riesgos operativos y de seguridad.

Este artículo aborda el concepto de segregación de funciones en TI, la relevancia de su implementación en el control interno, los riesgos asociados a su falta y las mejores prácticas para auditar este principio.

Concepto de segregación de funciones (SoD) y su relevancia en el control interno

La segregación de funciones es una práctica de control interno que distribuye las tareas y responsabilidades relacionadas con procesos clave entre diferentes individuos o equipos para evitar conflictos de interés, fraudes, errores y actividades maliciosas. En el contexto de TI, SoD busca impedir que una sola persona tenga acceso y control completo sobre varios aspectos críticos de un sistema, como la creación, modificación y autorización de transacciones o cambios en la configuración de los sistemas.

Ejemplos comunes de segregación de funciones en TI incluyen:

  1. Desarrollo y producción: El personal encargado del desarrollo de software no debe tener acceso a los entornos de producción. Esto asegura que el código o las aplicaciones desarrolladas pasen por un proceso de pruebas y aprobación antes de ser implementadas.
  2. Administración de usuarios y auditoría de accesos: La persona encargada de la creación y gestión de cuentas de usuarios no debe auditar el uso o los accesos realizados por esos usuarios, ya que podría manipular los registros sin ser detectada.
  3. Operaciones y control de calidad: El equipo que implementa actualizaciones o realiza cambios en los sistemas no debe ser el mismo que verifica la calidad o el impacto de esos cambios en el sistema.

La implementación efectiva de SoD ayuda a crear un entorno más controlado y seguro, donde las acciones están supervisadas y monitoreadas por diferentes roles, evitando así la concentración de poder y minimizando la posibilidad de errores o fraudes no detectados.

Riesgos asociados a la falta de segregación en los sistemas de TI

La ausencia de una segregación adecuada de funciones en los sistemas de TI conlleva varios riesgos significativos para las organizaciones. Entre los riesgos más relevantes se incluyen:

  1. Fraude interno: Cuando una persona tiene acceso a múltiples funciones clave (como la autorización de transacciones y la modificación de datos), puede manipular los sistemas para cometer fraudes sin ser detectada. Por ejemplo, si un empleado puede crear usuarios y autorizar accesos sin supervisión, podría otorgarse privilegios indebidos.

  2. Errores no detectados: Sin una segregación adecuada, los errores pueden pasar desapercibidos. Por ejemplo, un desarrollador con acceso a producción podría implementar cambios no probados o incorrectos, sin que otro equipo revise su trabajo. Esto puede generar fallos en los sistemas o afectar la integridad de los datos.

  3. Abuso de privilegios: El abuso de privilegios ocurre cuando los usuarios con altos niveles de acceso (como los administradores de sistemas) utilizan indebidamente su autoridad para acceder a información confidencial o realizar acciones inapropiadas, como eliminar registros de auditoría.

  4. Cumplimiento normativo: Muchas regulaciones, como la Ley Sarbanes-Oxley (SOX), el Reglamento General de Protección de Datos (GDPR) y otras normativas de ciberseguridad, exigen controles estrictos, incluida la segregación de funciones. La falta de SoD puede resultar en sanciones legales y la pérdida de confianza de los stakeholders.

Métodos para auditar la segregación de funciones

La auditoría de la segregación de funciones en los sistemas de TI es crucial para garantizar que se implementen y mantengan controles eficaces. El proceso de auditoría debe enfocarse en identificar áreas donde las responsabilidades críticas estén concentradas en una sola persona o equipo y evaluar los riesgos asociados. A continuación, se presentan algunos métodos y enfoques clave para auditar la segregación de funciones:

1. Identificación de funciones críticas

El primer paso en la auditoría es identificar las funciones clave que deben estar segregadas para mitigar riesgos. Estas funciones varían según la organización, pero generalmente incluyen:

  • Acceso a sistemas críticos (bases de datos, sistemas financieros, aplicaciones de negocio).
  • Control de cambios en producción.
  • Autorización de transacciones.
  • Gestión de usuarios y accesos El auditor debe revisar los roles y responsabilidades de cada persona en el departamento de TI para detectar concentraciones indebidas de funciones.

2. Revisión de permisos y roles de usuario

Una vez identificadas las funciones críticas, se debe realizar una auditoría de los permisos y roles asignados en los sistemas de TI. Esto implica:

  • Revisar los permisos asignados a cada usuario.
  • Verificar que los roles de usuario estén alineados con los principios de SoD.
  • Asegurarse de que no haya superusuarios o administradores con privilegios que les permitan ejecutar múltiples funciones críticas sin supervisión.

Ejemplo práctico: Si se está auditando un sistema ERP, el auditor debe revisar que la persona que procesa los pagos no tenga acceso a los módulos de creación de proveedores, lo que podría permitir la creación de proveedores falsos y el desvío de fondos.

3. Evaluación de controles compensatorios

En algunos casos, especialmente en organizaciones más pequeñas, puede no ser posible segregar completamente todas las funciones debido a limitaciones de personal. En estos casos, se implementan controles compensatorios para mitigar los riesgos asociados. Estos pueden incluir:

  • Revisiones periódicas de las actividades de los usuarios con privilegios elevados.
  • Monitoreo de accesos y registros de auditoría (logs) para detectar actividades sospechosas.
  • Aprobación independiente de las transacciones o cambios importantes en el sistema por parte de un supervisor o equipo de auditoría interna.

Ejemplo práctico: Si una organización no puede segregar completamente el acceso a la gestión de usuarios y la administración de contraseñas, se puede implementar un control compensatorio que registre todas las acciones relacionadas con la gestión de usuarios y que éstas sean revisadas semanalmente por un auditor.

4. Análisis de segregación a nivel de aplicación

Las aplicaciones empresariales como los sistemas ERP, CRM o sistemas financieros suelen tener configuraciones específicas para la segregación de funciones. El auditor debe revisar estas configuraciones para asegurarse de que los controles se hayan implementado correctamente en las aplicaciones y que los usuarios no tengan acceso a funciones incompatibles.

Ejemplo práctico: En un sistema ERP, el auditor puede revisar que los usuarios del módulo de compras no tengan acceso a la contabilidad general ni a la gestión de inventarios, evitando así el riesgo de manipulación de inventarios o fraudes financieros.

5. Pruebas de campo y entrevistas

Además de los análisis documentales y de sistemas, el auditor debe realizar entrevistas con los responsables de las áreas clave de TI y, si es posible, llevar a cabo pruebas de campo para verificar que los controles de SoD están funcionando en la práctica. Esto puede incluir pruebas de acceso, intentos controlados de modificación de datos, o la simulación de actividades fraudulentas para verificar la efectividad de los controles.

La segregación de funciones es un pilar crítico en la seguridad y el control interno de los sistemas de TI. Su implementación adecuada reduce significativamente los riesgos de fraude, errores y abusos, garantizando un entorno más controlado y seguro. La auditoría de la segregación de funciones es esencial para verificar que los controles están operando correctamente y que los riesgos relacionados con la falta de SoD están mitigados. Mediante una auditoría rigurosa de roles, permisos, controles compensatorios y la correcta implementación de SoD a nivel de aplicaciones, las organizaciones pueden mantener un alto nivel de seguridad y cumplimiento normativo en sus entornos de TI.

 👀 Te invitamos a visitar los siguientes documentos, relacionados a la segregación de funciones:

 

Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

De acuerdo Rechazar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado