A mediados de los 90’, surgió en Chile una amplia y variada gama de procesos de implementación de ERP, dentro de los cuales muy pocos consideraron aspectos relativos a seguridad y control interno; es más, todo lo relacionado con el diseño de controles, tanto manuales como automáticos, implementación de privilegios, roles y perfiles, conocidos más adelante como “frente de seguridad”, entre otros, era abordado al final del proyecto.
Con el correr de los años muchas compañías se dieron cuenta de que al no considerar este tipo de tópicos durante la implementación del ERP, al poco andar tendrían variados inconvenientes de control interno, entre los cuales destacan la implementación de controles configurados mal calibrados (controles automáticos propios del ERP), usuarios con accesos por sobre su nivel de responsabilidad, débil marco de gobernabilidad, desconocimiento de herramientas y metodologías de cómo auditar el ERP, modelos de seguridad no acordes con la dinámica de la organización y, fundamentalmente, graves inconvenientes de segregación funcional.
Más que un concepto, una serie de variables
Hoy, a pesar del tiempo transcurrido, el escenario no es muy distinto: muy pocas compañías están considerando un frente de seguridad como parte integral del proyecto de implementación, lo cual tiene un costo que en el mediano y largo plazo resulta ser bastante mayor que haberlo considerado con anterioridad. Esto pareciera contradictorio, ya que el mercado por los distintos acontecimientos ocurridos, tanto en el extranjero como en el ámbito nacional, está adoptando, desde hace un tiempo, una serie de regulaciones que ha fortalecido el marco de control interno.
En este proceso también han tenido un rol importante las soluciones automatizadas GRC (Governance, Risk & Compliance), cuyo objetivo es colaborar en la automatización del control interno desde el punto de vista de la administración y gestión de todas las variables, y componentes del modelo (control, riesgos, pruebas de auditoría, planes de remediación y certificación, entre otros). Dentro de estas soluciones destacan aquéllas orientadas a la administración del control de acceso, con todo lo que esto involucra: mantención de roles, perfiles, responsabilidades, funciones, etc. Todo orquestado bajo workflows previamente diseñados y construidos de acuerdo a lo requerido por la compañía.
Sin embargo, surge la siguiente inquietud: lo anteriormente expuesto, ¿colabora realmente a minimizar y reducir, o mejor dicho a controlar y administrar, uno de los aspectos más relevantes del control interno, como es la segregación de funciones? Probablemente sí, ya que el concepto de la segregación funcional por sí solo es relativamente sencillo, la problemática es cómo se gestiona al interior de la organización en sistemas de información relativamente complejos, bajo la dinámica y flexibilidad que deben preservar en el ámbito de la gestión de usuarios.
En este sentido, cuando hablamos de mantener una adecuada segregación de funciones, no nos referimos sólo a un concepto, sino a una serie de variables y consideraciones que hay conocer y entender.
Gobernabilidad
La primera de estas variables es mantener un marco de gobernabilidad, que se encargue a través de una política, directrices y procedimientos de coordinar a todos los actores en el proceso de gestión de accesos y privilegios de los usuarios (“provisioning”). Independientemente de que sea un proceso manual o automático, nunca hay que perder de vista incorporar una función o actividad que vele por el monitoreo de la incompatibilidad de funciones, sobre todo cuando se trata de controles preventivos.
Las compañías generalmente, y como parte de su modelo de “provisioning”, no incorporan esta actividad, a pesar de ser una de las más importantes del proceso. No basta con la autorización o aprobación del dueño de la información al solicitar un acceso, lo más importante es poder determinar si ésta es incompatible o genera un nivel de riesgo con variados accesos que el usuario tiene en otros procesos de negocio (cuentas por pagar, tesorería, gestión de proveedores, etc.). Esto explica en gran medida porqué las organizaciones tienen inconvenientes de segregación funcional al interior de sus sistemas de información ERP.
Seguridad corporativa
Otro aspecto que colabora en no mantener un sano control interno tiene que ver con el adoptar una política de seguridad corporativa. Esta, entre otras consideraciones, tiene por misión identificar y categorizar los activos de la información, que a su vez determinan la sensibilidad de ésta al interior de la compañía. ¿Qué es y qué no es de cuidado? ¿Qué información es susceptible de ser pública y cuál no? Todo esto tiene que ver con el número, profundidad y detalle de las reglas de incompatibilidad funcional que se deben aplicar a los distintos procesos de negocio; no basta con que éstas tengan su propio criterio de riesgo, también deben estar alineadas y diseñadas en función de dicha categorización y sensibilidad de la data.
Debido a lo anterior, las compañías que aplican soluciones y realizan este tipo de evaluaciones, usan un número sustancial de reglas de incompatibilidad sobre los accesos de los usuarios, teniendo por resultado -muchas veces- un número tan elevado de incompatibilidades, que resulta muy complicado de administrar y abordar.
Otros factores
Otra variable a considerar es que los análisis de segregación funcional efectuados con algún tipo de solución automatizada no incorporan los controles mitigantes o compensatorios (controles preventivos o detectivos que atenúan los riesgos de incompatibilidad), ya que claramente es parte de lo que cada organización tiene y debe conocer. Estos se deben identificar y cobran mucho sentido al aplicarse en casos en los cuales no es posible dividir funciones. Generalmente ocurre en sucursales, faenas, y áreas en las cuales hay muy poco personal, por lo tanto existe una alta concentración de accesos en muy pocas personas. Es aquí donde se deben aplicar estos controles, pero como siempre lo relevante no es sólo identificarlos, sino que más importante, es saber quién los ejecutará y monitoreará en el tiempo.
Finalmente, un aspecto significativo a considerar es saber: ¿quién se hace cargo? ¿Informática, áreas usuarias, auditoría interna? Existen variadas opciones, pero todas tienen alguna desventaja, sobre todo esta última. Por dicho motivo, la figura del oficial de seguridad adquiere relevancia en este proceso, debido a que la naturaleza e inherencia de su rol es velar por el resguardo de la información con una mirada transversal y dependiendo de un comité de seguridad de alto nivel.