Seguridad y legalidad: cuando el acceso a la información es nuestro mayor riesgo

Según el reporte anual de BDO Argentina, el 31% de las organizaciones declararon haber sido víctimas de algún tipo de fraude durante el 2018, y frente a este resultado solo el 17% de las organizaciones creen estar preparadas para prevenir, detectar y responder al fraude corporativo. Si tenemos en cuenta estas estadísticas, y que las principales causas que acaparan el mayor riesgo de fraude son la alta rotación del personal, la mayor tercerización operativa y el aumento de colaboración entre compañías (por ejemplo, asociaciones estratégicas), veremos claramente que el foco de riesgo se encuentra en el control de permisos y privilegios de acceso a la información y su procesamiento, tanto a nivel lógico como físico.

Las fallas en la ejecución de bajas de accesos (identidades y credenciales lógicas, tarjetas de proximidad, etc.), permisos inadecuados que son heredados por cambio de puesto, error de concepto de otorgar más privilegios de los necesarios, son algunos de los problemas que suelen facilitar la ocurrencia de fraudes con un impacto negativo y directo en el negocio. Por ello, cada acción tomada desde las áreas de seguridad de la información en favor del cumplimiento no solo no es un costo sino que es un servicio en favor de la calidad y aseguramiento de los objetivos del negocio planteados desde las diferentes áreas de la compañía.

Como digo siempre, la seguridad debe ser planteada como un servicio y la definición de sus objetivos debe estar alineada con los del negocio analizando las necesidades de aseguramiento en su participación en la operación diaria. De esta forma podremos establecer una relación directa entre la INVERSIÓN aplicada a la seguridad y los RESULTADOS (GANANCIAS/RENTABILIDAD) al minimizar los riesgos que puedan impactar en forma directa a su economía e imagen de mercado, para lo que deben implementarse servicios prestados en forma permanente, tales como controles de TI, auditorías de seguridad de la información, control de gestión con terceras partes, revisión funcional y certificación de identidades, entre otros. Estos servicios brindaran al Negocio un ambiente de prevención que evitará mayores costos en producción y multas regulatorias, y como de a poco vamos cambiando el concepto, podemos decir que ya se está aplicando "más allá del manual" en la mayoría de las compañías; el secreto es la concientización en toda la organización, y el entendimiento y apoyo directivo.

Adicionalmente a lo arriba mencionado, el aumento de la necesidad de cumplimiento regulatorio y normativo para las organizaciones ha multiplicado sus riesgos de incumplimiento legal, lo que ha desembocado en una mayor actividad en objetivos de control definidos bajo el marco normativo tomando como referencia diferentes normativas nacionales e internacionales. La compañía toma esos objetivos de control, de los cuales surgen las medidas de seguridad que adopta y adecúa a su organización para la protección de la información más sensible o las aplicaciones más críticas para cada área de negocio.

Estos objetivos de control y su implantación deben ser conocidos desde el inicio por los usuarios en sus diferentes niveles, participando en el cumplimiento de la acción política de la empresa y formando parte responsable de la estrategia de la seguridad de la información. Así se asegura desde todas las áreas de negocio que se proporciona un sistema de control adecuado para el acceso a la información y a los sistemas de procesamiento. Los usuarios de cada área de negocio deben saber que, de acuerdo con los objetivos de control definidos, las medidas de seguridad adecuadas al contexto de la compañía tienen que cumplirse para asegurar confidencialidad, integridad y disponibilidad, y por ende el cumplimiento regulatorio.

Se debe tener en cuenta que los usuarios aportan la documentación referente a los objetos de información basándose en su experiencia y conocimientos. Esto permite establecer programas adecuados que disminuyen la potencialidad de eventos negativos y el mantenimiento organizado de los mismos. La Información ofrecida desde las áreas usuarias ayuda a establecer y documentar medidas preventivas y obtener un plan metodológico integral de la seguridad de la información orientado a responder a las necesidades de cumplimiento de la organización, que incluye:

  1. Identificación del riesgo potencial y de exposición por objetivo de control
  2. Identificación de la información, estableciendo su importancia de acuerdo con su nivel de confidencialidad, integridad y disponibilidad necesaria
  3. Análisis de procesos del área, que incluyen el mapa de interacción con otras áreas y terceras partes
  4. Identificación y validación de los recursos humanos y sus necesidades de permisos y privilegios de acceso de acuerdo con su rol y funciones otorgadas.

La certeza sobre la información de respaldo y pruebas objetivas brindadas por los usuarios para el control y desarrollo de las actividades de cumplimiento y seguridad de la información aportarán un sólido desarrollo para el plan de negocios de la organización, por ello debemos trabajar en equipo e incrementar la conciencia de la necesidad de proteger la información y a entrenarlos en la utilización de la misma para que puedan llevar a cabo sus funciones en forma segura, minimizando la ocurrencia de errores y pérdidas orientadas al fraude.

De igual forma, establecer una segregación de funciones a través de la matriz SoD (Segregation of Duties) como primer paso que puede resultar una forma lógica de iniciar la tarea de detección de conflictos de funciones y riesgos financieros. Consideramos en este análisis que si bien los procesos de negocios de las empresas son similares, no en todas son iguales. Hay distintos factores que pueden hacer que nos encontremos con algunas dificultades que requieran de mayor esfuerzo en nuestra creatividad al querer resolver la segregación de funciones:

  1. Nómina del personal en los diferentes sectores que intervienen en el proceso
  2. Diseño de la herramienta de software para gestionar y procesar la información
  3. Diseño del módulo de ABM de usuarios, con las definiciones de roles y perfiles para el acceso y procesamiento de la información.

Estos son algunos de los puntos sobre los cuales debemos requerir un aporte esencial desde diferentes áreas de la compañía:

  1. Recursos Humanos, a través de una definición concreta y documentada de las funciones de la nómina asignada a sectores administrativos
  2. Áreas de Negocio, responsables de mantener un proceso documentado y gestionado acorde a los recursos existentes
  3. Desarrollo/Tecnología/Seguridad, responsables de acompañar, asesorar y representar tecnológicamente lo indicado por el Negocio asegurando un proceso acorde a las necesidades de gestión y seguridad de acceso a la información
  4. Auditoría y Control Interno, asesorando en lo referente a control y registración con el fin de crear una visión única para la revisión de funciones.

Toda actividad asociada al aseguramiento organizacional y cumplimiento que se desee finalizar con éxito debe pensarse desde la necesidad de generar un ámbito colaborativo entre las diferentes áreas que participan en uno o más de sus etapas de ciclo de vida. Cada área debe pautar sus condiciones funcionales:

  • El Negocio, asegurar la disponibilidad del proceso
  • Áreas tecnológicas y de seguridad de la información, asegurar la necesidad de integridad y confidencialidad de la información
  • Auditoría o control interno, asegurarse las respuestas necesarias para documentar el cumplimiento de normativas internas o regulatorias

SoD debe proveer estas condiciones de disponibilidad, confidencialidad e integridad a través de una definición clara y actualizada de funciones y roles o perfiles, su relación e identificación de procesos de control establecidos sobre seguridad y perfiles. El acceso indebido a la información, con motivos de robo o por utilización inadecuada, hace que en los tiempos que corren debamos estar más atentos y mejor preparados en relación con la protección de datos.

 

Por ello, cada empresa basada en su Industria y en el tipo de información que poseen y administran debe tener en cuenta que las actuales regulaciones están orientadas a normar el tratamiento de los datos basado en el principal riesgo que es la alteración de su integridad o que se viole su confidencialidad. Si bien es creciente, aún nos falta proponer desde distintas áreas de las empresas mayor participación respecto de actividades relacionadas con la seguridad de la información, lo cual agrava el problema de los riesgos relacionados principalmente con la integridad y confidencialidad de los datos y que, por carácter transitivo, también puede afectar a la disponibilidad de los mismos si los ataques internos o externos impactan negativamente en sus sistemas informáticos o procesos de gestión administrativa.

Pensar en seguridad no solo es cumplimentar objetivos relacionados con la “protección”, sino establecer un entorno seguro con la visión de gobierno, riesgo y cumplimiento desde cualquier sector de la organización. Bajo estos aspectos se debe ser claro y concreto en las acciones que implementemos en pos del cumplimiento, para certificar a la organización el inicio o continuación de un camino de integración que les permita mejorar la imagen, confianza y competitividad empresarial con respecto al negocio y analizar riesgos, establecer objetivos y metas que permitan aumentar el nivel de confianza en la seguridad para los sistemas de información.

BDO puede ayudarlo a mejorar y controlar no solo sugestión de accesos sino también aspectos relacionados con la gestión de identidades digitales de su personal, ya que contamos con un amplio conocimiento e integramos nuestros equipos de trabajo con las diferentes “visiones” necesarias para llevar adelante proyectos que asocian los objetivos de negocio, el cumplimiento y la tecnología; con nuestra experiencia aportamos una mejor gestión de los proyectos basados en el cumplimiento, mayor rentabilidad en las soluciones tecnológicas aplicadas al negocio y el aporte a asegurar también servicios tecnológicos de calidad.

#BDOtambienesseguridad