¿Cómo saber si las autorizaciones brindadas a los usuarios en el sistema, causaran un conflicto o infracción?
Cuando se trata de manejar los conflictos, la recomendación es utilizar una herramienta que nos brinde una alerta de cuando una transacción crítica (p.e. PFCG – Creación de roles) o sensible (p.e. XK01 – Alta de proveedor) o una combinación que genere un conflicto de funciones (p.e. VA01 – Crear pedido de cliente + VF02 – Modificar factura de cliente) esté siendo ejecutada por los usuarios.
Cada “regla” que configuremos en un sistema de administración de riesgos, estará relacionada a un riesgo. Entonces ya estaremos utilizando medidas de control preventivas y detectivas. Por ejemplo, si pones “Crear Orden de Compra” y “Aprobar la orden de compra” juntos en una regla, se verificará si hay usuarios que tienen ambas funciones en conjunto, el resultado será una lista de los usuarios que infrinjan esta regla de segregación de funciones.
Las autorizaciones no son estáticas y tampoco las infracciones
Los empleados son sujetos a cambiar de posición dentro de una organización, por lo tanto se les conceden más o diferentes autorizaciones en el sistema. Esto significa que las infracciones no son estáticas tampoco. Las empresas que comprueban sus infracciones cada seis meses o un año se sorprenden al descubrir – después de un auditoría – que sus informes de inspección incluyen nuevas infracciones.
Una herramienta puede incluir todas las reglas y validar que pasaría si le asigna a los usuarios autorizaciones específicas – antes – de que se generen (simulación). Si los resultados de la simulación caen en una infracción de una o más reglas a continuación, la autorización a asignar no dará lugar a la organización y se mantendrán limpias de tener más conflictos o infracciones de riesgo.
¿Por qué este modelo no funciona? En muchos casos la gente ignora la simulación o no cuenta con una base reglas de riesgo para accesos en su organización donde incluso se consideren sus transacciones customizadas.
Estrategia de control
Si la organización realmente quiere defenderse a sí misma, debe contar con alguna solución que constantemente monitoree todas las autorizaciones existentes y alerte a la organización acerca de las infracciones de transacciones críticas/sensibles y/o conflictos de segregación de funciones. De esta manera, incluso si un usuario pasa por alto o ignora el proceso de simulación, el sistema alertará sobre cualquier infracción de nueva creación o modificación, y alguien tendrá que rendir cuentas por ello.
Actualmente existen organizaciones que cuentan con mecanismos de monitoreo y creación de autorizaciones; aquellas que solo tienen mecanismos de monitoreo de los accesos y aquellas que no cuentan con ningún de estos mecanismos. Sin embargo, comparten el mismo problema de raíz una construcción inicial ineficiente de las autorizaciones en los roles.
Stay Clean
El concepto de “Stay Clean” o “Mantenerse limpio” de conflictos e infracciones fue adoptado por muchos, incluyendo las grandes empresas de consultoría. El mantenerse limpio, se logra con una combinación de herramientas de predicción (es decir, la simulación), posteriormente con herramientas de monitoreo y alerta, finalmente reduciendo o mitigando los conflictos remanentes.
Por tal motivo como primer paso, se deberá considerar realizar un análisis de riesgos y posteriormente considerar una re-ingeniería de roles, si cuentan con un alto número de infracciones a nivel rol-autorización y/o una remediación de riesgos en usuarios-autorizaciones, si se cuenta con un bajo o nulo número de infracciones a nivel rol y un esquema de autorizaciones robusto y segregado.
Talvez lo desconoces, pero existen herramientas de construcción automatizada de roles y asignación a los usuarios que permite a un usuario no técnico mantener los roles de los usuarios finales desde una estructura organizativa.
Finalmente, se deberán diseñar actividades mitigantes como medidas de control para aquellos usuarios a los que ya no se les pueda eliminar o segregar una actividad en conflicto.