Metodologa para la segregacin de funciones aplicado a la empresa

Grupo Mundo Digital Ecuador

ngel Palacios

Ciencias de la Ingeniera, Sistemas Informticos, Universidad Tecnolgica Israel, Quito,

Ecuador

Resumen

El presente documento est desarrollado con el objetivo de proponer a la

empresa Grupo Mundo Digital Ecuador que adopte la metodologa de segregacin de
funciones, para evitar posibles consecuencias irreparables en relacin a vulnerabilidades
de riesgos informticos, tanto de hardware como de software.

La metodologa, consta de 5 fases que guan a la adecuada implantacin de la

misma.

Implementar la metodologa, no necesita la empresa hacer grandes inversiones,

razn que solo debe contar con suficiente personal y delegar funciones.

Palabras Claves:

Metodologa, Riesgos Informticos, Segregacin de funciones, amenazas.

Abstract

The present document is developed with the objective of proposing to the company
"Grupo Mundo Digital Ecuador" to adopt the methodology of segregation of functions,
to avoid possible irreparable consequences in relation to vulnerabilities of computer
risks, both hardware and software.

The methodology, consists of 5 phases that guide the proper implementation of

the same.

Implementing the methodology, the company does not need to make large
investments, which should only have enough staff and delegate functions.

Keywords:

1
Methodology, Computer Risks, Segregation of functions, threats.

Introduccin

Se pudo determinar a travs de la visita de campo que la empresa bajo estudio,

inicio sus operaciones en el ao 2008, fundamentando sus bases en la Provincia de
Bolvar, cantn San Miguel, posteriormente en el ao 2014 ha migrado a la Provincia de
Pichincha, cantn Quito donde actualmente funciona la matriz y donde se inici
funciona como sucursal.
La actividad principal de la empresa es proveer el servicio de streaming de audio
y video a instituciones pblicas y privadas.
Adems, cuenta con profesionales en el campo de desarrollo de aplicaciones
web, sistemas, redes, etc.
Debido a todos los servicios que ofrece la empresa ha generado alto nivel de
inversin y crecimiento, pero tambin el incremento de vulnerabilidades de riesgos
informticos.
La solucin que se propone al gerente de la empresa es que adopte la
metodologa de segregacin de funciones; razn que no incurre en gastos, basta que
cuente con suficiente personal idneo.
Marco Terico

Segregacin de funciones

Consiste principalmente en que ninguna persona debe de tener demasiado acceso a

un sistema que le permita ejecutar transacciones en todo un proceso de negocios sin
controles y autorizaciones.

El inters cada vez mayor en la segregacin de funciones se debe, en parte, a los

reglamentos impulsados con un enfoque en los controles y a la responsabilidad a nivel
ejecutivo por lograr su implementacin exitosa.

La segregacin de funciones es un control interno bsico que busca asegurar que

ninguna persona tenga la autoridad para ejecutar dos o ms transacciones sensibles en
conflicto que podran afectar los estados financieros. (Young, 2010)

Metodologa basada en riesgos

Se enfoca en los problemas que presentan la mayor amenaza para el negocio y

sus estados financieros.

2
 Hoja de ruta de la segregacin de funciones
Consta de 5 fases:

Definicion
Definicion Remediaci
del Pruebas Mitigacin
tcnica n
negocio
Definicin del negocio. Objetivo es lograr el alcance de las transacciones sensibles y
los conflictos que existen en los procesos. Es base para las siguientes etapas, no hay que
ocuparse de demasiadas cosas.
Definicin Tcnica. -Utiliza la matriz de conflictos. Ayuda a responder: Qu
aplicaciones soportan las transacciones sensibles. Mapeo de las aplicaciones y
exclusiones. Ejemplo. Pueden existir 20 formas de hacer las transacciones. (Excluir a
las de solo lectura y consultas)
Pruebas. -Se deben utilizar los datos de la definicin de negocios y definicin tcnica.
Los usuarios tienen acceso a gran variedad de sistemas lo cual desva el control y
pueden ocasionar fraude
Mitigacin. -Es el paso que permite limitar el posible impacto de una violacin en
materia de conflicto.
No arregla el conflicto, permite que el riesgo este en el sistema y crea o identifica
controles. Ejemplo. El pago a proveedores es de uso de autorizaciones automticas.
Remediacin. -El objetivo es la correccin permanente de los conflictos de segregacin
de funciones. La tcnica de remediacin consiste en redisear y depurar los roles,
revisar la idoneidad de los usuarios. (El Autor, a partir de Young, 2010)

Metodologa/Aplicacin

La ley de Ley Sarbanes Oxley (SOX) define la metodologa que seguir el estudio.

Anlisis de Procesos y roles

Identificacin de Riesgos Revisin peridica
Evaluacin SoDControles compensatorios

Fuente: Desarrollo propio, a partir de (Galofr, 2013)

3
Anlisis de Procesos

Se realizar un anlisis de los procesos y los roles que intervienen en la empresa.

Identificacin de riesgos

Se identificarn todas aquellas tareas o combinaciones de tareas que puedan resultar en

un riesgo de fraude para la empresa.

Evaluacin
Se clasifica en tres tipos de riesgos:
-Riesgo Alto.-Requiere atencin inmediata
-Riesgo Medio.-Quedaran en un segundo plano
-Funcin Crtica.-Requerir una atencin especial
SoD
Una vez equilibrado los riesgos se proceder a la eliminacin de estos mediante
la segregacin de Funciones en todos aquellos casos en que sea posible.

Controles Compensatorios.- En caso que no sea posible la aplicacin de SoD se

debern definir en su lugar los controles compensatorios adecuados.

Revisin peridica.-Se deber definir la periodicidad de las auditoras internas

Resultados

Una vez aplicada la metodologa de segregacin de funciones se determina que la

empresa:

Solo la secretaria realiza varios procesos, como pagos y adquisiciones, lo

cual es vulnerable a fraude.
En relacin a la identificacin de riesgos se pueden clasificar en dos: A nivel
de Hardware y Software. En el primero no cuenta con cmaras de vigilancia,
extintores con Co2, la seguridad fsica es deficiente. En relacin al software
no cuenta con firewall, licencias de software, mantiene habilitados puertos
que no estn siendo usados.
En la evaluacin, se recomienda que existen vulnerabilidades que deben ser
atendidas inmediatamente, como, por ejemplo: adquirir las licencias de
software y cerrar los puertos inutilizables.

4
 Tambin inmediatamente debera aplicar la segregacin de funciones, para
que sean ms personas las que aprueben, autoricen y ejecuten los pagos y
adquisiciones.
Los controles compensatorios, en el caso de no contar con el personal idneo
y suficiente para SoD, se recomienda automatizar las transacciones de pagos.

Conclusiones

Conocer y aplicar seguridad informtica como por ejemplo la segregacin de

funciones en una entidad/empresa u organizacin hoy en da es indispensable
para evitar grandes prdidas econmicas.

Los Gerentes/Lderes de las empresas son quienes deben velar por la

implementacin de medidas de seguridad de la informacin.

La adopcin de la segregacin de funciones econmicamente no cuestan, basta

con asignar diferentes funciones al personal.

Recomendaciones

Incrementar personal en la empresa o automatizar los procesos de transacciones.

Asesoramiento al gerente por parte de expertos en seguridad informtica.

Auditar internamente y externamente con frecuencia los procesos y controles

que lleva la empresa, para poder detectar vulnerabilidades de riesgos
informticos a tiempo y poder mitigarlos.

5
Referencias

Galofr, J. G. (2013). Segregacin de Funciones (SoD). Barcelona.

Vaca, C. (28 de Octubre de 2016). Seguridad Infromtica. Quito, Pichincha,
Ecuador.
Young, E. y. (2010). Un enfoque basado en riesgos para la segregacin de
funciones. Perspectivas relacionadas con el riesgo de TI, 1.