Yo no debiera tener acceso...
Me sorprendió escuchar ese comentario durante la realización de una auditoría de sistemas en una empresa, pues se trataba de un usuario del sistema, que estaba extrañado pues tenía ciertos accesos u permisos en el sistema, que le otorgaban facultades para realizar tareas que iban más allá de sus responsabilidades y de su función. Desde luego, la preocupación del empleado radicaba en que podría, por error, ejecutar alguna tarea no autorizada que genere alguna pérdida a la entidad y en consecuencia ser responsable de resarcir el daño ocasionado.
Este hecho puede ser analizado de distintas maneras, veamos tres contextos:
Primero, el empleado comete un error al procesar una transacción. El error podría ser detectado o no, inclusive el empleado podría desconocer la ocurrencia del error. El efecto sobre el negocio podría ser detectado o no, en función de las cuentas afectadas y del importe de la transacción.
Segundo, el empleado efectúa una transacción no autorizada. El empleado podría ejecutar por ejemplo: un pago, un desembolso, otorgar un crédito, condonar deudas pendientes, acceder a información confidencial como planillas de sueldos, pudiendo ser detectado o no, en función de los permisos que tenga en el sistema. El impacto para la entidad podría ser desde financiero hasta de imagen y marca.
Tercero, el empleado establece un mecanismo para procesar transacciones no autorizadas en forma recurrente, por importes que no “llamen la atención”. Esta situación podría entrar en la categoría de fraude, pudiendo afectar distintas cuentas, en función de los accesos otorgados al usuario y del ingenio de éste. Se generaría un efecto financiero y eventualmente en la imagen de la entidad.
Afortunadamente para aquella empresa, primó el temor del empleado y simplemente no hizo uso de los accesos recibidos que no le correspondían. Sin embargo, considerando los diferentes procesos de negocio de una empresa, una situación de inadecuada asignación de accesos en los sistemas podría generar, entre otros, riesgos de salvaguarda de activos, de errores y/o fraudes, riesgos operacionales y de cumplimiento.
Respecto a la información, se podría llegar a afectar la integridad, exactitud, confiabilidad de los datos, difusión y uso no autorizados de información confidencial, falta de disponibilidad de información relevante cuando ésta es requerida, pudiendo afectar la continuidad de las operaciones o de los procesos críticos.
En el contexto planteado es muy arriesgado asumir que “Esa información fue generada por un sistema que me costó millones, y por lo tanto es correcta”, sobre todo si no se tiene establecida una adecuada segregación de funciones a nivel del personal y el correspondiente reflejo a nivel de los sistemas.
En una coyuntura mundial en la cual los términos como austeridad, reducción de gastos y minimización de pérdidas han tomado un nuevo posicionamiento, es recomendable estar alertas sobre la adecuada gestión de accesos y establecer, sobre una base de costo y beneficio, los mecanismos apropiados para mitigar los riesgos a nivel financiero, operacional y de cumplimiento, asociados a un acceso mal otorgado.
Carlos Caballero
Gerente Señor Advisory
PricewaterhouseCoopers
Enviar por e-mail
Versión para imprimir