Gestionando los riesgos de accesos en los ERP

Los accesos a los sistemas de aplicación y los privilegios que son otorgados a los usuarios, pasan a ser un tema rutinario en las empresas y dado al dinamismo de estas tareas, los riesgos se incrementan día a día, puesto que no siempre se considera un análisis de criticidad o de la incompatibilidad que pudieran presentar ciertos privilegios otorgados a los usuarios.

En el tiempo, esto hace proliferar una serie de vulnerabilidades en la seguridad, lo que podría generar impactos en la disponibilidad, confidencialidad e integridad de la información del negocio, con consecuencias sobre los ámbitos financieros, operacionales o de cumplimiento.

Para mitigar estos riesgos, las empresas se han comenzado a sensibilizar, sobre todo considerando que en las actuales implementaciones de ERP ya se contempla frentes de seguridad de la información, que se encargan de que estas problemáticas sean abordadas en el marco de estos proyectos con una visión integral de las unidades funcionales de la empresa y manteniendo un punto de equilibrio entre el control interno y la operatividad del negocio.

La otra forma de abordar la problemática, es gestionando la asignación de privilegios por medio de herramientas para el control de acceso que realizan evaluaciones de riesgo de segregación funcional en forma automática, gracias a las reglas pre-definidas que estas poseen y apoyados por soluciones tecnológicas orientadas a la gestión de identidades en los accesos.

Actualmente se puede ver como una buena práctica el hecho que la gestión de privilegios de accesos sea efectuada desde las áreas de recursos humanos y en la medida que se da de alta un empleado en los módulos de gestión de personal. Este asume en forma automática los privilegios inherentes al cargo, pero para que esto sea aplicable debe existir un modelo de privilegios alineado con los cargos de la organización y depurados desde el punto de vista de la criticidad o incompatibilidad que pudiera tener, pensando siempre en el "control por oposición de interés", lo que a larga mejora sustancialmente la segregación funcional y por ende el ambiente de control del negocio.

Por consiguiente, podemos concluir que cuando se toman medidas oportunas en esta línea, se evitará los reiterados rediseños de privilegios que gran parte de las empresas que han implementado un sistema ERP han tenido que realizar y por ende se evitará la materialización de incidentes de seguridad que pudieran poner en riesgo al negocio.

Fuente: Deloitte

José Almonacid

Contador Auditor Egresado y Titulado de la Escuela de Contadores Auditores de Santiago, Miembro actual del Colegio de Contadores de Chile A.G., Diplomado en Legislación Tributaria en la Universidad Mariano Egaña, Participación en Seminarios de la Reforma Tributaria, Seminario "Nuevos elementos del FUT ejercicios 2015-2016 e Impuesto Único al FUT" y Actualmente, se encuentra enfocado primordialmente en el libre ejercicio de la profesión con énfasis en temas tributarios y contables.