¿Cuáles son las competencias de una Oficina de Seguridad de la Información relacionadas con
riesgos financieros?
Con los riesgos financieros, ya que estos riesgos se relacionan con la seguridad de la información, a través de mi experiencia como auditor de TI, el factor humano es crítico. Los controles internos tienen limitaciones , y dos limitaciones principales son la colusión y la anulación de la administración.
Los controles de seguridad técnicos (controles de acceso lógicos, cifrado, etc.) pueden diseñarse y funcionar perfectamente, pero si dos personas con intenciones maliciosas se unen para causar un daño financiero o cocinan los registros contables de un sistema financiero, no importa lo bien que funcionen los controles técnicos de seguridad. De manera similar, si el entorno de control (es decir, sintonía en la parte superior) es débil y la administración es laxa, entonces cualquier esfuerzo por debajo, como el de la función de Auditoría Interna, probablemente será infructuoso.
Por lo tanto, creo que una competencia central de un departamento de seguridad de TI para mitigar los riesgos financieros, ya que estos riesgos se derivan de la TI, es la promoción de un entorno y controles que mitiguen los incentivos humanos negativos, como la imposición de tareas tan incompatibles con el SoD. gestión de cuentas por pagar / configuración de cuentas) se realiza por al menos 2 personas diferentes.
Con la separación de funciones, hay varias áreas en las que el equipo de seguridad de la información puede ser útil. Los registros financieros son los productos finales que salen de un sistema de contabilidad / ERP. Hay ciertos roles que, debido a su naturaleza, conllevan un mayor riesgo inherente como los administradores de bases de datos . Por lo tanto, tener controles de seguridad bien diseñados en torno a la función DBA para que se aplique el principio de acceso con privilegios mínimos sería una forma en la que la Seguridad de TI puede mejorar el entorno de controles internos de los informes financieros.
Para que el fraude financiero tenga éxito, la actividad maliciosa no debe detectarse fácilmente. Por lo tanto, implementar una auditoría rigurosa de los cambios de datos revisar esos registros con regularidad sería otra forma en la que la Seguridad de TI puede ayudar a fortalecer el entorno de control. Como complemento del registro de seguridad, es posible que también desee ver otros procesos, como la respuesta a incidentes, para remediar e investigar los cambios no contabilizados en la producción.
También puede vincular aserciones en la información financiera al modelo de seguridad de la CIA para mapear cómo las amenazas a un principio de la CIA amenazan el logro de una aseveración financiera. Permítame ilustrarlo con las afirmaciones de los estados financieros de integridad y límite y los principios de la CIA de Integridad y Disponibilidad .
Afirmación de integridad en los informes financieros
Como se indica en el enlace, la afirmación de integridad en los informes financieros se refiere a si se registraron todos los asientos de diario que deberían haberse registrado en el GL. Si los controles de seguridad no son adecuados para proteger el principio de integridad (es decir, existe una vulnerabilidad), entonces un agente de amenazas, como un empleado descontento, puede explotar dicha vulnerabilidad, tal vez para eliminar / alterar los registros financieros, lo que resulta en una declaración errónea de la afirmación de integridad. .
Aserción de corte en informes financieros
La afirmación de corte en la información financiera se refiere a si las transacciones financieras se han registrado a la GL en el período de tiempo de contabilidad correcto. Si un agente de amenazas, como un empleado interno descontento, lanzara un ataque DOS / DDOS contra una aplicación que procesa datos financieros, el tiempo de inactividad podría ocasionar que los datos financieros no se procesen de manera oportuna, lo que provocaría una declaración errónea de la afirmación de corte.
Entonces, sí, dicha solicitud está absolutamente dentro del ámbito de la seguridad de la información .