Seguridad de la información y riesgos financieros

1

Recientemente, nos ha preguntado Audit Dpt. tener controles de riesgos financieros en nuestro ERP (incidentes similares a fraude). ¿Nuestra pregunta es si esta solicitud está cubierta por el alcance del Departamento de Seguridad de la Información? Si es así, creo que debería desarrollarse un conjunto de pruebas con el departamento de TI y finanzas

Entonces, ¿cuáles son las competencias de una Oficina de Seguridad de la Información relacionadas con los riesgos financieros? ¿Hay alguna certificación o trayectoria académica que el profesional de seguridad de la información debe seguir para desarrollar habilidades para responder a los riesgos financieros (como el fraude)? ¿ CRISC cubre este tipo de riesgos por ejemplo?

    
pregunta user53852 14.08.2014 - 19:05
fuente

3 respuestas

2

Esto ciertamente está relacionado con la seguridad y si las transacciones involucradas se realizan por medios electrónicos, es ciertamente parte de la estimación del riesgo y la determinación de las medidas de seguridad adecuadas que deben tomarse. La seguridad de la información no existe en un vacío. Depende de todos los factores circundantes, hasta la seguridad física del edificio en el que se encuentran las computadoras.

El fraude es un tipo de incidente de seguridad por mal uso de su sistema. Tener sistemas para limitar el riesgo de tales incidentes está dentro de los límites de la documentación de Seguridad de la información, aunque es probable que el nivel aceptable de riesgo provenga de finanzas o administración. .

También se pueden aplicar muchas medidas técnicas (como las verificaciones de identidad y / o crédito) para prevenir actividades fraudulentas, por lo que la Seguridad de la información debe involucrarse específicamente en el proceso en lugar de implementarse en el último minuto.

No creo que sea necesario esperar que una persona de seguridad de la información tenga un conocimiento profundo de los riesgos específicos de fraude financiero (es por eso que hay un departamento de finanzas), pero es importante saber cómo deben los sistemas y las políticas. responder a las amenazas documentadas en un plan de respuesta coherente para toda la organización.

    
respondido por el AJ Henderson 14.08.2014 - 19:19
fuente
0

Estoy de acuerdo con la respuesta anterior. Normalmente, los controles caen dentro de un equipo de seguridad de la información o un equipo de controles que se centra en desarrollar y mantener controles para toda la organización. Los controles generalmente se crean (como usted mencionó) a partir de una combinación de Finanzas y TI, pero deberían ser propiedad / desarrollo de Finanzas ya que comprenden el riesgo real cuando se consideran todos los controles que ya existen en la organización (por ejemplo, el departamento de Finanzas puede que ya esté haciendo reconciliaciones como parte de su proceso de cierre de meses ... este es un control que debería documentarse).

En cuanto a las certificaciones, CRISC definitivamente ayudará. Además, debe buscar la asistencia de una firma de Big 4, que generalmente tiene recursos que se especializan en esta área.

Por último, hay conferencias que se realizan anualmente y que puede considerar asistir. La Conferencia ISRA de América del Norte ISRM tiene una sesión sobre cómo proteger su sistema SAP. Si SAP es su ERP, debería considerar la posibilidad de asistir a la sesión, ya que se analizará parte de esto.

    
respondido por el Ray Mastre 13.09.2014 - 00:01
fuente
0
  

¿Cuáles son las competencias de una Oficina de Seguridad de la Información relacionadas con   riesgos financieros?

Con los riesgos financieros, ya que estos riesgos se relacionan con la seguridad de la información, a través de mi experiencia como auditor de TI, el factor humano es crítico. Los controles internos tienen limitaciones , y dos limitaciones principales son la colusión y la anulación de la administración.

Los controles de seguridad técnicos (controles de acceso lógicos, cifrado, etc.) pueden diseñarse y funcionar perfectamente, pero si dos personas con intenciones maliciosas se unen para causar un daño financiero o cocinan los registros contables de un sistema financiero, no importa lo bien que funcionen los controles técnicos de seguridad. De manera similar, si el entorno de control (es decir, sintonía en la parte superior) es débil y la administración es laxa, entonces cualquier esfuerzo por debajo, como el de la función de Auditoría Interna, probablemente será infructuoso.

Por lo tanto, creo que una competencia central de un departamento de seguridad de TI para mitigar los riesgos financieros, ya que estos riesgos se derivan de la TI, es la promoción de un entorno y controles que mitiguen los incentivos humanos negativos, como la imposición de tareas tan incompatibles con el SoD. gestión de cuentas por pagar / configuración de cuentas) se realiza por al menos 2 personas diferentes.

Con la separación de funciones, hay varias áreas en las que el equipo de seguridad de la información puede ser útil. Los registros financieros son los productos finales que salen de un sistema de contabilidad / ERP. Hay ciertos roles que, debido a su naturaleza, conllevan un mayor riesgo inherente como los administradores de bases de datos . Por lo tanto, tener controles de seguridad bien diseñados en torno a la función DBA para que se aplique el principio de acceso con privilegios mínimos sería una forma en la que la Seguridad de TI puede mejorar el entorno de controles internos de los informes financieros.

Para que el fraude financiero tenga éxito, la actividad maliciosa no debe detectarse fácilmente. Por lo tanto, implementar una auditoría rigurosa de los cambios de datos revisar esos registros con regularidad sería otra forma en la que la Seguridad de TI puede ayudar a fortalecer el entorno de control. Como complemento del registro de seguridad, es posible que también desee ver otros procesos, como la respuesta a incidentes, para remediar e investigar los cambios no contabilizados en la producción.

También puede vincular aserciones en la información financiera al modelo de seguridad de la CIA para mapear cómo las amenazas a un principio de la CIA amenazan el logro de una aseveración financiera. Permítame ilustrarlo con las afirmaciones de los estados financieros de integridad y límite y los principios de la CIA de Integridad y Disponibilidad .

  

Afirmación de integridad en los informes financieros

Como se indica en el enlace, la afirmación de integridad en los informes financieros se refiere a si se registraron todos los asientos de diario que deberían haberse registrado en el GL. Si los controles de seguridad no son adecuados para proteger el principio de integridad (es decir, existe una vulnerabilidad), entonces un agente de amenazas, como un empleado descontento, puede explotar dicha vulnerabilidad, tal vez para eliminar / alterar los registros financieros, lo que resulta en una declaración errónea de la afirmación de integridad. .

  

Aserción de corte en informes financieros

La afirmación de corte en la información financiera se refiere a si las transacciones financieras se han registrado a la GL en el período de tiempo de contabilidad correcto. Si un agente de amenazas, como un empleado interno descontento, lanzara un ataque DOS / DDOS contra una aplicación que procesa datos financieros, el tiempo de inactividad podría ocasionar que los datos financieros no se procesen de manera oportuna, lo que provocaría una declaración errónea de la afirmación de corte.

Entonces, sí, dicha solicitud está absolutamente dentro del ámbito de la seguridad de la información .

    
respondido por el Anthony 14.11.2017 - 04:18
fuente

Lea otras preguntas en las etiquetas