Resulta necesario un método de cumplimiento obligatorio para

Anuncio
Resulta necesario un método de cumplimiento obligatorio
para verificar la integridad de los registros contables
surgidos o tratados mediante medios informáticos
Silvia Gladys Iglesias 1
Resumen. Los profesionales que deben emitir opinión y o dictaminar sobre
Registros Contables cuyo tratamiento se realice por medios informáticos deben tener
un método obligatorio de verificación de la integridad de la información que de allí
se obtiene. El riesgo de que la información contenida no sea integra y por lo tanto no
represente la realidad de la Organización es muy alta, si ésta no cumple con
parámetros mínimos que aseguren los datos que conforman la información contable,
societaria, laboral e impositiva, pudiéndola invalidarla como elemento de prueba
legal. De allí la importancia de esta verificación. Este método de verificación debe
ser creado en base a Código de práctica para la gestión de la seguridad de la
información IRAM/ISO/IEC 27002 y al Anexo A de la IRAM/ISO/IEC 27001:2005
Sistemas de gestión de seguridad de la información (SGSI) – Requisitos.
1.
Introducción
En la actualidad no todos los profesionales que emiten opinión sobre
registros contables informáticos, ya sea que todo su tratamiento desde su origen
hasta su destrucción se hace por estos medios o donde se mezclan documentación,
registros y procesamientos manuales e informáticos, realizan la verificación de la
integridad de la información en ellos contenidos.
No hay normativa expresa que obligue a hacerlo permitiendo la emisión de
opiniones que luego podrían ser usadas en ámbitos jurídicos sobre información
que puede no ser integra por errores, omisiones, acciones dolosas o culposas de
miembros de la Organización, terceros contratados que directa o indirectamente
tienen acceso a la misma, y/o terceros que acceden sin autorización haciendo uso
de las vulnerabilidades de la organización en diferentes aspectos.
La existencia de una guía de buenas prácticas de la Seguridad de la
Información la IRAM/ISO/IEC 27002:2005 Código de práctica para la gestión de
la seguridad de la información, brinda un soporte muy adecuado para armar este
procedimiento de verificación, máxime siendo una norma que se actualiza
periódicamente (actualmente está en revisión).
La existencia de una normativa de Seguridad de los Datos Personales
(Disposición 11/2006 de la Dirección Nacional de Protección de Datos
Personales- DNPDP) de cumplimiento obligatorio a nivel nacional para todo
aquel que realiza tratamiento de Datos es un primer escalón para verificar la
1
[email protected] - [email protected]
211
III Jornada Nacional de Derecho Contable – La Plata
integridad de los datos en la actualidad aunque limitada a esos datos, sin embargo
no siempre es utilizada por los profesionales que emiten dictamen y/u opinión
sobre registros.
2.
El rol del profesional
En su condición de Auditor o Perito el profesional que debe analizar
registros contables, societarios e impositivos surgidos de sistemas informáticos,
debe partir como lo hace cuando revisa lo registrado manualmente en que esa
información debe ser verificada. Como se verifica la correlatividad del foliado, la
condición de salvado de las tachaduras y enmiendas, la coherencia de fechas entre
los registros y sus soportes, a la información que surge de sistemas informáticos
puede verificársele características similares. Es cierto que no todos tenemos la
formación requerida para realizar esos controles en forma directa, pero si
podemos hacerlo mediante la revisión del cumplimento de buenas prácticas de
Seguridad de la Información y de esa forma saber si la información es
razonablemente integra y por lo tanto sirve de prueba legal.
La Ley 25.326 de Protección de Datos Personales nos da a través de la
Disposición 11/2006 de la DNPDP una muy buena herramienta. Si bien esto se
limita a datos relacionados con los empelados, clientes, asociados, socios en el
caso de las SA, y proveedores, nos acerca a que gran parte de la información que
debemos verificar si se cumple la normativa puede serlo. Aún para datos básicos
(nombre y apellido, domicilio, ocupación y documento o clave de identificación
tributaria o previsional), se exige el cumplimiento de parámetros mínimos como:
• el detalle de las funciones y responsabilidades del personal y terceros no
pertenecientes a la Organización,
• el detalle de los procesos manuales y/o informatizados de tratamiento de
los datos,
• la limitación del acceso a personal autorizado,
• los controles de acceso físicos y lógicos,
• la protección contra código malicioso (virus, troyanos, etc.),
• los controles para evitar errores en la carga de datos,
• el registro de incidentes de seguridad,
• el tratamiento ante incidentes de seguridad,
• la guarda y el archivo,
• los procedimientos para efectuar las copias de seguridad y recuperación
de datos.
Teniendo en cuenta que a esto se suma la necesidad de firmar acuerdos de
confidencialidad con el personal y terceros y que a medida que se incorporan más
datos, los de índole financiera y relacionada con datos sensibles los controles y
registros aumentan, esta operatoria permite una validación básica a los datos a los
cuales se les aplican estas medidas de seguridad
212
III – Tecnologías Informáticas y Seguridad Jurídica
3.
Método de verificación propuesto
El método propuesto es de verificación de documentación de procesos,
procedimientos, registros y del uso de herramientas de seguridad de la
información que nos permita considerar la información integra. El ideal sería el
Anexo A de la IRAM/ISO/IEC 27001:2005 Sistemas de gestión de seguridad de
la información (SGSI) - Requisitos, 2007 que cubriría la totalidad de los puntos de
control.
La metodología de verificación podría estar entre ese nivel ideal antes citado
y un piso que deberá contener los siguientes controles como mínimos:
• LA EVALAUCIÓN DE RIESGOS: de existir una evaluación de riesgos de
Seguridad de la Información analizar las constancias de cumplimiento del
tratamiento dado a los riesgos y en el caso de riesgos aceptados por la máximas
autoridades de la Organización que los mismos no sean contrarios a las leyes
vigentes (ej. asumir el riesgo de no cumplir con una Ley).
• EL CUMPLIMIENTO LEGAL: verificar se cumpla con la legislación
vigente sin dejar de lado la que más se relaciona con la Seguridad de la
Información: Ley 25.326 de Protección de Datos Personales, Ley 26.388 de
Delitos Informáticos, Ley 25.506 de Firma Digital. En el caso de la Ley 25.506 de
Firma Digital estando más próximos (es probable que en 2011) a tener
Autoridades de Certificación Licenciadas (AC) para uso privado exigir firma de
estas AC en lugar de la firma electrónica actual (como la que hoy puede adquirirse
en el mercado) tanto para los uso de las Personas Jurídicas a través de sus
representantes y las Personas Físicas, para las transacciones entre servidores y de
los sellados de tiempo de las operaciones.
• LAS AUDITORÍAS DE SEGURIDAD DE LA INFORMACIÓN Y LAS
DE LA LEY 25.326 DE PROTECCIÓN DE DATOS PERSONALES: verificar la
existencia de estas auditorías que son exigibles a partir del tratamiento de datos de
niveles intermedios y verificar si las observaciones han sido regularizadas o si las
mismas están pendientes de regularización.
• LA
EXISTENCIA
DEL
MANUAL
DE
PROCESOS
Y
PROCEDIMIENTOS
DE SEGURIDAD
DE
LA
INFORMACIÓN
REQUERIDOS POR LA LEY 25.326 DE PROTECCIÓN DE DATOS
PERSONALES. Verificar la existencia del manual y el cumplimiento de cada uno
de los controles que en el se detallan por muestreo significativo.
• LOS RECURSOS HUMANOS: CAPACITACIÓN, ASIGNACIÓN DE
FUNCIONES Y RESPONSABILIDADES: verificar mediante la documentación,
que se instrumento el nivel de capacitación y concienciación del personal, al igual
que la existencia del diseño de funciones y responsabilidades del personal y el
pleno conocimiento del personal acerca del mismo.
• LA DIVISIÓN DE FUNCIONES: verificar los documentos que
demuestran la separación de tareas de las áreas de diseño, desarrollo, testeo y
usuarios de los aplicativos. En los casos de que el servicio lo presten terceros
213
III Jornada Nacional de Derecho Contable – La Plata
documentos que registren que la que la organización realizó o exigió el testeo de
funcionamiento dentro de la organización.
• LA SEGURIDAD DE LOS AMBIENTES FÍSICOS: verificar los niveles
de seguridad de las áreas de tratamiento de la información en función a la
normativa legal de seguridad para empleados y que la misma se aplique a los
espacios de guarda y archivo y al traslado de información.
• LOS CONTROLES DE ACCESOS FÍSICOS: verificar el cumplimiento
de la normativa de restricción de acceso a instalaciones y a información mediante
los registros que debe llevarse del acceso de personas.
• LOS CONTROLES DE ACCESOS LÓGICOS: verificar mediante los
módulos de auditoría de los sistemas tanto operativos como los aplicativos y las
bases de datos en los que se soportan, que se cumpla la normativa de derechos de
acceso respecto a la limitación de tareas según funciones (perfiles de usuarios) y
el tratamiento dado a los eventos de seguridad en el acceso que puedan ser
considerados incidentes de seguridad.
• LA DOCUMENTACIÓN DE LOS SISTEMAS DE DESARROLLO
PROPIO: verificar la documentación de los desarrollos propios que permitan
determinar el procesamiento que se realiza, los casos de uso, la arquitectura del
sistema, los controles para evitar la carga de datos incorrectos, incompletos,
incoherentes o inexistentes, la existencia de módulos de auditoría que permitan
verificar los accesos, tratamientos, y eventos de seguridad, el registro de quienes
realizaron cada una las tares de desarrollo desde el análisis hasta la puesta en
funcionamiento.
• LA DOCUMENTACIÓN DE LOS SISTEMAS DESARROLLADOS
POR TERCEROS: verificar como mínimo la documentación de los
procesamientos que realiza, los controles para evitar la carga de datos incorrectos,
incompletos, incoherentes o inexistentes, la existencia de módulos de auditoría
que permitan verificar los accesos, tratamientos, y eventos de seguridad, el
registro de quienes realizaron.
• LA SEGURIDAD DE LAS COMUNICACIONES Y DE LAS
OPERACIONES: verificar que la información que se transmite interna y
externamente sea Firmada Digitalmente según lo pide la Ley 25.506 como ya lo
detallamos en el cumplimiento legal y verificar el no repudio de dichas firmas.
Verificar que el procedimiento de backup y de recupero esté documentado así
como también los registros de su cumplimiento y las pruebas de su recupero.
Verificar la existencia, uso y actualización del sistema operativo, aplicaciones,
antivirus, firewall.
4.
Conclusiones
No podemos seguir postergando el control de la seguridad de la información
a la hora de efectuar dictámenes y/u opiniones. No podemos desentendernos de
integridad de la información si debemos darle valor probatorio.
214
III – Tecnologías Informáticas y Seguridad Jurídica
Utilizar una metodología que se base en la experiencia internacional en
temas de seguridad de la información como lo son la familia de Norma ISO/IEC
27000 y que se la adecue al cumplimiento de la normativa legal Argentina es una
tarea a la que debemos abocarnos en forma urgente.
Bibliografía
-
IRAM/ISO/IEC 27002:2005
Código de práctica para la gestión de la
seguridad de la información, 2008
IRAM/ISO/IEC 27001:2005 Sistemas de gestión de seguridad de la
información (SGSI) - Requisitos, 2007
MERCOSUR/ISO/IEC 27005:2008 Gestión del riesgo de seguridad en la
información, 2008
ISO/IEC 27004:2009 Information security management -- Measurement,
2009
IRAM 17550 Sistema de gestión de riesgos. Directivas generales, 2005
Ley 25.326 de Hábeas Data, 2000
Decreto Reglamentario 1.558, 2001
Disposición de la Dirección Nacional de Protección de Datos Personales
11/2006, 2006
215
III Jornada Nacional de Derecho Contable – La Plata
216
Descargar