Cuando llega la hora de gestionar conflictos de GRC, ¿es mejor usar una herramienta de alerta o una herramienta de simulación? Ambas se ocupan de los conflictos, pero una es predictiva y la reactiva. No hay una solución única; la clave está en usarlas en combinación para asegurar un proceso pacífico y limpiar el informe de auditoría del GRC.
El origen del GRC y la SOD
Cuando surgió el GRC y en particular las regulaciones de la segregación de funciones, estas eran muy sencillas de entender. Había reglas sobre las funciones que no podían ser ejecutadas por un solo usuario porque entonces crearían un conflicto de segregación de funciones. Por ejemplo, si ponemos en una regla «Crear orden de compra» y «Aprobar orden de compra» y la utilizamos para comprobar si hay usuarios que tienen ambas funciones, tendremos una lista de usuarios que violan esta regla de la segregación de funciones. Esta violación deberá resolverse o explicarse (esto es, mitigarse).
Las autorizaciones no son estáticas; las violaciones, tampoco
Las autorizaciones no son estáticas. A medida que los usuarios ascienden o cambian de posición dentro de la organización, reciben más autorizaciones. Esto implica que las infracciones tampoco son estáticas. Las organizaciones que comprueban sus violaciones de la segregación de funciones cada seis meses o anualmente se sorprenden al descubrir, auditoría tras auditoría, que en sus informes de inspección aparecen nuevas violaciones de la segregación de funciones.
Así que las organizaciones aprendieron la lección. Crearon una herramienta que simula la concesión de autorizaciones a los usuarios. La herramienta incluye todas las reglas de la segregación de funciones y comprueba si se deben conceder a los usuarios autorizaciones específicas antes de que estas se concedan de verdad (de ahí la simulación). Si esta simulación da como resultado la violación de una o más reglas de la segregación de funciones, entonces no se concede la autorización y la organización se ahorrará más violaciones.
Ahora bien, ¿por qué esto no funciona? En muchos casos, la gente desconoce el proceso de simulación, o no lo llevan a cabo, o simplemente desoye sus resultados. No es lo suficientemente fiable.
La defensa y la ofensiva, juntas
Si la organización quiere evitar de verdad las violaciones de la segregación de funciones, debe tener una forma de supervisar constantemente las autorizaciones existentes para recibir alertas sobre nuevas violaciones. De esta manera, incluso si un usuario elude o ignora el proceso de simulación, el sistema alertará sobre una violación, y alguien tendrá que rendir cuentas por ello.
Mantenerse limpio
El enfoque de «mantenerse limpio» de violaciones de la segregación de funciones fue adoptado por muchas organizaciones, incluyendo las cuatro grandes. Mantenerse limpio de violaciones de la segregación de funciones se logra combinando herramientas de predicción (simulaciones), alerta y resolución de conflictos.
