Resulta necesario un método de cumplimiento obligatorio para verificar la integridad de los registros contables surgidos o tratados mediante medios informáticos Silvia Gladys Iglesias 1 Resumen. Los profesionales que deben emitir opinión y o dictaminar sobre Registros Contables cuyo tratamiento se realice por medios informáticos deben tener un método obligatorio de verificación de la integridad de la información que de allí se obtiene. El riesgo de que la información contenida no sea integra y por lo tanto no represente la realidad de la Organización es muy alta, si ésta no cumple con parámetros mínimos que aseguren los datos que conforman la información contable, societaria, laboral e impositiva, pudiéndola invalidarla como elemento de prueba legal. De allí la importancia de esta verificación. Este método de verificación debe ser creado en base a Código de práctica para la gestión de la seguridad de la información IRAM/ISO/IEC 27002 y al Anexo A de la IRAM/ISO/IEC 27001:2005 Sistemas de gestión de seguridad de la información (SGSI) – Requisitos. 1. Introducción En la actualidad no todos los profesionales que emiten opinión sobre registros contables informáticos, ya sea que todo su tratamiento desde su origen hasta su destrucción se hace por estos medios o donde se mezclan documentación, registros y procesamientos manuales e informáticos, realizan la verificación de la integridad de la información en ellos contenidos. No hay normativa expresa que obligue a hacerlo permitiendo la emisión de opiniones que luego podrían ser usadas en ámbitos jurídicos sobre información que puede no ser integra por errores, omisiones, acciones dolosas o culposas de miembros de la Organización, terceros contratados que directa o indirectamente tienen acceso a la misma, y/o terceros que acceden sin autorización haciendo uso de las vulnerabilidades de la organización en diferentes aspectos. La existencia de una guía de buenas prácticas de la Seguridad de la Información la IRAM/ISO/IEC 27002:2005 Código de práctica para la gestión de la seguridad de la información, brinda un soporte muy adecuado para armar este procedimiento de verificación, máxime siendo una norma que se actualiza periódicamente (actualmente está en revisión). La existencia de una normativa de Seguridad de los Datos Personales (Disposición 11/2006 de la Dirección Nacional de Protección de Datos Personales- DNPDP) de cumplimiento obligatorio a nivel nacional para todo aquel que realiza tratamiento de Datos es un primer escalón para verificar la 1 siglesias@itsb.com.ar - siglesias@fdlegal.com.ar 211 III Jornada Nacional de Derecho Contable – La Plata integridad de los datos en la actualidad aunque limitada a esos datos, sin embargo no siempre es utilizada por los profesionales que emiten dictamen y/u opinión sobre registros. 2. El rol del profesional En su condición de Auditor o Perito el profesional que debe analizar registros contables, societarios e impositivos surgidos de sistemas informáticos, debe partir como lo hace cuando revisa lo registrado manualmente en que esa información debe ser verificada. Como se verifica la correlatividad del foliado, la condición de salvado de las tachaduras y enmiendas, la coherencia de fechas entre los registros y sus soportes, a la información que surge de sistemas informáticos puede verificársele características similares. Es cierto que no todos tenemos la formación requerida para realizar esos controles en forma directa, pero si podemos hacerlo mediante la revisión del cumplimento de buenas prácticas de Seguridad de la Información y de esa forma saber si la información es razonablemente integra y por lo tanto sirve de prueba legal. La Ley 25.326 de Protección de Datos Personales nos da a través de la Disposición 11/2006 de la DNPDP una muy buena herramienta. Si bien esto se limita a datos relacionados con los empelados, clientes, asociados, socios en el caso de las SA, y proveedores, nos acerca a que gran parte de la información que debemos verificar si se cumple la normativa puede serlo. Aún para datos básicos (nombre y apellido, domicilio, ocupación y documento o clave de identificación tributaria o previsional), se exige el cumplimiento de parámetros mínimos como: • el detalle de las funciones y responsabilidades del personal y terceros no pertenecientes a la Organización, • el detalle de los procesos manuales y/o informatizados de tratamiento de los datos, • la limitación del acceso a personal autorizado, • los controles de acceso físicos y lógicos, • la protección contra código malicioso (virus, troyanos, etc.), • los controles para evitar errores en la carga de datos, • el registro de incidentes de seguridad, • el tratamiento ante incidentes de seguridad, • la guarda y el archivo, • los procedimientos para efectuar las copias de seguridad y recuperación de datos. Teniendo en cuenta que a esto se suma la necesidad de firmar acuerdos de confidencialidad con el personal y terceros y que a medida que se incorporan más datos, los de índole financiera y relacionada con datos sensibles los controles y registros aumentan, esta operatoria permite una validación básica a los datos a los cuales se les aplican estas medidas de seguridad 212 III – Tecnologías Informáticas y Seguridad Jurídica 3. Método de verificación propuesto El método propuesto es de verificación de documentación de procesos, procedimientos, registros y del uso de herramientas de seguridad de la información que nos permita considerar la información integra. El ideal sería el Anexo A de la IRAM/ISO/IEC 27001:2005 Sistemas de gestión de seguridad de la información (SGSI) - Requisitos, 2007 que cubriría la totalidad de los puntos de control. La metodología de verificación podría estar entre ese nivel ideal antes citado y un piso que deberá contener los siguientes controles como mínimos: • LA EVALAUCIÓN DE RIESGOS: de existir una evaluación de riesgos de Seguridad de la Información analizar las constancias de cumplimiento del tratamiento dado a los riesgos y en el caso de riesgos aceptados por la máximas autoridades de la Organización que los mismos no sean contrarios a las leyes vigentes (ej. asumir el riesgo de no cumplir con una Ley). • EL CUMPLIMIENTO LEGAL: verificar se cumpla con la legislación vigente sin dejar de lado la que más se relaciona con la Seguridad de la Información: Ley 25.326 de Protección de Datos Personales, Ley 26.388 de Delitos Informáticos, Ley 25.506 de Firma Digital. En el caso de la Ley 25.506 de Firma Digital estando más próximos (es probable que en 2011) a tener Autoridades de Certificación Licenciadas (AC) para uso privado exigir firma de estas AC en lugar de la firma electrónica actual (como la que hoy puede adquirirse en el mercado) tanto para los uso de las Personas Jurídicas a través de sus representantes y las Personas Físicas, para las transacciones entre servidores y de los sellados de tiempo de las operaciones. • LAS AUDITORÍAS DE SEGURIDAD DE LA INFORMACIÓN Y LAS DE LA LEY 25.326 DE PROTECCIÓN DE DATOS PERSONALES: verificar la existencia de estas auditorías que son exigibles a partir del tratamiento de datos de niveles intermedios y verificar si las observaciones han sido regularizadas o si las mismas están pendientes de regularización. • LA EXISTENCIA DEL MANUAL DE PROCESOS Y PROCEDIMIENTOS DE SEGURIDAD DE LA INFORMACIÓN REQUERIDOS POR LA LEY 25.326 DE PROTECCIÓN DE DATOS PERSONALES. Verificar la existencia del manual y el cumplimiento de cada uno de los controles que en el se detallan por muestreo significativo. • LOS RECURSOS HUMANOS: CAPACITACIÓN, ASIGNACIÓN DE FUNCIONES Y RESPONSABILIDADES: verificar mediante la documentación, que se instrumento el nivel de capacitación y concienciación del personal, al igual que la existencia del diseño de funciones y responsabilidades del personal y el pleno conocimiento del personal acerca del mismo. • LA DIVISIÓN DE FUNCIONES: verificar los documentos que demuestran la separación de tareas de las áreas de diseño, desarrollo, testeo y usuarios de los aplicativos. En los casos de que el servicio lo presten terceros 213 III Jornada Nacional de Derecho Contable – La Plata documentos que registren que la que la organización realizó o exigió el testeo de funcionamiento dentro de la organización. • LA SEGURIDAD DE LOS AMBIENTES FÍSICOS: verificar los niveles de seguridad de las áreas de tratamiento de la información en función a la normativa legal de seguridad para empleados y que la misma se aplique a los espacios de guarda y archivo y al traslado de información. • LOS CONTROLES DE ACCESOS FÍSICOS: verificar el cumplimiento de la normativa de restricción de acceso a instalaciones y a información mediante los registros que debe llevarse del acceso de personas. • LOS CONTROLES DE ACCESOS LÓGICOS: verificar mediante los módulos de auditoría de los sistemas tanto operativos como los aplicativos y las bases de datos en los que se soportan, que se cumpla la normativa de derechos de acceso respecto a la limitación de tareas según funciones (perfiles de usuarios) y el tratamiento dado a los eventos de seguridad en el acceso que puedan ser considerados incidentes de seguridad. • LA DOCUMENTACIÓN DE LOS SISTEMAS DE DESARROLLO PROPIO: verificar la documentación de los desarrollos propios que permitan determinar el procesamiento que se realiza, los casos de uso, la arquitectura del sistema, los controles para evitar la carga de datos incorrectos, incompletos, incoherentes o inexistentes, la existencia de módulos de auditoría que permitan verificar los accesos, tratamientos, y eventos de seguridad, el registro de quienes realizaron cada una las tares de desarrollo desde el análisis hasta la puesta en funcionamiento. • LA DOCUMENTACIÓN DE LOS SISTEMAS DESARROLLADOS POR TERCEROS: verificar como mínimo la documentación de los procesamientos que realiza, los controles para evitar la carga de datos incorrectos, incompletos, incoherentes o inexistentes, la existencia de módulos de auditoría que permitan verificar los accesos, tratamientos, y eventos de seguridad, el registro de quienes realizaron. • LA SEGURIDAD DE LAS COMUNICACIONES Y DE LAS OPERACIONES: verificar que la información que se transmite interna y externamente sea Firmada Digitalmente según lo pide la Ley 25.506 como ya lo detallamos en el cumplimiento legal y verificar el no repudio de dichas firmas. Verificar que el procedimiento de backup y de recupero esté documentado así como también los registros de su cumplimiento y las pruebas de su recupero. Verificar la existencia, uso y actualización del sistema operativo, aplicaciones, antivirus, firewall. 4. Conclusiones No podemos seguir postergando el control de la seguridad de la información a la hora de efectuar dictámenes y/u opiniones. No podemos desentendernos de integridad de la información si debemos darle valor probatorio. 214 III – Tecnologías Informáticas y Seguridad Jurídica Utilizar una metodología que se base en la experiencia internacional en temas de seguridad de la información como lo son la familia de Norma ISO/IEC 27000 y que se la adecue al cumplimiento de la normativa legal Argentina es una tarea a la que debemos abocarnos en forma urgente. Bibliografía - IRAM/ISO/IEC 27002:2005 Código de práctica para la gestión de la seguridad de la información, 2008 IRAM/ISO/IEC 27001:2005 Sistemas de gestión de seguridad de la información (SGSI) - Requisitos, 2007 MERCOSUR/ISO/IEC 27005:2008 Gestión del riesgo de seguridad en la información, 2008 ISO/IEC 27004:2009 Information security management -- Measurement, 2009 IRAM 17550 Sistema de gestión de riesgos. Directivas generales, 2005 Ley 25.326 de Hábeas Data, 2000 Decreto Reglamentario 1.558, 2001 Disposición de la Dirección Nacional de Protección de Datos Personales 11/2006, 2006 215 III Jornada Nacional de Derecho Contable – La Plata 216