Auditorías y test de seguridad

Eliminar riesgos y vulnerabilidades

1341
La economía digital ha hecho que los riesgos a los que se enfrenta una empresa —desde los financieros y operativos al cumplimiento normativo— hayan crecido notablemente. A finales del año pasado, en su informe Gestión de riesgos operacionales, Gartner señalaba que lo relativo al GRC (governance, risk and compliance) está ya al mismo nivel que otras prioridades empresariales tradicionales, como los esfuerzos en I+D, la eficiencia o la productividad.

Los riesgos operacionales pueden provenir de todo tipo de frentes: desde las actividades tácticas diarias a unos inadecuados procesos internos, fallos en la alineación de personas y sistemas o, por supuesto, eventos externos que escapan del control de la empresa.

Los riesgos e infracciones del cumplimiento normativo son asimismo cada vez más frecuentes y peligrosos, puesto que exponen a la empresa a fuertes sanciones. Fallar en su detección y análisis puede suponer, en primer lugar, la pérdida de oportunidades de negocio. Pero, en última instancia, puede provocar graves consecuencias para la reputación y la rentabilidad de una compañía.

Además de este conjunto de problemas, las empresas deben enfrentarse diariamente a la gestión de los riesgos informáticos, procedimientos que se han convertido en clave dentro de los procesos de cualquier organización. Según estudios recientes, España ocupa entre el tercer y cuarto puesto en la lista de países más atacados por los ciberdelincuentes (llegan a producirse más de 4 000 ciberataques al día). Hoy, la inversión en esta área resulta crítica, pero todavía existe una falta de sensibilización sobre el riesgo real al que están expuestas las personas, empresas e instituciones.

Mitigación de riesgos operacionales: SAP GRC

De esta forma, equilibrar oportunidades y riesgos no es una tarea fácil. Para ayudar a las empresas en esta misión, el software de gestión de riesgos y cumplimiento normativo (GRC) suministra información en tiempo real sobre la posición de riesgo de la organización, además de automatizar procesos e integrar el cumplimiento normativo en la estrategia, planificación y ejecución global de la empresa.

Destaca su innovador enfoque como plataforma empresarial escalable y unificada, que permite no solo reducir costes y mejorar la productividad, sino también minimizar el impacto de los eventos de riesgo sobre el rendimiento del negocio.

Esta suite abarca la gestión de riesgos, la prevención del fraude y la monitorización del cumplimiento normativo, así como la supervisión de los procedimientos internacionales y el reporting de sostenibilidad desde el punto de vista social, medioambiental y económico para la empresa. Permite automatizar evaluaciones, autorizaciones e informes de cumplimiento, lo cual reduce los costes de la gestión de riesgos y las auditorías.

En el ámbito de SAP existe una serie de herramientas con especificaciones especiales para diferentes industrias y líneas de negocio, aunque todas ellas cuentan con una interfaz común, son sencillas de utilizar y comparten procesos y datos. Hablamos de SAP BusinessObjects Access Control, que facilita la separación de funciones y ayuda a tener un adecuado control sobre el acceso a todas ellas; SAP BusinessObjects Risk Management,  que ayuda a identificar los riesgos y poner en marcha estrategias de control a través de procesos, tanto manuales como automatizados, de identificación y monitorización; y de SAP Business Objects Process Control, que permite centralizar los controles claves de los procesos de negocio transversales entre diferentes sistemas, ayudando a mejorar la visibilidad y regulación sobre los mismos.

Este enfoque unificado facilita la implementación de una administración integral de todos los riesgos y controles aplicables en un mismo entorno.

Entre los beneficios que ofrece el uso de estas herramientas en una organización podemos destacar:

  • El equilibrio de oportunidades y riesgos para impulsar el crecimiento del negocio.
  • La unificación de políticas y procesos en las operaciones internacionales.
  • La optimización de la cadena de suministro y comercialización global.
  • La monitorización de los indicadores clave de riesgo y de las pruebas de control automáticas.
  • Auditorías de seguridad SAP

Con el objetivo de identificar aquellas oportunidades de mejora, no solo desde el punto de vista técnico, sino desde el análisis de procedimientos en diferentes áreas de negocio —como pueden ser control interno, finanzas, auditoría e IT/seguridad— recientemente hemos llegado a un acuerdo con Inprosec, especialista en gestión de la seguridad de información. El objetivo es ofrecer, a empresas de cualquier tamaño y sector, auditorías de seguridad en el ámbito de SAP con las que paliar cualquier riesgo asociado a la gestión de la información del negocio y a la gestión operacional.

El procedimiento para llevar a cabo esta auditoría es muy sencillo. En primer lugar se realiza un análisis de riesgos SoD (segregation of duties) del sistema SAP. Posteriormente, se efectúa una revisión de la seguridad de los componentes y configuración del sistema SAP. Finalmente, se detalla en un informe la situación actual de riesgos identificados en la gestión de usuarios y en la gestión de la seguridad; el informe incluye las recomendaciones necesarias para corregir los problemas detectados.

Además, dicho informe incorpora una guía de quick wins en la que se incluyen las acciones prioritarias para reducir riesgos de nivel alto con poco esfuerzo.

Los riesgos e infracciones del cumplimiento normativo exponen a fuertes sanciones

Test de Intrusión

Como mencionamos al inicio del artículo, la seguridad de la información es otro de los puntales para sostener a flote cualquier organización. Gartner apuntaba en uno de sus últimos informes que en 2016 se invertirán 348 millones de dólares en este ámbito, lo que supone un aumento del 24% con respecto al año anterior. Una tendencia que, según la consultora, irá en aumento progresivo cada año.

Como respuesta a este escenario, hemos desarrollado también una innovadora metodología basada en un test de intrusión, mediante la cual se intenta acceder a los sistemas para comprobar el nivel de resistencia a un acceso no autorizado —en modo hacker—. A través de esta técnica, no solo se protege a las organizaciones ante las amenazas —robo de credenciales, suplantación de usuarios, robo de información, etc.— de forma reactiva, sino que permite detectar, de forma proactiva, posibles vulnerabilidades en el sistema. En los pentest se pueden emplear herramientas específicas que permiten identificar los principales problemas de seguridad asociados a plataformas SAP.

Conclusión

El escenario digital que nos rodea hace que ninguna organización, sea del tamaño que sea, quede libre de riesgos. Pero está en las manos de unos buenos gestores tecnológicos anticiparse a las posibles adversidades. Desarrollar y ejecutar un plan director de seguridad es crucial para conocer paulatinamente el buen funcionamiento de los sistemas y definir las acciones necesarias para evitar posibles riesgos y fugas de información que posteriormente se traducen en pérdidas millonarias para las empresas.