La seguridad de los sistemas SAP es cada vez más importante. En el actual contexto de cambios, resulta cada vez más necesario controlar y gobernar el universo de roles de forma adecuada, tanto para garantizar el cumplimiento de la LOPD como para evitar fraudes. Los riesgos de la asignación de autorizaciones a los usuarios son múltiples. SAP GRC Access Control permite conocer estos riesgos y realizar la segregación de funciones necesaria para acometer de forma eficiente, segura y eficaz el control de acceso.
Si se tienen en cuenta todos los aspectos relacionados con la seguridad que es necesario considerar en un sistema SAP, ninguno está tan ligado a las particularidades de nuestra compañía como el relacionado con la gestión de accesos y permisos. A diferencia de la infraestructura, las comunicaciones o la operación, en la gestión de permisos resulta más complicado adherirse “simplemente” a unos estándares de mercado, sin más.
Nuestra estructura de roles de seguridad debería estar vinculada tanto a los procesos de negocio hospedados en SAP, y en el caso de SAP ERP estamos hablando de procesos que pueden ser muy heterogéneos, como a la estructura organizativa de la compañía. A este punto de partida debe unirse también el eje temporal. Hay que tener en cuenta que la puesta en marcha y posterior evolución de la aplicación siempre pone el foco en los aspectos funcionales de la solución, y que normalmente quedan postergados aquellos que están más relacionados con una calibración afinada de los permisos.
En el mejor de los casos, se suele disponer de una serie de buenas prácticas, que pueden incluir una nomenclatura o una determinada política de mantenimiento, pero no de la garantía de que esas buenas prácticas se hayan seguido a lo largo de toda la vida de la aplicación. En muchas ocasiones esto es así debido a la ausencia de herramientas que sirvan de nexo entre el diseño en Excel y la construcción sobre el sistema.
Así las cosas, la aparición de eventos que ponen el foco en la situación de los permisos de la aplicación SAP, sea la entrada en mercados con una mayor exigencia normativa o simplemente la aparición auditorías internas o externas de buen gobierno, coloca a los departamentos de sistemas ante una situación verdaderamente compleja.
En la gestión de permisos es complicado adherirse a unos estándares de mercado
El concepto de seguridad
Ante esta complejidad, los departamentos de sistemas deben buscar un modelo de gestión que facilite el gobierno de estos procesos empresariales desde un concepto de seguridad, que ayude a las empresas en la detección de posibles riesgos o fraudes producidos por una incorrecta segregación de funciones dentro de su universo de autorizaciones.
Existen actualmente diferentes soluciones de control de acceso que pueden ayudar tanto en el mantenimiento de las buenas prácticas establecidas en el momento del diseño del modelo de autorizaciones como en la verificación de una correcta segregación de funciones a la hora de la asignación de permisos a los usuarios.
Estas soluciones permitirán detectar los posibles riesgos que se puedan producir en el sistema debido a la incorrecta asignación de autorizaciones. Pero, además de esto, podrán ayudar a las empresas a la hora de alcanzar un estadio de control y gobierno de la seguridad y gestión de usuarios mediante la detección, mitigación, remediación y prevención de acceso, riesgos y autorizaciones indebidas. Del mismo modo, podrán ayudar a desarrollar una adecuada separación de funciones, con la consiguiente disminución del riesgo, el coste y el esfuerzo, lo cual derivará en una mejora del rendimiento del negocio.
Para ello, será necesario establecer una metodología de trabajo que no solo incluya el establecimiento de una nomenclatura durante el proceso de creación del modelo de autorizaciones o su posterior mantenimiento; también es preciso que durante la creación del rol tengamos en cuenta el conjunto de riesgos definidos por las regulaciones y legislaciones vigentes, o por los equipos de auditoría.
Además, deben establecerse periodos de revisión de este modelo de autorizaciones para verificar cada cierto tiempo que siguen cumpliendo los objetivos con los que se crearon. También es necesaria la revisión de los usuarios que tienen esas autorizaciones.
Cuenta con una solución de ticketing para las peticiones que afectan a usuarios y roles
Control de acceso
SAP GRC Access Control es la solución estándar de SAP diseñada para dar soporte en tiempo real al cumplimiento normativo de segregación de accesos, ya que detecta y previene riesgos de accesos y autorizaciones. Esta solución se conecta a los diferentes sistemas para detectar en línea las autorizaciones que tiene el usuario.
Es bien sabido que, debido al crecimiento y la complejidad de nuestros entornos, las autorizaciones de los usuarios no son estáticas y están sujetas a cambios, lo que lleva a la necesidad de un análisis online.
SAP GRC Access Control también proporciona una solución de ticketing,
cuyo objetivo principal es reducir el coste y el tiempo empleado en todas las peticiones relacionadas con usuarios y roles, como la creación de un nuevo usuario, su modificación, bloqueo, desbloqueo… Esto se consigue mediante la creación de circuitos de aprobación, integrados tanto con la definición de la matriz de riesgos como con la propia funcionalidad de aprovisionamiento de usuarios y roles. La gran ventaja que otorga frente otras herramientas de ticketing es la posibilidad, en todo momento, de realizar un análisis online
en el que se suman las autorizaciones ya disponibles con todo aquello que se solicita, para saber si este sumatorio tiene riesgos o no, y así poder decidir con los mayores argumentos posibles
Existen otras soluciones de terceros que proponen una aproximación similar a la que ofrece SAP GRC Access Control, pero cuentan con una orientación mayor a la gestión técnica de las autorizaciones. Esto permite trabajar de forma directa con las autorizaciones desde las propias herramientas, llevando a cabo diferentes tareas como pueden ser la adecuación de las autorizaciones para que cumplan con las necesidades de segregación de funciones, o, por ejemplo, facilitar la calibración de roles, esto es, ayudar a identificar el rol que mejor encaja en una solicitud.
Estas herramientas son también capaces de proporcionar diferentes tipos de informes en los que se detalla información específica de uso de estas autorizaciones por parte de los usuarios. En ellos se presta también una especial atención a la detección de riesgos o fraudes, no solo de forma teórica por la asignación de las autorizaciones del usuario, sino de una forma dinámica cuando este haya ejecutado entre sus actividades dichos riesgos o fraudes.
La situación actual resulta propicia para abordar iniciativas de mejora en este tipo de aspectos, donde sea posible incorporar una serie de soluciones con el objetivo de implantar una metodología sostenible en el tiempo, que permita racionalizar y garantizar nuestro universo de roles y usuarios SAP.