El pecado original
Bajo este nombre me refiero a cuando gerentes, ejecutivos, oficiales de seguridad tratan de explicar el problema que el proyecto de implantación de SAP les ha dejado (y muchos lo han heredado) con la calidad de la seguridad en las cuentas de usuarios, roles, perfiles y privilegios que se les ha asignado
En general, en los proyectos de implantación del Sistema SAP ERP la definición de la seguridad – en cuanto a los privilegios que se entrega a cada cuenta de usuario – es dejada a responsabilidad del cliente quien no la asume como un tema prioritario y menos relevante. Esto, principalmente por desconocimiento y desinformación por parte de las empresas consultoras responsables del proceso de implantación.
El punto es que la seguridad del Sistema SAP ERP, es compleja tanto en su definición como los es también su administración en régimen. Esto se debe a que SAP controla la seguridad al nivel de mayor granularidad, de forma tal que el efecto de la alta integración de sus procesos no se convierta en una desventaja. Se presenta a continuación el (o los) problema(s) que se derivan de lo anterior.
1. El Problema
Como consecuencia de lo expuesto, las empresas pueden tardar hasta uno o dos años en constatar que tienen un serio problema no resuelto: las cuentas de usuarios tienen una explosiva mayor cantidad de privilegios para usar el sistema que los realmente necesarios. Generalmente esta información llega de manos del auditor externo. Esta sobre asignación de privilegios y accesos al sistema se inicia con el resultado del proyecto de implantación, a lo que se va sumando las adiciones por efecto del dinamismo propio de las empresas que asignan y reasignan funciones a sus colaboradores. Conspira en gran medida, el proceso de autorización de tales privilegios, que es dejado a voluntad y riesgo de las áreas de TI. Algunos efectos no deseados que se generan:
– Se entregan a los usuarios accesos y atribuciones excesivas
– Se presenta una generación exponencial de vulnerabilidades y riesgos asociados
– Permanente exposición ante auditores externos
– Potencial efecto negativo en la evaluación y clasificación de riesgos por agentes económicos
– Se presenta una generación exponencial de vulnerabilidades y riesgos asociados – Permanente exposición ante auditores externos
– Potencial efecto negativo en la evaluación y clasificación de riesgos por agentes económicos
2. La solución
La solución al problema expuesto pasa por lograr mantener el entorno de la seguridad del Sistema SAP ERP en condiciones de gobernabilidad, orden, estandarización y riesgos controlados. A tan compleja definición ¿sólo podrían existir soluciones complejas? Lo que es muy claro que – ante la diversidad de información y volumen de ésta – sólo es viable llegar a una solución con el apoyo de software especializado. Algunas empresas – entre ellas grandes organizaciones con operaciones transnacionales – han buscado la solución aplicando el producto de software de SAP GRC Access Control.
No obstante que el software es la piedra angular, la solución requiere mucho más que éste. Es así que, de la veintena de empresas que la han adquirido, sólo pocas de ellas ha adoptado la organización y metodología que SAP propone. SAP Access Control exige recursos humanos, físicos y monetarios cuya asignación en el tiempo no se mantiene.
¿Y las restantes? La gran mayoría transita entre la indiferencia – hasta que no se encuentren con hechos ciertos de fraude – y una consciencia del problema, que no necesariamente las lleva a tomar acciones preventivas y correctivas, sino hasta que se transforme una urgencia en aplicarlas. En siguiente posteo presento nuestra visión.
