jueves, 15 de diciembre de 2016

NewsBox

Publicamos las ediciones de  NewsBox, en la cual presentamos periódicamente conceptos, información y tips para mejorar en entorno de la seguridad del sistema SAP.  La experiencia que hemos adquirido en múltiples proyectos referidos a temas de seguridad, ha permitido que nuestros clientes obtengan mejoras importantes en la disminución de los riesgos presentes, así como en la administración de las cuentas de usuarios y sus roles.
NewsBox lo hemos reemplazado por los posteos en este BLOG.

Podrán revisar sus principales contenido y descargarlos.

NewsBoxNro 1
¿Es posible realizar fraudes usando SAP?
La transacción PFCG sólo de lectura
¿En qué consiste un Diagnóstico de la Seguridad en SAP?
Un caso de roles segregados y diferenciados para cada Sistema SAP y de acuerdo al acceso a datos reales

NewsBoxNro 2
¿Mejoras a la Seguridad de SAP en Corto Plazo?
Cinco conflictos por segregación de funciones de alto riesgo y alta frecuencia de ocurrencia
¿En qué consiste un Proyecto de Mejoras de la Seguridad en SAP?
Los grupos de autorización en tablas y transacciones Z

NewsBoxNro 3
¿Por qué es importante contar con una definición de roles de calidad en un proyecto de implantación de SAP?
La importancia de contar con herramientas de productividad para la creación de roles
Uso de la transacción PFUD para asegurar dar término a la vigencia de roles con asignación temporal
Una estrategia para el diseño de roles y perfiles
Eliminación de asignación de SAP ALL en cuentas de comunicaciones

NewsBoxNro 4
¿Por qué debería rediseñar mis roles y cómo lo hago?
¿Cómo realizar el rediseño de Roles y Perfiles en el menor plazo y con el menor impacto posible?
Winshuttle: herramienta para rentabilizar la inversión en SAP haciendo más agradable la vida a los usuarios
Cursos e-learning de SAP Business One

NewsBoxNro 5
Mitos y verdades que justifican la asignación de SAP ALL a cuentas de usuarios
Reduzca el tiempo que dedican los usuarios a SAP utilizando Winshuttle y haga más agradable su vida frente al sistema
Cursos e-learning de SAP Business One
Ya viene nuestro curso de e- learning de Introducción a SAP ERP y sus módulos

NewsBoxNro 6
¿Cómo resolver las observaciones de los Auditores Externos en corto plazo?
Sepa en qué consiste un Proyecto de Mejoras en Roles y Perfiles
El control de acceso de las aplicaciones en Sistemas Legados
Sepa cómo identificar los documentos creados o modificados por los usuarios en el Sistema SAP

NewsBoxNro 7
Innovar, Mejorar y Acercar la Información a toda la Organización: Presentamos nuestro Portal Web con integración a SAP  y con aplicaciones desarrolladas para RRHH
Decida Ud mismo: cuál debe ser la estrategia para la correcta definición de roles en SAP



Publicado por en No hay comentarios:

jueves, 17 de noviembre de 2016

Fraudes en las empresas que usan SAP


El fraude laboral (occupational fraud) cometido por los empleados que abusan de las confianzas otorgadas para su enriquecimiento personal sin importar el medio utilizado para esto, de acuerdo a las cifras que entrega la Association of Certified Fraud Examiners, son de preocupación y traigo algunas a modo de ejemplo:
-     El costo en una empresa tipo, por efecto de fraude laboral se estima en un 5% de sus ingresos anuales
-   La pérdida promedio por evento de fraude es de US$ 150.000. En el caso de Latino América y el Caribe, el promedio es deUS$ 174.000 (Chile participa en el estudio con 4 empresas)
-      A nivel global las pérdidas totales se estiman en US$ 6,3 billones anuales
-      Más del 23% de los casos de fraude tuvieron un costo de al menos US$1 millón
Otros puntos de interés:
-     Las principales formas de ocultar el fraude son alterando registros en los sistemas computacionales
-      La mayoría de las víctimas de fraude corresponden a la industria de la banca y servicios financieros
-     Las categorías con mayores fraudes corresponden a:
Fraude de estados financieros con un promedio de US$ 975.000
Fraude por corrupción con un promedio de US$200.000
Fraude por apropiación indebida de activos con un promedio de US$125.000
Y un buen indicador…las empresas que carecían de controles antifraude, sufrieron en promedio el doble de las pérdidas.
Y me preguntarán de qué forma entra SAP en este problema…. La respuesta es más simple de lo que esperan.
Las atribuciones que se entreguen a los usuarios para el uso del sistema, no deben dar las facilidades que permitan fraudes.
Ejemplos asociados a las categorías de mayores fraudes:
-     Fraude a los estados financieros: se sobre estiman los ingresos al simular ingresos ficticios, creando ventas y sus facturas ya sea a clientes existentes o no. En este último caso los bienes nunca son entregado y las ventas se reversan en el siguiente período.
-       Corrupción: confabulación con proveedores realizando compras con precios inflados
-   Apropiación indebida de activos: alteración del destinatario de pagos electrónicos; compras a proveedores ficticios y paga facturas por servicios no prestados.

¿Cuál es la exposición al riesgo de fraudes?
La respuesta se determina al contar con un adecuado diagnóstico del estado de la seguridad, que permita identificar claramente las vulnerabilidades, los riesgos asociados y las líneas de solución, priorizando desde lo urgente hacia lo importante.

¿Qué es urgente?
Ya habrán visto mis anteriores posteos que presentan nuestra visión de  la solución:
-        Eliminar autorizaciones amplias (SAP ALL u otras similares), que entregan miles de transacciones a los usuarios.
-        Controlar las transacciones críticas cuyo mal uso podría tener efectos en los ingresos y en los resultados de la empresa.
-        Retirar a los usuarios los roles que no utilizan.
-        Retirar de los roles las transacciones que no se usan.

¿Qué sigue después?
Primero, establecer las oportunidades de mejora que pueden aplicarse a los métodos de trabajo y a los procedimientos de asignación de transacciones y accesos a usuarios.
Luego, seleccionar los procesos más críticos – idealmente en conjunto con los auditores externos – y solucionar los Conflictos por Segregación de Funciones que se hayan detectado.
Finalmente, realizar un monitoreo permanente de variables críticas de la seguridad que entreguen certezas que los procedimientos se cumplen… de lo contrario, tendrá la certeza que mucho antes de lo que se piensa se retornará al estado inicial.

¿Y quién me puede ayudar?
En TwoBox tenemos el conocimiento, la experiencia y las herramientas para ayudarle en dos grandes áreas:

  • Identificar y resolver los problemas relacionados con las autorizaciones a los usuarios (lo que pueden hacer, lo que no pueden hacer y lo que no deben hacer)
  • Analizar los riesgos que detecta en forma automática de los actos realizados en el sistema por el análisis de los documentos procesados en el sistema, 
Publicado por en No hay comentarios:

Controla la seguridad de SAP en 3 pasos!


Descubre cómo CentinelBox te ayuda a controlar la Seguridad de tu Sistema SAP en nuestro canal de youtube en La Seguridad SAP en 3 pasos.

Con nuestra propuesta metodológica y CentinelBox puedes hacer realidad un sueño: la seguridad del sistema SAP la tienes controlada y en síntesis:

Paso 1: Ya cuentas con CentinelBox, debes conectarte a SAP y cargar tus datos

Paso 2: 
Con los informes de CentinelBox puedes hacer tu primer plan de remediación de corto plazo:
  • Quitar desde cuentas de usuarios, los roles que no se usan
  • Quitar desde roles las transacciones que nadie usa
  • Eliminar roles que nadie tiene asignados y no se usan
  • Quitar autorizaciones amplias a los usuarios (SAP_ALL y similares)
  • Retirar desde roles la asignación de transacciones genéricas
  • Corregir casos de cuentas de usuarios que no tienen cambio obligado de contraseñas

Ejecutas el plan de remediación, CentinelBox te ayuda a controlar la ejecución y la  calidad  del resultado

Luego defines tu plan de mejora de mediano plazo:
  • Defines Funciones Críticas
  • Identificas roles críticos
  • Defines los procesos críticos a los que se debe analizar los conflictos por segregación de funciones e identificas los usuarios que presentan los riesgos por la asignación de las transacciones que los provocan como también quienes hacen uso.


Paso 3: 
Monitoreo periódico a la seguridad del Sistema, usando los reportes e informes de CentinelBox que puede considerar a modo de ejemplo:
  • Variaciones en la cantidad de cuentas de usuarios vigentes, no vigentes y licenciamiento SAP
  • Variaciones en cuentas con perfil crítico
  • Funciones y roles críticos con asignación y / o uso sobre umbrales definidos
  • Estadística de funciones / transacciones en conflicto por segregación de funciones asignadas / usadas
  • Variaciones en cuentas con perfil amplio
·      Aplicación en un contexto de mejora continua el plan establecido.

·     
Video La seguridad SAP en 3 pasos







Publicado por en No hay comentarios:
Etiquetas: ,

CentinelBox, software para una buena gestión de la seguridad en SAP

CentinelBox 
CentinelBox es la mejor solución para administrar la seguridad de su sistema SAP ERP, ya que ofrece un gran desempeño, al mejor precio.
Las empresas usuarias de SAP necesitan operar con altos niveles de seguridad en su configuración, y por ello, CentinelBox , nuestra herramienta para la gestión de la seguridad SAP, le permitirá:
  • Monitorear las variables críticas de la seguridad, las cuentas de usuario, los roles y los perfiles.
  • Identificar los riesgos de acuerdo a matrices de riesgo predefinidas, modificables según sea necesario.
  • Contar con información de alta calidad para aplicar planes de mejora y rediseño de la seguridad.
  • Proceso de simulación permite asignar a los usuarios accesos y privilegios sin conflictos por segregación de funciones
  • CentinelBox y su interfaz bwe, disponible para dispositivos móviles le entregará en forma simle y gráfica, el estado de la seguridad con la posibilidad de revisar desde los temas más generales hasta el menor detalle.
Publicado por en No hay comentarios:
Etiquetas: ,

sábado, 22 de octubre de 2016

Quién es el autor de un documento SAP?

Lo prometido es deuda....

 En anterior posteo sobre mantener en el sistema SAP las cuentas no vigentes y, la duda respecto que se perdería la información de los documentos creados / modificados por sus autores si son eliminados del sistema.

Esta información está siempre disponible en SAP, sólo que a veces cuenta un poco encontrarla.

Presentamos en el documento los tips para revisar documentos contables, pedidos de compra e infotipos de HCM (HR). 

Publicado por en No hay comentarios:
Etiquetas:

Nuestra visión de la solución

Ya hemos convenido en el anterior posteo que, para lograr la solución, se requiere un producto de software que provea la información para identificar los riesgos presentes en la seguridad y entregue el apoyo para evitar entregar privilegios a los usuarios más allá de sus reales necesidades y, que monitoree variables críticas que verifiquen que la seguridad del Sistema SAP está bajo control.
Nuestra solución parte de CentinelBox, herramienta de software desarrollada por TwoBox, que en síntesis permite:
-    Monitorear las variables críticas de la seguridad, sus cuentas de usuarios, roles y perfiles.  
-   Identificar los riesgos en base a matrices de riesgo pre definidas y modificables según necesidad.
-    Contar con información de alta calidad para ejecutar planes de mejora

Nuestra Propuesta de Negocios

Está dirigida a empresas usuarias del Sistema SAP ERP y también a las empresas de servicios de administración y hosting del Sistema SAP ERP.

Las primeras podrán - en forma simple y económica conocer el estado de la seguridad del sistema y, contará con la información para realizar el primer nivel de ordenamiento de la seguridad. Además podrá evaluar en forma preventiva, en un proceso de simulación, cuales son los riesgos que se podrían presentar en caso de asignar a un usuario los privilegios y accesos que solicita.

Para las, al instalar CentinelBox en sus clientes, podrán ampliar su oferta tradicional, ofreciendo los servicios que son parte necesaria para la solución: Proyectos de Diagnóstico, Remediación y eventual Rediseño de la Seguridad y servicios permanentes, tales como el Monitoreo Continuo y Verificación de Riesgos previo a la asignación de nuevos privilegios o a la creación de nuevos roles o perfiles.

Todo lo anterior complementará los servicios tradicionales, afianzará la relación con los clientes y generará barreras a sus competidores, aumentando sus oportunidades para realizar nuevos negocios de alta rentabilidad.

 Puede descargar documento con nuestra oferta de servicios.
Publicado por en No hay comentarios:
Etiquetas:

El pecado original

Bajo este nombre me refiero a cuando gerentes, ejecutivos, oficiales de seguridad tratan de explicar el problema que el proyecto de implantación de SAP les ha dejado (y muchos lo han heredado) con la calidad de la seguridad en las cuentas de usuarios, roles, perfiles y privilegios que se les ha asignado.
Continúo con la explicación que sigue a continuación.
En general, en los proyectos de implantación del Sistema SAP ERP la definición de la seguridad – en cuanto a los privilegios que se entrega a cada cuenta de usuario – es dejada a responsabilidad del cliente quien no la asume como un tema prioritario y menos relevante. Esto, principalmente por desconocimiento y desinformación por parte de las empresas consultoras responsables del proceso de implantación.
El punto es que la seguridad del Sistema SAP ERP, es compleja tanto en su definición como los es también su administración en régimen. Esto se debe a que SAP controla la seguridad al nivel de mayor granularidad, de forma tal que el efecto de la alta integración de sus procesos no se convierta en una desventaja.
Se presenta a continuación el (o los) problema(s) que se derivan de lo anterior.

1.     El Problema
Como consecuencia de lo expuesto, las empresas pueden tardar hasta uno o dos años en constatar que tienen un serio problema no resuelto: las cuentas de usuarios tienen una explosiva mayor cantidad de privilegios para usar el sistema que los realmente necesarios. Generalmente esta información llega de manos del auditor externo.
Esta sobre asignación de privilegios y accesos al sistema se inicia con el resultado del proyecto de implantación, a lo que se va sumando las adiciones por efecto del dinamismo propio de las empresas que asignan y reasignan funciones a sus colaboradores.
Conspira en gran medida, el proceso de autorización de tales privilegios, que es dejado a voluntad y riesgo de las áreas de TI.
Algunos efectos no deseados que se generan:
-      Se entregan a los usuarios accesos y atribuciones excesivas
-      Se presenta una generación exponencial de vulnerabilidades y riesgos asociados
-      Permanente exposición ante auditores externos
-      Potencial efecto negativo en la evaluación y clasificación de riesgos por agentes económicos

2.     La solución
La solución al problema expuesto pasa por lograr mantener el entorno de la seguridad del Sistema SAP ERP en condiciones de gobernabilidad, orden, estandarización y riesgos controlados.
A tan compleja definición ¿sólo podrían existir soluciones complejas?
Lo que es muy claro que – ante la diversidad de información y volumen de ésta – sólo es viable llegar a una solución con el apoyo de software especializado.
Algunas empresas – entre ellas grandes organizaciones con operaciones trans­nacio­nales – han buscado la solución aplicando el producto de software de SAP GRC Access Control. No obstante que el software es la piedra angular, la solución requiere mucho más que éste. Es así que, de la veintena de empresas que la han adquirido, sólo pocas de ellas ha adoptado la organización y metodología que SAP propone.
SAP Access Control exige recursos humanos, físicos y monetarios cuya asignación en el tiempo no se mantiene.

¿Y las restantes? La gran mayoría transita entre la indiferencia – hasta que no se encuentren con hechos ciertos de fraude – y una consciencia del problema, que no necesariamente las lleva a tomar acciones preventivas y correctivas, sino hasta que se transforme una urgencia en aplicarlas.
En siguiente posteo presento nuestra visión.

Publicado por en No hay comentarios:
Etiquetas:

viernes, 21 de octubre de 2016

Primer Saludo

He decidido iniciar este blog para transmitir a la comunidad de usuarios del sistema SAP ERP, algo de mi casi 20 años de experiencia con el sistema. Experiencia agregada en posiciones ejecutivas en proyectos de implantación de SAP, en proyectos second wave, en la búsqueda de la rentabilización de la inversión y, en mi calidad de consultor aportando en proyectos de mejora contínua de procesos, de diseño, rediseño y remediación de la seguridad en cuentas de usuario, roles, perfiles. 

 Algunas notas son parte de la historia vivida, los problemas enfrentados y las soluciones encontrados. Podrán encontrar que algunos de los temas tratados son simples y sencillos, por que esa es la idea. Contribuir con un aporte en la enseñanza de estos temas que son de una aridez tremenda pero que podrían tener insospechados efectos no deseados en caso de errores o malas definiciones en la seguridad.

 Otras corresponden a temas técnicos, de diseño,  y  de otro tipo de vivencias que hemos desarrollado en el tiempo con nuestro siempre leal equipo de trabajo en TwoBox.

 Quienes sientan el deseo de compartir sus experiencias y/o comentar nuestros posteos, favor siéntanse libres de escribirnos.
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)