Bajo este nombre
me refiero a cuando gerentes, ejecutivos, oficiales de seguridad tratan de
explicar el problema que el proyecto de implantación de SAP les ha dejado (y
muchos lo han heredado) con la calidad de la seguridad en las cuentas de
usuarios, roles, perfiles y privilegios que se les ha asignado.
Continúo con la
explicación que sigue a continuación.
En general, en
los proyectos de implantación del Sistema SAP ERP la definición de la seguridad
– en cuanto a los privilegios que se entrega a cada cuenta de usuario – es
dejada a responsabilidad del cliente quien no la asume como un tema prioritario
y menos relevante. Esto, principalmente por desconocimiento y desinformación
por parte de las empresas consultoras responsables del proceso de implantación.
El punto es que
la seguridad del Sistema SAP ERP, es compleja tanto en su definición como los
es también su administración en régimen. Esto se debe a que SAP controla la
seguridad al nivel de mayor granularidad, de forma tal que el efecto de la alta
integración de sus procesos no se convierta en una desventaja.
Se presenta a
continuación el (o los) problema(s) que se derivan de lo anterior.
1. El
Problema
Como
consecuencia de lo expuesto, las empresas pueden tardar hasta uno o dos años en
constatar que tienen un serio problema no resuelto: las cuentas de usuarios
tienen una explosiva mayor cantidad de privilegios para usar el sistema que los
realmente necesarios. Generalmente esta información llega de manos del auditor
externo.
Esta sobre
asignación de privilegios y accesos al sistema se inicia con el resultado del
proyecto de implantación, a lo que se va sumando las adiciones por efecto del
dinamismo propio de las empresas que asignan y reasignan funciones a sus
colaboradores.
Conspira en gran
medida, el proceso de autorización de tales privilegios, que es dejado a
voluntad y riesgo de las áreas de TI.
Algunos efectos
no deseados que se generan:
-
Se
entregan a los usuarios accesos y atribuciones excesivas
-
Se
presenta una generación exponencial de vulnerabilidades y riesgos asociados
-
Permanente
exposición ante auditores externos
-
Potencial
efecto negativo en la evaluación y clasificación de riesgos por agentes
económicos
2. La
solución
La solución al problema expuesto pasa por
lograr mantener el entorno de la seguridad del Sistema SAP ERP en condiciones
de gobernabilidad, orden, estandarización y riesgos controlados.
A tan compleja definición ¿sólo podrían
existir soluciones complejas?
Lo que es muy claro que – ante la
diversidad de información y volumen de ésta – sólo es viable llegar a una solución
con el apoyo de software especializado.
Algunas empresas
– entre ellas grandes organizaciones con operaciones transnacionales – han
buscado la solución aplicando el producto de software de SAP GRC Access
Control. No obstante que el software es la piedra angular, la solución requiere
mucho más que éste. Es así que, de la veintena de empresas que la han
adquirido, sólo pocas de ellas ha adoptado la organización y metodología que SAP
propone.
SAP Access Control exige recursos
humanos, físicos y monetarios cuya asignación en el tiempo no se mantiene.
¿Y las
restantes? La gran mayoría transita entre la indiferencia – hasta que no se
encuentren con hechos ciertos de fraude – y una consciencia del problema, que no
necesariamente las lleva a tomar acciones preventivas y correctivas, sino hasta
que se transforme una urgencia en aplicarlas.
En siguiente posteo presento nuestra visión.
