En la actualidad factores como la globalización, alta
productividad, minimización de tiempos en los procesos de negocio y las
cambiantes condiciones del mercado y por ende del negocio, hace que muchas
empresas de diferentes sectores y tamaño se planteen la implementación de un
sistema que soporte los procesos del negocio y la operativa transaccional de
una forma integrada.
Entre muchas de las opciones que hoy día ofrece la industria
del software de las aplicaciones y sistemas informáticos, está SAP. SAP ERP es
un sistema integrado que puede proporcionar a las empresas herramientas para
gestionar la planificación estratégica, controlar sus objetivos y analizar las
operaciones. En la siguiente imagen se resumen de forma general las
funcionalidades del sistema SAP:
SAP no escapa a los riesgos tradicionales que afectan a las
tecnologías de la información por ejemplo:
- Acceso no autorizado a datos que pueda resultar en la eliminación o alteración de información.
- Ejecución no autorizada de transacciones sensibles que pueden tener impacto en el sistema.
- Errores en el funcionamiento de los programas, como consecuencia de cambios deficientemente probados.
- Cambios no autorizados a tablas de SAP en el entorno de producción que puedan afectar a la integridad de los datos.
- Pérdida potencial de información como consecuencia de errores en la ejecución
- de interfases y procesos.
- Pérdida de información por accesos no autorizados, uso de perfiles con privilegios o deficiencias en copias de seguridad.
Las empresas demandan cada vez más “confianza” sobre la fiabilidad
de la información y transacciones del negocio bien se desde el punto de vista
contable y/o de gestión para la toma de decisiones. Es por ello que es necesario
mitigar los riesgos que puedan impactar en el sistema principal del negocio y
en la infraestructura que lo soporta. Mitigar estos riesgos implica un trabajo continuo y basado
en el conocimiento de los procesos del negocio, funciones de cada cargo (rol de
usuario) y de los objetos y transacciones de SAP.
La identificación de los riesgos debe realizarse a todos los
niveles que componen el entorno del sistema SAP, es decir se deben identificar
los riesgos a nivel de los procesos, las personas, las instalaciones físicas y
de la infraestructura que soporta el sistema SAP. Una visión general de las
capas que pueden conformar el entorno del sistema SAP se presenta en la
siguiente imagen:
Como se puede observar principalmente son tres capas en las
que hay que aplicar medidas para mitigar los riesgos.
Actualmente existen numerosas herramientas para evaluar la
seguridad de un sistema SAP y así mitigar los riesgos, un ejemplo es la
herramienta de Control, riesgo y cumplimiento regulatorio (Governance Risk and Compliance)
propia de SAP. GRC es una solución que puede ayudar a automatizar los procesos
de GRC, entre los que se incluyen la supervisión automática de los indicadores
de riesgo clave para la eficacia del cumplimiento.
En este punto, digamos que hemos realizado el análisis de
riesgos a todos los niveles del entorno SAP y posteriormente hemos definido e
implementado los controles para mitigar los riesgos identificados.
El siguiente paso sería auditar los controles implementados
para evaluar su funcionamiento y si el control cumple el objetivo que hemos
definido. Para esto una vez se define el alcance de la auditoría, por ejemplo
revisar la seguridad general del sistema SAP, procedemos a definir las pruebas
que ejecutaremos para validar que los parámetros del sistema que componen la
seguridad general están en funcionamiento.
Entre algunos de los ámbitos que podemos revisar en el
sistema SAP están:
- El control de acceso a programas y datos
- La gestión de cambios a programas y
- Las operaciones de explotación del sistema
En este
sentido algunos de los controles implementados son:
- Control de acceso a programas y datos
- Parámetros de configuración de las contraseñas
- Caducidad de la clave de acceso
- Complejidad de la clave de acceso (longitud mínima, caracteres especiales, dígitos, etc.)
- Intentos fallidos de acceso
- Historial de contraseñas
- Bloqueo de sesiones
- Acceso a los objetos críticos de SAP (S_PROGRAM, S_TRANSPRT, S_DEVELOP, S_QUERY, etc.).
- Acceso de ejecutar transacciones críticas (SU10, SU20, SU21, SE16, …).
- Revisión de los perfiles de seguridad como SAP_ALL.
- Revisión de la configuración de los perfiles nativos de SAP (SAP*, …).
- Gestión y revisión de perfiles de usuarios y usuarios genéricos.
- Gestión de cambios a programas
- Listado de Key Users para la aprobación de peticiones de cambio.
- Monitorización y restricción de la capacidad para desbloquear el ambiente de producción y realizar cambios de forma directa (incluido los cambios a las tablas y diccionario de SAP).
- Segregación de funciones en la gestión de cambios incluyendo desarrollo, customización y aprobación de cambio y transporte.
- Usuarios de programación en producción.
- Operaciones informáticas
- Controles de acceso de modificación de trabajos por lotes e interfaces.
- Controles de acceso de trabajos por lotes ejecutados en nombre de otro (ANOTHER).
- Controles de acceso de trabajos por lotes ejecutados por cualquier (ANY).
- Controles de acceso a la gestión de la base de datos.
Si bien entendemos que el sistema SAP como ERP, es
un sistema que puede aportar un alto grado de seguridad en las operaciones, y
posee un buen número de controles embebidos en el mismo, tanto configurables
como inherentes. También debemos tener en cuenta que esta seguridad tiene que
ser configurada, para que sea efectiva.
No hay comentarios:
Publicar un comentario