La plataforma global e independiente para la comunidad SAP.
Gestión informática, Mag 22-06

Conceptos de autorización

La gestión de autorizaciones y licencias dentro del cosmos SAP es un tema delicado para muchas empresas. Los conceptos de autorización de SAP son indispensables para el cumplimiento de la normativa y la seguridad informática en toda la empresa.
Andreas Knab, Sivis
6 julio 2022
Contenido:
avatar
Este texto ha sido traducido automáticamente del alemán al español.

Mientras que algunos siguen dudando de la necesidad de las autorizaciones SAP -y de los conceptos de autorización asociados-, otros rehúyen su implantación debido a su elevada complejidad. El hecho es que los conceptos de autorización de SAP son indispensables para el cumplimiento y la seguridad de TI en toda la empresa. Pero, ¿cómo consiguen las empresas un concepto de autorización SAP fiable sin desesperarse por ello? ¿Existe una solución milagrosa o hay varios caminos que conducen a la meta?

Un concepto de autorización SAP mapea las normas legales relevantes y las regulaciones internas de la empresa que deben armonizarse con los requisitos de seguridad de TI dentro de un sistema SAP. Con un concepto de autorización bien pensado, el esfuerzo administrativo puede reducirse significativamente y, al mismo tiempo, cumplir los requisitos legales. No sólo crea la conformidad deseada, es decir, estructuras comprensibles que incluyen documentación completa y control de versiones, sino que también proporciona a cada usuario las autorizaciones en el sistema SAP que son necesarias para sus tareas.

Ningún signo de desconfianza

Quien piense que las autorizaciones claras son un signo de desconfianza se equivoca. Sirven para proteger tanto a la empresa como a los empleados. De este modo, pueden evitarse daños masivos que podrían derivarse de acciones accidentales de los empleados. Ejemplos típicos son el levantamiento de un bloqueo de entrega o el uso incorrecto de una función de modificación en masa. Al mismo tiempo, un concepto de autorización protege contra los intentos de fraude, como la falsificación de balances por parte de los empleados y el consiguiente perjuicio a las partes interesadas. Aunque los conceptos de autorización de SAP pueden salvar a las empresas de considerables daños financieros y de reputación, la mayoría de ellas sólo se ocupan de ellos cuando los acontecimientos externos e internos les obligan a hacerlo. Entre los acontecimientos externos se incluyen clásicamente las auditorías y las fiscalizaciones. Internamente, las autorizaciones creadas históricamente suelen provocar conflictos y requieren entonces una reducción o incluso una limpieza fundamental. Pero una migración inevitable a S/4 Hana en un futuro próximo también hace que las empresas tengan que lidiar con el tema de las autorizaciones.

Posibilidades de actuación

Cuando las empresas se enfrentan a estos acontecimientos, tienen tres opciones principales de actuación:

1. justo antes: Por supuesto, las empresas son libres de adoptar un enfoque de espera y sólo abordar su concepto de autorización SAP cuando no haya forma de evitarlo. Sin embargo, esto no es recomendable. Sobre todo cuando la próxima auditoría está a la vuelta de la esquina. Se aconseja a las empresas que no aprovechen un momento tan crítico para ocuparse de su concepto de autorización SAP.

2. ajustes selectivos: Otra opción para las empresas, más bien por necesidad, es realizar de forma reactiva ajustes selectivos en su concepto de autorización SAP y aliviar así el "dolor" actual. En los círculos profesionales, este procedimiento suele denominarse método de la hoja de parra. Este método suele estar menos orientado al proceso y hace inevitable un nuevo comienzo al cabo de cierto tiempo, por ejemplo debido a la existencia de demasiadas interfaces, soluciones provisionales o falta de transparencia. Esto se debe a que las verdaderas ganancias rápidas sólo se producen si los ajustes selectivos se aplican con previsión y ya se tiene en cuenta en la planificación una solución futura e integral.

3. enfoque holístico: Lo óptimo para las empresas es integrar su concepto de autorización SAP en una estrategia holística. Esto significa introducirlo de forma modular mediante un sistema integrado. A primera vista, esto puede parecer más laborioso que los ajustes selectivos, pero tiene varias ventajas. En primer lugar, las empresas no tienen que desarrollar interfaces. En segundo lugar, gracias a su estructura modular, la solución puede adaptarse perfectamente a las necesidades individuales de la empresa y sus empleados. Si se quiere, este método no sólo alivia las molestias, sino que va a la raíz del problema.

Los conceptos de autorización de SAP y su aplicación u optimización son tan individuales como cada empresa. Por tanto, la fórmula mágica es un mito. Por ello, los tres escenarios siguientes muestran ejemplos de las múltiples posibilidades de aplicación de los conceptos de autorización de SAP.

Escenario uno

Prepararse para el futuro con S/4. Una conocida empresa industrial desea realizar rápidamente la migración a S/4 Hana para, por un lado, prepararse para el futuro y, por otro, aprovechar la oportunidad para una optimización de autorizaciones y licencias. En la fase previa, se discutió en detalle qué enfoque de migración era el más adecuado: Greenfield, Brownfield o Bluefield. Basándose en sus requisitos específicos y tras una profunda reflexión, la empresa se decidió finalmente por el enfoque Greenfield, es decir, la nueva implantación de un sistema S/4. La empresa industrial sabe que tiene sentido establecer un nuevo concepto de autorización incluso antes de la puesta en marcha para evitar la clásica proliferación y garantizar el cumplimiento de forma inmediata. Sólo así se pueden evitar diversos problemas de seguridad durante la puesta en marcha, por ejemplo, debido a funciones predefinidas y asignaciones de funciones demasiado amplias. Por ello, la empresa industrial decide de antemano utilizar la traza del sistema de SAP como base para registrar continuamente el comportamiento de los usuarios. A partir de ahí, la empresa realiza los ajustes oportunos y los transfiere al nuevo concepto de autorización. Tras una fase de optimización, se eliminan los posibles problemas de seguridad y se completa con éxito la migración con las nuevas autorizaciones.

Segunda hipótesis

Comprobación para la próxima auditoría. En el transcurso de una auditoría interna, que en realidad sólo tenía por objeto realizar pruebas o preparar la auditoría anual, un grupo automovilístico descubre que tiene varios retos con respecto a sus autorizaciones SAP, incluida la separación de funciones para usuarios en áreas críticas para la empresa. Por ejemplo, actualmente varios empleados pueden crear proveedores, contabilizar una entrada de mercancías y, para colmo, iniciar la ejecución del pago sin que exista una necesidad real de hacerlo. Este problema surgió como consecuencia de una asignación de funciones insuficientemente controlada en el pasado. Para poner remedio rápidamente -y lo que es más importante, a tiempo- a su dolor selectivo, la empresa busca una solución inteligente que automatice los procesos de cumplimiento y en la que la revisión, aprobación y mitigación de conflictos pueda presentarse de forma fácil de usar y segura.

El grupo automovilístico opta por una solución capaz de realizar una auditoría automática antes y después de los cambios en las autorizaciones y funciones. La gran ventaja: antes de la próxima auditoría, la empresa puede asegurarse de que se reconocen los conflictos de auditoría relevantes, se documentan de forma a prueba de auditorías y se versionan. Esto también garantiza que, en caso de futuros cambios, las infracciones relevantes ya se muestren antes del flujo de trabajo de la aplicación y, por tanto, puedan evitarse. Esto ahorra costes de proceso y garantiza una auditoría eficaz con menos trabajo preliminar.

Escenario tres

Reducir el concepto de función históricamente ampliado. Una reestructuración combinada con nuevos requisitos de conformidad enfrenta a una gran empresa energética al reto de revisar todas las autorizaciones y funciones. Este proyecto resulta ser una tarea hercúlea, porque los sistemas han crecido considerablemente en los últimos diez o quince años. Aunque se han añadido nuevas funciones y autorizaciones con regularidad, rara vez o nunca se ha comprobado si tienen sentido. A la empresa energética le gustaría reducir los antiguos "roles monstruosos" y eliminar las autorizaciones superfluas de los usuarios. Sin embargo, rápidamente se descubre que esto no puede hacerse ni con las herramientas SAP ni manualmente con un esfuerzo razonable.

La empresa energética necesita una solución sencilla con la que se puedan identificar y limpiar automáticamente las autorizaciones no utilizadas y las funciones sobrecargadas. De este modo, la empresa podrá deshacerse en poco tiempo de sus cargas históricas. Además de agilizar el trabajo administrativo, la empresa energética se beneficia ahora de un esfuerzo de auditoría significativamente menor. La reducción de los costes de licencias también hace que la nueva claridad parezca positiva.

No rehúya los conceptos de autorización de SAP

Introducir conceptos de autorización SAP o actualizarlos no implica necesariamente un gran esfuerzo. Con optimizaciones selectivas ya se pueden obtener beneficios rápidos. Además, en el futuro, complejos algoritmos combinados con inteligencia artificial automatizarán el análisis, la creación y la revisión de los conceptos de autorización de SAP, haciéndolos mucho más eficientes. Sin embargo, no existe la tan cacareada bala de plata.

Los caminos hacia un concepto de autorización SAP moderno son tan individuales como las empresas que los siguen. Deberían ver esto como una oportunidad para explorar un procedimiento que se adapte a sus necesidades - y que será apoyado por IA en el futuro. Numerosos ejemplos prácticos de éxito muestran cómo puede hacerse. De este modo, las empresas no sólo se libran de su miedo a los conceptos de autorización de SAP, sino que también están en el buen camino para elevar el cumplimiento y la seguridad de TI a un nivel resistente.

https://e3mag.com/partners/sivis-gmbh/
avatar
Andreas Knab, Sivis

Andreas Knab es especialista en autorizaciones y licencias SAP en Sivis.


Todos los artículos del autor

Escriba un comentario

El suplente del CEO de SAP

Workday Illuminate es la nueva generación de Workday AI

Workday firma un acuerdo para adquirir Evisort

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Gestión del ciclo de vida de las aplicaciones y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 20 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.