Autorizaciones SAP: la seguridad necesita una visión general
El becario pasa por todos los departamentos de la empresa, recibe constantemente nuevas autorizaciones SAP y, en última instancia, tiene derechos de gran alcance. Este ejemplo exagerado no está tan alejado de la realidad en algunas empresas.
Esto suele deberse a estructuras SAP que han crecido históricamente y se han vuelto cada vez más complejas. Los riesgos de seguridad resultantes suelen pasar desapercibidos durante años. Nordwest Handel, una empresa comercial de comercio de conexiones de producción con 950 empresas comerciales medianas afiliadas, quería evitar una situación así.
Además de la adquisición de mercancías y el almacenamiento/logística, Nordwest Handel también ofrece servicios de finanzas, logística, informática y ventas. El sistema SAP, que se introdujo a mediados de los noventa y se ha ido ampliando continuamente, contiene datos críticos para la empresa para la contabilidad, el control y los datos maestros de clientes y proveedores.
Nordwest Handel decidió modernizar desde cero su gestión de autorizaciones SAP. El objetivo era reducir la carga de trabajo administrativo de la dirección. La transparencia de los procesos debía aumentar gracias a la mejora de la documentación.
Stefan Lendzian, Jefe de Soporte Informático/Sistema de Nordwest Handel, afirma:
"SAP sólo ofrece opciones estándar muy limitadas para gestionar y documentar cómodamente las funciones y los riesgos".
Desde su punto de vista, una empresa puede modernizarse básicamente de tres maneras:
1. hacer el mejor uso posible del estándar SAP, posiblemente con la participación de un especialista externo, 2. utilizar una solución desarrollada fuera de SAP, o 3. utilizar una solución totalmente integrada en SAP.
Nordwest Handel optó por la tercera opción para asegurarse de que la aplicación elegida estuviera siempre actualizada con el estado más reciente del sistema SAP. Tras tres meses de investigación de mercado, los responsables seleccionaron la suite Sast GRC de la empresa Akquinet, con sede en Hamburgo.
La abreviatura Sast significa "System Audit and Security Toolkit". Steffen Maltig, director de proyecto y consultor sénior de Akquinet, lo explica:
"Al principio, solemos encontrarnos con que las autorizaciones SAP son demasiado generosas y, por tanto, difíciles de seguir. Nuestro objetivo es asignarlas con la mayor precisión posible de forma permanente sin restringir la capacidad de actuación de la empresa."
Se sondearon los deseos de la empresa mediante cuestionarios. Las preguntas clave eran ¿Qué datos merece especialmente la pena proteger? ¿Quién tiene acceso? Analizando estos datos y las estadísticas de uso, se determinaron nuevas funciones para cada puesto de trabajo utilizando un "kit de construcción de funciones" compuesto por 700 plantillas.
El objetivo era crear un modelo completo de autorización de puestos de trabajo que pudiera utilizarse en todas las unidades organizativas y tuviera en cuenta la propiedad de los datos.
Con la ayuda de Sast, las funciones de trabajo se sometieron directamente a una comprobación de riesgos. El sistema comprueba si se respetan todas las directrices externas a la hora de asignar autorizaciones y si las funciones están debidamente separadas.
Las distintas organizaciones de compras y ventas de Nordwest Handel también deben estar completamente separadas entre sí en cuanto a su acceso a los datos, de modo que ya no sea posible el acceso de lectura y escritura.
Durante la remodelación también se introdujeron funciones colectivas relacionadas con el puesto de trabajo. Tras una fase final de prueba con usuarios piloto, durante la cual se cerraron las últimas brechas de autorización, Nordwest Handel introdujo el nuevo concepto de autorización en toda la empresa de acuerdo con la planificación temporal y presupuestaria.
Un proceso automatizado de gestión de riesgos dentro de la gestión de autorizaciones garantiza la continuidad de las operaciones de SAP. Los riesgos potenciales pueden detectarse y notificarse en tiempo real. Tras el proyecto, un auditor externo confirmó a Nordwest Handel que la seguridad de la gestión de autorizaciones de SAP cumple plenamente los requisitos.
"Ofrecemos a nuestros clientes, proveedores y empleados la máxima protección de datos y confidencialidad a largo plazo. En el día a día, seguimos teniendo un bajo esfuerzo de mantenimiento y documentación"
dice Lendzian.