Con la Industria 4.0, la seguridad se queda rápidamente en el camino
En el caso del fabricante de plantas, esta combinación de autorizaciones se produjo a través de un concepto de autorización históricamente cultivado en el que las funciones siempre se heredaban y se enriquecían con transacciones adicionales.
Desgraciadamente, este planteamiento sigue siendo práctica común en muchas empresas hoy en día y facilita que los empleados se enriquezcan a costa de su propia empresa.
Una buena gestión de las autorizaciones SAP contrarresta esta situación. Reduce el riesgo de acceso no autorizado a datos críticos de los sistemas SAP.
Un concepto de autorización actualizado es esencial para la protección de datos en empresas y organizaciones. Demuestra quién tiene acceso a qué datos en la empresa.
Un concepto de autorización sofisticado también tiene en cuenta las sustituciones de personal en caso de enfermedad y baja. También tiene en cuenta el traslado de personal a otros departamentos o su salida. Los nuevos usuarios se integran automáticamente en el concepto de autorización.
Pero hay otra novedad que me preocupa mucho más. Las nuevas tendencias informáticas, como los dispositivos móviles y las aplicaciones relacionadas, están desbaratando la cuestión de la seguridad en las empresas, desde la base.
Aquí aludo sobre todo a la conexión directa en red a nivel de dispositivos a través de IoT e Industria 4.0. Hay que imaginárselo: De repente, incluso los dispositivos tienen derechos de acceso a los datos personales y los procesan automáticamente.
Todo el mundo habla de la Industria 4.0 y todos quieren subirse al carro. Pero la cuestión de la seguridad puede quedar rápidamente relegada a un segundo plano.
En seguridad informática, también es cada vez más importante comprobar si los empleados utilizan realmente sus autorizaciones de forma adecuada y no hacen un uso indebido de ellas.
La Oficina Federal Alemana de Seguridad de la Información (BSI) aborda el tema de la función SAP y los conceptos de autorización en su catálogo de protección básica de TI, cuya lectura no puedo sino recomendar a todos los responsables de TI.
Aquí se señala explícitamente la necesidad de una asignación especialmente cuidadosa de las autorizaciones críticas y de una revisión periódica del concepto existente de funciones y autorizaciones.
Pero, ¿cómo puede aplicarse esto de la forma más sencilla posible en el día a día de la empresa? ¿Y qué ocurre con las combinaciones de autorizaciones críticas, es decir, dos autorizaciones que sólo se convierten en críticas cuando se asignan juntas?
Lo más importante en este caso es un concepto de autorización bien pensado. Todo director general debe asegurarse desde el principio de que no surgen riesgos de la combinación de autorizaciones.
Las autorizaciones sensibles sólo deben concederse si son absolutamente necesarias. Los usuarios de SAP pueden seguir la guía de auditoría del GASD aquí. También es ventajoso disponer de un sistema de control interno (SCI).
Los cambios, por ejemplo, pueden documentarse automáticamente de forma completa y rastreable, siempre que el sistema de autorización de SAP se complete con funciones o herramientas de terceros proveedores.
Lo ideal sería poder simular los efectos de la concesión de nuevas autorizaciones antes de su puesta en marcha. Sólo así podrán reconocerse y eliminarse automáticamente y a tiempo los conflictos típicos.
Además, todas las funciones y autorizaciones pueden comprobarse de forma periódica o ad hoc sin mucho esfuerzo. Y una cosa más: su empresa se beneficiará adicionalmente si también reevalúa las consecuencias de las salidas de datos al implementar nuevos requisitos de cumplimiento para su gestión de autorizaciones.
Porque provocan costes cada vez más elevados, como demuestra el 11º estudio actual sobre la violación de datos realizado por Ponemon. Según este estudio, el coste total del uso indebido de datos en empresas de doce países industrializados ha pasado de 3,8 a 4 millones de dólares.
Si el concepto de autorización de su empresa puede resistir estas numerosas amenazas es algo que debería analizar detenidamente cuanto antes.