La plataforma global e independiente para la comunidad SAP.

¿Es su concepto de usuario de emergencia una simple carta blanca?

A la pregunta de si comprueban alguna vez su registro de usuarios de emergencia, la mayoría de las empresas responde que no. La experiencia de la práctica de la GRC demuestra la mayoría de empresas deja que estos registros acumulen polvo en los archivos en vez de revisar y documentarlos adecuadamente.
E3 Magazine
5 de junio de 2024
avatar
Este texto ha sido traducido automáticamente del alemán al español.

El aumento de los controles por parte de las BSI en relación con la directiva NIS2, prevista para otoño, ha situado el tema de los usuarios de emergencia en el primer lugar de la agenda de los auditores, y esto ya no sólo se aplica a las empresas de Kritis. En particular, están examinando hasta qué punto los controles están integrados en los conceptos internos de SoD (Segregación de Funciones) de la empresa. Esto se debe a que rara vez se tienen en cuenta conjuntamente y provocan una brecha de seguridad importante e innecesaria si los superusuarios tienen muchas más autorizaciones de las que deberían según el concepto interno de SoD. "Esto no es ni conveniente ni factible para una estrategia de seguridad holística", explica Ralf Kempf, evangelista de la seguridad informática y CTO de Pathlock Alemania.

Monolítico o híbrido

"La complejidad de los sistemas informáticos, a menudo ya no monolíticos sino híbridos, crece rápidamente, lo que significa que los conceptos de DdS también se hacen más extensos y opacos. Es esencial mantenerlos actualizados, presentarlos con transparencia y armonizarlos. Los conceptos de emergencia ya no pueden considerarse de forma aislada", subraya Kempf. Es importante tener en cuenta la perspectiva de los auditores. Son fundamentalmente críticos con los conceptos de superusuario porque pueden afectar a la integridad de los sistemas y los datos financieros. Por eso, para mantener la confianza en los informes financieros de la empresa, se aseguran de que haya normas y controles claros sobre a quién se conceden derechos de usuario de emergencia y cómo se utilizan.

Esta tarea de armonizar conceptos, cumplir requisitos y crear transparencia mediante un registro limpio plantea nuevos retos a las empresas, para las que la implantación inicial de la DdS ya era a menudo una tarea considerable. Aunque no existe una solución universal, hay una serie de buenas prácticas que ayudan a que el proceso sea eficaz. Entre ellas se incluye el examen de un conjunto de normas existentes para su propia empresa.

La revisión del ámbito de aplicación y la pertinencia debe tener en cuenta los nuevos desarrollos y avances tecnológicos en las aplicaciones y, en caso necesario, dar lugar a ajustes individuales de las normas y reglamentos. La necesidad de cada función y cada código T -incluidas las autorizaciones actualmente válidas- debe comprobarse en relación con el uso real. Si no están asignados a un usuario o son utilizados por otros, deben eliminarse por razones de seguridad.

Comprobación de pertinencia

Si la comprobación de pertinencia muestra que un empleado no ha utilizado una autorización durante más de un año, debe eliminarse del perfil. Esto parece sencillo a primera vista, pero requiere un esfuerzo técnico y conocimientos especializados. Al fin y al cabo, si se elimina la autorización de un usuario, hay que cambiar las funciones existentes, lo que no siempre es fácil de hacer manualmente. Para agilizar el proceso, es práctica común eliminar primero las autorizaciones conflictivas y sólo eliminar las sensibles en un segundo paso. Para evitar que los empleados tengan la sensación de que se están retirando autorizaciones relevantes, es útil presentar los datos estadísticos pertinentes de los usuarios. Las pruebas irrefutables de no utilización ayudan a vencer la resistencia y convencer a los superiores. De este modo, el conjunto de normas sigue siendo claro y se adapta eficazmente a las circunstancias operativas.

Cerrar filas con los auditores

Es crucial ver a los auditores internos y externos como aliados con el mismo objetivo de un buen concepto de seguridad. Una estrecha cooperación y una cultura viva de debate permiten una voluntad de compromiso y flexibilidad por ambas partes. Debe ser posible abordar cuestiones concretas si algo en la normativa parece inadecuado. Los auditores suelen estar dispuestos a aceptar una alternativa si no cambia el nivel de seguridad.

Integrar la gestión

En caso de duda, también tiene sentido pedir al auditor soluciones adecuadas y validarlas con el objetivo de lograr un éxito rápido y obtener el apoyo de la dirección. Se debe motivar a los responsables de la toma de decisiones para que pregunten si necesitan información de fondo para comprender y aclarar determinadas normas de DdS. Si una función se considera innecesaria, los auditores pueden verse tentados a eliminarla. Con el razonamiento adecuado detrás de una norma o requisito concreto, los directivos están mejor capacitados para evaluar los cambios e impulsar mejoras. Un equipo directivo bien informado puede convertirse así en un socio fuerte para el proyecto. 

Independientemente de lo competente que sea un equipo de auditoría interna, debe buscarse el apoyo adicional de expertos experimentados. A la hora de seleccionarlos, es sumamente importante proceder con cautela e investigar a fondo con antelación. Por regla general, una empresa de consultoría debe tener al menos la misma experiencia que el equipo de auditoría. Si ambas partes utilizan la misma terminología y comparten las mismas creencias y normas, esto puede ahorrar costes considerables y ayudar más eficazmente a evitar futuros intentos de abuso.


A la entrada de socios:

Escriba un comentario

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Application Lifecycle Management y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 24 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.