Se acabaron los conceptos históricos de autorización.
Cualquiera que haya limpiado alguna vez su sótano estará familiarizado con esto: a lo largo de los años se han ido acumulando cosas, algunas útiles, otras superfluas o incluso peligrosas. La situación es similar en el panorama informático de muchas empresas, especialmente cuando se trata de conceptos de autorización de SAP. Estructuras históricamente crecidas como resultado de años de adaptaciones, ampliaciones y "soluciones de emergencia".
Los conceptos de autorización de SAP son complejos. Deben garantizar que cada empleado tenga exactamente los derechos de acceso que necesita para su trabajo. Las autorizaciones demasiado restrictivas pueden obstaculizar el flujo de trabajo, mientras que las autorizaciones demasiado generosas pueden plantear riesgos de seguridad, como el conflicto de funciones "Actualizar datos maestros de proveedor Y contabilizar factura de proveedor o abono".
Las formas en que este proceso se lleva a cabo en el sistema son complejas y difíciles de comprobar, como puede verse una y otra vez en las auditorías de seguridad de SAP e incluso en los proyectos S/4 actuales. A esto hay que añadir la necesidad de atenerse a los requisitos legales y a las directrices de cumplimiento interno y de discutirlos con los jefes de departamento.
Normas de riesgo
Aquí es exactamente donde entra en juego la normativa sobre riesgos. Como un experto en orden, ayudan a poner claridad en el caos. Pero cuidado: no todas las normas sobre riesgos son útiles. Algunas pasan por alto riesgos, otras son demasiado rigurosas y eliminan autorizaciones útiles. Es crucial confiar en un marco de riesgos con amplios conocimientos y experiencia de los auditores SAP.
Un conjunto preciso de reglas de riesgo reconoce las desviaciones más sutiles y determina qué autorizaciones son problemáticas. Minimizar las advertencias de acceso innecesarias y los falsos positivos aumenta la eficacia y ahorra recursos. Una buena política de riesgos crea normas comunes y mejora la comunicación entre departamentos. Un diseño limpio de las funciones garantiza una asignación eficaz y precisa de las autorizaciones que cumplen los requisitos de la empresa. Deben incluirse descripciones de riesgos y procesos para que se cree un entendimiento sobre esta base junto con el componente técnico. Un conjunto de normas de riesgo debe estar sujeto a actualizaciones constantes para hacer justicia a la dinámica del contenido técnico.
Opción de reinicio de S/4
El cambio a S/4 Hana ofrece la oportunidad de empezar con un sótano vacío. Pero también hay escollos al acecho. La nueva arquitectura, la separación del front-end y el back-end y la introducción de aplicaciones SAP Fiori plantean nuevos retos. Las reglas de riesgo pueden ayudar a mantener una visión de conjunto y garantizar que las autorizaciones en el nuevo sistema se mantengan mucho más limpias y eficientes que antes. Como resultado, el nuevo sótano está organizado y sin problemas heredados, lo que tiene un efecto positivo en el control de seguridad de SAP.
Los conceptos de autorización de SAP, históricamente evolucionados, suponen un reto, sobre todo ante los nuevos requisitos (técnicos, jurídicos y de contenido). Sin embargo, con la estrategia adecuada, las herramientas apropiadas y un equipo experimentado, pueden optimizarse de forma eficiente. Cualquiera que se fije el objetivo de operar un sistema SAP seguro y eficiente que cumpla los requisitos de conformidad y reduzca los costes se está preparando para el futuro.
Sin embargo, quienes no utilizan un conjunto actualizado de normas de riesgo corren el riesgo de incurrir en costes adicionales por autorizaciones SAP en el futuro y de poner en peligro la seguridad de la empresa. Estas lagunas también provocan un aumento de los ciberataques que pueden causar daños duraderos a las empresas. Al fin y al cabo, un sótano ordenado es una gran sensación, ¿verdad?
