Solucionado: Problemas de SoD durante la migración a S/4

La empresa agrícola U.S. Sugar cultiva caña de azúcar, cítricos y maíz dulce y los procesa para conocidas marcas estadounidenses. Como parte de la migración a SAP S/4 Hana, la empresa buscaba una solución para comprobar los conflictos de segregación de funciones de sus aproximadamente 2.500 empleados. Decidió trabajar con Pathlock, líder mundial en el mercado de la gobernanza del acceso y la seguridad de las aplicaciones. Una historia de éxito.

Las empresas confían cada vez más en una combinación de aplicaciones locales y en la nube para sus aplicaciones empresariales. Y con la creciente difusión de las aplicaciones en red, ya sea en compras, cuentas por pagar/deudores o gestión de relaciones con los clientes, también aumentan los riesgos de seguridad. Esto se aplica en particular a los conflictos de segregación de funciones (SoD). Para contrarrestar los riesgos de SoD actuales y futuros, las empresas deben desarrollar una visión multiaplicación de su gestión de accesos que incluya las aplicaciones en la nube, además de asegurar y supervisar las aplicaciones locales.

Matthew Miller, Director Senior de IT Business Solutions & Benefits en U.S. Sugar, aprovechó la próxima migración a S/4 Hana como una oportunidad para introducir medidas a tiempo para prevenir los riesgos de SoD que habían crecido con el tiempo y que se vieron exacerbados por los entornos de sistemas híbridos. En su búsqueda de una forma de supervisar el cumplimiento, resolver los conflictos de SoD y documentar los controles, la empresa comparó numerosas soluciones alternativas con el resultado de que el paquete de software de Pathlock cubría exactamente lo que se necesitaba.

Una de las ventajas de la solución Pathlock es que ofrece reglas SoD predefinidas, rápidamente personalizables y dinámicas para casi todas las principales aplicaciones empresariales. El objetivo de U.S. Sugar era personalizar las reglas Pathlock probadas e implementarlas con un sistema de alerta eficaz. Éste debería hacer cumplir eficazmente los derechos de los usuarios y efectuar las correcciones necesarias o contener mecanismos de control para poder reaccionar de inmediato en caso de infracción.

Detección precoz de los riesgos de SoD

U.S. Sugar IT comparó primero sus propios conflictos de segregación de funciones de años anteriores con las clasificaciones de riesgo de las normas y reglamentos predefinidos de Pathlock. A continuación, se analizó la relevancia de los resultados para los departamentos de contabilidad y finanzas de la empresa. Como resultado, se ajustaron las clasificaciones de riesgo específicas de la empresa, se eliminaron o redujeron las autorizaciones críticas y se añadieron o aumentaron otras.

Por último, se revisaron individualmente todos los conflictos identificados con una calificación crítica alta y, o bien se integraron controles compensatorios en el sistema, o bien se eliminaron por completo de las funciones las autorizaciones de usuarios problemáticos. Con la ayuda de las reglas personalizadas de Pathlock Suite y la automatización de los procesos, fue crucial no solo mantener el statu quo recién logrado, sino también identificar los posibles riesgos de SoD en el futuro antes de conceder nuevas autorizaciones.

Controles de seguridad exhaustivos

Lo que a U.S. Sugar le gustó especialmente de Pathlock Suite fue que el software no sólo cumple todos los requisitos operativos y legales, sino que además es extremadamente fácil de usar. Pathlock identifica los posibles riesgos de SoD en cuanto se realiza una nueva solicitud de acceso, en el momento de la concesión y también durante los ciclos de revisión.

Como resultado, U.S. Sugar es ahora capaz de reconocer las violaciones de SoD en una fase temprana e iniciar las medidas de control apropiadas en situaciones en las que no es posible una reparación inmediata. Además, las cuentas de usuario, las autorizaciones y los datos se vinculan y analizan en todas las aplicaciones empresariales, lo que facilita la gestión de los conflictos de SoD. Gracias a las interfaces entre aplicaciones, las aplicaciones CRM como PeopleSoft de Oracle también podrían integrarse perfectamente en el nuevo proceso de cumplimiento.

Sin miedo a la auditoría

Esto no sólo elimina la necesidad de trabajar con tablas y muestras de prueba, sino también la de recurrir a consultores externos, con lo que se reducen tanto los riesgos como los recursos. Además, los informes detallados garantizan que cada paso quede documentado, lo que facilita enormemente las auditorías periódicas. Matthew Miller subraya lo mucho más relajado que está ahora su equipo ante las auditorías anuales, sabiendo que pueden presentar a los auditores los informes generados por el sistema y la conformidad con el cumplimiento, incluida una lista de todos los controles compensatorios, con sólo pulsar un botón. Gracias al alto grado de automatización, la auditoría se desarrolla ahora de forma mucho más fluida en general.

Riesgos durante la migración a S/4

Hoy en día, Matthew Miller considera que el uso de la suite de software fue un factor decisivo para el éxito de la transición. El cambio a SAP S/4 Hana fue la oportunidad perfecta para tomar medidas que protegieran aún mejor a la empresa contra los riesgos derivados de las autorizaciones de usuarios críticos en el futuro. Aunque no se trate de un problema de segregación de funciones, es crucial para su empresa controlar quién tiene acceso a las transacciones críticas. U.S. Sugar también utiliza la gestión de superusuarios de Pathlock. Esto significa que todas las actividades llevadas a cabo por usuarios con privilegios se supervisan, se documentan completamente y se ponen a disposición para su revisión.

Análisis de SoD sin fisuras

La importancia de la SoD entre aplicaciones se está demostrando actualmente para U.S. Sugar con la adquisición de una refinería en Savannah que utiliza PeopleSoft. Con Pathlock Suite, afirma Matthew Miller, ahora es posible incorporar sus normas de seguridad a un sistema de informes centralizado. Esto permite realizar un análisis para identificar conflictos de segregación de funciones en todos los ámbitos y, cuando los riesgos de segregación de funciones no pueden eliminarse ad hoc, encontrar un buen control compensatorio.

Las soluciones de Pathlock ofrecen una visualización basada en un cuadro de mandos del estado actual de los riesgos, incluido el análisis de SoD entre aplicaciones. El uso de normas y reglamentos preconfigurados y personalizables de Pathlock elimina la necesidad de hojas de cálculo, muestras de prueba y consultores externos, reduciendo así no sólo los riesgos sino también los recursos necesarios. El SoD automatizado y el análisis de riesgos, así como los informes automatizados para todas las aplicaciones empresariales comunes, permiten cumplir los requisitos legales de forma fácil y rápida, ya se trate de SAP ERP, S/4, aplicaciones en la nube o sistemas de TI que no sean SAP.

De este modo, las empresas pueden utilizar una plataforma centralizada y fácil de usar para identificar, resolver rápidamente y supervisar continuamente los conflictos de segregación de funciones en todo su entorno de aplicaciones. Una estrategia de este tipo resiste todas las auditorías y constituye una base sólida para la GRC.

A la entrada de socios.