La plataforma global e independiente para la comunidad SAP.

Autorizaciones SAP: la seguridad necesita una visión general

Las empresas alemanas llevan años aumentando su gasto en seguridad informática. Pero muchas empresas no se percatan de los ataques a su sistema SAP. Cada vez hay más casos de malversación y robo de datos. Sólo la punta del iceberg llega al público. Una clave para una mayor seguridad de SAP es la asignación limpia y la comprobación permanente de las autorizaciones de los usuarios.
Revista E-3
22 de junio de 2015
2015
avatar
Este texto ha sido traducido automáticamente del alemán al español.

El becario pasa por todos los departamentos de la empresa, recibe constantemente nuevas autorizaciones SAP y, en última instancia, tiene derechos de gran alcance. Este ejemplo exagerado no está tan alejado de la realidad en algunas empresas.

Esto suele deberse a estructuras SAP que han crecido históricamente y se han vuelto cada vez más complejas. Los riesgos de seguridad resultantes suelen pasar desapercibidos durante años. Nordwest Handel, una empresa comercial de comercio de conexiones de producción con 950 empresas comerciales medianas afiliadas, quería evitar una situación así.

Además de la adquisición de mercancías y el almacenamiento/logística, Nordwest Handel también ofrece servicios de finanzas, logística, informática y ventas. El sistema SAP, que se introdujo a mediados de los noventa y se ha ido ampliando continuamente, contiene datos críticos para la empresa para la contabilidad, el control y los datos maestros de clientes y proveedores.

Nordwest Handel decidió modernizar desde cero su gestión de autorizaciones SAP. El objetivo era reducir la carga de trabajo administrativo de la dirección. La transparencia de los procesos debía aumentar gracias a la mejora de la documentación.

Stefan Lendzian, Jefe de Soporte Informático/Sistema de Nordwest Handel, afirma:

"SAP sólo ofrece opciones estándar muy limitadas para gestionar y documentar cómodamente las funciones y los riesgos".

Desde su punto de vista, una empresa puede modernizarse básicamente de tres maneras:

1. hacer el mejor uso posible del estándar SAP, posiblemente con la participación de un especialista externo, 2. utilizar una solución desarrollada fuera de SAP, o 3. utilizar una solución totalmente integrada en SAP.

Nordwest Handel optó por la tercera opción para asegurarse de que la aplicación elegida estuviera siempre actualizada con el estado más reciente del sistema SAP. Tras tres meses de investigación de mercado, los responsables seleccionaron la suite Sast GRC de la empresa Akquinet, con sede en Hamburgo.

La abreviatura Sast significa "System Audit and Security Toolkit". Steffen Maltig, director de proyecto y consultor sénior de Akquinet, lo explica:

"Al principio, solemos encontrarnos con que las autorizaciones SAP son demasiado generosas y, por tanto, difíciles de seguir. Nuestro objetivo es asignarlas con la mayor precisión posible de forma permanente sin restringir la capacidad de actuación de la empresa."

Se sondearon los deseos de la empresa mediante cuestionarios. Las preguntas clave eran ¿Qué datos merece especialmente la pena proteger? ¿Quién tiene acceso? Analizando estos datos y las estadísticas de uso, se determinaron nuevas funciones para cada puesto de trabajo utilizando un "kit de construcción de funciones" compuesto por 700 plantillas.

El objetivo era crear un modelo completo de autorización de puestos de trabajo que pudiera utilizarse en todas las unidades organizativas y tuviera en cuenta la propiedad de los datos.

Con la ayuda de Sast, las funciones de trabajo se sometieron directamente a una comprobación de riesgos. El sistema comprueba si se respetan todas las directrices externas a la hora de asignar autorizaciones y si las funciones están debidamente separadas.

Las distintas organizaciones de compras y ventas de Nordwest Handel también deben estar completamente separadas entre sí en cuanto a su acceso a los datos, de modo que ya no sea posible el acceso de lectura y escritura.

Durante la remodelación también se introdujeron funciones colectivas relacionadas con el puesto de trabajo. Tras una fase final de prueba con usuarios piloto, durante la cual se cerraron las últimas brechas de autorización, Nordwest Handel introdujo el nuevo concepto de autorización en toda la empresa de acuerdo con la planificación temporal y presupuestaria.

Un proceso automatizado de gestión de riesgos dentro de la gestión de autorizaciones garantiza la continuidad de las operaciones de SAP. Los riesgos potenciales pueden detectarse y notificarse en tiempo real. Tras el proyecto, un auditor externo confirmó a Nordwest Handel que la seguridad de la gestión de autorizaciones de SAP cumple plenamente los requisitos.

"Ofrecemos a nuestros clientes, proveedores y empleados la máxima protección de datos y confidencialidad a largo plazo. En el día a día, seguimos teniendo un bajo esfuerzo de mantenimiento y documentación"

dice Lendzian.

avatar
Revista E-3

Trabajo informativo y educativo por y para la comunidad SAP.


Escriba un comentario

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Application Lifecycle Management y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 24 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.