Al evaluar una solución de este tipo debe preocuparse que a lo menos cumpla con lo siguiente:
· Que haga análisis de transacciones conflictivas
· Que haga análisis de transacciones criticas (no es lo mismo que transacciones conflictivas)
· Que permita hacer análisis desde 1 a muchos usuarios en tiempo real
· Que permita hacer análisis desde 1 a muchos roles/perfiles en tiempo real
· Que el nivel de análisis sea fino, es decir, que llegue a las capas más especificas de autorización (denominadas 3 capas de seguridad de autorización en SAP). De lo contrario, los resultados son falsos positivos y eso contamina la evidencia (invalida los resultados)
· Que entregue los riesgos SoD, es decir, si son altos, medios y bajos, con la descripción de estos, a fin de que los Process Owners y Role Owners, sepan claramente a los riesgos que se exponen en la medida que autorizan un acceso. No basta con que indique si el nivel de riesgo es alto, medio, bajo, es muy importante que indique la implicancia o el concepto del riesgo.
· Que permita hacer análisis en tiempo real o sacar una foto en el momento que se estime pertinente.
· Que ofrezca funcionalidades para incorporar los controles de mitigación de los riesgos aceptados por los dueños de la información.
· Que tenga reglas de segregación funcional de clase mundial (buenas prácticas)
· Que permita agregar reglas de segregación funcional a la medida del negocio (adhoc a la industria en la que está la empresa por ejemplo)
Que permita customizar o adaptar las reglas SoD estándares.
Que permita customizar o adaptar las reglas SoD estándares.
· Que permita realizar aprovisionamiento de accesos a través de un workflow en forma automática. (provisioning) con análisis de riesgo SoD en forma simultánea.
· Que permita hacer análisis SoD a nivel de roles/perfiles (intrarol) y roles a usuarios (por usuarios)
· Que almacene automáticamente la evidencia de las aprobaciones de acceso por parte de los dueños de la información.
· Que la evidencia de aprobaciones almacenada sea auditable.
· Qué permita monitorear los accesos amplios de los súper-usuarios y que la solución deje evidencia automática de los cambios realizados. (ejemplo: cambios sobre campos críticos de ciertas tablas o customizing SAP)
A lo menos estas funcionalidades deberían tener una buena herramienta de análisis SoD, para poder obtener resultados razonables, en forma eficiente y rentabilizar la inversión, de lo contrario es muy probable que se deba volver a los mecanismos manuales de análisis.
Otro factor no menor, es elegir un partner implementador que cuente con credenciales concretas y validables, dado a que como son soluciones relativamente nuevas, el riesgo que se corre al hacerlo con partners sin experiencia es muy alto y el proyecto puede tender al fracaso. (este es un factor crítico de éxito)
No hay comentarios:
Publicar un comentario
Comentarios blog GRC Chile