¿La función de auditoría y seguridad de la información, posee una herramienta estándar para revisión y monitoreo independiente de la segregación de funciones y privilegios críticos en SAP ERP?

La respuesta a esta pregunta es un categórico sí. El problema es que esta herramienta es desconocida y en consecuencia no se usa en las organizaciones.

¿Cuántos fraudes producto de fallas en la asignación de privilegios en SAP ERP se podrían prevenir, a partir de un monitoreo certero de estos ámbitos?

Claramente esta herramienta, al ser posible ser poblada con reglas de segregación de funciones y privilegios críticos a nivel de objetos de autorización, permite que la función de auditoría interna, complemente sus auditorías de procesos de negocios en SAP ERP, con una muy buena y profunda revisión de la segregación funcional (SoD, por sus siglas en inglés) y de los privilegios críticos, mitigando el riesgo de que en las evidencias se obtengan falsos positivos.

Una de las grandes falencias de los auditores tanto externos como internos cuando auditan SAP ERP, es el hecho de ejecutar débiles pruebas de auditoría en estos ámbitos y generalmente se entregan informes con hallazgos a la administración que contienen un número importante de falsos positivos, lo cual tiende a desacreditar sistemáticamente sus hallazgos y el valor de los mismos.

Para la función de seguridad de la información, pasa a ser una herramienta bastante buena también, ya que le permitirá monitorear la asignación de privilegios críticos al sistema aplicativo SAP ERP, en el marco de la protección de acceso a los activos críticos de la información.

La buena noticia, es que esta herramienta ya viene incluida en su sistema SAP ERP y no tiene para que comprarla, ya que solamente se configuran sus reglas SoD y luego solamente haciendo un clic, podrá ejecutar sus pruebas de segregación de funciones y de otorgamiento de privilegios críticos en forma escéptica, independiente, automática, continúa y libre de falsos positivos.

Cabe mencionar, que esta herramienta se puede utilizar tanto a través de SAP AIS (Audit Information System), como por fuera de AIS, por lo que para usarla no es requisito tener configurado SAP AIS.

Si quieren conocer en qué consiste esta herramienta estándar de SAP ERP y ver una demo de su funcionamiento, nos pueden contactar: contacto@grcchile.cl.