Seguridad SAP S/4 HANA (S/4H) – 5 consideraciones de monitoreo y auditoría continua del browser de datos

En el marco de las transformaciones tecnológicas que están ocurriendo, muchas entidades están realizando su upgrade a SAP S/4 HANA o simplemente aquellas que implementan lo hacen partiendo desde esta versión o actualización de SAP, producto que ofrece mayores prestaciones o mejor experiencia para el usuario final, puesto que se optimiza la disponibilidad de datos procesados por el sistema, a partir de la tendencia tecnológica “in-memory computing”, lo que conlleva a ser más eficiente en la obtención de la información útil para la toma de decisiones.

Esto también ha ayudado a aquellas entidades de industrias que trabajan con big data y analytics de esta, puesto que al mejorar la rapidez del procesamiento, se podrá procesar gran cantidad de datos, analizarlos y mejorar la calidad de la inteligencia de negocios para incrementar el valor.

Lo anterior, implica que la información estén exentos de vulnerabilidades de seguridad y a continuación les comentaré algunas consideraciones de monitoreo y auditoría continua:

1. Acceso a consultas de tablas vía browser de datos, independiente que se haga haciendo uso de SAP S/4H, igual podría mermarse el performance al consultar tablas por sobre 100.000 registros directamente en ambiente productivo. Potencial impacto: Disponibilidad.

2. Restringir en ambiente productivo no sólo el acceso al browser de datos por medio de las transacciones tradicionales: SE16, SE16N, SE17 sino que ahora sumar la transacción SE16H para HANA. Potencial impacto: Disponibilidad y Confidencialidad.

3. Segmentar el otorgamiento de privilegios para la transacción S/4H puesto que opera con objetos de autorización críticos que cambian en relación al browser de datos tradicional. Potencial impacto: Disponibilidad y Confidencialidad.

4. Monitoreo continuo del comportamiento de estas transacciones por medio de SAP AIS (Audit Information System) a nivel de todos los objetos de autorización que contiene la transacción SE16H. Si desea monitorear por medio de SAP GRC Access Control, las versiones 10.0 y 10.1 no contemplan las transacciones críticas e incompatibles de SAP S/4H, por lo que será necesario actualizar las reglas de segregación de funciones (SoD).

5. Restringir el acceso a la transacción SE16H por grupos de autorización para salvaguardar por ejemplo los datos confidenciales de SAP HCM o módulo de recursos humanos, con especial énfasis la nómina. Potencial impacto: Confidencialidad.

Diplomado en Auditoría y Seguridad SAP ERP

Diplomado en Auditoría y Seguridad SAP ERP.

Para más información: 

http://academy.grclatam.com/auditor%C3%ADa-y-seguridad-sap-erp.html

Cursos Online de especialización SAP ERP

Hemos lanzado los siguientes cursos Online:

- Auditoría SAP ERP

- Seguridad SAP ERP

- Control Interno SAP ERP

- Administración de Roles y Perfiles SAP ERP

Para más información hacer clic acá: http://academy.grclatam.com/

Acuerdo de Colaboración con BAKER TILLY Chile para desarrollar servicios relativos a Governance, Risk & Compliance

Nos es grato anunciar que GRC LATAM ha concretado un Acuerdo de Colaboración con BAKER TILLY Chile para desarrollar en forma conjunta servicios en materias relativas a Governance, Risk & Compliance (GRC).

Baker Tilly Chile es una firma miembro de Baker Tilly internacional, especialistas en servicios de auditoría, tributaria, asesoría legal y consultoría. 

BAKER TILLY es líder en Latinoamérica en servicios de GRC y reconocido en el mercado por su metodología para desarrollar Diagnósticos de Estados de Madurez para GRC, forma parte además del Comité de Liderazgo de OCEG (https://www.oceg.org) y posee la exclusividad para la región respecto a impartir los cursos de capacitación OCEG y preparación para las certificaciones internacionales en Governance, Risk & Compliance (GRC).

Para más información acerca de Baker Tilly Chile, puede hacer clic en el siguiente enlace: http://www.bakertillychile.cl

Baker Tilly internacional: http://www.bakertillyinternational.com

                        

Eficacia de los Gobiernos Corporativos en entidades estatales

A propósito de la coyuntura, una reflexión básica, pero a pesar de ser tan elemental, prácticamente no existe en algunas entidades estatales o lo precario que hay, es absolutamente ineficaz.

Las buenas prácticas de gobierno corporativo, no sólo son aplicables a entidades privadas, sino que también a estatales como FF.AA. y de Orden.

El fraude en Carabineros de Chile, por ejemplo, fue detectado a partir de un reporte de transacción sospechosa que hace el Banco a la Unidad de Análisis Financiero (UAF), lo que implica que los mecanismos de control interno que posee la institución, no fueron suficientes para su prevención y detección.

Lo que se infiere también, es que el fraude se inició a partir de la explotación de una debilidad de control que alguno de los oficiales implicados identificó, con las consecuencias que hemos ido conociendo a partir de los trascendidos de prensa.

El modus operandi de este fraude a todas luces contemplaba traspasos parcializados de dineros desde cuentas corrientes fiscales a cuentas corrientes particulares, situación que da cuenta de que fallaron absolutamente los mecanismos de control interno que pudiera haber implementado la institución para el ítem presupuestario y ejecución del rubro remuneraciones de alta materialidad, entiéndase 1ra., 2da. y 3ra. línea de defensa, todos fallaron, lo cual debe ser tomado en consideración como caso de estudio, considerando que este tipo de vulnerabilidades podría estar presente en cualquiera de estas instituciones en donde los modelos de control interno operan de forma similar.

Asimismo, es importante preguntarse:

¿Qué pasó con las fiscalizaciones de la Contraloría General de la República?

¿Cuál es el rol que ha cumplido este ente fiscalizador?

¿Qué pasó con las auditorías internas de Carabineros como parte de la 3ra. línea de defensa?

En esta materia, queda mucho por mejorar en nuestro país, lo cual va de la mano también con el comportamiento ético y moral de las personas.

5 consideraciones claves para la implementación de una solución GRC de control de accesos en SAP ERP

Desde hace un tiempo que han proliferado las soluciones Governance, Risk & Compliance (GRC), para la gestión y monitoreo de los riesgos de accesos y segregación de funciones (SoD) en el sistema SAP ERP y actualmente podemos encontrar en el mercado diversas opciones que le proporcionan a las organizaciones beneficios como los que les comentaré en este artículo.

Para hacer que ese tipo de iniciativas sea sostenible en el tiempo y empaparse de lecciones aprendidas, a continuación les compartiré 5 consideraciones claves para seleccionar de forma certera una solución GRC de Control de Accesos y no quedarse en el intento:

1.- Expertise técnica de especialistas. Es necesario que la solución GRC para Control de Accesos que seleccione para su organización, cuente con adecuada expertise de consultores y que los mismos cuenten con credenciales, puesto que son muchas las instalaciones que han quedado mal implementadas y eso ha conllevado a que las empresas no puedan utilizar la herramienta en forma adecuada y en consecuencia no se logre obtener los beneficios esperados.

Respecto a este punto, es factor crítico seleccionar una herramienta que no necesariamente requiera de experise SAP Basis para su mantención e instalación, puesto que los costos tienden a elevarse significativamente, por lo que es recomendable que las organizaciones evalúen nuevas soluciones que han sido liberadas y que no requieren de inversiones tan altas en ese ámbito, cosa que desde el siguiente punto comenzaré a comentar en relación a otras alternativas.

2.- Herramienta intuitiva. Otro de los factores que ha hecho fracasar algunas instalaciones de soluciones como SAP GRC Access Control, ha sido la falta de amigabilidad y poca versatilidad de la solución de control de accesos, lo cual ha conllevado a que los dueños de procesos, usuarios claves y usuarios finales, no la usen con todo el potencial que posee.

En relación a este punto, hoy en día ya las organizaciones pueden contar con soluciones alternativas a SAP GRC Access Control y que han sido diseñadas y desarrolladas con interfaz web intuitiva, versátil y altamente integrable justamente para atender esta necesidad de las organizaciones.

Algunas de estas herramientas son: CSI-Tools (Bélgica), GRCLinks (Argentina), CentinelBox (Chile), entre otras. 

Lo anterior, da cuenta que las organizaciones pueden contar con más soluciones de clase mundial y que poseen tantas o más funcionalidades como las que tiene SAP GRC Access Control y sin tener que lidiar con los problemas relativos a las configuraciones complejas Basis y mantenimiento funcional poco amigable para los usuarios finales, que requiere alta inversión en profesionales que posean esta expertise y que por ser escasos, el efecto económico natural de su costo es alto.

3.- Análisis certero libre de falsos positivos. Los falsos positivos son aquellos relacionados con “falsas alarmas” relativas a riesgos que eventualmente no poseen la criticidad que se cree y esto tiende a llevar a la pérdida de tiempo a las organizaciones o conclusiones erróneas respecto a focos de riesgo y control en los procesos.

Para que este tipo de soluciones no entregue falsos positivos, sus reglas deben estar debidamente configuradas en relación a los niveles de seguridad que posee el concepto de autorización en SAP ERP, es decir, las reglas deben estar configuradas a nivel no sólo de transacciones, sino que también de objetos de autorización tanto organizativos como específicos.

Es importante tener presente que hacer este tipo de análisis en forma manual, es bastante complejo y generalmente cuando se intenta hacer en forma masiva vía planilla excel u otras herramientas de este tipo, se incurre en errores o conclusiones con mucho falso positivo, debido al volumen de transacciones que posee SAP ERP y la gran cantidad de objetos de autorización y valores que tiene para el control y segmentación de sus privilegios.

Las nuevas soluciones GRC para el control de acceso que mencioné en el punto 2.-, ayudan a automatizar significativamente los análisis, lo cual hace que sean bastante eficaces en relación a los resultados que entregan, ayudando a las organizaciones a centrarse en el monitoreo continuo y planes de remediación de manera certera y eficiente.

4.- Análisis de usabilidad de transacciones por parte de los usuarios. Esta funcionalidad es muy relevante para los análisis de riesgo y la implementación de planes de remediación, puesto que permite despejar aquellas transacciones o privilegios superfluos que poseen los usuarios y por ende realizar una limpieza mucho más óptima.

Esta funcionalidad se alimenta de los log de auditoría, por lo que en la medida que las organizaciones posean activados los log de auditoría, será posible compatibilizarlos con esto y enriquecer el análisis.

Algunas organizaciones tienden a confundir los log de auditoría con log de tablas, aspectos que son totalmente distintos, puesto que los log de auditoría almacenan transacciones SAP ejecutadas por los usuarios finales, terminal y si dicha ejecución fue exitosa o no y los log de tablas permiten almacenar registros en campos que los usuarios han modificado en una determinada tabla física del sistema SAP ERP, valor que había antes y valor que quedó posterior a la modificación, aspectos que resultan útiles en caso de efectuar una investigación de fraude, análisis forenses o en la ejecución de pruebas sustantivas de auditoría de procesos en SAP ERP.

Cabe señalar, que los log de tablas son utilizados por soluciones GRC analíticas que se orientan al control de procesos, tales como SAP GRC Process Control, Fraud Management entre otras.

5.- Controles compensatorios y/o planes de mitigación. Es relevante también que las soluciones para el control y monitoreo de riesgos de accesos en SAP ERP, posean esta funcionalidad, a fin de poder tener claridad respecto al riesgo inherente y riesgo residual que resulta de la gestión de estos y poder tener visibilidad y trazabilidad de los controles que se han diseñado e implementado para la mitigación de riesgos relacionados con privilegios del sistema SAP ERP.

En consecuencia, cuando su organización piense en una solución para el control de los accesos del sistema SAP ERP, es necesario tener en consideración que esta no tenga complejidad técnica de mantención y de uso funcional, a fin de no implementar una solución que luego será subutilizada y que a la larga no cumpla el objetivo final que es ayudar a que los dueños de procesos y/o dueños de la información puedan monitorear su control interno relativo a riesgos de segregación de funciones de forma autónoma, eficiente y certera, contribuyendo así como parte de la segunda línea de defensa, a potenciar el ambiente de control interno y por ende mitigar riesgos de errores y/o fraudes en la organización, acompañado por cierto, de adecuados procedimientos de governance.re