Desde hace un tiempo que han proliferado las soluciones Governance, Risk & Compliance (GRC), para la gestión y monitoreo de los riesgos de accesos y segregación de funciones (SoD) en el sistema SAP ERP y actualmente podemos encontrar en el mercado diversas opciones que le proporcionan a las organizaciones beneficios como los que les comentaré en este artículo.
Para hacer que ese tipo de iniciativas sea sostenible en el tiempo y empaparse de lecciones aprendidas, a continuación les compartiré 5 consideraciones claves para seleccionar de forma certera una solución GRC de Control de Accesos y no quedarse en el intento:
1.- Expertise técnica de especialistas. Es necesario que la solución GRC para Control de Accesos que seleccione para su organización, cuente con adecuada expertise de consultores y que los mismos cuenten con credenciales, puesto que son muchas las instalaciones que han quedado mal implementadas y eso ha conllevado a que las empresas no puedan utilizar la herramienta en forma adecuada y en consecuencia no se logre obtener los beneficios esperados.
Respecto a este punto, es factor crítico seleccionar una herramienta que no necesariamente requiera de experise SAP Basis para su mantención e instalación, puesto que los costos tienden a elevarse significativamente, por lo que es recomendable que las organizaciones evalúen nuevas soluciones que han sido liberadas y que no requieren de inversiones tan altas en ese ámbito, cosa que desde el siguiente punto comenzaré a comentar en relación a otras alternativas.
2.- Herramienta intuitiva. Otro de los factores que ha hecho fracasar algunas instalaciones de soluciones como SAP GRC Access Control, ha sido la falta de amigabilidad y poca versatilidad de la solución de control de accesos, lo cual ha conllevado a que los dueños de procesos, usuarios claves y usuarios finales, no la usen con todo el potencial que posee.
En relación a este punto, hoy en día ya las organizaciones pueden contar con soluciones alternativas a SAP GRC Access Control y que han sido diseñadas y desarrolladas con interfaz web intuitiva, versátil y altamente integrable justamente para atender esta necesidad de las organizaciones.
Algunas de estas herramientas son: CSI-Tools (Bélgica), GRCLinks (Argentina), CentinelBox (Chile), entre otras.
Lo anterior, da cuenta que las organizaciones pueden contar con más soluciones de clase mundial y que poseen tantas o más funcionalidades como las que tiene SAP GRC Access Control y sin tener que lidiar con los problemas relativos a las configuraciones complejas Basis y mantenimiento funcional poco amigable para los usuarios finales, que requiere alta inversión en profesionales que posean esta expertise y que por ser escasos, el efecto económico natural de su costo es alto.
3.- Análisis certero libre de falsos positivos. Los falsos positivos son aquellos relacionados con “falsas alarmas” relativas a riesgos que eventualmente no poseen la criticidad que se cree y esto tiende a llevar a la pérdida de tiempo a las organizaciones o conclusiones erróneas respecto a focos de riesgo y control en los procesos.
Para que este tipo de soluciones no entregue falsos positivos, sus reglas deben estar debidamente configuradas en relación a los niveles de seguridad que posee el concepto de autorización en SAP ERP, es decir, las reglas deben estar configuradas a nivel no sólo de transacciones, sino que también de objetos de autorización tanto organizativos como específicos.
Es importante tener presente que hacer este tipo de análisis en forma manual, es bastante complejo y generalmente cuando se intenta hacer en forma masiva vía planilla excel u otras herramientas de este tipo, se incurre en errores o conclusiones con mucho falso positivo, debido al volumen de transacciones que posee SAP ERP y la gran cantidad de objetos de autorización y valores que tiene para el control y segmentación de sus privilegios.
Las nuevas soluciones GRC para el control de acceso que mencioné en el punto 2.-, ayudan a automatizar significativamente los análisis, lo cual hace que sean bastante eficaces en relación a los resultados que entregan, ayudando a las organizaciones a centrarse en el monitoreo continuo y planes de remediación de manera certera y eficiente.
4.- Análisis de usabilidad de transacciones por parte de los usuarios. Esta funcionalidad es muy relevante para los análisis de riesgo y la implementación de planes de remediación, puesto que permite despejar aquellas transacciones o privilegios superfluos que poseen los usuarios y por ende realizar una limpieza mucho más óptima.
Esta funcionalidad se alimenta de los log de auditoría, por lo que en la medida que las organizaciones posean activados los log de auditoría, será posible compatibilizarlos con esto y enriquecer el análisis.
Algunas organizaciones tienden a confundir los log de auditoría con log de tablas, aspectos que son totalmente distintos, puesto que los log de auditoría almacenan transacciones SAP ejecutadas por los usuarios finales, terminal y si dicha ejecución fue exitosa o no y los log de tablas permiten almacenar registros en campos que los usuarios han modificado en una determinada tabla física del sistema SAP ERP, valor que había antes y valor que quedó posterior a la modificación, aspectos que resultan útiles en caso de efectuar una investigación de fraude, análisis forenses o en la ejecución de pruebas sustantivas de auditoría de procesos en SAP ERP.
Cabe señalar, que los log de tablas son utilizados por soluciones GRC analíticas que se orientan al control de procesos, tales como SAP GRC Process Control, Fraud Management entre otras.
5.- Controles compensatorios y/o planes de mitigación. Es relevante también que las soluciones para el control y monitoreo de riesgos de accesos en SAP ERP, posean esta funcionalidad, a fin de poder tener claridad respecto al riesgo inherente y riesgo residual que resulta de la gestión de estos y poder tener visibilidad y trazabilidad de los controles que se han diseñado e implementado para la mitigación de riesgos relacionados con privilegios del sistema SAP ERP.
En consecuencia, cuando su organización piense en una solución para el control de los accesos del sistema SAP ERP, es necesario tener en consideración que esta no tenga complejidad técnica de mantención y de uso funcional, a fin de no implementar una solución que luego será subutilizada y que a la larga no cumpla el objetivo final que es ayudar a que los dueños de procesos y/o dueños de la información puedan monitorear su control interno relativo a riesgos de segregación de funciones de forma autónoma, eficiente y certera, contribuyendo así como parte de la segunda línea de defensa, a potenciar el ambiente de control interno y por ende mitigar riesgos de errores y/o fraudes en la organización, acompañado por cierto, de adecuados procedimientos de governance.re
No hay comentarios:
Publicar un comentario
Comentarios blog GRC Chile