El consultor virtual de funciones SAP
Alivio mediante conceptos de autorización 2.0
Muchas empresas consideran que el concepto de autorización es demasiado largo, complejo y caro. Al mismo tiempo, ninguna empresa puede permitirse dejar de lado conceptos de autorización anticuados o planificar generosamente la puesta en marcha con "SAP_ALL". Los riesgos económicos y de seguridad de errores, uso indebido de datos y paquetes de licencias sobredimensionados son demasiado grandes si se permite a todo el mundo hacer de todo.
Sin embargo, la escasez de trabajadores cualificados se está convirtiendo cada vez más en el factor limitante de unos buenos conceptos de autorización a prueba de auditorías. Los especialistas de SAP -tanto el personal informático interno como los consultores externos de SAP- figuran entre los expertos más solicitados en el mercado laboral de TI. "Valen su peso en oro" era el titular de un artículo del Handelsblatt, que resumía la tensa situación. Las tecnologías modernas pueden ayudar a amortiguar esta brecha.
Mientras tanto, existen en el mercado numerosas herramientas que reducen el esfuerzo administrativo de la gestión de autorizaciones y aceleran así las subtareas. Pero el principal cuello de botella sigue existiendo: La creación de roles sigue siendo una "tarea humana" que ocupa cientos de horas de trabajo y requiere muchos conocimientos técnicos. Por tanto, el gran éxito sólo puede venir de la automatización inteligente, con soluciones que no sólo alivien la carga de tiempo, sino que también permitan la interacción entre personas y máquinas. Aquí es donde entra en juego el primer consultor de roles virtual del mundo: Automated Role Mining sirve para crear u optimizar automáticamente propuestas de conceptos complejos para funciones individuales y colectivas.
Modelización y manipulación
Dado que la modelización de los conceptos de autorización de SAP requiere el manejo de cantidades muy grandes de datos, la solución informática se basa en un enfoque metaheurístico con algoritmos evolutivos. O dicho de un modo menos científico: Con la ayuda de una potencia de cálculo enormemente elevada, el sistema se aproxima a la mejor solución mediante una interacción de variación y selección. Comparable a la automatización robótica de procesos (RPA), las actividades repetitivas se automatizan a gran velocidad y se simula el comportamiento de los usuarios humanos. El resultado es el Robot de Autorización. La herramienta ofrece un enorme potencial de eficiencia a lo largo de todo el ciclo de vida de los conceptos de autorización de SAP, desde el desarrollo inicial hasta el mantenimiento continuo.
Convencional frente a automatizado: ¿Cómo cambia en la práctica el asesor de funciones virtual los proyectos de autorización? Paso 1, el análisis de la empresa: Todo proyecto de autorización comienza con un análisis de la estructura de la empresa y de sus procesos empresariales. En los proyectos convencionales, este inventario se lleva a cabo en numerosas reuniones y talleres a cargo de equipos interdisciplinarios: Los consultores de SAP aclaran el alcance del proyecto junto con los responsables internos de SAP y los departamentos especializados y recopilan toda la información y los datos pertinentes. Entre otras cosas, se evalúan las autorizaciones existentes, las listas de empleados, los perfiles de puestos, las listas de proyectos y los organigramas, se identifican las directrices de seguridad y calidad pertinentes y se registra el uso real de las transacciones de SAP.
En su lugar, los datos de seguimiento de las transacciones de SAP se recopilan durante un máximo de cuatro meses como base de datos para conceptos de autorización creados automáticamente, por supuesto en cumplimiento de la DSGVO y de acuerdo con el comité de empresa. Se reduce el número de reuniones, el proyecto ocupa menos capacidad interna y requiere menos horas de consultoría externa. Otra ventaja: la base de datos es significativamente mayor, por lo que aumenta la calidad del concepto de autorización.
Paso 2, la construcción de roles: Ahora es el momento de la concepción: a partir de los datos y la información recopilados, las autorizaciones se agrupan en roles. En los proyectos convencionales, la ingeniería de roles es un minucioso trabajo de detalle que llena muchas tablas: ¿Qué funciones de la empresa o del puesto de trabajo necesitan qué derechos para poder realizar tareas sin problemas? ¿Qué funciones pueden ver, introducir, editar o eliminar datos? ¿Dónde hay conflictos entre funciones o procesos críticos para la seguridad? ¿Qué convenciones de nomenclatura tienen sentido? ¿Y qué funciones se asignarán finalmente a cada usuario? 600 horas de trabajo para la construcción de roles de un concepto de autorización con 1000 usuarios es bastante realista. Es cierto que existen plantillas estándar ya preparadas. Pero los conceptos de autorización son siempre muy específicos de cada empresa, por lo que suelen ser necesarios ajustes y adiciones individuales.
Robot de autorización
El Robot de Autorización demuestra su ventaja en proyectos automatizados: Analiza millones de datos de rastreo con eficientes métodos de agrupación matricial que identifican departamentos, procesos y patrones relacionados en los datos de uso y calcula propuestas de conceptos complejos, más rápido y con mayor precisión que cualquier consultor de SAP: las pruebas beta muestran un potencial de ahorro de más del 90% de las horas de consultoría y del 30% de los costes de licencia, así como una duración del proyecto un 80% más corta.
También se pueden especificar objetivos o prioridades individuales que fluyen en los cálculos, alineados con parámetros como "optimización del coste de la licencia" o "nivel máximo de seguridad". La interfaz de usuario del asesor virtual de funciones visualiza la evolución de los distintos ratios en tiempo real en el cuadro de mandos ya durante el proceso de cálculo. Las tecnologías web utilizadas permiten una gran variedad de formas de visualización intuitivas, como vistas de gráficos, gráficos sunburst o mapas de árbol. Las correlaciones y patrones complejos se transmiten de forma estructurada, desde una vista general compacta hasta detalles granulares.
Junto con los módulos asistidos por IA, el asesor virtual de funciones también actúa de forma inteligente, por ejemplo para generar convenciones de nomenclatura comprensibles para las funciones: ¿Qué nombre semánticamente significativo asignaría un ser humano a cada función? Para responder a esta pregunta se utilizan métodos de aprendizaje automático. Entre otras cosas, las redes neuronales se basan en proyectos anteriores para incorporar la experiencia de asesores y expertos en el desarrollo de convenciones de nomenclatura adecuadas.
Paso 3, validación: Independientemente de si se ha desarrollado de forma convencional o se ha creado automáticamente: A continuación, un consultor de SAP valida la propuesta de concepto, la coordina con los departamentos y la perfecciona si es necesario. Tras las pruebas, el nuevo concepto de autorización está listo para su uso.
Después del concepto de autorización es antes del concepto de autorización, porque por muy bueno que fuera el concepto inicial, rápidamente se produce un crecimiento incontrolado si no se comprueban y ajustan con regularidad los derechos de los usuarios individuales, los roles históricamente crecidos y el panorama de procesos. El mantenimiento convencional y manual de los conceptos de autorización ya no hace justicia a la velocidad y complejidad del mundo empresarial real. El resultado son lagunas de seguridad, infracciones de la normativa y un costoso exceso de autorizaciones.
Aunque la automatización muestra todo su potencial en conceptos iniciales de roles, migraciones y grandes proyectos de rediseño, el asesor virtual de roles también proporciona una valiosa ayuda para el mantenimiento regular o para tareas selectivas. Las comprobaciones rápidas proporcionan recomendaciones para optimizaciones específicas -por ejemplo, autorizaciones superfluas o conflictos de seguridad (SoD)- y la preparación para auditorías o certificaciones como PCI DSS también es más eficiente y libre de estrés.
Personas y máquinas
Los conceptos de autorización de SAP necesitan expertos en SAP, también en el futuro. Pero el limitado recurso humano debe utilizarse de forma más eficiente para que la falta de especialistas no provoque la postergación o la aplicación a medias de este tema de seguridad tan delicado. Las soluciones de automatización como el Robot de Autorización no son, por tanto, una competencia para los departamentos de TI o los consultores de SAP, sino un alivio sensato. El consultor virtual de funciones se convierte en un colega muy eficiente en el equipo humano-máquina y crea un importante espacio libre: para el asesoramiento estratégico, para la gestión de proyectos, para la formación y el apoyo al cambio.