Autorizaciones autoajustables
Con las autorizaciones autoajustables, las empresas disponen de una herramienta y de la información de uso necesaria y pueden hacer frente a los problemas: Las transacciones no utilizadas se eliminan automáticamente, lo que aumenta el cumplimiento de la normativa y la protección contra el uso indebido de los datos, al tiempo que se ahorra esfuerzo administrativo.
Día a día de la empresa y sistema de autorización
La idea del desarrollo partió de Frank Schröder, CIO del fabricante de cajas de cambios Renk, filial de MAN. Buscaba una forma de mantener limpia automáticamente la gestión de autorizaciones durante el día a día. Y encontró un socio para esta tarea en Akquinet.
Juntos iniciamos la fase piloto. Después de quince meses, la herramienta dinámica y autoajustable Self-Adjusting Authorisations está casi lista para el mercado. En combinación con Sast Suite, el software GRC es el primero del mercado que proporciona cifras clave fiables sobre la utilización real de las funciones en SAP.
Como la herramienta se basa en la automatización -las transacciones sólo se activan cuando el usuario las necesita-, resulta especialmente útil para las pequeñas y medianas empresas, que suelen contar con poco personal especializado en el ámbito de la seguridad y el cumplimiento de la normativa.
Sin embargo, las grandes empresas también pueden mantener actualizadas en todo momento sus numerosas autorizaciones. La fase piloto de Renk demuestra que hay demanda de la herramienta en el mercado: alrededor del 75% de las autorizaciones asignadas no son necesarias para los usuarios.
Existen, por un lado, porque los sistemas SAP de las empresas crecen con los años y, por otro, porque los administradores tienden a distribuir demasiadas transacciones entre los usuarios en lugar de muy pocas.
Sin embargo, estas autorizaciones no utilizadas no sólo merman considerablemente la claridad y la facilidad de mantenimiento, sino que también aumentan las posibilidades de que se produzcan conflictos de segregación de funciones y mayores costes en el ámbito de las licencias SAP.
Aunque se conocen estos puntos débiles, muchos responsables informáticos aún no han optimizado las autorizaciones de los usuarios. Esto se debe a que lleva mucho tiempo y, por tanto, inmoviliza costes y recursos.
Las autorizaciones autoajustables ponen remedio a esta situación y reducen el esfuerzo interno, ya que, tras una fase de observación, sólo dejan en una función las transacciones realmente necesarias para la realización de un proceso empresarial: las transacciones no utilizadas se eliminan de forma segura. Renk también utiliza la herramienta para el mantenimiento permanente de usuarios.
Optimización
En resumen, el uso de autorizaciones autoajustables tiene muchas ventajas: las empresas pueden obtener una visión clara del ámbito de uso de las funciones actuales de sus empleados y, a continuación, optimizar la asignación.
Todos los ciclos de iteración de la fase de observación también pueden rastrearse en cualquier momento, ya que se documentan detalladamente. Esto le permite ver lo que el empleado podía y no podía hacer en un momento dado, lo que es importante durante una auditoría, por ejemplo.
Las autorizaciones ordenadas suponen menos trabajo administrativo y un menor riesgo para la seguridad gracias a la reducción de los conflictos de segregación de funciones.
Si quisiera resumir el procedimiento en una fórmula, sería: Automatizar en lugar de hacerlo todo uno mismo. Por último, la optimización de las autorizaciones de usuarios también puede suponer un ahorro potencial en licencias SAP. De este modo, los responsables de TI pueden afrontar con confianza las auditorías internas o externas en el futuro.