Organización del trabajo
Para las organizaciones y los empleados, esto significa un alto grado de claridad y seguridad, al menos en teoría. En la práctica, muchas empresas tienden a gestionar las autorizaciones de forma poco estructurada, lo que puede acarrear graves problemas de seguridad.
La razón por la que a menudo no se hace nada a pesar de tales peligros es simplemente que una comprobación exhaustiva de todas las funciones y autorizaciones difícilmente sería posible de la forma convencional debido a la cantidad de trabajo que implica.
Las nuevas herramientas informáticas inteligentes abordan ahora este problema y abren una oportunidad realista para que las empresas optimicen su gestión de autorizaciones de forma sostenible y con un esfuerzo manejable.
Funciones antiguas y nuevas
Sólo en SAP, existen unas 150.000 transacciones que pueden asignarse a usuarios individuales, grupos de usuarios, roles o incluso roles compuestos. La práctica demuestra que, aunque periódicamente se añaden nuevos usuarios, roles y autorizaciones, los existentes rara vez se revisan y, como mucho, se reducen cuando un empleado deja la empresa.
No es de extrañar, porque en sistemas que han crecido a lo largo de diez o quince años en algunos casos, comprobar todas las autorizaciones de la forma convencional sería una tarea hercúlea casi imposible, sobre todo porque muchas empresas ni siquiera utilizan el llamado rastreo para saber qué usuario utiliza qué autorizaciones y con qué frecuencia.
Al mismo tiempo, sin embargo, los problemas de seguridad que pueden surgir debido a conceptos de autorización inadecuados difícilmente pueden sobrestimarse. Un empleado de compras que pasa al departamento de contabilidad, luego se registra como proveedor y paga sus propias facturas es un caso menos grave.
El problema también se está agravando como consecuencia de la tendencia a trabajar desde casa. Esto se debe a que todas las autorizaciones deben ser correctas y coherentes al abrir los sistemas internos para el acceso remoto.
Es la única manera de impedir el acceso no autorizado a información crítica y evitar errores debidos a la falta de transparencia de un concepto de autorización inadecuadamente mantenido.
Además, el caos de la autorización también puede provocar un aumento de los costes si, por ejemplo, se pagan licencias por usuarios que ni necesitan ni utilizan los programas correspondientes. Por último, el tema de los conceptos de autorización también adquiere cada vez más importancia en la auditoría.
Así que ha llegado el momento de poner en orden su propio concepto de autorización. La buena noticia es que existen soluciones nuevas e inteligentes para volver a tener bajo control incluso las situaciones de autorización más confusas.
La base es rastrear
Para determinar qué usuarios utilizan qué autorizaciones, funciones y contenidos y con qué frecuencia, en primer lugar debe realizarse un seguimiento de los accesos. Aquí se registran todas las acciones y accesos. Después de que este rastreo haya estado activo durante unos seis meses o un año, proporciona una buena base de datos para comprobar las autorizaciones y funciones que realmente se necesitan.
Las nuevas soluciones informáticas inteligentes, como Sivis Reduction Manager, comprueban automáticamente todas las acciones basándose en los datos de rastreo. Todas las funciones o contenidos que no se hayan utilizado durante el periodo de rastreo se muestran entonces a los empleados responsables para su revisión.
Lo mismo se aplica a las constelaciones de funciones que parecen incoherentes, como las autorizaciones paralelas para compras y contabilidad. También se sugiere comprobarlas. La gran ventaja es que no es necesario comprobar todas las autorizaciones existentes, sino sólo aquellas en las que hay motivos para creer que no están actualizadas.
Al mismo tiempo, la comprobación personal y la decisión descartan la posibilidad de que las autorizaciones se retiren por error. Al fin y al cabo, puede haber buenas razones por las que no se hayan utilizado determinadas autorizaciones de acceso durante un determinado periodo.
Sugerencias automáticas
La calidad, transparencia y coherencia del concepto de autorización son esenciales tanto por razones de seguridad como de costes. Sin embargo, rediseñar los sistemas existentes ha sido hasta ahora prácticamente imposible debido a la cantidad de trabajo que conlleva.
Las soluciones informáticas innovadoras ofrecen la posibilidad de escanear automáticamente todas las autorizaciones y comprobar su coherencia. A continuación, se muestran las constelaciones llamativas y los empleados responsables pueden comprobarlas caso por caso.
Esto reduce significativamente la carga de trabajo. Algunos proveedores, como Sivis GmbH, también ofrecen una combinación de solución de software y servicio, lo que reduce significativamente la carga de trabajo de auditoría para las empresas.