La plataforma global e independiente para la comunidad SAP.
MAG 15-06, Escena

Autorizaciones SAP: la seguridad necesita una visión general

Las empresas alemanas llevan años aumentando su gasto en seguridad informática. Pero muchas empresas no se percatan de los ataques a su sistema SAP. Cada vez hay más casos de malversación y robo de datos. Sólo la punta del iceberg llega al público. Una clave para una mayor seguridad de SAP es la asignación limpia y la comprobación permanente de las autorizaciones de los usuarios.
Revista E-3
22 de junio de 2015
Contenido:
2015
avatar
Este texto ha sido traducido automáticamente del alemán al español.

El becario pasa por todos los departamentos de la empresa, recibe constantemente nuevas autorizaciones SAP y, en última instancia, tiene derechos de gran alcance. Este ejemplo exagerado no está tan alejado de la realidad en algunas empresas.

Esto suele deberse a estructuras SAP que han crecido históricamente y se han vuelto cada vez más complejas. Los riesgos de seguridad resultantes suelen pasar desapercibidos durante años. Nordwest Handel, una empresa comercial de comercio de conexiones de producción con 950 empresas comerciales medianas afiliadas, quería evitar una situación así.

Además de la adquisición de mercancías y el almacenamiento/logística, Nordwest Handel también ofrece servicios de finanzas, logística, informática y ventas. El sistema SAP, que se introdujo a mediados de los noventa y se ha ido ampliando continuamente, contiene datos críticos para la empresa para la contabilidad, el control y los datos maestros de clientes y proveedores.

Nordwest Handel decidió modernizar desde cero su gestión de autorizaciones SAP. El objetivo era reducir la carga de trabajo administrativo de la dirección. La transparencia de los procesos debía aumentar gracias a la mejora de la documentación.

Stefan Lendzian, Jefe de Soporte Informático/Sistema de Nordwest Handel, afirma:

"SAP sólo ofrece opciones estándar muy limitadas para gestionar y documentar cómodamente las funciones y los riesgos".

Desde su punto de vista, una empresa puede modernizarse básicamente de tres maneras:

1. hacer el mejor uso posible del estándar SAP, posiblemente con la participación de un especialista externo, 2. utilizar una solución desarrollada fuera de SAP, o 3. utilizar una solución totalmente integrada en SAP.

Nordwest Handel optó por la tercera opción para asegurarse de que la aplicación elegida estuviera siempre actualizada con el estado más reciente del sistema SAP. Tras tres meses de investigación de mercado, los responsables seleccionaron la suite Sast GRC de la empresa Akquinet, con sede en Hamburgo.

La abreviatura Sast significa "System Audit and Security Toolkit". Steffen Maltig, director de proyecto y consultor sénior de Akquinet, lo explica:

"Al principio, solemos encontrarnos con que las autorizaciones SAP son demasiado generosas y, por tanto, difíciles de seguir. Nuestro objetivo es asignarlas con la mayor precisión posible de forma permanente sin restringir la capacidad de actuación de la empresa."

Se sondearon los deseos de la empresa mediante cuestionarios. Las preguntas clave eran ¿Qué datos merece especialmente la pena proteger? ¿Quién tiene acceso? Analizando estos datos y las estadísticas de uso, se determinaron nuevas funciones para cada puesto de trabajo utilizando un "kit de construcción de funciones" compuesto por 700 plantillas.

El objetivo era crear un modelo completo de autorización de puestos de trabajo que pudiera utilizarse en todas las unidades organizativas y tuviera en cuenta la propiedad de los datos.

Con la ayuda de Sast, las funciones de trabajo se sometieron directamente a una comprobación de riesgos. El sistema comprueba si se respetan todas las directrices externas a la hora de asignar autorizaciones y si las funciones están debidamente separadas.

Las distintas organizaciones de compras y ventas de Nordwest Handel también deben estar completamente separadas entre sí en cuanto a su acceso a los datos, de modo que ya no sea posible el acceso de lectura y escritura.

Durante la remodelación también se introdujeron funciones colectivas relacionadas con el puesto de trabajo. Tras una fase final de prueba con usuarios piloto, durante la cual se cerraron las últimas brechas de autorización, Nordwest Handel introdujo el nuevo concepto de autorización en toda la empresa de acuerdo con la planificación temporal y presupuestaria.

Un proceso automatizado de gestión de riesgos dentro de la gestión de autorizaciones garantiza la continuidad de las operaciones de SAP. Los riesgos potenciales pueden detectarse y notificarse en tiempo real. Tras el proyecto, un auditor externo confirmó a Nordwest Handel que la seguridad de la gestión de autorizaciones de SAP cumple plenamente los requisitos.

"Ofrecemos a nuestros clientes, proveedores y empleados la máxima protección de datos y confidencialidad a largo plazo. En el día a día, seguimos teniendo un bajo esfuerzo de mantenimiento y documentación"

dice Lendzian.

Descargar como PDF sólo para miembros. Crear una cuenta Aquí

avatar
Revista E-3

Trabajo informativo y educativo por y para la comunidad SAP.


Todos los artículos del autor

Escriba un comentario

Aleph Alpha y el Parque de Innovación en Inteligencia Artificial (Ipai) llevan a cabo investigación puntera en IA

Precisely amplía su solución AWS con soporte para IBM

Hombre de SAP en Davos

El trabajo sobre la base de SAP es decisivo para el éxito de la conversión a S/4. Esto confiere al denominado Competence Centre una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como la automatización, la supervisión, la seguridad, la gestión del ciclo de vida de las aplicaciones y la gestión de datos son la base para el funcionamiento operativo de S/4. Por segunda vez, E3 Magazine organiza una cumbre en Salzburgo para que la comunidad SAP obtenga información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana. Con una exposición, presentaciones especializadas y mucho de lo que hablar, esperamos de nuevo a numerosos clientes, socios y expertos en Salzburgo. E3 Magazine le invita a Salzburgo para aprender e intercambiar ideas los días 5 y 6 de junio de 2024.

Lugar de celebración

Sala de actos, FourSide Hotel Salzburg,
En el recinto ferial 2,
A-5020 Salzburgo

Fecha del acontecimiento

5 y 6 de junio de 2024

Entradas

Entrada anticipada - Disponible hasta el 29.03.2024
440 EUR sin IVA
Billete normal
590 EUR sin IVA

Consiga ya su entrada anticipada

Lugar de celebración

Sala de actos, Hotel Hilton Heidelberg,
Kurfürstenanlage 1,
69115 Heidelberg

Fecha del acontecimiento

28 y 29 de febrero de 2024

Entradas

Billete normal
590 EUR sin IVA
El organizador es la revista E3 de la editorial B4Bmedia.net AG. Las conferencias irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las conferencias de la Cumbre Steampunk y BTP 2024, la visita a la zona de exposición, la participación en el evento nocturno y el catering durante el programa oficial. El programa de conferencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.