¿Cómo puede mantener el cumplimiento GRC si tiene usuarios con perfiles «SAP_ALL»?
El perfil de autorización SAP_ALL tiene tal cantidad de autorizaciones en su interior que se conoce, erróneamente, como «el perfil todopoderoso del sistema SAP». ¿Es peligroso? Sí. Mucho. Y no es el único, hay otros perfiles más poderosos como «SAP_NEW», «S_A.ADMIN», «S_A.SYSTEM» y otros.
Entonces, ¿por qué la gente sigue solicitando perfiles SAP_ALL?
Usualmente, por ego, aunque también porque es cómodo.
Los usuarios tienden a pedir autorizaciones de SAP_ALL porque «saben lo que están haciendo», «necesitan muchas autorizaciones» y «así el trabajo no se detiene debido a los molestos mensajes de “no cuenta con autorización”». Claro, al usar el perfil de autorización de SAP_ALL, se acabaron estos mensajes, pero el usuario se convierte en el blanco favorito de los hackers. La mayoría de los hackers prefieren usar una cuenta SAP con el perfil de autorización SAP_ALL para sus actividades solapadas: ahorra tiempo y supone una gran ventaja para cometer fraudes o robar información.
Los usuarios tienden a pedir autorizaciones de SAP_ALL porque «saben lo que están haciendo», «necesitan muchas autorizaciones» y «así el trabajo no se detiene debido a los molestos mensajes de «no cuenta con autorización». Claro, al usar el perfil de autorización de SAP_ALL, se acabaron estos mensajes, pero el usuario se convierte en el blanco favorito de los hackers. La mayoría de los hackers prefieren usar una cuenta SAP con el perfil de autorización SAP_ALL para sus actividades solapadas: ahorra tiempo y supone una gran ventaja para cometer fraudes o robar información.
La gente concede perfiles SAP_ALL porque es una solución rápida cuando hay estrés. Con frecuencia, los administradores de sistemas nos comentan que es mucho más sencillo conceder «SAP_ALL» al nuevo desarrollador del departamento de IT que la tediosa tarea de identificar las autorizaciones que necesita.
Conceder a cuentas de usuario «SAP_ALL» y perfiles similares crea primero y expande después brechas de seguridad, concede una cantidad innecesariamente enorme de autorizaciones a usuarios sin que esté justificado y expone a la organización a nuevas posibilidades de fraude y de hacking desde dentro.
Es evidente que a los auditores del GRC no les gustan los usuarios con perfiles de autorización poderosos (usuarios avanzados). Por tanto, las organizaciones deberían evitar los perfiles «SAP_ALL» y otorgar solo las funciones de autorización necesarias. Eliminar «SAP_ALL» es fácil; lo que es difícil es decidir qué funciones deben asignarse al usuario en su lugar.
Limpie a fondo: Cómo solucionar realmente el problema de los perfiles «SAP_ALL»
Hay dos maneras de atacar el problema de los perfiles «SAP_ALL»: a través del ensayo y error, o usando perfiles basados en el comportamiento:
- Ensayo y error conlleva quitar los perfiles poderosos del usuario y otorgarle funciones de autorización ajustadas a su puesto. Para 1-2 usuarios esta puede ser una solución decente (aunque no perfecta), pero ¿qué pasa cuando se trata de 10, 20 o incluso 50 usuarios con perfiles «SAP_ALL»?
- La técnica de los perfiles basados en el comportamiento analiza el comportamiento del usuario entre 3 y 6 meses; a partir de ese análisis, elabora funciones de autorización precisos para él. La herramienta de software basada en el comportamiento de Xpandion, ProfileTailor Dynamics, es una de esas soluciones, aunque también puede crear un largo archivo de rastreo y analizarlo por su cuenta.
Asumiendo que haya hecho esto, ha conseguido hacer limpieza. Ahora tiene que mantenerse así mediante un conjunto de controles que eviten volver a otorgar esos perfiles de autorización demasiado poderosos.
¿Cómo seguir limpio?
Para seguir en el lado seguro del GRC, le recomiendo lo siguiente:
- Implemente un sistema externo dedicado como ProfileTailor Dynamics, para que pueda definir perfiles de autorización poderosos y sensibles, y activar una alerta que, al concederlos, se envíe al responsable de seguridad.
- Implemente una herramienta práctica como el Acceso de Emergencia de Xpandion. Si los usuarios necesitan un acceso privilegiado durante un tiempo limitado, esta solución les permite abrir un nombre de usuario u otorgar un rol de autorización especial tan solo durante ese tiempo limitado.
