En los últimos dos años, Xpandion ha participado en la creación e integración de portales de usuarios autoservicio. Nuestros clientes querían usar los portales de usuario autoservicio de Xpandion, o necesitaban integrar el portal de ProfileTailor Dynamics con su propio portal de usuario. A partir de estas experiencias, hemos creado una breve lista de consejos que lo ayudarán a mejorar la seguridad y a aumentar la satisfacción del usuario de los portales de autoservicio.
En esta entrada demostraremos nuestras conclusiones mediante tres procesos populares: aprovisionamiento de usuarios, solicitud de nuevas autorizaciones y autoservicio para el restablecimiento de contraseñas. Todos estos procesos implican una gran interacción con el usuario final y son amenazas potenciales para la seguridad.
Añadir seguridad a los procesos de autoservicio
Cuando las solicitudes de autoservicio funcionan bien, la organización se vuelve más eficiente. Sin embargo, es importante que no olvide que los procesos automatizados optimizados pueden convertirse en trampas de seguridad, porque tanto empleados como responsables prestan menos atención a las actividades repetitivas. Por ejemplo, si los responsables aprueban las solicitudes de los usuarios finales utilizando su teléfono móvil y todo lo que tienen que hacer es pulsar un gran botón que diga «Aprobar», es más que probable que terminen por aprobar por error una solicitud fraudulenta, creada por un hacker. Por lo tanto, es fundamental aplicar medidas de seguridad adicionales para cualquier flujo de trabajo de autoservicio.
A continuación, le presentamos algunos ejemplos de posibles situaciones de riesgo:
- Solicitudes provenientes de una dirección IP sospechosa
- Solicitudes desde una cuenta de usuario inactivo. Los hackers siempre tratarán de apoderarse de cuentas a las que nadie presta atención; añadir autorizaciones a estas cuentas es un excelente punto de partida.
- Solicitudes desde una cuenta de usuario avanzada (por ejemplo, un administrador) o para obtener una autorización avanzada («SAP_ALL» y equivalentes)
- Solicitudes de objetos sensibles o de una función de autorización que incluya códigos T sensibles
- Repetidas solicitudes de restablecimiento de la contraseña para el mismo usuario
Todas estas situaciones, entre otras, deberían someterse a una aprobación adicional por parte de los equipos de seguridad. En algunos casos, deberían requerir aprobación personal del responsable de seguridad. Como dijimos antes, los procesos optimizados facilitan la eficiencia, aunque también conllevan amenazas potenciales para la seguridad de no establecerse controles adecuados.
Otro consejo para aumentar la satisfacción de los usuarios: reduzca las opciones no aplicables en los campos de selección. Si los usuarios no necesitan seleccionar un valor en una lista desplegable, la opción no debería aparecer para ellos. Las personas tienden a confundirse o molestarse si escogen una opción y luego alguien les dice «no tiene las autorizaciones para esta opción». Esto puede ser muy frustrante. Algunos ejemplos de lugares en los que se deberían filtrar los valores son estos:
- En solicitudes de autorizaciones adicionales, donde solo se puedan elegir las sociedades permitidas;
- En solicitudes de autorizaciones temporales, establecer valores específicos para períodos de tiempo;
- En el restablecimiento de contraseñas, se debería limitar la selección solo a los sistemas accesibles por el usuario.
Añadir la SOD a los procesos de autoservicio
Si su empresa tiene que cumplir con las normas SOX y GRC, puede ser útil añadir conjuntos de reglas de segregación de funciones o aplicar políticas para mejorar la seguridad y la continuidad del negocio. Nuestro mejor consejo: automatice y haga que se cumplan sus conjuntos de reglas de la SOD en cualquier proceso de autoservicio relevante en uso. ¿Por qué? Porque todo lo que pueda hacer durante el proceso le ahorrará situaciones incómodas con los usuarios finales y tediosos cambios después. En otras palabras, si usted descubre que un usuario está violando las reglas de la SOD antes de que le otorgue autorizaciones, es mucho más fácil arreglarlo antes que discutir con el usuario después sobre por qué le han quitado autorizaciones.
Asegúrese de agregar un paso de «verificación de la SoD» a cualquier flujo de trabajo que implique concesión de autorizaciones a usuarios. Sobre todo, durante las solicitudes de autorización de autoservicio y el aprovisionamiento de usuarios. Si las autorizaciones requeridas incurran en posibles violaciones de las reglas de la SOD, redirija la solicitud al responsable de cumplimiento. Trate de resolver de antemano cualquier posible problema.
Otra forma de aumentar la satisfacción de los usuarios en este apartado es permitir que los usuarios designen otra cuenta de usuario como usuario de referencia. La mayoría de las solicitudes de los usuarios suelen ser «Me gustaría tener las mismas autorizaciones que tiene Juan» o «Estoy reemplazando a Felipe y necesito sus permisos durante dos meses» o incluso «Hemos contratado a una empleada en un puesto similar al de Laura en contabilidad; necesitamos una cuenta de usuario para ella». Si se incluye un campo de «usuario de referencia», esto también dará la posibilidad de localizar la cuenta de usuario correcta (y no sólo «Laura de contabilidad»). De esta manera se mejora la satisfacción del usuario final y la del equipo de seguridad, que ya no tendrá que esforzarse tanto por encontrar a Felipe o Laura. En resumen, si puede eliminar la incertidumbre, hará que todo el proceso sea más eficiente.
Consejos adicionales para aumentar la satisfacción de los usuarios en las solicitudes de autoservicio
Algunos consejos más para aumentar la satisfacción del usuario. El primero es incluir el mayor número de aplicaciones (SAP, no-SAP, en la nube e instaladas localmente) en el mismo portal de usuario. Si ya lleva tiempo convencer a los empleados para que usen un portal en vez de la rutina habitual de enviar correos electrónicos al servicio de asistencia, haga que usar el portal sea lo más sencillo posible. Si saben que para solicitar autorizaciones tienen que usar una página, déjelos usar la misma para todas las solicitudes, sea cual sea el nivel de automatización que tenga para cada una. Una página, una pantalla para todas las solicitudes del mismo tipo; así se asegura menos errores y unos usuarios más felices.
El segundo consejo: automatice el proceso todo lo que pueda. Esto significa evitar el uso de correos electrónicos. En su lugar, utilice un flujo de trabajo (como el de ProfileTailor Dynamics), eleve las solicitudes de los usuarios a otros responsables si las solicitudes están demasiado tiempo en la cola de aprobación, y evite tener demasiadas aprobaciones si no son necesarias. A los usuarios les encanta saber que su solicitud está siendo tramitada rápidamente y la automatización puede conseguirlo.
Otro punto importante es este: asegúrese de notificar a los usuarios el estado actual de su solicitud. En vez de decir simplemente «Su solicitud fue enviada con éxito» considere enviar actualizaciones automáticas durante el flujo de trabajo para mostrarles que la solicitud progresa de un paso a otro. Algunos ejemplos son: «su solicitud ha sido enviada al equipo de seguridad», «su solicitud es la número 10 de la cola», entre otras. Sin embargo, considere qué datos incluye en estas actualizaciones; por ejemplo, no es una buena práctica incluir nombres específicos («su solicitud está esperando a Jorge Pérez») o números poco realistas («su solicitud es la número 5467 en la cola») en las notificaciones de estado. Y asegúrese de notificar siempre a los usuarios cuando su solicitud sea aprobada o rechazada, ya que algunos usuarios se olvidan de ellas.
Por último, pero no por ello menos importante, permita a los empleados utilizar sus dispositivos móviles para acceder al portal para presentar y aprobar las solicitudes. Lógicamente, las páginas del portal de autoservicio deben ser accesibles mediante un móvil. Las páginas deberían ser accesibles desde el móvil y los administradores deberían poder aprobar las solicitudes directamente desde el correo electrónico (que leen en su móvil) incluso si están fuera de la organización (envíenos un mensaje para saber más sobre nuestra solución única de soporte móvil). Las notificaciones deben enviarse en correos electrónicos o mensajes de texto cortos, aptos para móviles. Verá cuán satisfactorio es ver cómo sus usuarios obtienen su contraseña inicial por medio de un mensaje de texto a su móvil, en vez de en un correo electrónico o una llamada telefónica del servicio de asistencia.
Los anteriores consejos contribuirán a garantizar un mayor nivel de seguridad y unos usuarios finales más satisfechos, lo que a su vez redundará en una organización más eficaz. ¡Empiece a ponerlos en práctica y compruebe por sí mismo los beneficios!
