Recientemente nos reunimos con algunos de nuestros clientes globales, así como con otros posibles clientes, y conseguimos una gran cantidad de información sobre uno de los temas más discutidos de SAP: la segregación de funciones. Algunas de las empresas opinaban que la segregación de funciones solo corresponde a los auditores, mientras que otras entendían la importancia del cumplimiento de las normas sobre las autorizaciones de usuario. Unas pocas empresas lo han llevado al siguiente nivel y lo han expandido a otras áreas para crear continuidad en el negocio.
Independientemente del nivel de aceptación de la segregación de funciones en una organización, nos encontramos con que muchas empresas con las que nos encontramos ven el proyecto de su aplicación difícil y tedioso. La implantación suele llevarse a cabo por parte de consultores externos, que por lógica no están familiarizados con las operaciones de la empresa.
Ocasionalmente, encontramos unas pocas empresas afortunadas que han sido capaces de implementar su proyecto de segregación de funciones sin problemas en un plazo de uno o dos meses —a veces incluso menos—, sin que los empleados quisieran tirarse por la ventana. Durante el año pasado, hemos reunido y documentado algunos de los factores clave para implementar con éxito y eficazmente un proyecto de segregación de tareas.
1. A pesar de la creencia popular, la implementación de la segregación de funciones no tiene por qué ser un proyecto largo.
Hay proyectos SOD que toman entre 1-2 meses para implementarse y tienen éxito. Cuando decimos implementar una SOD, esto no significa necesariamente implementar un conjunto completo de GRC con flujos de trabajo, controles de proceso, evaluaciones de riesgo, etc. En la mayoría de los casos, todo lo que una compañía necesita hacer es implementar un buen conjunto de reglas. Este enfoque le resulta aceptable a los auditores en muchos casos, porque permite que se cumpla un conjunto de reglas sobre las autorizaciones de los usuarios, arreglar lo que se requiere o incorporar controles para gestionar las violaciones insolubles, y luego establecer un sistema de alertas eficaz; ¡tachán! ¡Sanseacabó, todos contentos!
2. Empiece con la mejor práctica que obtenga de su auditor
No intente reinventar la rueda. Los proyectos de SOD están aquí desde hace más de 10 años y las reglas de mejores prácticas han sido escritas y mejoradas una y otra vez a lo largo de todos estos años. Así que pídales a sus auditores un buen conjunto de reglas, valídelo primero y luego concéntrese en la implementación de ese conjunto de reglas. El objetivo debe alcanzar rápidamente el objetivo y obtener el apoyo de la dirección. Solo después de completar con éxito el proyecto, debería considerar añadir más reglas personalizadas al conjunto.
3. Si no se ha utilizado, ¡bórrelo! (sea valiente)
La regla debería ser sencilla de aplicar: si una persona no ha utilizado una autorización durante más de un año, esta debería eliminarse de su perfil. Fácil de decir, difícil de hacer. Primero, porque, desde un punto de vista técnico, para eliminar una autorización de un usuario hay que cambiar sus funciones de autorización existentes y esto es bastante difícil de hacer a mano. Segundo, se necesita un fuerte respaldo por parte de la dirección para ejecutar esta política; quitar autorizaciones puede enfadar a los empleados, ¡incluso si nunca han usado el permiso! Por lo tanto, si desea proceder con esta política, le recomendamos que empiece despacio: empiece por eliminar las autorizaciones que crean conflictos de la SOD, y luego vaya eliminando las autorizaciones sensibles de las personas que no las utilizan. En este punto puede considerar si desea continuar o si prefiere informar a sus auditores que ha reducido los riesgos de la segregación de funciones en un 70 %, ya que este es el porcentaje habitual que se consigue al eliminar las autorizaciones que no están en uso.
4. No se limite a estar de acuerdo, ¡pregunte por qué!
A lo largo de los años, hemos descubierto que los responsables que entienden las razones que articulan un conjunto de reglas SOD ayudan al éxito de una organización. Cuando no entienden por qué una regla específica es importante para su empresa, piden explicaciones. Si no comprenden por qué es necesaria, entonces tratarán de convencer a los auditores de que deben dejarla de lado.
Por ejemplo, algunas organizaciones han encontrado problemas para crear alertas inmediatas por violaciones de la SOD y han convertido estas alertas inmediatas en un informe semanal o mensual, porque eso era lo que más convenía a su organización.
Es beneficioso comprender la causa de las situaciones. Por ejemplo, cuando se comprende el razonamiento detrás de una determinada norma SOD o un requisito de los auditores, se está en mejores condiciones de sugerir mejoras o cambios en dicha norma para que se ajuste mejor a su organización. Una vez, tuvimos un CIO que quería que el acceso de bomberos no estuviera sometido a una aprobación en mitad de la noche. Este cambio terminó ahorrando mucho tiempo —y al final dinero— a la organización.
