Aquí presentamos 6 duras realidades que hemos descubierto gracias al trato con nuestros clientes:
1. Los usuarios siguen concediendo perfiles SAP_ALL
Aunque SAP no recomienda el uso del perfil avanzado «SAP_ALL», muchas organizaciones siguen utilizándolo. Definitivamente, no deberían. Este perfil de autorización permite demasiadas actividades. Tener usuarios avanzados con acceso a SAP_ALL abre una puerta trasera para los hackers; sencillamente, no es apropiado para el negocio, en especial desde el punto de vista de GRC. SAP_ALL es una clara violación de todas las reglas de la SOD. En un proyecto GRC, siempre que detectamos el uso de SAP_ALL y otros perfiles de autorización avanzados, recomendamos abordarlos como el primer paso para reducir las autorizaciones.
2. Las empresas no supervisan el acceso a actividades sensibles como SU01 y F110
Esto es asombroso, porque la lista de actividades altamente sensibles suele estar bien definida en buena parte de las organizaciones. Los usuarios profesionales conocen estas actividades de riesgo y se toman un tiempo extra para clasificarlas como «sensibles». Durante las auditorías, los auditores suelen preguntar quién está autorizado para llevarlas a cabo. Pero muchas organizaciones no dedican suficientes esfuerzos a la supervisión del uso de estas actividades, y no comprueban si los usuarios autorizados para estas actividades sensibles realmente las utilizan. Sin duda alguna, recomendamos emplear un portal para que el acceso a las actividades sensibles se limite a los usuarios que realmente lo necesitan.
3. La gente conserva las autorizaciones de su último puesto, además de las actuales
En muchas empresas, hemos descubierto que las personas que han cambiado de puesto conservan tanto las antiguas autorizaciones de la posición A como las nuevas autorizaciones de la posición B. Muchas organizaciones fracasan doblemente el control del cambio de posición. Lo primero que hace falta es un procedimiento para controlar el cambio de posición y cancelar las antiguas autorizaciones de un empleado. Lo segundo es disponer de un mecanismo automático para que se cumpla este procedimiento.
Es alentador ver organizaciones que sí tienen un mecanismo automático que identifica los movimientos de los empleados. Supervisan el sistema de RR. HH. para identificar cambios de puesto; cuando se producen, envían automáticamente una revisión de autorización al nuevo responsable preguntándole si este empleado todavía necesita sus autorizaciones anteriores y el responsable decide en un sentido o en otro. A partir de ahí, o bien se eliminan automáticamente las autorizaciones antiguas o el servicio de asistencia técnica se encarga de cumplir la decisión del responsable.
4. ¡El 87 % de las autorizaciones de los usuarios no se utilizan en absoluto!
Es sorprendente que el promedio sea tan alto. La metodología de crear funciones de autorización, que incluyen múltiples tareas, acaba causando que los empleados tengan muchas más autorizaciones de las que realmente necesitan. Añada a esto el temor de quitarle autorizaciones a los usuarios y la falta de un proceso claro para solicitar y otorgar autorizaciones, y entenderá el porqué de esa asombrosa cifra. Las organizaciones comúnmente creen que sus usuarios utilizan el 80-90 % de sus autorizaciones, cuando en realidad solo utilizan el 13 %. No podemos enfatizarlo suficientemente: deben supervisarse y reducirse las autorizaciones que no se utilizan.
5. Los desarrollos propios de una compañía (Objetos Z) no incluyen comprobaciones de autorización, de forma que los informes son accesibles a casi todo el mundo
Las organizaciones desarrollan objetos por su cuenta para añadir capacidades al software estándar de SAP. Puede haber muchos, muchos desarrollos propios en el sistema. Lo realmente sorprendente aquí es que una gran parte de estas organizaciones no incluyen comprobaciones de autorización en su desarrollo, de forma que crean enormes lagunas de seguridad accesibles para cualquiera que pueda ejecutar los informes.
6. No se está prestando atención a qué consultas SAP se ejecutaron, incluyendo las muy sensibles
SAP Query es una gran herramienta que SAP desarrolló para los usuarios profesionales a fin de que pudieran crear informes ad-hoc sin necesidad de molestar al equipo de desarrollo. Pero si esta herramienta no se utiliza adecuadamente, los usuarios podrían indagar sobre los datos sensibles que quieran, como detalles de los empleados o qué clientes tienen mayores ingresos. Si nadie monitoriza qué consultas se ejecutaron y por qué, casi cualquiera puede hacer un mal uso de ellas. En nuestra opinión, las compañías deben supervisar quién ejecuta las consultas, y establecer alertas por el uso sospechoso de casos sensibles.
Xpandion es el proveedor líder de soluciones de inspección de uso en software ERP. Ofrecemos una visibilidad sin precedentes y en tiempo real de los sistemas de gestión con la que mejoramos significativamente la seguridad y optimizamos el uso de las licencias mientras damos cumplimiento a GRC y SOX.
