Una historia real
Un cliente de una gran empresa se acercó a nosotros y nos dijo: «Nuestra empresa tiene una “política abierta”. Confiamos en nuestros empleados, así que les concedemos a todos “SAP_ALL”. Sabemos que SAP_ALL incluye todas las autorizaciones del sistema, pero todo marcha bien y nuestras autorizaciones son muy fáciles de mantener, como es de esperar. Pero necesitamos detectar a las personas que se están aprovechando de esta libertad yendo más allá de las actividades que tienen permitidas; aquellos que están haciendo un mal uso de sus autorizaciones y, basándose en las descripciones de sus puestos de trabajo, llegan adonde no deberían. Por ejemplo, tenemos la sospecha de que algunas personas en el almacén han ojeado los registros de las nóminas».
Al principio, estaba seguro de que esto era una broma. ¿Conceder una única función, equivalente a SAP_ALL, a todos los empleados? ¿En esa gran empresa? ¿En los tiempos que corren? No podía ser real.
Pero era real. De hecho, me di cuenta de que otros clientes también lo hacen.
¿Están locos?
- Es fácil de mantener. Una sola función no requiere casi ningún mantenimiento. De hecho, SAP_ALL no requiere absolutamente ningún mantenimiento.
- Ayuda a optimizar el negocio. No hay que esperar. Los nuevos empleados no necesitan esperar para recibir sus autorizaciones. Los empleados existentes no tienen que esperar autorizaciones adicionales cuando las necesitan, porque no hay largos procesos de aprobación que seguir. El negocio puede continuar como siempre, incluso si las personas cambian de puesto o necesitan funciones adicionales.
- Se ahorra una enorme cantidad de dinero. Con un método distinto al de «función única», la empresa mencionada anteriormente habría tenido que costear un largo proyecto de implementación de autorizaciones iniciales, más al menos diez empleados profesionales dedicados al mantenimiento de las autorizaciones. Escucho de muchas compañías que prefieren los riesgos de fraude y mal uso antes que explicarle al director financiero por qué necesitan presupuestar proyectos adicionales.
- Se basa en el romántico concepto de «Confiamos en todos nuestros empleados». Esta es una idea maravillosa sobre la cual construir una gran compañía. Las mejores historias de éxito corporativo comienzan con pequeños grupos que confían unos en otros. Así que, ¿por qué no ponerlo en práctica?
- No hay responsabilidad de gestión. Cuando todo el mundo tiene una única función de autorización, si una persona hace un mal uso de sus permisos y entra en una parte de la aplicación que no debería (o, peor aún, comete un fraude), es solo culpa de esta persona. A nadie más se puede culpar; nadie concedió las autorizaciones incorrectas a ese empleado; nadie, y mucho menos el responsable, tendrá que dar explicaciones de por qué el empleado cometió el fraude.
Así que, ¿por qué no probar? Que estemos convencidos de que está mal no prueba nada. De hecho, hay muchos buenos ejemplos que demuestran que este acercamiento puede funcionar bien en la práctica.
Ahora bien, hay consecuencias. Si tomamos la decisión de conceder a todos una misma función de autorización superamplia, ¿qué tenemos que hacer para no perder el control?
¡Mano dura!
Aparentemente, el secreto está en la respuesta por el mal uso de la autorización. Si queda bien claro que al que haga mal uso de sus permisos lo despedirán, por lo general nadie se atreverá a hacerlo. Tomando un ejemplo de la vida real, donde el castigo por un crimen es desproporcionadamente severo, la estadística de crímenes tiende a ser extremadamente baja.
Atrapando al criminal con las manos en la masa.
Para tener una respuesta eficiente para una situación de una sola función, se necesita un buen sistema de auditoría. Un «Gran Hermano» es aquí una necesidad. Es imperativo seguir los siguientes pasos:
- Auditar quién está haciendo qué y crear perfiles de negocios. Esta es su fuente de datos. Debes saber exactamente quién está mirando una factura, quién toquetea los salarios de los empleados y quién cambia los detalles de los proveedores. Además, debe saber lo que cada persona hace normalmente y crear perfiles de negocios para ellos, de modo que puedan identificarse las desviaciones de su comportamiento normal nada más producirse.
- Utilice un sistema de alerta basado en el comportamiento. Cuando un empleado se comporta de una forma sospechosa, alguien debe comprobarlo inmediatamente. Si quiere atrapar a la gente con las manos en la masa, la respuesta debe ser rápida. Para esto debe implementar un sistema de alerta que le notifique sobre actividades irregulares o sensibles.
- Lleve a cabo revisiones de uso. En lugar de los procesos periódicos de «revisión de acceso», realice procesos periódicos de «revisión de uso», en los que cada gerente aprueba las actividades de su empleado y marca actividades irregulares o sospechosas para luego inspeccionarlas.
Aunque parezca una locura, el método de función única para todos los empleados puede funcionar y con bastante éxito. Las empresas que lo hicieron bien, en los casos de los que fui testigo personalmente, eran desde PYMES hasta grandes corporaciones. La gente allí no está loca en absoluto, solo piensan fuera de lo habitual y prefieren aprovechar las ventajas al tiempo que disponen mecanismos adecuados para mitigar los riesgos.
