En este artículo se discuten cuatro métodos muy efectivos para que los responsables de seguridad reduzcan el trabajo manual y simultáneamente aumenten los niveles de seguridad. La idea de este artículo surgió tras hablar con personas de alto nivel de seguridad de SAP, varios CISO y personal de departamentos de seguridad. Estos con frecuencia han de volcarse en el cumplimiento de las demandas de los auditores, demandas que les roban el tiempo que deberían dedicar a sus funciones principales. Debido a ello, no cumplen los plazos establecido o los altos niveles de seguridad que sus organizaciones necesitan.
Los cuatro métodos que discutiremos en esta entrada del blog son:
- Optimizar efectivamente las autorizaciones de SAP
- Eliminar las cuentas de usuario inactivas
- Controlar los eventos más críticos
- Automatizar informes de estado periódicos para ahorrar tiempo
No se olvide de leer nuestra anterior entrada, Put All Your Ducks in a Row Before the End of the Year, donde se describen métodos efectivos adicionales que pueden ser implementados antes de que termine el año.
Optimizar eficazmente las autorizaciones de SAP
La optimización de las autorizaciones de SAP es una tarea crucial en la mayoría de las organizaciones. Típicamente, se lleva a cabo mediante dos métodos principales. El primer método consiste en optimizar las autorizaciones existentes o en establecer políticas que reduzcan las autorizaciones con el tiempo. La segunda opción es elegir optimizar todas las autorizaciones, lo que por nuestra experiencia suele convertirse en un proyecto muy tedioso. Otra forma de implementar esta última opción es optimizar primero solo las autorizaciones más críticas, y considerar luego cuál debería ser el siguiente paso.
Ahora bien, si bien la optimización de las autorizaciones puede ser un proceso largo, con una herramienta de análisis de uso —como ProfileTailor Dynamics— puede convertirse en una tarea mucho más sencilla. Es fácil elaborar una matriz de funciones de autorización para cada usuario e identificar qué funciones se utilizan y cuáles no.
Sin embargo, cuando se tiene la capacidad de rastrear automáticamente el uso de la autorización, se dispone de una tercera opción, mucho más segura en términos de seguimiento de la actividad. En lugar de reducir las autorizaciones a los usuarios existentes (y evitar confrontaciones con los empleados), los nuevos usuarios recibirán autorizaciones de acuerdo con las autorizaciones en uso de la persona a la que sustituirán o con la que trabajarán.
Por ejemplo, si se contrata a un nuevo empleado, Juan, y la descripción de su trabajo coincide con la de Ana, entonces solo obtendrá 3 las funciones de autorización que Ana utiliza realmente, en lugar de obtener las 13 funciones de autorización. De esta manera, con el tiempo, la cantidad de autorizaciones se reduce significativamente sin crear riesgos para el negocio.
Eliminar las cuentas de usuario inactivas
Quizá este es el método más eficaz para aumentar rápidamente la seguridad y reducir costes. Identificar las cuentas de usuario inactivas e invalidarlas evita que cualquier hacker tome el control de estas y aumenta la seguridad de forma inmediata. Al hacer esto, la organización también libera las licencias de SAP y permite que otros empleados las reutilicen (con lo que solo hay costes de mantenimiento), en lugar de comprar nuevas licencias.
Controlar los eventos más críticos
En toda organización hay eventos importantes que el equipo de seguridad debe supervisar. Estos eventos incluyen inicios de sesión durante horas irregulares o inicios de sesión desde direcciones IP externas, añadir o quitar autorizaciones en un corto período de tiempo, y otorgar autorizaciones sensibles a empleados que no son de IT. Todos estos eventos deben supervisarse cuidadosamente. Automatizar este proceso de vigilancia es una necesidad, con tal de maximizar la atención sobre estos eventos y evitar que algunos pasen desapercibidos. Cada acontecimiento crítico debe ir seguido de un flujo de trabajo que garantice una inspección en profundidad de cada evento.
Automatizar los informes de estado periódicos para ahorrar tiempo
Por último, pero definitivamente no menos importante, el manejo de los informes periódicos de auditoría y seguridad. En muchas organizaciones, la elaboración manual de estos informes consume grandes cantidades de horas de trabajo de los empleados; muchas organizaciones han optado por automatizar este proceso. Además, así se garantiza que los informes sean recibidos por la persona o personas adecuadas (es decir, el auditor de la empresa o el equipo de seguridad) en tiempo y forma. Además, si lo desea puede implementar el proceso con un flujo de trabajo, de modo que, si el receptor no ha firmado el informe en un plazo de 12 horas, el informe se elevará al siguiente nivel.
