En 1914, el juez americano Louis Brandeis acuñó la famosa frase «La luz del sol se dice que es el mejor de los desinfectantes», que ha demostrado ser igualmente cierta en 2014.
Muchos de nuestros clientes actuales y futuros temen lo que puede aparecer cuando se haga la luz. Algunos en voz alta, otros para sí mismos, dicen «¿Qué pasará si al usar su software descubrimos que el 50 % los códigos T que hemos desarrollado no se usan? ¿Cómo justificaremos el coste de estos códigos si nadie los utiliza? ¡No quiero cargármela!». La ignorancia es una bendición. Si no lo sabes, no tienes que enfrentarte a la realidad de la situación y nadie podrá culparte de nada. Este es la verdadera y secreta razón por la que hay gente que se resiste a implementar software de auditoría.
Nota: Este artículo no está relacionado con el GRC, que por supuesto algunas empresas están obligadas a cumplir. Me refiero a la seguridad y a las autorizaciones, todo el asunto de la auditoría como saber quién-usa-qué.
Alguien en la organización tiene que ser lo suficientemente valiente para decir: «Queremos saber qué está pasando realmente. Queremos tomar el mando y mejorar nuestra situación». Y, de hecho, después de dar el paso e implementar la seguridad y las autorizaciones de ProfileTailor Dynamics, identifican y resuelven fácilmente muchos problemas relacionados con las autorizaciones, los cuales, seamos francos, podrían convertirse fácilmente en brechas de seguridad.
Aquí están las tres soluciones más habituales por las que nuestros clientes se decantan después de implementar nuestro software:
1. Eliminar los códigos T y las autorizaciones no utilizadas: cuando se sabe lo que se utiliza, entonces se sabe lo que no se utiliza. A partir de ahí, la acción más sensata desde el punto de vista de la seguridad es eliminar dichos códigos T que nadie usa, para que no caigan en malas manos.
Por ejemplo, si alguien desarrolló Z_INVOICE para emitir facturas y nadie lo está usando, bloquéelo mediante el código T SM01. De esta forma usted se asegura de que nadie pueda emplearlo indebidamente para emitir facturas falsas. Es una acción sencilla, de gran impacto. Después, si alguien realmente necesita ese código T, puede considerarlo y desbloquearlo si así lo decide.
Lo mismo ocurre con las funciones de autorización: si nadie usa una función de autorización específica, elimínela de todas partes, salvo en el sistema de control de calidad. De esta manera, usted todavía tendrá acceso a ella, pero no habrá peligro de que se le dé mal uso.
2. Vigilar directamente los datos sensibles: resulta sorprendente cuando menos comprobar el impacto en los clientes cuando estos descubren quiénes dentro de producción tienen acceso a datos sensibles. Mediante códigos T como SE16 y SE16N, así como simples consultas SAP, usuarios con conocimientos informáticos avanzados o incluso empleados que son expertos buscando en Google pueden acceder a datos muy sensibles. Y, lamentablemente, en la mayoría de las organizaciones así será. A la gente le interesan mucho los datos financieros y las nóminas. «¿Cuánto están pagando a la empresa de subcontratación por mis servicios?», es una pregunta habitual que suelen hacerse los empleados externos. «¿Cuáles son nuestros ingresos?» es lo que se preguntan los empleados que poseen acciones de la empresa. «Veamos cuánto gana mi jefe» es otra pregunta habitual.
Nuestros clientes pueden ver el acceso a las tablas de datos financieros como BKPF y BSEG (e incluso BSIK y BSAK) por personas que no están autorizadas para ello, pero que pensaron que sería interesante echar un vistazo. Tirando del hilo, nuestros clientes pueden reevaluar el acceso a SE16 y SE16N e inspeccionar las consultas de SAP en profundidad.
Permítanme recapitular y añadir que, de hecho, solo encontramos unos pocos casos de uso indebido de las consultas SE16, SE16N y SAP, porque la mayoría de los usos tienen fines legítimos. Pero aquellos usos que rompen la regla, con propósitos ilegítimos, son los que deben preocupar a los CISO y a los responsables de las autorizaciones.
3. Acceso a las sociedades y otros objetos organizativos: Cuando se dispone de los datos, es muy sencillo exportar un archivo Excel que enumere los empleados de cada sociedad, por ejemplo. De esta manera es posible rastrear fácilmente las posibles violaciones de seguridad, como los empleados del almacén que pueden acceder a las sociedades para hacer gestiones. Cuando los datos están almacenados («enterrados», en el argot del sector) dentro de las funciones y los objetos de autorización, nadie tiene el tiempo ni la paciencia necesarios para inspeccionarlos a fondo. Ahora bien, cuando están en una simple hoja de Excel, los responsables pueden rastrear fácilmente los errores y pueden tomar medidas para corregir estas situaciones.
