¿Qué es la segregación de funciones y por qué es importante?
Si usted ha implementado una plataforma SAP, ¡felicidades! Significa que su empresa está creciendo y ahora tiene una fantástica herramienta ERP a su disposición. No obstante, su enfoque de cómo gestionar el acceso a esta plataforma es vital. Puede significar la diferencia entre una organización segura y bien administrada o una empresa que puede estar expuesta al fraude y a errores materiales en sus finanzas.
Muchos administradores de seguridad en SAP ERP conceden una gran cantidad de acceso a los usuarios para asegurar que el sistema pueda ser utilizado plenamente. Pero existe un gran riesgo en el acceso fácil y amplio: el riesgo de fraude, errores contables y una mala administración general; todo ello puede costar millones de dólares. Cuando los auditores realizan sus revisiones, quieren ver un equilibrio entre acceso y control. Los auditores les gusta decir, "la confianza es buena, pero el control es más barato".
Un control fundamental a implementar en su entorno SAP es la segregación de funciones (SOD por sus siglas en inglés). Por medio del cual se asegura que los procesos clave sean realizados por diferentes personas para prevenir fraudes y/o errores financieros. Por ejemplo, si un empleado es responsable tanto de crear como de pagar a los proveedores, sería fácil crear proveedores falsos y dirigir los pagos a su propia cuenta bancaria. La separación de estas dos actividades en el sistema y su asignación a personas diferentes crea una barrera al fraude.
Establecer normas para identificar las violaciones de segregación de funciones puede ser un proceso complejo y largo, pero es esencial para evaluar el riesgo de acceso y segregar adecuadamente las actividades de los usuarios. En los entornos ERP de SAP, el conjunto de reglas SOD (también conocido como matriz SOD) debe manejar los objetos de autorización y no limitarse únicamente a las transacciones disponibles para un usuario. De lo contrario, se producirán falsos positivos que harán que los informes sean cuestionables.
Los falsos positivos ocurren cuando un informe muestra violaciones de segregación de funciones que no son realmente un riesgo. Por ejemplo, cuando un usuario tiene acceso a dos o más transacciones que juntas podrían ser una violación, no lo son debido a que el usuario sólo tiene los objetos de autorización con valores de sólo visualización para esas transacciones, el conflicto notificado sería un error (falso positivo) ya que no representan un riesgo real.
A menudo, los auditores tienen requisitos únicos basados en las operaciones, los factores de mercado o las regulaciones exclusivas de cada empresa, el conjunto de reglas (Matriz SOD) debe ser capaz de adaptarse a estos requisitos. Las transacciones personalizadas relevantes para SOD, así como las transacciones estándar de SAP, deben ser consideradas por el conjunto de reglas. Estas tareas suelen ser complejas y manuales para identificar, actualizar y aplicar los cambios en las reglas SOD además de ser costosas tanto en tiempo de personal como en honorarios de servicio.
Afortunadamente, hay herramientas que pueden eliminar gran parte de este trabajo. Separations Enforcer de Security Weaver es altamente efectivo para ayudar a manejar los riesgos de acceso. Permite un rápido análisis de los usuarios en todo el panorama de SAP tanto para los conflictos SOD como para los riesgos de acceso de transacciones críticas, ofrece una matriz SOD basada en funciones que es fácilmente personalizable y puede informar automáticamente sobre las transacciones personalizadas (Y’s o Z’s), incluso si esas transacciones no están incluidas explícitamente en el conjunto de reglas, proporcionando informes rápidos, legibles, completos y que evitan los falsos positivos.
La matriz de reglas de Security Weaver, probada internacionalmente y bien documentada, facilita a las organizaciones la implementación rápida de una solución completa. Las reglas se mantienen y actualizan fácilmente manejando una lógica compleja tanto a nivel de transacción como de objetos de autorización, la solución puede utilizar una amplia variedad de conjuntos de reglas (matriz SOD), lo que la hace adaptable a cualquier estructura organizacional.
Los gerentes más experimentados de los entornos ERP de SAP saben que necesitan una forma de reducir los riesgos de acceso sin causar problemas de productividad. Separations Enforcer es la solución a ese desafío. Para obtener más información sobre esta y otras soluciones de gestión de acceso, visite www.securityweaver.com o solicite una demostración gratuita aquí. No deje la seguridad de su nuevo entorno SAP ERP abierta a riesgos innecesarios e inaceptables. Ponga en marcha hoy mismo medidas de seguridad para mantener sus datos seguros, generar informes correctos y a sus auditores contentos.