Cómo implementar SAP de forma segura y no morir en el intento / por: Eduardo Beltrán, Gerente Comercial de NeoSecure
Eduardo Beltran - Gerente Comercial de NeoSecure
SAP es el software ERP (Enterprise Resource Planning) más conocido en el mundo. Quienes trabajan con esta tecnología saben que su costo puede superar los seis ceros en dólares y tomar cerca de dos años de implementación, pero sus múltiples beneficios hacen de SAP una herramienta vital y en Chile alrededor de 400 empresas disfrutan sus beneficios. Sin embargo, muchas de sus implementaciones y de sus operaciones adolecen de buenas prácticas de seguridad, generando cuantiosas pérdidas e incluso ponen a una compañía en riesgo vital.
Para acelerar su puesta en marcha, las empresas suelen dejar en segundo plano los temas relacionados a la seguridad en SAP. La consigna es que funcione… y lo más rápido posible. Esto se suma a usuarios con acceso sobredimensionado a los datos, una inadecuada gestión o inexperiencia de los operadores, y la vulnerabilidad de la plataforma TI, son factores que facilitan las mermas. En muchos casos, la seguridad en SAP no siempre recae en el encargado de “seguridad de la información” corporativa, lo que dificulta tener políticas y procedimientos adecuados. Según estudios sobre SAP, en Estados Unidos las compañías pierden anualmente el 5% de sus ingresos por estafas internas.
Para ser efectivos en su uso, es imprescindible que los encargados de SAP y/o de TI hagan una exhaustiva evaluación de seguridad, conflictos, permisos, procedimientos y claves para identificar los posibles problemas. La idea es tener el mejor diagnóstico de uso de la plataforma SAP, de modo de implementar políticas y controles permanentes, -ojalá fuercen automáticamente su cumplimiento por parte de los usuarios- y así garantizar el menor de los riesgos frente a aquellos “eventos” amenazantes para la compañía.
Por ejemplo, de la misma forma que no es deseable que sólo una persona tenga permiso para crear un nuevo proveedor en el sistema y al mismo tiempo genere una orden de compra, pague y lo elimine del sistema, dado que tendría demasiado poder individual en la administración de los recursos, en SAP sucede lo mismo pero con la complejidad propia de una aplicación como ésta.
Existen en el mercado herramientas que realizan automáticamente la labor de diagnosticar posibles conflictos y anomalías de permisos de un mismo usuario y de crear otros con riesgos controlados, de acuerdo a una segregación de funciones adecuadas a su rol y a los requerimientos de la empresa. Por ejemplo, están las provistas por separado de la misma empresa SAP, así como soluciones de Security Weaver u otro proveedor. Sea cual fuere el mecanismo que elija la empresa, la seguridad en SAP debe ser un tema primordial.