fbpx
Saltear al contenido principal

EAM GRC de SAPRecibe una llamada a las 2 a. m. informándole de que su sistema ERP de SAP se ha desactivado debido a problemas de software inexplicables. Una desarrolladora está disponible para investigar el problema, siempre que le otorgue acceso en caso de emergencia al sistema de producción. ¿Debería otorgar el acceso o no? Sí. Es una decisión sencilla. Existe incluso un proceso estandarizado para esto denominado Gestión del acceso en caso de emergencia de SAP (SAP EAM). Sin embargo, otorgar acceso a un desarrollador a un sistema de producción lo expone potencialmente a riesgos en términos de seguridad y cumplimiento. Resolver el problema requiere situar a la EAM de SAP dentro del ámbito de sus programas de Gobierno, Riesgo y Cumplimiento (GRC). Lo denominamos EAM GRC de SAP.

¿Qué es EAM GRC de SAP?

Para comprender los riesgos potenciales de EAM de SAP en el contexto de GRC, primero es necesario tener una idea básica de cómo funciona EAM. EAM de SAP es un conjunto de características, que abarcan principalmente los Controles de acceso SAP, que permiten a los usuarios finales salirse de sus roles habituales para realizar las tareas necesarias para resolver una situación de emergencia. EAM de SAP está diseñado para asignar el acceso en caso de emergencia en un proceso controlado y auditable. Por ejemplo, EAM de SAP registra todas las actividades que realiza el usuario mientras tiene asignada la ID temporal. Varios flujos de trabajo y funciones resultan de la asignación de roles y el proceso de seguimiento.

Código T EAM GRC de SAP

Hay dos formas básicas de asignar un acceso en caso de emergencia, también conocido como sesión «apagafuegos» de SAP. Una es a través de ID de usuario, creando lo que se conoce como ID de bombero o FFID. La otra es un rol de bombero o FFRole. Bajo nuestro punto de vista, el enfoque FFID le expone a un mayor riesgo. Esto se debe a que los FFID se vinculan con roles específicos, cada uno con sus propios códigos T asignados. Si un usuario quiere abusar de su rol (esto es, cometer fraude), en ese caso puede ejecutar códigos t desde su propia ID de usuario y luego desde el FFID. Solo una supervisión extremadamente minuciosa permitiría atrapar a esta persona. Por el contrario, la creación de un FFRole con los mismos códigos T crea unas condiciones en las que cada acción realizada por el usuario aparecerá con su ID de usuario. Esto facilita la detección del uso indebido de la credencial de emergencia.

Flujo de trabajo de bombero GRC SAP

Es necesario establecer un flujo de trabajo para asignar credenciales de bombero. Alguien tiene que servir como dueño de EAM en la organización de TI. Esta persona, que debería ser una persona de confianza, recibe solicitudes EAM. En un flujo de trabajo típico, el dueño EAM es el primero de los dos autorizadores de la solicitud EAM. Si él o ella no acepta la solicitud EAM, el flujo de trabajo se acaba ahí. Sin embargo, si el dueño EAM aprueba la solicitud, esta pasará a un autorizador de seguridad. Esta persona también puede aprobar o rechazar la solicitud.

Informe de registro de bombero GRC de SAP

EAM de SAP genera un registro de actividad de acceso en caso de emergencia, conocido como el registro del Controlador de Bomberos SAP GRC. Existe dentro de los controles de acceso de SAP. El registro contiene información sobre solicitudes y aprobaciones de EAM, así como sesiones de bomberos. Consta de registros separados para transacciones (STAD), cambios, actividades de sustitución y reparación de errores, comandos del sistema operativo y un registro de auditoría de seguridad. El sistema crea un informe de registro de bombero GRC de SAP. El problema (uno de varios) es que alguien tiene que analizar el informe para entender qué es lo que está sucediendo.

Problemas con el uso de las funciones EAM integradas de SAP

El uso del EAM de SAP nativo es problemático porque:

  • El flujo de trabajo de asignación de bombero es manual. Esto es ineficiente.
  • Las personas tienen que tomar decisiones, a veces sin toda la información necesaria.
  • Esto resulta muy lento. Las personas deben realizar análisis de registro para detectar posibles problemas de seguridad.
  • Los riesgos de seguridad pueden pasar inadvertidos si las personas no están llevando a cabo una supervisión diligente.
  • El proceso puede dar lugar a infracciones involuntarias de los controles de segregación de tareas (SdT), que son necesarios para cumplir con regulaciones como Sarbanes Oxley (SOX).

En general, las empresas han cumplido con los requisitos de SOX SdT al reducir el acceso a los sistemas de producción. Esto entra en conflicto con los requisitos de acceso en caso de emergencia. El uso del proceso manual EAM de SAP implica que el usuario que tenía el rol de Bombero necesita ponerse en contacto con seguridad y hacer que eliminen su rol después de completar la tarea requerida. Esto supone una carga para el personal de seguridad y tiene una alta probabilidad de que nunca suceda, al hacer efectivo el acceso temporal permanentemente abierto y propenso a usos indebidos.

El valor de automatizar EAM GRC de SAP

La automatización ofrece una forma de equilibrar las necesidades de acceso en caso de emergencia con las políticas de seguridad y cumplimiento. Nuestro Gestor de acceso en caso de emergencia al Panel de controlGRC es un ejemplo de este tipo de uso. Proporciona automáticamente acceso en caso de emergencia preaprobado, mitigando en consecuencia el riesgo a través de un flujo de trabajo que rastrea y documenta las actividades de los usuarios.

El proceso automatizado también elimina los flujos de trabajo de seguridad manuales para emitir credenciales de acceso en caso de emergencia. Esto libera al personal de seguridad de esta obligación que consume mucho tiempo. Y, al otorgar autorizaciones inmediatas a usuarios seleccionados, es posible otorgar un acceso que permanezca bajo los controles de SdT.

La solución registra y rastrea automáticamente cada actividad realizada por el usuario durante una sesión de emergencia de SAP. Crea un rastro de la auditoría fácilmente accesible y documentación detallada después de la sesión de emergencia. De esta manera, el gestor de acceso en caso de emergencia hace que su organización esté preparada para la realización de una auditoría en cualquier momento. Reduce el trabajo de preparación de auditorías.

Si desea más información sobre el gestor de acceso en caso de emergencia y cómo puede ayudarle a estar preparado para el acceso en caso de emergencia sin comprometer la seguridad o el cumplimiento, contacte con nuestros expertos hoy.

Jon Perry, Sr. SAP Security Consultant

Jon Perry is a Senior SAP Security/GRC Consultant focused on the SAP Security and Controls Practice at Symmetry. With 25+ years of hands-on SAP Security Administration experience, he has focused on implementing and supporting GRC solutions for over 15 years. Starting out as a functional user of SAP, Jon has working knowledge of Material Management, Procurement, Distribution, Human Resources, and Finance and has supported all modules and platforms of SAP including the latest versions of HANA and Fiori (as well as many Java-based SAP solutions). Jon is results driven and always striving to implement the best solutions for clients, meeting deadlines and requirements with a focus on automation and risk reductions.