risk&compliance_1.jpg

GESTIÓN DE RIESGOS Y SEGURIDAD SAP

lineas__.png

En TXoóL entendemos esta práctica desde una perspectiva integral, tomando como eje central los procesos, reglas de negocio y lineamientos de las gestión de riesgos y control de la Organización. Para nosotros, las acciones técnicas en esta materia son una consecuencia y no una causa.

Es por ello que nuestro servicio de Gestión de Riesgos y Seguridad SAP es desempeñado por un grupo de trabajo  con enfoque de negocio, analítico y técnico capaz de conducir el Diseño, Implementación y Soporte a la Remediación de Riesgos de Acceso SAP, al tiempo que entendemos y capitalizamos la dinámica en la actuación y toma de decisiones de la organización con la finalidad de establecer procedimientos, lineamientos y mecanismos que permitan mantener una adecuada gestión y contención del riesgo por accesos SAP.

Depositphotos_206052164_xl-2015 (1).jpg

Capacidades de Gestión

El enfoque de la solución se desarrolla bajo una perspectiva integral a través de tres capacidades de gestión con funciones enfocadas en la gobernanza, organización, realización y analítica de negocio que permitan:

Atender las necesidades de riesgo y control de la organización.

Realizar el entendimiento de los procesos y operaciones para establecer una arquitectura, diseño y construcción de roles y accesos SAP más apropiados al negocio y las capacidades de TIC de la Organización.

Realizar el entendimiento de la estructura organizacional, facultades y responsabilidades para lograr un adecuado mapeo de roles a cargos.

fondo5_pag.png

Gobierno y Riesgo. Análisis y prevención de riesgos de accesos de acuerdo a las normativas y reglas de medición de riesgo aplicables a la Organización. Habilitación de mecanismos y facultades para la toma de decisiones; mantenimiento y vigilancia de los estándares tecnológicos y lineamientos aplicables en materia de accesos y privilegios SAP.

Perfilamiento y alineación organizacional. Análisis de alineamiento organizacional de los roles y perfiles SAP para determinar el role mapping más adecuado de conformidad a las necesidades funcionales, capacidad operativa y restricciones en materia de riesgo y cumplimiento de la Organización

Arquitectura y análisis técnico – funcional. Análisis de las necesidades de gestión de accesos y compliance de los procesos y operaciones desde una perspectiva de negocio y funcional para traducirlo en un diseño técnico de roles acorde a los lineamientos y estándares establecidos de gestión de riesgos y tecnológicos.

fondo10_pag.png

Procesos de la Gestión de Accesos y Privilegios SA

La solución de Txoól se basa en una estructura de 8 grandes procesos  que habilitan la gestión de Accesos y Privilegios SAP en las Organizaciones. Es a través de la implementación de estos procesos que se logra desarrollar la capacidad integral y que si bien siguen ciertos estándares y prácticas, son adaptables a la realidad y nivel de madurez de cada caso. Su implementación permite evolucionar y mejorar la práctica de manera gradual e iterativa, permitiendo administrar los esfuerzos de forma eficiente.

FONDO_PAG.jpg

Requeridos para el análisis y remediación de riesgos de acceso

Gestión de identidades

Gestión de cuentas y contraseñas

Gestión de roles y perfiles

Gestión de RoleMapping

Gestión de Accesos especiales y temporales

Gestión de Accesos Privilegiados

Gestión de Riesgos de Acceso

Gestión de Controles Mitigantes

lineas__.png

Gobierno en la

Arquitectura

Empresarial

Nuestro enfoque de solución esta basado en un servicio sobre el cual se deberán establecer los objetivos de manera mensual, partiendo de un análisis detallado inicial sobre el cual se puede dimensionar el esfuerzo requerido para ir escalando los bloques de solución  de cada nivel de madurez. Esta modalidad permite ir ajustando los alcances del servicio a las necesidades y prioridades de la Organización,  logrando capturar el valor deseado de  forma más ágil, capitalizando los esfuerzos anteriores y optimizando el uso de los recursos de capital y  tiempo requeridos.

Madurar las prácticas de Gestión de Accesos y Privilegios SAP  en Grupo JUMEX requiere de una mejora continua por parte de la Organización, con un horizonte y objetivos definidos y materializado a través de esfuerzos iterativos que permitan ir avanzando de manera gradual y sostenible.

Nivel 1
Informal

Cumplimiento pero con un alto costo al negocio

Control Manual

No existen practicas lideres

Nivel 2
Reactivo

Enfoque Táctico

Los riesgos se encuentran documentados

Evaluación manual de riesgos y reportes

•Después del incidente se informa sobre el mismo

Nivel 3
Proactivo

Enfoque unificado, estandarizado y estratégico

Las políticas son reforzadas

Procesos automáticos

Prevención de la violación de las políticas

Nivel 4
Optimizado

Los objetivos de l set de reglas se encuentran alineados a los de la compañía

Tendencias y análisis

Mitigación de los riesgos desde su origen

Predicción de evaluación de riesgos

fondo13_pag.jpg

Para poder inicial un ciclo de remediación de riesgos de acceso es indispensable asegurar una serie de elementos del primer nivel de madurez que nos permitan darle sustento a estos esfuerzos de remediación. El tiempo requerido para poder lograr estos bloques requiere de una evaluación detallada de todos los componentes, un primer mes de servicio suele bastar para este análisis y diagnóstico detallado y dar inicio a los bloques de esta etapa. Típicamente el primer ciclo de remediación de riesgos de negocio suele darse hacia el 3er mes del servicio y la cantidad de meses requeridos dependerá de la cantidad de ciclo de remediación que resulten de la primer corrida del análisis de riesgos.

FONDO_PAG.jpg

Gobernanza

El gobierno activa la actuación a través de la asignación de responsabilidades y su delegación de autoridad en aras de alcanzar los resultados y objetivos en representación de los grupos de interés.

El servicio toma acción sobre dos ámbitos de gobierno, apoyando al diseño, mejora e implementación los mecanismos para la gestión de las actividades de gobernanza y permitiendo a la administración anticiparse y responder a las circunstancias diarias de conformidad a los lineamientos y hallazgos proporcionados por el gobierno.

Gobernar el cambio. Determinación y gestión de los cambios en las capacidades de los procesos y sus habilidades

Apoyando a mantener vigentes y actualizados los lineamientos y bases para la administración:

Mantener la definición de Tomadores de Decisiones. ¿Quién puede tomar que decisiones?

Mantener la definición de Tomadores de Decisiones. ¿Quién puede tomar que decisiones?

Mantener el modelo normativo. Normativas, estándares, políticas, reglas y procesos.

Gobernar el desempeño

Ejecución de los procesos y su desempeño sobre una base sustentable

Apego a definiciones. Revisión de las asignaciones de roles y perfiles a usuarios finales respecto del perfilamiento de su cargo.

Procurar el mínimo acceso. Análisis de desbordamiento y usabilidad respecto al perfilamiento de un cargo.

Vigilancia de la integridad de ambientes.  Verificación periódica de la integridad de roles y perfiles entre ambientes.

lineas__.png
Risk & Compliance

Desarrollar un enfoque de gestión de riesgos impulsado por el mismo negocio, abordando los problemas de cumplimiento de una forma estandarizada, repetible y sistemática permite controlar la exposición al riesgo y aumentar el valor.

El servicio activa esta capacidad manteniendo los habilitadores tecnológicos de las funciones de análisis de riesgos y control de cuentas privilegiadas. Así mismo, establece una guía para alcanzar soluciones que cumplan con los lineamientos en materia de riesgos de acceso en las diferentes instancias SAP.

Mantener vigente y actualizado el conjunto de datos que habilitan el análisis de riesgos y accesos privilegiados

Diseñar y mantener set de reglas. Diseñar el conjunto de reglas y funciones de negocio estándar de SAP a nivel acción y autorización de acuerdo a las necesidades de compliance de la organización y observaciones de la auditoría.

Mantener las capacidades
Actualización el conjunto de reglas para el análisis de riesgos y accesos privilgiados

Vigilar y mantener el nivel de riesgos de accesos sensitivos y segregación de funciones en SAP:

Contener el riesgo
Vigilancia del nivel de exposición a riesgos de accesos SAP

Diseñar y mantener usuarios privilegiados. Crear, modificar y delimitar roles y cuentas privilegiadas, y sus flujos de aprobación y asignación

Análisis de riesgos. Conducir análisis de riesgos para los recursos generados y aprovisionados en ambiente SAP Producción.

Remediación.  Determinar y conducir las acciones de remediación de los riesgos generados por proyectos.

Monitoreo y análisis activo de riesgos. Ejecución periódica de análisis de riesgos y detección de irregularidades, tendencias y patrones.

lineas__.png
Risk & Compliance

Desarrollar un enfoque de gestión de riesgos impulsado por el mismo negocio, abordando los problemas de cumplimiento de una forma estandarizada, repetible y sistemática permite controlar la exposición al riesgo y aumentar el valor.

Desarrollar un enfoque de gestión de riesgos impulsado por el mismo negocio, abordando los problemas de cumplimiento de una forma estandarizada, repetible y sistemática permite controlar la exposición al riesgo y aumentar el valor.

Las Organizaciones inteligentes son capaces de capitalizar el aprendizaje y aplicarlo al crecimiento de sí mismas; explicitado, sistematizado y gestionando el conocimiento de los individuos y grupos, como un activo clave que debe mantenerse vigente y protegido.

Establece los mecanismos de abstracción del aprendizaje y explotación del conocimiento a través del diseño e implementación de técnicas y procesos para crear, proteger y utilizar el conocimiento explícito; la creación de entornos y actividades para descubrir y hacer realidad el conocimiento tácito; y el desarrollo de una cultura de conocimiento, que son los valores, actitudes y comportamientos que influencian la forma en que los colaboradores de la Organización perciben, recogen, organizan, procesan, comunican y utilizan la información.

Gestión del Conocimiento
La Gestión Documental
lineas__.png
Risk & Compliance

Desarrollar un enfoque de gestión de riesgos impulsado por el mismo negocio, abordando los problemas de cumplimiento de una forma estandarizada, repetible y sistemática permite controlar la exposición al riesgo y aumentar el valor.

Desarrollar un enfoque de gestión de riesgos impulsado por el mismo negocio, abordando los problemas de cumplimiento de una forma estandarizada, repetible y sistemática permite controlar la exposición al riesgo y aumentar el valor.

Las Organizaciones inteligentes son capaces de capitalizar el aprendizaje y aplicarlo al crecimiento de sí mismas; explicitado, sistematizado y gestionando el conocimiento de los individuos y grupos, como un activo clave que debe mantenerse vigente y protegido.

Establece los mecanismos de abstracción del aprendizaje y explotación del conocimiento a través del diseño e implementación de técnicas y procesos para crear, proteger y utilizar el conocimiento explícito; la creación de entornos y actividades para descubrir y hacer realidad el conocimiento tácito; y el desarrollo de una cultura de conocimiento, que son los valores, actitudes y comportamientos que influencian la forma en que los colaboradores de la Organización perciben, recogen, organizan, procesan, comunican y utilizan la información.

Gestión del Conocimiento
La Gestión Documental

Risk & Compliance

Desarrollar un enfoque de gestión de riesgos impulsado por el mismo negocio, abordando los problemas de cumplimiento de una forma estandarizada, repetible y sistemática permite controlar la exposición al riesgo y aumentar el valor.

El servicio activa esta capacidad manteniendo los habilitadores tecnológicos de las funciones de análisis de riesgos y control de cuentas privilegiadas. Así mismo, establece una guía para alcanzar soluciones que cumplan con los lineamientos en materia de riesgos de acceso en las diferentes instancias SAP.

Mantener las capacidades

Actualización el conjunto de reglas para el análisis de riesgos y accesos privilgiados

Mantener vigente y actualizado el conjunto de datos que habilitan el análisis de riesgos y accesos privilegiados

Diseñar y mantener set de reglas. Diseñar el conjunto de reglas y funciones de negocio estándar de SAP a nivel acción y autorización de acuerdo a las necesidades de compliance de la organización y observaciones de la auditoría.

Diseñar y mantener usuarios privilegiados. Crear, modificar y delimitar roles y cuentas privilegiadas, y sus flujos de aprobación y asignación.

Contener el riesgo

Vigilancia del nivel de exposición a riesgos de accesos SAP

Vigilar y mantener el nivel de riesgos de accesos sensitivos y segregación de funciones en SAP:

Análisis de riesgos. Conducir análisis de riesgos para los recursos generados y aprovisionados en ambiente SAP Producción.

Remediación.  Determinar y conducir las acciones de remediación de los riesgos generados por proyectos.

Monitoreo y análisis activo de riesgos. Ejecución periódica de análisis de riesgos y detección de irregularidades, tendencias y patrones.

FONDO_PAG.jpg
Perfilamiento de Puestos

Asignar los roles negocio a nivel puesto permite estandarizar las responsabilidades asociadas a estos cargos, independiente de la unidad de negocio en la que se encuentren.

El servicio procura la correcta y actualizada asignación de los roles de negocio a los puestos, permitiendo habilitar las acciones del personal de acuerdo al nivel de competencia que el modelo operativo le decrete, armonizando las actividades de los procesos a lo largo de las Unidades de Negocio y Áreas Funcionales de la Organización.

lineas__.png

Apoyando a mantener vigentes y actualizados la definición de roles a cargos de la Organización:

Perfilamiento de cargos – usuarios . Genera y/o actualizar de las definiciones del perfilamiento por incorporación de cargos nuevos, modificados o delimitados, así como de roles generados, modificados o retirados por efecto de nuevas funcionalidades o funcionalidades mejoras, determinando los usuarios impactados y generando la definición de rolemapping de Cargos de la Organización.

Gráficas de inversión

Analítica integral

El enfoque de análisis de riesgos del servicio basado en roles y cargos, permite entender el impacto y necesidades funcionales de acuerdo a la operación del negocio, determinando con una visión holística los requisitos y acciones en materia de accesos y privilegios necesarias para conducir una remediación.

Bajo este enfoque, es posible atender las siguientes preguntas:

¿Qué actividades de proceso se busca realizar?

¿Qué accesos y privilegios se requieren para realizar las actividades definidas?

¿En qué ámbito de competencia se desempeñará?

¿Quién jugará dicho rol?

¿A que entorno de control debe responder?

lineas__.png

Enfoque analítico de la Gestión de Accesos SAP

FONDO_PAG.jpg

Interpretación Técnico - Funcional

La remediación de roles y perfiles SAP busca traducir el enfoque analítico integral en una carta de instrucción clara y precisa a nivel objeto, campo y valor para las acciones de remediación de roles SAP bajo el esquema de seguridad que tenga la organización, en este caso, maestros – derivados.

El servicio realizará el análisis de los componentes de la seguridad aplicativa SAP con la finalidad de asegurar su correcta segregación de funciones y alineación a las funciones del set de reglas de análisis de riesgos, integridad entre ambientes y cumplimiento de los lineamientos en materia de accesos definidos por la Organización.

lineas__.png

Enfoque en la estructura técnica de roles

fondo13_pag.jpg
Desarrollo e Integración

Comprende el desarrollo, pruebas, implementación y monitoreo de los recursos de la seguridad aplicativa generados, retirados o modificados, de acuerdo a la especificación, estándares y lineamientos establecidos.

El servicio se encarga de integrar al entorno de producción SAP los roles y perfiles sujetos de remediación haciéndolos accesibles a los usuarios autorizados; garantizando la integridad administrativa y patrimonial de los componentes de SAP impactados, así como generar las capacidades de soporte y operación necesarias para su sustentabilidad.

Track de acciones

Generar un track integral de las acciones de remediación y los cambios generados por efecto de los ejercicios de remediación de riesgos de acceso con la finalidad proveer visibilidad sobre impactos que su implantación puedan tener asociados y poder mitigarlos de forma anticipada.

Construcción

Realizar la maquila de roles y perfiles en ambientes no productivos de SAP, pruebas unitarias y atención de defectos en la fase de pruebas.

Aprovisionamiento

Generar y aprovisionar las cuentas y contraseñas para los usuarios impactados por el proyecto de acuerdo al perfilamiento.

Hypercare

Gestionar los requerimientos e incidentes generados durante la fase de estabilización del proyecto.

Transición

Elaborar la documentación relacionada con la transición del servicio en materia de accesos y privilegios en SAP.

¡Hablemos!

|        Copyright 2020©  Portal Corporativo  Todos los derechos reservados