
GESTIÓN DE RIESGOS Y SEGURIDAD SAP



En TXoóL entendemos esta práctica desde una perspectiva integral, tomando como eje central los procesos, reglas de negocio y lineamientos de las gestión de riesgos y control de la Organización. Para nosotros, las acciones técnicas en esta materia son una consecuencia y no una causa.
Es por ello que nuestro servicio de Gestión de Riesgos y Seguridad SAP es desempeñado por un grupo de trabajo con enfoque de negocio, analítico y técnico capaz de conducir el Diseño, Implementación y Soporte a la Remediación de Riesgos de Acceso SAP, al tiempo que entendemos y capitalizamos la dinámica en la actuación y toma de decisiones de la organización con la finalidad de establecer procedimientos, lineamientos y mecanismos que permitan mantener una adecuada gestión y contención del riesgo por accesos SAP.

Capacidades de Gestión
El enfoque de la solución se desarrolla bajo una perspectiva integral a través de tres capacidades de gestión con funciones enfocadas en la gobernanza, organización, realización y analítica de negocio que permitan:
Atender las necesidades de riesgo y control de la organización.
Realizar el entendimiento de los procesos y operaciones para establecer una arquitectura, diseño y construcción de roles y accesos SAP más apropiados al negocio y las capacidades de TIC de la Organización.
Realizar el entendimiento de la estructura organizacional, facultades y responsabilidades para lograr un adecuado mapeo de roles a cargos.

Gobierno y Riesgo. Análisis y prevención de riesgos de accesos de acuerdo a las normativas y reglas de medición de riesgo aplicables a la Organización. Habilitación de mecanismos y facultades para la toma de decisiones; mantenimiento y vigilancia de los estándares tecnológicos y lineamientos aplicables en materia de accesos y privilegios SAP.

Perfilamiento y alineación organizacional. Análisis de alineamiento organizacional de los roles y perfiles SAP para determinar el role mapping más adecuado de conformidad a las necesidades funcionales, capacidad operativa y restricciones en materia de riesgo y cumplimiento de la Organización

Arquitectura y análisis técnico – funcional. Análisis de las necesidades de gestión de accesos y compliance de los procesos y operaciones desde una perspectiva de negocio y funcional para traducirlo en un diseño técnico de roles acorde a los lineamientos y estándares establecidos de gestión de riesgos y tecnológicos.


Procesos de la Gestión de Accesos y Privilegios SA
La solución de Txoól se basa en una estructura de 8 grandes procesos que habilitan la gestión de Accesos y Privilegios SAP en las Organizaciones. Es a través de la implementación de estos procesos que se logra desarrollar la capacidad integral y que si bien siguen ciertos estándares y prácticas, son adaptables a la realidad y nivel de madurez de cada caso. Su implementación permite evolucionar y mejorar la práctica de manera gradual e iterativa, permitiendo administrar los esfuerzos de forma eficiente.

Requeridos para el análisis y remediación de riesgos de acceso
Gestión de identidades
Gestión de cuentas y contraseñas
Gestión de roles y perfiles

Gestión de RoleMapping
Gestión de Accesos especiales y temporales
Gestión de Accesos Privilegiados
Gestión de Riesgos de Acceso
Gestión de Controles Mitigantes

Gobierno en la
Arquitectura
Empresarial
Nuestro enfoque de solución esta basado en un servicio sobre el cual se deberán establecer los objetivos de manera mensual, partiendo de un análisis detallado inicial sobre el cual se puede dimensionar el esfuerzo requerido para ir escalando los bloques de solución de cada nivel de madurez. Esta modalidad permite ir ajustando los alcances del servicio a las necesidades y prioridades de la Organización, logrando capturar el valor deseado de forma más ágil, capitalizando los esfuerzos anteriores y optimizando el uso de los recursos de capital y tiempo requeridos.

Madurar las prácticas de Gestión de Accesos y Privilegios SAP en Grupo JUMEX requiere de una mejora continua por parte de la Organización, con un horizonte y objetivos definidos y materializado a través de esfuerzos iterativos que permitan ir avanzando de manera gradual y sostenible.

Nivel 1
Informal
Cumplimiento pero con un alto costo al negocio
Control Manual
No existen practicas lideres
Nivel 2
Reactivo
Enfoque Táctico
Los riesgos se encuentran documentados
Evaluación manual de riesgos y reportes
•Después del incidente se informa sobre el mismo
Nivel 3
Proactivo
Enfoque unificado, estandarizado y estratégico
Las políticas son reforzadas
Procesos automáticos
Prevención de la violación de las políticas
Nivel 4
Optimizado
Los objetivos de l set de reglas se encuentran alineados a los de la compañía
Tendencias y análisis
Mitigación de los riesgos desde su origen
Predicción de evaluación de riesgos

Para poder inicial un ciclo de remediación de riesgos de acceso es indispensable asegurar una serie de elementos del primer nivel de madurez que nos permitan darle sustento a estos esfuerzos de remediación. El tiempo requerido para poder lograr estos bloques requiere de una evaluación detallada de todos los componentes, un primer mes de servicio suele bastar para este análisis y diagnóstico detallado y dar inicio a los bloques de esta etapa. Típicamente el primer ciclo de remediación de riesgos de negocio suele darse hacia el 3er mes del servicio y la cantidad de meses requeridos dependerá de la cantidad de ciclo de remediación que resulten de la primer corrida del análisis de riesgos.

%201.png)
Gobernanza
El gobierno activa la actuación a través de la asignación de responsabilidades y su delegación de autoridad en aras de alcanzar los resultados y objetivos en representación de los grupos de interés.
El servicio toma acción sobre dos ámbitos de gobierno, apoyando al diseño, mejora e implementación los mecanismos para la gestión de las actividades de gobernanza y permitiendo a la administración anticiparse y responder a las circunstancias diarias de conformidad a los lineamientos y hallazgos proporcionados por el gobierno.
Gobernar el cambio. Determinación y gestión de los cambios en las capacidades de los procesos y sus habilidades
Apoyando a mantener vigentes y actualizados los lineamientos y bases para la administración:
Mantener la definición de Tomadores de Decisiones. ¿Quién puede tomar que decisiones?
Mantener la definición de Tomadores de Decisiones. ¿Quién puede tomar que decisiones?
Mantener el modelo normativo. Normativas, estándares, políticas, reglas y procesos.
Gobernar el desempeño
Ejecución de los procesos y su desempeño sobre una base sustentable
Apego a definiciones. Revisión de las asignaciones de roles y perfiles a usuarios finales respecto del perfilamiento de su cargo.
Procurar el mínimo acceso. Análisis de desbordamiento y usabilidad respecto al perfilamiento de un cargo.
Vigilancia de la integridad de ambientes. Verificación periódica de la integridad de roles y perfiles entre ambientes.

Risk & Compliance
Desarrollar un enfoque de gestión de riesgos impulsado por el mismo negocio, abordando los problemas de cumplimiento de una forma estandarizada, repetible y sistemática permite controlar la exposición al riesgo y aumentar el valor.
El servicio activa esta capacidad manteniendo los habilitadores tecnológicos de las funciones de análisis de riesgos y control de cuentas privilegiadas. Así mismo, establece una guía para alcanzar soluciones que cumplan con los lineamientos en materia de riesgos de acceso en las diferentes instancias SAP.
Mantener vigente y actualizado el conjunto de datos que habilitan el análisis de riesgos y accesos privilegiados
Diseñar y mantener set de reglas. Diseñar el conjunto de reglas y funciones de negocio estándar de SAP a nivel acción y autorización de acuerdo a las necesidades de compliance de la organización y observaciones de la auditoría.
Mantener las capacidades
Actualización el conjunto de reglas para el análisis de riesgos y accesos privilgiados
Diseñar y mantener usuarios privilegiados. Crear, modificar y delimitar roles y cuentas privilegiadas, y sus flujos de aprobación y asignación

Contener el riesgo
Vigilancia del nivel de exposición a riesgos de accesos SAP
Vigilar y mantener el nivel de riesgos de accesos sensitivos y segregación de funciones en SAP:
Análisis de riesgos. Conducir análisis de riesgos para los recursos generados y aprovisionados en ambiente SAP Producción.
Remediación. Determinar y conducir las acciones de remediación de los riesgos generados por proyectos.
Monitoreo y análisis activo de riesgos. Ejecución periódica de análisis de riesgos y detección de irregularidades, tendencias y patrones.
Risk & Compliance
Desarrollar un enfoque de gestión de riesgos impulsado por el mismo negocio, abordando los problemas de cumplimiento de una forma estandarizada, repetible y sistemática permite controlar la exposición al riesgo y aumentar el valor.
El servicio activa esta capacidad manteniendo los habilitadores tecnológicos de las funciones de análisis de riesgos y control de cuentas privilegiadas. Así mismo, establece una guía para alcanzar soluciones que cumplan con los lineamientos en materia de riesgos de acceso en las diferentes instancias SAP.
Mantener las capacidades
Actualización el conjunto de reglas para el análisis de riesgos y accesos privilgiados
Mantener vigente y actualizado el conjunto de datos que habilitan el análisis de riesgos y accesos privilegiados
Diseñar y mantener set de reglas. Diseñar el conjunto de reglas y funciones de negocio estándar de SAP a nivel acción y autorización de acuerdo a las necesidades de compliance de la organización y observaciones de la auditoría.
Diseñar y mantener usuarios privilegiados. Crear, modificar y delimitar roles y cuentas privilegiadas, y sus flujos de aprobación y asignación.
Contener el riesgo
Vigilancia del nivel de exposición a riesgos de accesos SAP
Vigilar y mantener el nivel de riesgos de accesos sensitivos y segregación de funciones en SAP:
Análisis de riesgos. Conducir análisis de riesgos para los recursos generados y aprovisionados en ambiente SAP Producción.
Remediación. Determinar y conducir las acciones de remediación de los riesgos generados por proyectos.
Monitoreo y análisis activo de riesgos. Ejecución periódica de análisis de riesgos y detección de irregularidades, tendencias y patrones.

Perfilamiento de Puestos

Asignar los roles negocio a nivel puesto permite estandarizar las responsabilidades asociadas a estos cargos, independiente de la unidad de negocio en la que se encuentren.

El servicio procura la correcta y actualizada asignación de los roles de negocio a los puestos, permitiendo habilitar las acciones del personal de acuerdo al nivel de competencia que el modelo operativo le decrete, armonizando las actividades de los procesos a lo largo de las Unidades de Negocio y Áreas Funcionales de la Organización.

Apoyando a mantener vigentes y actualizados la definición de roles a cargos de la Organización:
Perfilamiento de cargos – usuarios . Genera y/o actualizar de las definiciones del perfilamiento por incorporación de cargos nuevos, modificados o delimitados, así como de roles generados, modificados o retirados por efecto de nuevas funcionalidades o funcionalidades mejoras, determinando los usuarios impactados y generando la definición de rolemapping de Cargos de la Organización.
%201.png)

Analítica integral
El enfoque de análisis de riesgos del servicio basado en roles y cargos, permite entender el impacto y necesidades funcionales de acuerdo a la operación del negocio, determinando con una visión holística los requisitos y acciones en materia de accesos y privilegios necesarias para conducir una remediación.
Bajo este enfoque, es posible atender las siguientes preguntas:
¿Qué actividades de proceso se busca realizar?
¿Qué accesos y privilegios se requieren para realizar las actividades definidas?
¿En qué ámbito de competencia se desempeñará?
¿Quién jugará dicho rol?
¿A que entorno de control debe responder?

Enfoque analítico de la Gestión de Accesos SAP
%201.png)

Interpretación Técnico - Funcional
La remediación de roles y perfiles SAP busca traducir el enfoque analítico integral en una carta de instrucción clara y precisa a nivel objeto, campo y valor para las acciones de remediación de roles SAP bajo el esquema de seguridad que tenga la organización, en este caso, maestros – derivados.


El servicio realizará el análisis de los componentes de la seguridad aplicativa SAP con la finalidad de asegurar su correcta segregación de funciones y alineación a las funciones del set de reglas de análisis de riesgos, integridad entre ambientes y cumplimiento de los lineamientos en materia de accesos definidos por la Organización.

Enfoque en la estructura técnica de roles
%201.png)

Desarrollo e Integración
Comprende el desarrollo, pruebas, implementación y monitoreo de los recursos de la seguridad aplicativa generados, retirados o modificados, de acuerdo a la especificación, estándares y lineamientos establecidos.

El servicio se encarga de integrar al entorno de producción SAP los roles y perfiles sujetos de remediación haciéndolos accesibles a los usuarios autorizados; garantizando la integridad administrativa y patrimonial de los componentes de SAP impactados, así como generar las capacidades de soporte y operación necesarias para su sustentabilidad.


Track de acciones
Generar un track integral de las acciones de remediación y los cambios generados por efecto de los ejercicios de remediación de riesgos de acceso con la finalidad proveer visibilidad sobre impactos que su implantación puedan tener asociados y poder mitigarlos de forma anticipada.

Construcción
Realizar la maquila de roles y perfiles en ambientes no productivos de SAP, pruebas unitarias y atención de defectos en la fase de pruebas.
Aprovisionamiento

Generar y aprovisionar las cuentas y contraseñas para los usuarios impactados por el proyecto de acuerdo al perfilamiento.

Hypercare
Gestionar los requerimientos e incidentes generados durante la fase de estabilización del proyecto.

Transición
Elaborar la documentación relacionada con la transición del servicio en materia de accesos y privilegios en SAP.