Business Role Management es una herramienta muy útil en SAP GRC que ayuda a crear y mantener los roles de la empresa en un único repositorio. Este módulo no sólo sirve para gestionar los cambios en los roles de SAP, sino que también ayuda a:
- Mantener la convención de nombres (NM) de sus funciones.
- Tener registros de todos los cambios realizados en los roles.
- Tener todos los documentos (técnicos y funcionales) de los cambios solicitados en el mismo repositorio.
- Mantener la relación entre los roles Maestro y Derivado.
- Tener un repositorio para el uso de roles en las solicitudes de Control de Acceso y seleccionar sus respectivos aprobadores.
- Diseñar un flujo de trabajo para aprobar los cambios de roles.
Dos puntos clave a tener en cuenta para trabajar con GRC Business Role Management:
- Completa parte del nombre del nuevo papel tras una NM. Por ejemplo, si en el NM el segundo carácter del rol indica si es un rol de pantalla/tarea/trabajo, cuando se crea un rol y se selecciona el tipo de rol, el segundo carácter del nombre lo actualizará automáticamente.
- Permite mantener diferentes flujos de trabajo en función del tipo de rol: rol maestro, derivado, trabajo…
¿Cómo funciona SAP GRC business role management?
La primera pantalla que se ve en BRM, es el repositorio de todos los roles creados y mantenidos. Para cada rol se pueden ver algunos atributos como tipo de aplicación, paisaje, tipo, proceso, última actualización, etc. Por supuesto, es posible crear y actualizar roles desde BRM, pero también existe la opción de importarlos desde los sistemas backend, con la posibilidad de hacerlo en modo individual o masivo.
Como se ha explicado anteriormente, para crear/modificar un rol existe un flujo de trabajo, que puede ser creado con diferentes etapas estándar. Estas etapas suelen tener dos pestañas, una principal que es diferente según la etapa, y otra que es la misma en todas las etapas. Esta segunda pestaña se llama “Detalles adicionales”, que tiene la información principal del estado del rol, los documentos adjuntos para las diferentes aprobaciones, el registro de cambios y más información.
Las principales etapas de SAP GRC Business Role Management
Define role: La única pestaña de esta etapa tiene la información del rol como el detalle de nombre y descripción, perfil asignado, paisaje, área funcional, empresa… Pero una de las más importantes es la parte “Propietarios/aprobadores”. Aquí es posible seleccionar uno o más aprobadores para el rol, pero hay dos tipos de aprobadores: Aprobador de la asignación (el aprobador en las solicitudes de Access Control) y Aprobador del contenido del rol (el usuario que revisará la aprobación de la creación del rol y la posibilidad de generarlo en el siguiente entorno). También es posible indicar las aprobaciones de los delegados. BRM permite tener por defecto “Aprobadores de contenido del rol” pendientes del entorno en el que se quiere actualizar el rol.
Request approval: Esta es una etapa muy sencilla, sólo hay dos partes, una para pedir la aprobación, y una tabla con todas las aprobaciones solicitadas con los detalles de esta. En la opción para pedir la aprobación, es importante dar una pequeña descripción, porque el aprobador puede comprobar los detalles del cambio en los documentos adjuntos y en el registro de cambios.
Maintain authorizations: Esta etapa conecta BRM con el sistema SAP, utilizando la opción de “Actualizar datos de autorizaciones”, que abrirá el rol que se quiere actualizar en la transacción PFCG del entorno de desarrollo. Una vez actualizado el rol en la transacción PFCG, es posible sincronizar los datos en el repositorio BRM, cancelar esta sincronización o si se trata de un rol maestro, propagar el cambio al resto de roles derivados.
En esta etapa, también se puede tener Información sobre las acciones asignadas al rol, los permisos, el nivel de organización, la función o los datos del último cambio realizado.
Generate role: como el nombre de la etapa lo indica, aquí está la posibilidad de generar los cambios guardados en BRM en el ambiente que se desee, en caso de que el cambio sea en un rol maestro, se puede generar el maestro y todos los roles derivados asignados a él.
Se puede seleccionar más de un entorno, y se recomienda generar siempre en el entorno anterior al que se quiere generar, ya que se tendrá la misma versión del rol en todos los entornos.
Analyze Access Risk: La idea principal de esta etapa es hacer un Análisis de Riesgos del rol, para comprobar si genera nuevos Riesgos SoD, acciones Críticas o Permisos Críticos de sus Conjuntos de Reglas mantenidos. Esto es muy importante cuando se tiene un modelo de Rol basado en Riesgos.
Derived Role: Esta etapa suele estar disponible en los flujos de trabajo del rol maestro, y es muy útil para crear los roles derivados. Sólo se necesita un nombre, una descripción y valores organizativos para crear el rol derivado.
BRM tiene disponible una opción para tener un mapeo de valores organizacionales, que puede ser útil para poblarlos de un rol automáticamente.
¿Cómo funciona el flujo de trabajo de Business Role Management?
Para el flujo de trabajo, puede utilizar las etapas que desee, sin embargo, las etapas de “Define Role”, “Maintain Authorizations” y “Generate role” son obligatorias.
Una vez diseñado el flujo de trabajo, la idea principal y muy importante es que el flujo de trabajo no tiene un punto de inicio y de finalización, es un flujo de trabajo circular. Esto se debe a que en el flujo de trabajo se pide la aprobación para crear/cambiar un rol en un entorno, pero normalmente los sistemas tienen más de un entorno, por lo que hay que pedir, al menos, una aprobación para cada entorno. Así que, en lugar de crear un flujo de trabajo único y largo, hay un flujo de trabajo circular con algunas etapas.
En resumen, Business Role Management es una herramienta muy útil para gestionar sus roles en el sistema, para tener todos los documentos y aprobaciones de los cambios en el mismo repositorio, y los registros de los cambios realizados por el equipo.