Durante este artículo revisaremos cómo mejorar el análisis de riesgos de acceso utilizando ciertas funcionalidades dentro del módulo ARA de SAP© GRC.
La segregación de funciones (SoD) es uno de los principios fundamentales utilizados por las organizaciones para reducir el fraude y el impacto relacionado. Para aplicar correctamente este principio a la gestión del acceso de usuarios en sistemas SAP, se deben utilizar tres herramientas principales:
- Definir una Matriz de Riesgos de Acceso – Access Risk RuleSet (utilizando como referencia el estándar de mercado para el sistema en análisis).
- Modelo de roles basado en las buenas prácticas de SAP (alineado con las funcionalidades del negocio y el Risk RuleSet).
- Sistema de gestión de riesgos, donde se pueda cargar la matriz de riesgos para ejecutar los análisis de riesgos de usuario y roles (para SAP la opción estándar sería el módulo ARA – Análisis de Riesgos de acceso – dentro de SAP GRC Access Controls).
El uso de estas tres herramientas nos permitirá establecer un control preventivo para monitorizar la segregación de funciones durante la asignación de acceso a los usuarios mediante los análisis de Riesgos de acceso.
Teniendo en cuenta esta situación, este artículo se centrará en explicar cómo podemos mejorar la configuración técnica de nuestras reglas en SAP GRC AC ARA para tener análisis de riesgos más afinados y evitar falsos positivos, es decir, evitar el reporte de resultados cuando no son realmente positivos porque no se cumplen todas las reglas esperadas.
Las dos funcionalidades estándar de SAP GRC que nos permitirán hacer este análisis de riesgos de ajuste son:
- Reglas organizativas.
- Reglas suplementarias.
Reglas organizativas
Casos de estudio
Imagine una situación en la que una organización considera que dos actividades en el proceso de compras no se consideran como Riesgos de SoD si son ejecutadas por el mismo usuario para dos empresas diferentes, a continuación, se muestra cada funcionalidad y una transacción de ejemplo:
- Procesar facturas de proveedor (tcode FB01 – Registrar facturas de proveedor).
- Pagos AR (tcode F110 – Parámetros para el pago automático)
La combinación de las dos tareas de negocio mencionadas con anterioridad a menudo genera un riesgo de SoD de negocio, ya que su asignación al mismo usuario podría generar el riesgo de crear una factura de proveedor ficticia e iniciar el pago de la misma.
Al crear reglas organizativas para este riesgo de SoD, utilizando el valor organizativo (BUKRS), el análisis de riesgos podría filtrarse para que solo sea positivo para las empresas que se consideran críticas.
¿Dónde se puede configurar esta funcionalidad en SAP GRC?
La creación de reglas organizativas se puede realizar en GRC el siguiente enlace dentro de la ruta Instalación -> Reglas de acceso de excepción -> Reglas de organización
Una vez configurado, habrá que revisar y ajustar los siguientes parámetros de GRC AC, dependiendo del uso que queramos hacer de este tipo de reglas:
- 1054 – Número máximo de infracciones admitidas en el análisis de reglas de organización
- 2060 – Reglas de organización – Máximo permitido para ser generadas en primer plano
- 1021 – Considere las reglas de la organización para otras aplicaciones
Por último, para aplicar reglas organizativas a los análisis de riesgos, la opción Considerar regla de organización debe marcarse durante la ejecución:
Reglas suplementarias
Casos de estudio
Se explican dos casos ficticios de clientes para explicar el uso de las reglas suplementarias:
- Aprobación de requisitos de compra: El cliente 1 desea eliminar los falsos positivos de su análisis para todos los riesgos en los que está involucrada la funcionalidad de aprobación de requisitos de compra. Los usuarios aprobadores, además de tener acceso a la transacción ME54, ME54N o ME55, deben mantenerse en una tabla de configuración (tabla de estrategia de liberación). Finalmente, el riesgo solo es relevante si el usuario puede ser un aprobador para grupo de compras PGX.
- Mantenimiento de usuarios: El cliente 2 quiere resultados positivos en el análisis de riesgos solo si los usuarios no pertenecen al grupo de usuarios UG_AUTH_TEAM. Los usuarios que pertenecen a este grupo de usuarios están preaprobados (excepciones).
En definitiva, en estos dos casos, si consideramos únicamente el nivel de acceso del usuario, estaremos reportando resultados que no son realmente riesgos de acceso (falsos positivos).
Lo que permite la funcionalidad de reglas suplementarias sería incluir reglas adicionales a las funciones de negocio o de TI que forman parte de los riesgos de acceso en la matriz, añadiendo otras condiciones que deben cumplirse, para identificar correctamente qué usuarios tienen realmente el riesgo.
¿Dónde se puede configurar esta funcionalidad en SAP GRC?
La creación de reglas suplementarias se puede hacer en GRC en el siguiente enlace dentro de la ruta Instalación -> Reglas de acceso de excepción -> Reglas suplementarias
La siguiente captura de pantalla muestra un ejemplo de estudio del caso a), donde se ha activado una regla complementaria en la función de aprobación de requisitos de compra.
Una vez configurado, el parámetro 1037 – Usar tabla suplementaria de SoD para análisis deberá revisarse y ajustarse.
PUNTOS CLAVE
- Cada vez más organizaciones se enfrentan al concepto de segregación de funciones (SoD), siendo SAP GRC AC una solución para ayudar en la supervisión técnica de dichos riesgos utilizando SAP GRC AC ARA.
- El módulo GRC AC ARA es muy potente y flexible a la hora de configurar riesgos de acceso y no solo tiene la sencilla funcionalidad de ejecutar análisis.
- La principal ventaja de las Reglas organizativas y suplementarias es que nos permiten refinar nuestros análisis de riesgos y, por lo tanto, evitar resultados con falsos positivos.
- Es muy importante comprender el proceso, las funciones y los riesgos de SoD de acceso en los que se aplicarán las reglas organizativas y suplementarias para validar si estas funcionalidades de GRC ARA cumplen con los requisitos del cliente.
- Consejo técnico (!) – Para facilitar el uso y mantenimiento de estas reglas, es importante tener en cuenta que ambas se pueden cargar de forma masiva desde la configuración general de GRC en el sistema back-end (transacción SPRO).
- Reglas organizativas:
- Se recomienda aplicar este tipo de reglas solo en riesgos de nivel alto y aquellos que realmente agregan valor.
- El uso adecuado de esta funcionalidad es reducir los falsos positivos, no se recomienda usarla para generar informes de riesgos filtrando por valores organizativos (afecta el rendimiento del sistema GRC).
- Reglas suplementarias:
- Estas reglas se aplicarán a todas las transacciones dentro de la misma función. Si desea que se apliquen solo a una de las transacciones, deberá crear un nuevo riesgo/función.
- Estas reglas se pueden aplicar para uno o todos los riesgos relacionados con la función modificada.
- La información en los campos de las tablas a validar dentro de la regla, siempre se almacena en mayúsculas (no distingue entre mayúsculas y minúsculas) y debe contener la relación SAP USER ID.