Uno de los mayores casos de éxito de nuestra compañía ha sido la implementación de la herramienta de SAP® GRC Access Control en un cliente líder en el sector energético, convirtiéndose en la décima implementación de SAP® GRC Access Control que Inprosec ha llevado a cabo para sus clientes.
Esta implementación marcaría el inicio del uso de la herramienta de SAP® GRC por parte del cliente, con un proyecto de 8 meses de duración, dando inicio en febrero de 2024 y finalizando en septiembre de 2024.
El cliente del que hablamos es un grupo líder en el sector energético y químico dedicado a la producción de bases lubricantes de alta tecnología, utilizadas en la formulación de aceites sintéticos. Estos productos son esenciales para mejorar el rendimiento y la eficiencia energética de los motores, a la vez que contribuyen a la reducción del impacto ambiental.
EL RETO
El cliente enfrentaba varios desafíos críticos:
- Gestión de accesos ineficiente o inadecuada: La falta de una herramienta integrada para gestionar los accesos de los usuarios puede derivar en que éstos accedan a información o sistemas para los que no están autorizados, lo que incrementa el riesgo de problemas de seguridad y cumplimiento.
- Riesgos de Segregación de Funciones (SoD): La falta de controles adecuados para prevenir conflictos de SoD aumenta la posibilidad de fraudes internos o errores en los procesos financieros, ya que un mismo usuario podría realizar tareas incompatibles (por ejemplo, crear y aprobar pagos).
- Auditorías costosas y complejas: Sin una solución automatizada para gestionar el acceso, las auditorías requerían mucho más tiempo y recursos.
- Gestión manual de roles y permisos: El cliente dependía de la gestión manual, lo que no solo es más propenso a errores, sino que también es ineficiente, especialmente en organizaciones grandes o con estructuras de TI complejas.
- Cumplimiento normativo deficiente: El cliente debe cumplir con diversas normativas y regulaciones específicas del sector, lo que requiere una gestión robusta y auditable de los accesos, así como un control exhaustivo sobre quién accede a qué información.
El reto estaba en fortalecer el marco de control interno del cliente para mejorar la seguridad y asegurar el cumplimiento de las normativas que le aplican.
SOLUCIÓN INPROSEC
Para abordar estos desafíos, implementamos SAP GRC Access Control, una solución modular que se ajusta a las necesidades específicas del cliente. Cada módulo fue configurado de manera personalizada para abordar las áreas clave, cubriendo las siguientes funcionalidades:
- Access Risk Analysis (ARA): Este módulo nos permitió ofrecer al cliente una gestión preventiva y constante de los riesgos de acceso a sus sistemas SAP. Se implementó una matriz de riesgos personalizada, que incluye:
- 20 riesgos específicos del cliente que abordan particularidades de su negocio.
- 30 riesgos de nuestra matriz de riesgos IT, desarrollados a partir de mejores prácticas y adaptados al entorno del cliente.
- 220 riesgos estándar de SAP, revisados y ajustados según nuestras recomendaciones, asegurando que cumplan con las exigencias de seguridad del cliente.
Además, ayudamos al cliente en la definición de dos controles compensatorios y cargamos en el sistema otros controles previamente definidos por el cliente, proporcionando así una cobertura integral para la gestión de riesgos de acceso, especialmente en casos donde los riesgos de segregación de funciones (SoD) no podían ser eliminados debido a requisitos operativos.
Gracias a ARA, el cliente ahora puede monitorizar transacciones críticas y aplicar controles compensatorios de manera proactiva, reduciendo considerablemente la posibilidad de problemas de seguridad.
- Emergency Access Management (EAM): EAM proporcionó un control seguro y auditable para gestionar accesos de emergencia, activando registros automáticos en el log de auditoría y permitiendo la asignación temporal de roles críticos con un flujo de aprobación seguro. De forma que:
- Los usuarios pueden obtener accesos temporales en situaciones críticas, asegurando la continuidad del negocio.
- Todas las actividades son registradas para auditoría posterior.
- Access Request Management (ARM): Implementamos este módulo para automatizar y personalizar los flujos de solicitud y aprobación de accesos. El cliente ahora cuenta con un proceso optimizado que permite:
- Solicitudes de acceso más eficientes.
- Flujos de aprobación personalizados adaptados a las políticas internas.
- Password Self Service, facilitando que los usuarios puedan restablecer sus contraseñas sin intervención del equipo de TI.
- Business Role Management (BRM): Para centralizar la gestión de roles y permisos, implementamos BRM, facilitando la administración eficiente de los roles. Con esta solución, el cliente ha logrado:
- Definir y catalogar roles de forma clara, alineándolos con sus procesos de negocio.
- Mantener una estructura de control interno sólida, permitiendo una gestión centralizada de los roles que asegura que los usuarios tengan los accesos adecuados para sus responsabilidades.
Además, trabajamos con el cliente en la Integración con Active Directory lo que permite una sincronización fluida de los usuarios y grupos, simplificando la administración de identidades.
A continuación, se presentan los hitos clave del proyecto, proporcionando una visión clara del progreso y los logros alcanzados:
RESULTADOS
La implementación de SAP GRC AC trajo múltiples beneficios al cliente:
- Reducción de riesgos de acceso: Gracias a la implementación de ARA y la definición de una matriz de riesgos personalizada, el cliente puede prevenir accesos inadecuados a información sensible y mitigar los conflictos de segregación de funciones (SoD).
- Optimización de los flujos de acceso: ARM permite la automatización de los procesos de solicitud y aprobación de accesos reduciendo el tiempo y esfuerzo manual, permitiendo a los empleados enfocarse en actividades de mayor valor.
- Control seguro de accesos de emergencia: El uso de EAM permite al cliente gestionar accesos de emergencia de manera controlada y conforme a sus políticas internas, garantizando la seguridad incluso en situaciones críticas.
- Reducción de la carga en el soporte técnico: Con la función de Password Self Service, los usuarios pueden gestionar sus contraseñas de forma autónoma, reduciendo la dependencia del equipo de TI y mejorando la experiencia del usuario final.
- Integración fluida con Active Directory: La sincronización de usuarios con Active Directory permite una gestión simplificada de identidades y accesos.
- Mejora en la seguridad y cumplimiento: El cliente realiza una gestión de accesos más segura y alineada con las normativas, reduciendo riesgos a través de un control detallado y reportes claros para auditorías.
- Auditorías más eficientes: La trazabilidad proporcionada por la herramienta y la capacidad de registrar y auditar todas las actividades de acceso facilita el tiempo de preparación de las auditorías internas y externas, asegurando transparencia y responsabilidad.
- Mayor control y visibilidad de accesos: El cliente ahora cuenta con una visibilidad integral sobre quién tiene acceso a qué información y sistemas, facilitando la gestión proactiva de los riesgos de seguridad y mejorando la toma de decisiones basada en datos.
- Flexibilidad y escalabilidad: La solución implementada es flexible y escalable, permitiendo al cliente adaptarse a futuros cambios en el entorno regulatorio y de negocio.
En conjunto, el proyecto no solo mejoró la gobernanza de accesos y optimizó procesos, sino que también permite al cliente cumplir con los requerimientos regulatorios y fortalecer su capacidad de respuesta ante riesgos operativos y de seguridad.