If you are moving your SAP system to the cloud, managing Access Risk should be top priority, whether you are implementing SAP SuccessFactors, S/4HANA or RISE with SAP®. This blog explores the impact of your future direction on your ability to manage Access Risk.
¿Está pensando en cuál es la próxima mejora tecnológica que su organización necesita para seguir siendo competitiva? En EPI-USE Labs, trabajamos con miles de clientes para apoyarles en su viaje, ya sea migrando su Nómina a SAP SuccessFactors® Employee Central Payroll o encontrando una estrategia de datos para su sistema no productivo (y muchos otros retos). Hoy, me centraré en el impacto de su capacidad para gestionar los riesgos de acceso, tanto si está implementando SuccessFactors, S/4HANA o RISE with SAP®.
A medida que las empresas migran a la nube, la importancia de mantener la integridad, confidencialidad y disponibilidad de los datos es cada vez mayor para mejorar la agilidad, reducir los costes y lograr una mejor escalabilidad. La gobernanza, el riesgo y el cumplimiento (GRC) también deben seguir siendo una prioridad máxima. Con la funcionalidad trasladándose off-premise y quizás fuera de SAP, es esencial garantizar que todos sus sistemas cumplen los requisitos de seguridad y conformidad necesarios, y que puede detectar conflictos en la Segregación de Funciones (SoD) entre ellos. La aplicación de prácticas eficaces de GRC y una estrategia de seguridad sólida son factores clave para mitigar los riesgos (externos e internos) asociados al funcionamiento en la nube.
A pesar de que, durante los últimos años, los hackers externos se han centrado en atacar los sistemas SAP, la mayor amenaza, con diferencia, siguen siendo los agentes internos. Según el último estudio de Ponemom, las amenazas internas han aumentado tanto en frecuencia como en coste en los últimos dos años, suponiendo ahora una media de 15,38 millones de dólares.
Estas amenazas pueden ser actos deliberados de empleados descontentos, individuos curiosos que ponen a prueba los límites de sus accesos o simplemente errores cometidos al realizar transacciones potentes. La probabilidad de que se produzca cualquiera de estas situaciones es mucho mayor ahora que la mayor parte de la plantilla trabaja desde casa, lejos del escrutinio de sus compañeros y supervisores.
Estas amenazas cada vez mayores (como el aumento del escrutinio normativo, la complejidad de los procesos empresariales y la importancia de la gestión de la reputación) son algunas de las múltiples razones por las que la GRC adquiere cada vez más importancia en el panorama empresarial actual.
La aplicación del RGPD y otras legislaciones sobre privacidad de datos significa que también debemos hacer mucho más hincapié en la confidencialidad de los datos de nuestros sistemas SAP. El concepto de "privacidad por diseño" del RGPD exige que solo las personas que necesiten acceder a datos específicos para realizar su trabajo tengan acceso a los mismos.
En el caso de SAP, la decisión de migrar a la nube se ha hecho aún más urgente en los últimos años, debido a múltiples factores, entre ellos:
Además, la propia SAP está presionando a las empresas para que se pasen a la nube. El soporte estándar para el Enterprise Central Component (ECC) local de SAP finaliza en 2027, lo que hace que la decisión sea aún más urgente.
La primera opción recomendada por SAP para esta transición es RISE with SAP, de hecho, actualmente sus vendedores no recomiendan ninguna solución local.
Así pues, dado este movimiento generalizado hacia la nube, examinemos algunos de los retos más comunes en de las rutas más populares. Elija su opción y obtenga más información sobre cómo gestionar los diferentes riesgos durante su migración a la nube.
Migrar su sistema SAP HCM a la nube es un gran paso para modernizar sus procesos de RR.HH. y ser más eficiente a la hora de responder a las necesidades empresariales. Al elegir SuccessFactors, se beneficiará de muchas ventajas, como una mayor precisión de los datos, informes más rápidos y una mayor colaboración entre RR.HH. y otros departamentos.
Dicho esto, no podemos olvidar que estamos tratando con información sensible y personal (salarios, datos de identificación personal, etc.). Si estos datos se alojan en la nube, donde más personas podrían acceder a ellos con menos control, podrían ser más vulnerables a accesos no autorizados y ciberataques. También tendremos que considerar los conflictos de SoD entre las acciones que un usuario puede ejecutar en SuccessFactors, y las acciones que podría ejecutar en ECP, por ejemplo. Esto aumenta la complejidad de la gestión de la seguridad y los riesgos de acceso en nuestro sistema, además del resto de retos adicionales a los que se enfrentará en SuccessFactors.
El concepto de autorización ha cambiado de SAP HCM a SuccessFactors, pasando de basarse en ABAP a basarse en Permissions, y este concepto sigue evolucionando. Como consecuencia, muchas soluciones GRC no tienen un ruleset maduro para SuccessFactors y no son capaces de evaluar los riesgos en este entorno, o los riesgos entre sistemas entre EC y ECP. También debemos ser conscientes de que la replicación de datos de RR.HH. entre EC y ECP añade riesgos adicionales, ya que los datos deben estar protegidos en ambos sistemas.
Otro reto a la hora de gestionar los riesgos de acceso en un sistema en la nube, en general, puede ser la visibilidad limitada de los registros. Antes podíamos monitorizar todas las acciones a través del audit log SM20, pero esta opción ya no estará disponible. Esta falta de visibilidad de lo que está sucediendo en el entorno de SuccessFactors dificulta la detección y respuesta a los riesgos en el sistema, impulsando la implementación de otras soluciones más costosas para poder detectar y responder a estos incidentes de seguridad.
Curiosamente, Soterion ofrece una de las pocas herramientas GRC que cuenta con un ruleset disponible para SuccessFactors. Muchas organizaciones intentan desarrollar las suyas propias, pero el hecho de que el concepto de "Permissions" siga evolucionando hace que el mantenimiento no sea sencillo.
Como puede ver, son muchos los retos y peculiaridades a los que puede enfrentarse durante su migración a SuccessFactors, por lo que le alegrará saber que Soterion puede ayudarle, esta herramienta puede detectar posibles amenazas de seguridad y accesos no autorizados a datos sensibles de RR.HH., dándole más visibilidad a su sistema.
Además, podrá comprobar los riesgos de SoD a través de EC y ECP. Podrá estar seguro de la confidencialidad, integridad y disponibilidad de sus datos de RR.HH. en su sistema en la nube y reducir el riesgo de brechas de seguridad e infracciones de cumplimiento.
Cuando se trata de proyectos de S/4HANA, la seguridad suele recibir menos atención que otros factores como la funcionalidad y la experiencia del usuario, y las limitaciones de tiempo a menudo pueden llevar a la clásica afirmación: "Ya arreglaremos la seguridad más tarde". Sin embargo, dado que la seguridad en S/4HANA es mucho más complicada, esta actitud puede crear enormes riesgos y amenazas para el sistema, que son mucho más difíciles de remediar.
No solo debemos considerar la seguridad como un elemento clave desde el principio de la migración, sino que también debemos asegurarnos de que los datos personales estén protegidos desde el diseño, como exige el principio de "privacidad desde el diseño" del RGPD. Esto significa que la protección de datos debe integrarse en el diseño y la arquitectura del sistema, en lugar de añadirse a posteriori. Esto incluye controles de acceso, cifrado de datos y supervisión y auditorías periódicas de las actividades del sistema.
Cuando hablamos de S/4HANA, es imprescindible tener en cuenta las aplicaciones Fiori. Esta nueva interfaz, aunque moderniza y mejora la experiencia de usuario, supone también una complicación añadida para la seguridad.
Las apps Fiori tienen una arquitectura técnica diferente a las transacciones tradicionales basadas en SAP GUI, lo que obliga a adaptar y actualizar los mecanismos de seguridad utilizados para controlar el acceso al sistema. Además, está diseñado para acceder desde dispositivos móviles, con riesgos adicionales relacionados con la seguridad de los dispositivos, como perdidas o robos, redes wi-fi no seguras y datos sin cifrar. Otro punto a tener en cuenta es que algunas transacciones se sustituyen en S/4HANA, esta sustitución de las transacciones de mantenimiento de datos maestros por la transacción BP requiere una atención adicional.
También debemos examinar los riesgos de SoD actuales en el sistema SAP existente y los controles de mitigación que se hayan aplicado para garantizar que se apliquen los mismos controles, o mejores, en el nuevo sistema S/4HANA. Al realizar esta revisión, podremos asegurarnos de que los riesgos que se transferirían están controlados e identificar posibles riesgos nuevos antes de la migración.
Tras analizar los retos a los que puede enfrentarse su empresa al migrar a la nube con S/4HANA, es posible que se haya dado cuenta de la importancia de la detección y gestión temprana de los riesgos de acceso. Sin embargo, esto puede no ser especialmente fácil. Los equipos funcionales a menudo no tienen los conocimientos o las herramientas para hacerlo por sí mismos, por lo que la mejor solución para las empresas es confiar en un socio de seguridad de datos (como EPI-USE Labs) que pueda proporcionar orientación y apoyo a los equipos funcionales en la implementación de controles de seguridad y mejores prácticas.
Tras un comienzo lento, la adopción de RISE está mejorando a medida que se dispone de más información y experiencia por parte de los clientes. Si su empresa ha optado por RISE with SAP para migrar su sistema a la nube, ya sabrá que tiene acceso a una serie de servicios y soluciones incluidos en su contrato, ya sea por defecto o a elección.
SAP se encargará de gran parte de las tareas de administración y Basis, pero es importante tener en cuenta que la administración de funciones y seguridad seguirá siendo responsabilidad del cliente. En las empresas en las que los conocimientos sobre Basis y seguridad están en manos de los mismos recursos, puede resultar difícil retenerlos.
SAP parece incluir por defecto licencias de SAP GRC en los acuerdos RISE, pero esto no es obligatorio y es crucial que analice y considere su entorno propuesto antes de decidir qué incluir en su paquete. Incluso si actualmente utiliza SAP GRC, debe tener en cuenta que puede ser necesaria una costosa actualización. Además, tenga en cuenta que GRC tiene una vida útil limitada y que acabará siendo sustituido por IAG. Si va a utilizar soluciones en la nube, como SuccessFactors o Ariba, tenga en cuenta que SAP GRC no se conectará de forma nativa a sistemas no basados en ABAP y que tendrá que adquirir el puente IAG. En estos casos, podría ser ventajoso optar por una solución GRC como la de Soterion, que podrá ampliar el análisis de riesgos a todo su entorno en la nube.
Al igual que con cualquier migración a S/4HANA, es crucial empezar cuanto antes a revisar su metodología y diseño de roles actuales, la alineación del acceso de los usuarios con los requisitos de su trabajo y el grado en que se utilizará Fiori.
¿Desea obtener más información sobre lo esencial que es garantizar el futuro de la gobernanza y los riesgos en sus sistemas SAP, y sobre cómo podemos ayudarle? Acceda ahora a nuestro seminario web o póngase en contacto con nosotros para obtener una demostración gratuita hoy mismo.