Charla Roles Y Perfiles De Usuario Sap Integrando A Recursos Humanos

7,095 views

Published on

Charla realizada en el mes de octubre en Deloitte, en donde se comenta algunos tips de seguridad en los accesos y lecciones aprendidas a partir de la experiencia en implementaciones

Published in: Technology, Business
0 Comments
13 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
7,095
On SlideShare
0
From Embeds
0
Number of Embeds
61
Actions
Shares
0
Downloads
0
Comments
0
Likes
13
Embeds 0
No embeds

No notes for slide

Charla Roles Y Perfiles De Usuario Sap Integrando A Recursos Humanos

  1. 1. Gestión de roles y perfiles de usuario en SAP Integrando a Recursos Humanos Pedro Hernández, CGEIT Senior Manager Risk Consulting Deloitte Santiago de Chile, Octubre 2009
  2. 2. Agenda Contenido Relator • Bienvenida • José A. Lagos • Mejores prácticas para el diseño de roles y perfiles en • Pedro Hernández SAP • Lecciones aprendidas a partir de las implementaciones • Pedro Hernández de SAP • Automatizando la gestión de roles y perfiles SAP por • Pedro Hernández medio de SAP GRC Access Control • Caso de éxito; CORFO: Gestionando sus roles y perfiles • Claudio Gutierrez, CORFO SAP a partir de su integración con Recursos humanos • Preguntas 2 Risk Consulting | Security & Privacy | Application Integrity
  3. 3. Mejores prácticas para el diseño de roles y perfiles en SAP 3 Risk Consulting | Security & Privacy | Application Integrity © 2009 Deloitte
  4. 4. Mejores prácticas para el diseño de roles y perfiles en SAP • Los roles deben ser diseñados por funciones de negocio Función de negocio con una Ejemplo: nomenclatura mnemotecnia representativa de la función Se debe hacer un análisis de incompatibilidades y transacciones críticas a nivel del rol 4 Risk Consulting | Security & Privacy | Application Integrity
  5. 5. Mejores prácticas para el diseño de roles y perfiles en SAP, cont. • Se debe segmentar los niveles organizacionales de manera mandatoria en las autorizaciones Ejemplo: sociedad, centro • Los objetos de autorización críticos deben ser segmentados en forma mandatoria Ejemplo: clases de movimiento Se debe evitar los asteriscos “*” en los objetos de autorización críticos 5 Risk Consulting | Security & Privacy | Application Integrity
  6. 6. Mejores prácticas para el diseño de roles y perfiles en SAP, cont. • Los roles padres/hijo (derivados) deben ser utilizados siempre y cuando exista la necesidad de replicar tareas repetitivas en distintas unidades organizativas Ejemplo: sociedad y centro (distinto) / clases de movimiento (igual) y resto de la segmentación igual • Los roles compuestos se deben utilizar en caso de no tener implementado el módulo HCM (human capital management) – ex HR) para relacionar las funciones de negocio con un cargo de RR.HH. Ejemplo: Cargo è Analista de Cuentas por Pagar = Rol Compuesto Roles simples Rol Compuesto Función 1 – Rol 1 è Verificación de factura logística Función 2 – Rol 2 è Visualiza proveedor Rol 4 è Analista CxP Función 3 – Rol 3 è Sistema info de acreedores Encapsula los roles simples 6 Risk Consulting | Security & Privacy | Application Integrity
  7. 7. Mejores prácticas para el diseño de roles y perfiles en SAP, cont. • Al tener implementado el módulo HCM, es recomendable vincular los roles y perfiles con las posiciones o funciones de RR.HH. • Los roles y perfiles deben ser actualizados en un ambiente de desarrollo y luego transportados a un ambiente de prueba y productivo • No se debe hacer cambios de roles y perfiles directamente en ambiente productivo (se debe evitar esta práctica limitando los roles del administrador de perfiles en este ambiente) • El administrador de roles y perfiles no debe hacer mantención del maestro de usuarios puesto que son funciones incompatibles • La modificación de roles y perfiles debe ser instruidas por los dueños de procesos al ser los dueños de la información • Debe existir un monitoreo continuo a las transacciones críticas e incompatibles (Gestión de Seguridad de la Información) 7 Risk Consulting | Security & Privacy | Application Integrity
  8. 8. Lecciones aprendidas a partir de las implementaciones de SAP 8 Risk Consulting | Security & Privacy | Application Integrity © 2009 Deloitte
  9. 9. Lecciones aprendidas a partir de las implementaciones de SAP • En las implementaciones de SAP debe existir un frente de seguridad que se encargue del diseño e implementación de los roles y perfiles (idealmente distinto al implementador a fin de que exista control por oposición de intereses) • Es más óptimo administrar roles por función de negocio que roles hechos a la medida del usuario (se debe aplicar una lógica alineada con el negocio) • Los roles compuestos es más óptimo utilizarlos para ser relacionados con los cargos del negocio y en la medida que el módulo HCM no esté implementado • Se debe hacer roles especiales para las transacciones críticas del negocio negocio, como por ejemplo: Liberación de Pedidos de Compra o Customizing SAP • No se debe mezclar los roles por función estándar con los transacciones Y Y-Z, por lo que se deben hacer roles especiales que contengan estas transacciones 9 Risk Consulting | Security & Privacy | Application Integrity
  10. 10. Lecciones aprendidas a partir de las implementaciones de SAP, cont. • Se debe agregar seguridad a los desarrollos ABAP (Y-Z) y debe ser asociado a una transacción SAP (Y-Z) (AUTHORITY Z) (AUTHORITY-CHECK-Objeto de autorización) • Se debe realizar un análisis de incompatibilidades y de asignación de transacciones críticas en forma permanente • Es recomendable utilizar herramientas computacionales que permita hacer análisis de segregación funcional, con el fin de monitorear continuamente , estos aspectos del negocio y así evitar los rediseños de roles y perfiles permanentes • La administración de roles y perfiles no debe ser realizada por las unidades de auditoría interna, toda vez que se merma el ambiente de control interno (juez y parte – se pierde independencia) 10 Risk Consulting | Security & Privacy | Application Integrity
  11. 11. Lecciones aprendidas a partir de las implementaciones de SAP, cont. • Es recomendable que exista una función de gestión de seguridad de la información que colabore con la línea para ayudar en la administración de los roles y perfiles • Si está implementado el módulo HCM la administración de roles y perfiles SAP, podría ser realizada por Recursos Humanos (ejecución de cambios en los roles y perfiles) • Las decisiones de cambios o asignaciones de privilegios las deben tomar los dueños de la información (dueños de procesos) 11 Risk Consulting | Security & Privacy | Application Integrity
  12. 12. Automatizando la gestión de roles y perfiles SAP GRC Access Control 12 Risk Consulting | Security & Privacy | Application Integrity © 2009 Deloitte
  13. 13. Automatizando la gestión de roles y perfiles SAP por medio de SAP GRC Access Control Solución SAP Governance, Risk & Compliance Governance, 13 Risk Consulting | Security & Privacy | Application Integrity
  14. 14. Automatizando la gestión de roles y perfiles SAP por medio de SAP GRC Access Control, cont. Carrera Inicial Maraton (Limpieza) (Mantener el Orden) Identificación y Gestión Acceso Privilegiado de Usuarios Prevención Remediación de de Roles Riesgos Enterprise Role Super Privilege Compliant User Management Management Provisioning (Role Expert) (Firefighter) (Access Enforcer) Solución de definición y Solución de control de Solución de previsión del gestión de Roles acceso privilegiado cumplimiento Risk Análysis & Remediation (Compliance Calibrator) Solución deAnálisis detección y deAnálisis, remediación de riesgos para controles de acceso y autorización 14 Risk Consulting | Security & Privacy | Application Integrity
  15. 15. Automatizando la gestión de roles y perfiles SAP por medio de SAP GRC Access Control, cont. 15 Risk Consulting | Security & Privacy | Application Integrity
  16. 16. Automatizando la gestión de roles y perfiles SAP por medio de SAP GRC Access Control, cont. 16 Risk Consulting | Security & Privacy | Application Integrity
  17. 17. Automatizando la gestión de roles y perfiles SAP por medio de SAP GRC Access Control, cont. 17 Risk Consulting | Security & Privacy | Application Integrity
  18. 18. Automatizando la gestión de roles y perfiles SAP por medio de SAP GRC Access Control, cont. 18 Risk Consulting | Security & Privacy | Application Integrity
  19. 19. Automatizando la gestión de roles y perfiles SAP por medio de SAP GRC Access Control, cont. 19 Risk Consulting | Security & Privacy | Application Integrity
  20. 20. Automatizando la gestión de roles y perfiles SAP por medio de SAP GRC Access Control, cont. 20 Risk Consulting | Security & Privacy | Application Integrity
  21. 21. Automatizando la gestión de roles y perfiles SAP por medio de SAP GRC Access Control, cont. 21 Risk Consulting | Security & Privacy | Application Integrity
  22. 22. Preguntas 22 Risk Consulting | Security & Privacy | Application Integrity
  23. 23. Gestión de roles y perfiles y su integración con Recursos Humanos 23 Risk Consulting | Security & Privacy | Application Integrity © 2009 Deloitte
  24. 24. Gestión de roles y perfiles y su integración con Recursos Humanos • Caso de éxito: CORFO Implementación de un modelo se seguridad para los roles y perfiles de SAP, en donde se vinculó los roles desarrollados con el módulo HCM de SAP R/3. 24 Risk Consulting | Security & Privacy | Application Integrity
  25. 25. Application Integrity Credenciales 25 Security & Privacy | Risk Consulting © 2009 Deloitte
  26. 26. Nuestra Experiencia Soluciones SAP GRC (Governance, Risk & Compliance) , Cliente Industria Línea de Descripción Servicio Consumer Application • Implementación de solución SAP GRC Access Business Integrity Control Manufacturing Application • Implantación de solución SAP GRC Access Control Integrity Financial Application •Implementación de solución SAP GRC Access Implementación Services Integrity Control • Compliance Calibrator • Fire Fighter Manufacturing Application • Implementación de solución SAP GRC Access Integrity Control (en proceso) Energy & Application • Implementación de solución SAP GRC Access Resource Integrity Control (en proceso) Energy & Application •Implementación de solución SAP GRC Access y Implementación Resource Integrity Process Control (en proceso) 26
  27. 27. Nuestra Experiencia Seguridad y Auditoría SAP Cliente Industria Línea de Descripción Servicio Energy & Application • Proyecto de Rediseño de Perfiles en SAP R/3 Resources Integrity • Auditoría a los procesos de negocio en SAP R/3 • Implementación de SAP AIS (Audit Information Systems) Systems • Capacitación en auditoría y seguridad en SAP R/3 Consumer Application • Proyecto de Rediseño de Perfiles en SAP R/3 Business Integrity • Desarrollo de Procedimientos de Seguridad en SAP • Auditoría a los procesos de negocio en SAP R/3 (SOX SOX) • Administración de Perfiles de usuarios en SAP • Quality Assurance de Seguridad Desarrollos internos (Y-Z) (Y Energy & Application • Auditoría y seguridad en SAP R/3 – módulo SD y BC Resources Integrity • Capacitación en auditoría y seguridad en SAP • Remediación de Seguridad Desarrollos Internos (Z) 27
  28. 28. Nuestra Experiencia Seguridad y Auditoría SAP Cliente Industria Línea de Descripción Servicio Energy & Application • Proyecto de Rediseño de Perfiles en SAP R/3 - ISU Resources Integrity • Auditoría y seguridad en SAP R/3 – módulo BC • Capacitación en auditoría y seguridad en SAP • Administración de Perfiles de usuarios en SAP Manufacturing Application • Proyecto de Rediseño de Perfiles en SAP R/3 Integrity • Desarrollo de Procedimientos de Seguridad en SAP • Auditoría a los procesos de negocio en SAP R/3 ( (SOX) • Remediación de Seguridad Desarrollos Internos (Y (Y-Z) • Administración de Perfiles de usuarios en SAP Manufacturing Application • Proyecto de Rediseño de Perfiles en SAP R/3 Integrity • Desarrollo de Procedimientos de Seguridad en SAP • Auditoría a los procesos de negocio en SAP R/3 • Capacitación en auditoría y seguridad en SAP R/3 • Administración de Perfiles de usuarios en SAP 28
  29. 29. Nuestra Experiencia Seguridad y Auditoría SAP Cliente Industria Línea de Descripción Servicio Manufacturing Application • Auditoría a Procesos de Negocio en SAP R/3 Integrity • Capacitación en auditoría SAP R/3 (equipo de auditoría interna) • Estrategia Corporativa de Adm. de Perfiles de usuario en SAP Manufacturing Application • Diseño de Perfiles de Usuario en SAP R/3 Integrity • Administración de Perfiles de usuarios en SAP Financial Application • Capacitación en auditoría SAP R/3 (equipo de Services Integrity auditoría interna) Public Sector Application • Capacitación en Auditoría y Seguridad en SAP R/3 Integrity (equipo de fiscalizadores de empresas del estado) 29
  30. 30. Nuestra Experiencia Seguridad y Auditoría SAP Cliente Industria Línea de Descripción Servicio Energy & Application • Capacitación en auditoría SAP R/3 (equipo de Resources Integrity auditoría interna) Manufacturing Application • Rediseño de Perfiles de Usuario en SAP R/3 Integrity • Capacitación en auditoría y seguridad en SAP R/3 Manufacturing Application • Rediseño de Perfiles de Usuario en SAP R/3 Integrity • Capacitación en auditoría y seguridad en SAP R/3 • Remediación de Seguridad Desarrollos Internos (Y-Z) (Y Energy & Application • Rediseño de Roles y Perfiles SAP Resources Integrity • Procedimientos de Seguridad en SAP Manufacturing Application • Diagnóstico de Seguridad y Controles Integrity (Implementación de SAP R/3) • Capacitación en Seguridad y Auditoría SAP 30 30
  31. 31. Nuestra Experiencia Seguridad y Auditoría SAP Cliente Industria Línea de Descripción Servicio Energy & Application • Auditoría a la Integridad de los procesos de Resources Integrity negocio en SAP R/3 Real State Application • Modelo de Seguridad de Roles y Perfiles en SAP en Integrity la Implementación SAP (R/3 y SI Real State) • Quality Assurance de Controles en SAP (Implementación BBP R/3 – SI Real State) Manufacturing Application • Rediseño de Perfiles de Usuario en SAP R/3l Integrity • Remediación de Seguridad Desarrollos Internos (Y (Y- Z) Utility Services Application • Rediseño de Roles y Perfiles en SAP R/3 – ISU Integrity • Procedimiento de Seguridad para SAP Automotive Application • Frente de Seguridad y Controles SAP – Proyecto Integrity Evolución– Evolución Implementación SAP – Automotive: (en proceso) • Roles y Perfiles SAP 31 • Procedimientos de Seguridad en SAP
  32. 32. Nuestra Experiencia Seguridad y Auditoría SAP Cliente Industria Línea de Descripción Servicio Consumer Application • Frente de Seguridad y Controles SAP – Proyecto Business Integrity One – Implementación SAP – Retail: (en proceso) • QA Roles y Perfiles SAP • Procedimientos de Seguridad en SAP Automotive Application • Diagnóstico de Seguridad y Controles Integrity (Implementación de SAP R/3 y SI Automotive) IManufacturing Application • Quality Assurance de Roles y Perfiles Integrity (Implementación SAP R/3) Energy & Application • Frente de Seguridad y Controles SAP – Proyecto Resources Integrity CGE+ - Implementación SAP – Utilities: (en proceso) • QA Roles y Perfiles SAP • QA de Controles Configurados • Procedimientos de Seguridad en SAP Public Sector Application • Rediseño de Roles y Perfiles SAP 32 Integrity • Procedimientos de Administración de Seguridad SAP
  33. 33. Risk Consulting ¿Qué nos diferencia? 33 Security & Privacy | Risk Consulting Footer © 2009 Deloitte
  34. 34. Risk Consulting Los mercados mundiales, las autoridades regulatorias y Deloitte es elegida la mejor Firma en los inversionistas exigen que las empresas, sus gerentes y directores, gestionen eficientemente los consultoría de riesgo del mundo riesgos de sus negocios.. El estudio “Identificando y seleccionando la consultora de •Conocemos su industria y sus necesidades Conocemos riesgo correcta” realizado por la empresa de investigación “Mientras nuestro en tecnología y mercado, Forrester, situó a Deloitte como la específicas cliente se focaliza en •Contamos con metodologías -desarrolladas por la desarrolladas mejor Firma en consultoría de riesgo a nivel mundial, por su estrategia integrada y multidisciplinaria para enfrentar este los objetivos de sus Firma- que permiten evaluar y modelar los riesgos tipo de asesoría. de los procesos, controlar e identificar los riesgos negocios, nuestros asociados a la integridad de la información expertos le ayudan a mantenida en ERPs, implementar soluciones para , “Deloitte alcanzó el primer lugar en este estudio que incluyó la gestión de Gobernabilidad, Riesgos y el análisis de 37 compañías del mundo que entregan este aumentar la Cumplimiento (GRC) y otros sistemas, así como ) tipo de servicios”. confiabilidad de sus realizar la función de auditoría interna.. “Deloitte enfoca sus proyectos desde la perspectiva de que operaciones, sus riesgo y rentabilidad son inseparables. Su énfasis en la sistemas y su Inteligencia en Riesgo y su Enterprise Value Map ayuda a los clientes a integrar el entendimiento de los riesgos y información, gestionarlos en los procesos existentes creando un cambio cultural desde el primer nivel de las decisiones estratégicas aportando al valor de hasta las tecnologías de primera línea y controles”. su empresa.” “Deloitte cuenta con la oferta más completa entre los proveedores fuertes se servicios de riesgo”. “Deloitte ofrece una amplia gama de competencias de gestión de riesgos, entregado por su entendimiento de la industria y el cliente, combinando adecuadamente sus competencias para garantizar soluciones globales”. The Forrester WaveTM: Risk Consulting Services, Q2 2007”, Michael Rasmussen and Chris McClean 34 Risk Consulting | Security & Privacy | Application Integrity
  35. 35. Risk Consulting - Servicios de S&P •Estudio de Forrester nos sitia como la firma líder en servicios de consultoría en seguridad de la información y riesgos tecnológicos en el mundo. “Deloitte, la firma líder en servicios de consultoría en seguridad de la información y riesgos tecnológicos” 35 Risk Consulting | Security & Privacy | Application Integrity
  36. 36. Capacidades Globales de los Servicios de S&P World-wide: RegionPractitioners Core Security & Privacy IT Risk Management Risk Consulting Consulting & Advisory Americas 800 2610 5850 23,000 EMEA 390 1,100 3000 14,635 APAC/Japan 240 580 1,150 4,990 Total 1,430 4,290 10,000 42, 625 Global Deloitte network brings critical mass, cross cross-functional knowledge to every solution Security Technology Centers Security Technology Centers >1500 Certified Information Security Auditors / Managers (CISA/CISM) >700 Certified Information London Amsterdam Systems Security Professionals VancouverCalgary Montreal Calgary London Frankfurt Brussels Frankfurt Vancouver Ottawa Montreal Brussels Amsterdam (CISSP) Ottawa Paris Tokyo Tokyo Toronto New York Toronto Chicago Madrid Madrid San Jose San Jose Chicago Santa Ana Santa Ana >150 Trained Consultants & Lead System Auditors Mexico Hong Kong Hyderabad >120 Certified Information Bogotá Bogot á Privacy Professionals (CIPP) Certified Project Management Professionals (PMP) São Paulo São Paulo Johannesburg Santiago Buenos Aires Buenos Aires Sydney Sydney Deloitte has 23 Technology Centers strategically located around Deloitte has 24 Security Technology Centers strategically located around the globe 36 Risk Consulting | Security & Privacy | Application Integrity
  37. 37. Capacidades Locales de S&P Certificaciones de Nuestros Algunos de Nuestros Clientes en los Últimos Años Profesionales E&R Financiero Retail TMT H&C Nuestros Metodologías Nuestras Alianzas 37 Risk Consulting | Security & Privacy | Application Integrity
  38. 38. “Deloitte” es la marca bajo la cual decenas de miles de profesionales comprometidos alrededor del mundo se unen para brindar servicios de auditoría, consultoría, manejo del riesgo, asesoramiento financiero y en impuestos para selectos clientes. Estas firmas son miembro de Deloitte Touche Tohmatsu, una asociación suiza (“DTT”). Cada una de las Firmas miembro brinda servicios en un área geográfica específica y está sujeta a las leyes y regulaciones profesionales del país o países en los que opere. DTT ayuda a coordinar las actividades de las Firmas miembro, pero no brinda servicios por sí misma. DTT y las Firmas miembro son entidades separadas legales e independientes, sin intervención alguna sobre las demás. DTT y cada una de las Firmas miembro de DTT son las únicas responsables por sus propios actos u omisiones, y no por los de las demás. Cada Firma miembro de DTT está estructurada de forma diferente, de acuerdo con las leyes, prácticas aduaneras y regulaciones nacionales, entre otros, y son libres de prestar los servicios profesionales en sus territorios a través de sus respectivas subsidiarias o entidades afiliadas. ©2009 - Deloitte. Todos los derechos reservados
  39. 39. Oficina central Av. Providencia 1760 Pisos 6, 7, 8, 9, 13 y 18 Providencia, Santiago Chile Fono: (56-2) 729 7000 Fax: (56-2) 374 9177 e-mail: deloittechile@deloitte.com Regiones Cap. Arturo Prat 461 Oficina 1902 Antofagasta Chile Fono: (56-55) 44 9660 Fax: (56-55) 44 9662 e-mail: antofagasta@deloitte.com 1 Poniente 123 Piso 7 Viña del Mar Chile Fono: (56-32) 246 6111 Fax: (56-32) 246 6086 e-mail: vregionchile@deloitte.com O’Higgins 940 Piso 6 Concepción Chile Fono: (56-41) 291 4055 Fax: (56-41) 291 4066 e-mail: concepcionchile@deloitte.com Libertador Bernardo O’Higgins 167 Oficina 603 Puerto Montt Chile Deloitte® se refiere a Deloitte Touche Tohmatsu -asociación suiza- y a su red de firmas miembro, Fono: (56-65) 288 600 cada una como una entidad única e independiente. Por favor, vea en www.deloitte.cl/acerca de la Fax: (56-65) 298 600 descripción detallada de la estructura legal de Deloitte Touche Tohmatsu y sus Firmas miembro. e-mail: puertomontt@deloitte.com © 2009 Deloitte. Miembro de Deloitte Touche Tohmatsu Todos los derechos reservados. www.deloitte.cl 39 Footer © 2009 Deloitte

×