Consideraciones de Seguridad y
Control
En una implementación de SAP
Septiembre, 2009

Agenda
• Implementación sistema integrado ERP
• Áreas de riesgo
• Cómo cambian los controles con SAP
• Nuestra Visión
• Actividades Sugeridas de Seguridad y Control en SAP
• Nuestros Servicios
• Nuestras Credenciales
• Nuestras Herramientas
2 Risk Consulting | Security & Privacy | Application Integrity

Implementación de Sistemas Integrados ERP
• Las organizaciones que implementan soluciones ERP,
están también reemplazando muchas de sus funciones
críticas de procesamiento.
• La implementación de estos sistemas típicamente:
ü Requiere rediseño o adecuaciones importantes de los procesos de
negocio .
ü Involucra el reemplazo de la plataforma de procesamiento de datos.
ü Requiere establecer una adecuada estructura de control interno en el
nuevo ambiente de proceso que asegure integridad, confidencialidad y
disponibilidad de la información (triada de seguridad)
3 Risk Consulting | Security & Privacy | Application Integrity

Areas de Riesgo
Área de Riesgo Descripción
¿Son los procesos de negocio efectivos, eficientes y
Integridad de los están debidamente Identificados y Controlados?
Procesos de
negocio
¿Quiénes tienen acceso a los sistemas?, refleja este acceso
Control de Acceso
adecuadamente la filosofía de accesos “necesidad de saber
y hacer”
- Transacciones críticas
- Transacciones conflictivas e incompatibles
Controles
¿Los controles están parametrizados de acuerdo a las
configurados mejores prácticas de control interno?
¿Existe riesgo de una inapropiada transferencia de datos,
Conversión de
datos que puede ocasionar errores en procesos ¿futuros?
4 Risk Consulting | Security & Privacy | Application Integrity

¿Cómo cambian los controles con la Implementación de
un ERP?
• Cuando las empresas implementan un ERP, su estructura de control
interno cambia de variadas formas:
ü Naturaleza de los controles — Desde una revisión y revalidación
manual a un monitoreo continuo y on
on-line.
ü Puntos de Control — Desde validaciones múltiples de
“Los controles en los transacciones a una única validación en el punto de creación.
ERP, debe abordar el ü Cantidad de Controles — Desde muchos controles redundantes a
resguardo de la unos pocos, manteniendo o realzando los controles automáticos.
disponibilidad,
confidencialidad e
integridad de la • La configuración del ERP y el ambiente de procesamiento es complejo y
información del requiere un enfoque en seguridad y control.
negocio”
• El control de la administración de los sistemas empleado por la empresa
debe cambiar también para asegurar que las actividades de control
existen para administrar los riesgos. Si los controles no existen, el nivel de
exposición a fallas y riesgos de negocio aumenta
5 Risk Consulting | Security & Privacy | Application Integrity

Nuestra Visión
• Muchas empresas no piensan en la seguridad y los controles durante la
implementación del ERP Esto se presenta en los upgrade de sistemas.
ERP.
• La configuración de parámetros de control no son usados efectivamente:
ü Ciertos ajustes de la configuración obstaculizan la eficiencia en el
flujo de los procesos.
ü No se sabe que existen ciertos parámetros de control.
Una visión integral de ü La seguridad no está diseñada para aprovechar controles
control y riesgo
configurables.
Es nuestro
compromiso para • Segregación de funciones inadecuada puede resultar en la necesidad de
generar valor controles compensatorios.
Somos la firma líder en servicios
de consultoría en seguridad de la
información y riesgos
“ La seguridad y el control en la implementación del ERP, pasa a
tecnológicos en el mundo.
Fuente: The Forrester WaveTM:
ser un tema secundario “
Information Security Consulting, Q1 2009,
6 Risk Consulting | Security & Privacy | Application Integrity

Actividades Sugeridas de Seguridad y Control en SAP
• Integridad de los Procesos de Negocio
ü Implementación de técnicas de Integridad (Ej. presentación, registro,
disponibilidad, otros) relacionados a rediseño de procesos de
negocio.
• Seguridad de Aplicación SAP
ü Diseño, configuración e implementación de aplicaciones de
Seguridad de SAP.
• Controles de segruidad de la aplicación (parámetros de
seguridad BCBC)
• Controles de procesos de negocio ( (customizing)
• Controles de roles y perfiles de usuario (
(profile generator)
• Interface e Integridad de Datos
ü Implementación de técnicas de Integridad lo cual asegura la
exactitud y completo procesamiento de interfaces entre las
aplicaciones legacy software de terceros y SAP.
legacy,
ü Análisis de Integridad de datos lo cual lleva a actividades de limpieza
previas a la conversión de datos e implementación de interface.
7 Risk Consulting | Security & Privacy | Application Integrity

Actividades Sugeridas de Seguridad y Control en SAP,
cont.
• Algunos controles configurables los cuales son usados, o usados
inapropiadamente, durante una pre o post implementación son:
ü Estrategia de Liberación.
ü Limites de Tolerancia
ü Grupos de Autorización.
ü User Parameter ID’s
ü Validación de datos de entrada
ü Bloqueo de documentos
ü Limites de crédito
ü Autorizaciones por ajustes de inventario
ü Valores por defecto
ü Campos obligatorios
.
8 Risk Consulting | Security & Privacy | Application Integrity

7 Puntos Claves a Considerar
1. En una implementación de SAP es recomendable contemplar un frente de
Seguridad y Controles que aborde estas materias.
2. El frente de Seguridad y Controles es recomendable que sea independiente
del Implementador.
3. Se debe abordar la integridad (exactitud, validez y totalidad) de la
información que es migrada desde los sistemas Legacy (legados) a SAP.
4. Se debe abordar la seguridad de los roles y perfiles de usuario respecto al
otorgamiento de transacciones críticas e incompatibles.
5. Se debe abordar una revisión de los controles configurados del sistema en
relación al marco de control deseado por la empresa.
6. Se debe contemplar mecanismos de seguridad y control para las interfaces
con las que el sistema SAP deberá interactuar.
7. Se debe abordar la seguridad y controles relacionados con los desarrollos
internos de tablas, programas y transacciones SAP.
9 Risk Consulting | Security & Privacy | Application Integrity

Preguntas
10 Risk Consulting | Security & Privacy | Application Integrity

Application Integrity
Credenciales
11 Security & Privacy | Risk Consulting © 2009 Deloitte

Nuestra Experiencia
Soluciones SAP GRC (Governance, Risk & Compliance)
Cliente Industria Línea de Descripción
Servicio
Consumer Application • Implementación de solución SAP GRC Access
Business Integrity Control
• Compliance Calibrator
• Access Enforcer
• Role Expert
• Fire Fighter
Manufacturing Application • Implementación de solución SAP GRC Access
Integrity Control
• Compliance Calibrator
• Access Enforcer
• Role Expert
• Fire Fighter
Financial Application •Implementación de solución SAP GRC Access
Implementación
Services Integrity Control
• Compliance Calibrator
• Fire Fighter
12 Risk Consulting | Security & Privacy | Application Integrity

Nuestra Experiencia
Seguridad y Auditoría SAP
Cliente Industria Línea de Descripción
Servicio
Energy & Application • Proyecto de Rediseño de Perfiles en SAP R/3
Resources Integrity
• Auditoría a los procesos de negocio en SAP R/3
• Implementación de SAP AIS (Audit Information
Systems)
Systems
• Capacitación en auditoría y seguridad en SAP R/3
Consumer Application • Proyecto de Rediseño de Perfiles en SAP R/3
Business Integrity • Desarrollo de Procedimientos de Seguridad en SAP
• Auditoría a los procesos de negocio en SAP R/3
(SOX
SOX)
• Administración de Perfiles de usuarios en SAP
• Quality Assurance de Seguridad Desarrollos internos
(Y-Z)
(Y
Energy & Application • Auditoría y seguridad en SAP R/3 – módulo SD y BC
Resources Integrity
• Capacitación en auditoría y seguridad en SAP
• Remediación de Seguridad Desarrollos Internos (Z)
13 Risk Consulting | Security & Privacy | Application Integrity

Nuestra Experiencia
Seguridad y Auditoría SAP
Cliente Industria Línea de Descripción
Servicio
Energy & Application • Proyecto de Rediseño de Perfiles en SAP R/3 - ISU
Resources Integrity
• Auditoría y seguridad en SAP R/3 – módulo BC
• Capacitación en auditoría y seguridad en SAP
• Administración de Perfiles de usuarios en SAP
Manufacturing Application • Proyecto de Rediseño de Perfiles en SAP R/3
Integrity
• Desarrollo de Procedimientos de Seguridad en SAP
• Auditoría a los procesos de negocio en SAP R/3 (
(SOX)
• Remediación de Seguridad Desarrollos Internos (Y
(Y-Z)
• Administración de Perfiles de usuarios en SAP
Manufacturing Application • Proyecto de Rediseño de Perfiles en SAP R/3
Integrity
• Desarrollo de Procedimientos de Seguridad en SAP
• Auditoría a los procesos de negocio en SAP R/3
• Capacitación en auditoría y seguridad en SAP R/3
• Administración de Perfiles de usuarios en SAP
14 Risk Consulting | Security & Privacy | Application Integrity

Nuestra Experiencia
Seguridad y Auditoría SAP
Cliente Industria Línea de Descripción
Servicio
Manufacturing Application • Auditoría a Procesos de Negocio en SAP R/3
Integrity
• Capacitación en auditoría SAP R/3 (equipo de
auditoría interna)
• Estrategia Corporativa de Adm. de Perfiles de
usuario en SAP
Manufacturing Application • Diseño de Perfiles de Usuario en SAP R/3
Integrity
• Administración de Perfiles de usuarios en SAP
Financial Application • Capacitación en auditoría SAP R/3 (equipo de
Services Integrity auditoría interna)
Public Sector Application • Capacitación en Auditoría y Seguridad en SAP R/3
Integrity
(equipo de fiscalizadores de empresas del estado)
15 Risk Consulting | Security & Privacy | Application Integrity

Nuestra Experiencia
Seguridad y Auditoría SAP
Cliente Industria Línea de Descripción
Servicio
Energy & Application • Capacitación en auditoría SAP R/3 (equipo de
Resources Integrity auditoría interna)
Manufacturing Application • Rediseño de Perfiles de Usuario en SAP R/3
Integrity
• Capacitación en auditoría y seguridad en SAP R/3
Manufacturing Application • Rediseño de Perfiles de Usuario en SAP R/3
Integrity
• Capacitación en auditoría y seguridad en SAP R/3
• Remediación de Seguridad Desarrollos Internos
(Y-Z)
(Y
Energy & Application • Rediseño de Roles y Perfiles SAP
Resources Integrity
• Procedimientos de Seguridad en SAP
Manufacturing Application • Diagnóstico de Seguridad y Controles
Integrity (Implementación de SAP R/3)
• Capacitación en Seguridad y Auditoría SAP
16
16 Risk Consulting | Security & Privacy | Application Integrity

Nuestra Experiencia
Seguridad y Auditoría SAP
Cliente Industria Línea de Descripción
Servicio
Energy & Application • Auditoría a la Integridad de los procesos de
Resources Integrity negocio en SAP R/3
Real State Application • Modelo de Seguridad de Roles y Perfiles en SAP en
Integrity la Implementación SAP (R/3 y SI Real State)
• Quality Assurance de Controles en SAP
(Implementación BBP R/3 – SI Real State)
Manufacturing Application • Rediseño de Perfiles de Usuario en SAP R/3l
Integrity
• Remediación de Seguridad Desarrollos Internos (Y
(Y-
Z)
Utility Services Application • Rediseño de Roles y Perfiles en SAP R/3 – ISU
Integrity
• Procedimiento de Seguridad para SAP
Automotive Application • Diagnóstico de Seguridad y Controles
Integrity (Implementación de SAP R/3)
• Capacitación en Seguridad y Auditoría SAP
17 Risk Consulting | Security & Privacy | Application Integrity

Nuestra Experiencia
Seguridad y Auditoría SAP
Cliente Industria Línea de Descripción
Servicio
Consumer Application • Frente de Seguridad y Controles SAP – Proyecto
Business Integrity One – Implementación SAP - Retail
• QA Roles y Perfiles SAP
• Procedimientos de Seguridad en SAP
Automotive Application • Diagnóstico de Seguridad y Controles
Integrity (Implementación de SAP R/3 y SI Automotive)
IManufacturing Application • Quality Assurance de Roles y Perfiles
Integrity (Implementación SAP R/3)
Energy & Application • Frente de Seguridad y Controles SAP – Proyecto
Resources Integrity CGE+ - Implementación SAP - Utilities
• QA Roles y Perfiles SAP
• QA de Controles Configurados
• Procedimientos de Seguridad en SAP
Public Sector Application • Rediseño de Roles y Perfiles SAP
Integrity • Procedimientos de Administración de Seguridad SAP
18 Risk Consulting | Security & Privacy | Application Integrity

Risk Consulting
¿Qué nos diferencia?
19 Security & Privacy | Risk Consulting
Footer © 2009 Deloitte

Risk Consulting
Los mercados mundiales, las autoridades regulatorias y
Deloitte es elegida la mejor Firma en
los inversionistas exigen que las empresas, sus
gerentes y directores, gestionen eficientemente los consultoría de riesgo del mundo
riesgos de sus negocios..
El estudio “Identificando y seleccionando la consultora de
•Conocemos su industria y sus necesidades
Conocemos riesgo correcta” realizado por la empresa de investigación
“Mientras nuestro en tecnología y mercado, Forrester, situó a Deloitte como la
específicas
cliente se focaliza en •Contamos con metodologías -desarrolladas por la
desarrolladas
mejor Firma en consultoría de riesgo a nivel mundial, por su
estrategia integrada y multidisciplinaria para enfrentar este
los objetivos de sus Firma- que permiten evaluar y modelar los riesgos tipo de asesoría.
de los procesos, controlar e identificar los riesgos
negocios, nuestros asociados a la integridad de la información
expertos le ayudan a mantenida en ERPs, implementar soluciones para
, “Deloitte alcanzó el primer lugar en este estudio que incluyó
la gestión de Gobernabilidad, Riesgos y el análisis de 37 compañías del mundo que entregan este
aumentar la Cumplimiento (GRC) y otros sistemas, así como
) tipo de servicios”.
confiabilidad de sus realizar la función de auditoría interna..
“Deloitte enfoca sus proyectos desde la perspectiva de que
operaciones, sus riesgo y rentabilidad son inseparables. Su énfasis en la
sistemas y su Inteligencia en Riesgo y su Enterprise Value Map ayuda a
los clientes a integrar el entendimiento de los riesgos y
información, gestionarlos en los procesos existentes creando un cambio
cultural desde el primer nivel de las decisiones estratégicas
aportando al valor de hasta las tecnologías de primera línea y controles”.
su empresa.” “Deloitte cuenta con la oferta más completa entre los
proveedores fuertes se servicios de riesgo”.
“Deloitte ofrece una amplia gama de competencias de
gestión de riesgos, entregado por su entendimiento de la
industria y el cliente, combinando adecuadamente sus
competencias para garantizar soluciones globales”.
The Forrester WaveTM: Risk Consulting Services, Q2
2007”, Michael Rasmussen and Chris McClean
20 Risk Consulting | Security & Privacy | Application Integrity

Risk Consulting - Servicios de S&P
•Estudio de Forrester nos sitia como la firma líder en
servicios de consultoría en seguridad de la información y
riesgos tecnológicos en el mundo.
“Deloitte, la firma
líder en servicios de
consultoría en
seguridad de la
información y
riesgos tecnológicos”
21 Risk Consulting | Security & Privacy | Application Integrity

Capacidades Globales de los Servicios de S&P
World-wide:
RegionPractitioners Core Security & Privacy IT Risk Management Risk Consulting Consulting &
Advisory
Americas 800 2610 5850 23,000
EMEA 390 1,100 3000 14,635
APAC/Japan 240 580 1,150 4,990
Total 1,430 4,290 10,000 42, 625
Global Deloitte network brings critical mass, cross
cross-functional knowledge to every solution
Security Technology Centers
Security Technology Centers >1500 Certified Information
Security Auditors / Managers
(CISA/CISM)
>700 Certified Information
London Amsterdam Systems Security Professionals
VancouverCalgary
Calgary Montreal London Frankfurt
Brussels Frankfurt
Vancouver Ottawa Montreal Brussels Amsterdam (CISSP)
Ottawa Paris Tokyo
Tokyo
Toronto New York
Toronto
Chicago Madrid
Madrid
San Jose
San Jose Chicago
Santa Ana
Santa Ana
>150 Trained Consultants &
Lead System Auditors
Mexico Hong Kong
Hyderabad
>120 Certified Information
Bogotá
Bogot
á Privacy Professionals (CIPP)
Certified Project Management
Professionals (PMP)
São Paulo
São Paulo
Johannesburg
Santiago Buenos Aires
Buenos Aires Sydney
Sydney
Deloitte has 23 Technology Centers strategically located around
Deloitte has 24 Security Technology Centers
strategically located around the globe
22 Risk Consulting | Security & Privacy | Application Integrity

Capacidades Locales de S&P
Certificaciones de Nuestros
Algunos de Nuestros Clientes en los Últimos Años
Profesionales
E&R
Financiero
Retail TMT H&C
Nuestros Metodologías
Nuestras Alianzas
23 Risk Consulting | Security & Privacy | Application Integrity

“Deloitte” es la marca bajo la cual decenas de miles de profesionales comprometidos alrededor del mundo se unen
para brindar servicios de auditoría, consultoría, manejo del riesgo, asesoramiento financiero y en impuestos para
selectos clientes. Estas firmas son miembro de Deloitte Touche Tohmatsu, una asociación suiza (“DTT”). Cada
una de las Firmas miembro brinda servicios en un área geográfica específica y está sujeta a las leyes y
regulaciones profesionales del país o países en los que opere. DTT ayuda a coordinar las actividades de las
Firmas miembro, pero no brinda servicios por sí misma. DTT y las Firmas miembro son entidades separadas
legales e independientes, sin intervención alguna sobre las demás. DTT y cada una de las Firmas miembro de
DTT son las únicas responsables por sus propios actos u omisiones, y no por los de las demás. Cada Firma
miembro de DTT está estructurada de forma diferente, de acuerdo con las leyes, prácticas aduaneras y
regulaciones nacionales, entre otros, y son libres de prestar los servicios profesionales en sus territorios a través
de sus respectivas subsidiarias o entidades afiliadas.
©2009 - Deloitte. Todos los derechos reservados

Oficina central
Av. Providencia 1760
Pisos 6, 7, 8, 9, 13 y 18
Providencia, Santiago
Chile
Fono: (56-2) 729 7000
Fax: (56-2) 374 9177
e-mail: deloittechile@deloitte.com
Regiones
Cap. Arturo Prat 461
Oficina 1902
Antofagasta
Chile
Fono: (56-55) 44 9660
Fax: (56-55) 44 9662
e-mail: antofagasta@deloitte.com
1 Poniente 123
Piso 7
Viña del Mar
Chile
Fono: (56-32) 246 6111
Fax: (56-32) 246 6086
e-mail: vregionchile@deloitte.com
O’Higgins 940
Piso 6
Concepción
Chile
Fono: (56-41) 291 4055
Fax: (56-41) 291 4066
e-mail:
concepcionchile@deloitte.com
Libertador Bernardo O’Higgins 167
Oficina 603
Puerto Montt
Chile
Deloitte® se refiere a Deloitte Touche Tohmatsu -asociación suiza- y a su red de firmas miembro, Fono: (56-65) 288 600
cada una como una entidad única e independiente. Por favor, vea en www.deloitte.cl/acerca de la Fax: (56-65) 298 600
descripción detallada de la estructura legal de Deloitte Touche Tohmatsu y sus Firmas miembro. e-mail: puertomontt@deloitte.com
© 2009 Deloitte. Miembro de Deloitte Touche Tohmatsu
Todos los derechos reservados. www.deloitte.cl
25 Footer © 2009 Deloitte