Consideraciones de Seguridad y Control en SAP

5,411 views

Published on

Consideraciones que se deben tener presentes en una implementación de ERP SAP, en materia de seguridad y controles.

Published in: Technology

Consideraciones de Seguridad y Control en SAP

  1. 1. Consideraciones de Seguridad y Control En una implementación de SAP Septiembre, 2009
  2. 2. Agenda • Implementación sistema integrado ERP • Áreas de riesgo • Cómo cambian los controles con SAP • Nuestra Visión • Actividades Sugeridas de Seguridad y Control en SAP • Nuestros Servicios • Nuestras Credenciales • Nuestras Herramientas 2 Risk Consulting | Security & Privacy | Application Integrity
  3. 3. Implementación de Sistemas Integrados ERP • Las organizaciones que implementan soluciones ERP, están también reemplazando muchas de sus funciones críticas de procesamiento. • La implementación de estos sistemas típicamente: ü Requiere rediseño o adecuaciones importantes de los procesos de negocio . ü Involucra el reemplazo de la plataforma de procesamiento de datos. ü Requiere establecer una adecuada estructura de control interno en el nuevo ambiente de proceso que asegure integridad, confidencialidad y disponibilidad de la información (triada de seguridad) 3 Risk Consulting | Security & Privacy | Application Integrity
  4. 4. Areas de Riesgo Área de Riesgo Descripción ¿Son los procesos de negocio efectivos, eficientes y Integridad de los están debidamente Identificados y Controlados? Procesos de negocio ¿Quiénes tienen acceso a los sistemas?, refleja este acceso Control de Acceso adecuadamente la filosofía de accesos “necesidad de saber y hacer” - Transacciones críticas - Transacciones conflictivas e incompatibles Controles ¿Los controles están parametrizados de acuerdo a las configurados mejores prácticas de control interno? ¿Existe riesgo de una inapropiada transferencia de datos, Conversión de datos que puede ocasionar errores en procesos ¿futuros? 4 Risk Consulting | Security & Privacy | Application Integrity
  5. 5. ¿Cómo cambian los controles con la Implementación de un ERP? • Cuando las empresas implementan un ERP, su estructura de control interno cambia de variadas formas: ü Naturaleza de los controles — Desde una revisión y revalidación manual a un monitoreo continuo y on on-line. ü Puntos de Control — Desde validaciones múltiples de “Los controles en los transacciones a una única validación en el punto de creación. ERP, debe abordar el ü Cantidad de Controles — Desde muchos controles redundantes a resguardo de la unos pocos, manteniendo o realzando los controles automáticos. disponibilidad, confidencialidad e integridad de la • La configuración del ERP y el ambiente de procesamiento es complejo y información del requiere un enfoque en seguridad y control. negocio” • El control de la administración de los sistemas empleado por la empresa debe cambiar también para asegurar que las actividades de control existen para administrar los riesgos. Si los controles no existen, el nivel de exposición a fallas y riesgos de negocio aumenta 5 Risk Consulting | Security & Privacy | Application Integrity
  6. 6. Nuestra Visión • Muchas empresas no piensan en la seguridad y los controles durante la implementación del ERP Esto se presenta en los upgrade de sistemas. ERP. • La configuración de parámetros de control no son usados efectivamente: ü Ciertos ajustes de la configuración obstaculizan la eficiencia en el flujo de los procesos. ü No se sabe que existen ciertos parámetros de control. Una visión integral de ü La seguridad no está diseñada para aprovechar controles control y riesgo configurables. Es nuestro compromiso para • Segregación de funciones inadecuada puede resultar en la necesidad de generar valor controles compensatorios. Somos la firma líder en servicios de consultoría en seguridad de la información y riesgos “ La seguridad y el control en la implementación del ERP, pasa a tecnológicos en el mundo. Fuente: The Forrester WaveTM: ser un tema secundario “ Information Security Consulting, Q1 2009, 6 Risk Consulting | Security & Privacy | Application Integrity
  7. 7. Actividades Sugeridas de Seguridad y Control en SAP • Integridad de los Procesos de Negocio ü Implementación de técnicas de Integridad (Ej. presentación, registro, disponibilidad, otros) relacionados a rediseño de procesos de negocio. • Seguridad de Aplicación SAP ü Diseño, configuración e implementación de aplicaciones de Seguridad de SAP. • Controles de segruidad de la aplicación (parámetros de seguridad BCBC) • Controles de procesos de negocio ( (customizing) • Controles de roles y perfiles de usuario ( (profile generator) • Interface e Integridad de Datos ü Implementación de técnicas de Integridad lo cual asegura la exactitud y completo procesamiento de interfaces entre las aplicaciones legacy software de terceros y SAP. legacy, ü Análisis de Integridad de datos lo cual lleva a actividades de limpieza previas a la conversión de datos e implementación de interface. 7 Risk Consulting | Security & Privacy | Application Integrity
  8. 8. Actividades Sugeridas de Seguridad y Control en SAP, cont. • Algunos controles configurables los cuales son usados, o usados inapropiadamente, durante una pre o post implementación son: ü Estrategia de Liberación. ü Limites de Tolerancia ü Grupos de Autorización. ü User Parameter ID’s ü Validación de datos de entrada ü Bloqueo de documentos ü Limites de crédito ü Autorizaciones por ajustes de inventario ü Valores por defecto ü Campos obligatorios . 8 Risk Consulting | Security & Privacy | Application Integrity
  9. 9. 7 Puntos Claves a Considerar 1. En una implementación de SAP es recomendable contemplar un frente de Seguridad y Controles que aborde estas materias. 2. El frente de Seguridad y Controles es recomendable que sea independiente del Implementador. 3. Se debe abordar la integridad (exactitud, validez y totalidad) de la información que es migrada desde los sistemas Legacy (legados) a SAP. 4. Se debe abordar la seguridad de los roles y perfiles de usuario respecto al otorgamiento de transacciones críticas e incompatibles. 5. Se debe abordar una revisión de los controles configurados del sistema en relación al marco de control deseado por la empresa. 6. Se debe contemplar mecanismos de seguridad y control para las interfaces con las que el sistema SAP deberá interactuar. 7. Se debe abordar la seguridad y controles relacionados con los desarrollos internos de tablas, programas y transacciones SAP. 9 Risk Consulting | Security & Privacy | Application Integrity
  10. 10. Preguntas 10 Risk Consulting | Security & Privacy | Application Integrity
  11. 11. Application Integrity Credenciales 11 Security & Privacy | Risk Consulting © 2009 Deloitte
  12. 12. Nuestra Experiencia Soluciones SAP GRC (Governance, Risk & Compliance) Cliente Industria Línea de Descripción Servicio Consumer Application • Implementación de solución SAP GRC Access Business Integrity Control • Compliance Calibrator • Access Enforcer • Role Expert • Fire Fighter Manufacturing Application • Implementación de solución SAP GRC Access Integrity Control • Compliance Calibrator • Access Enforcer • Role Expert • Fire Fighter Financial Application •Implementación de solución SAP GRC Access Implementación Services Integrity Control • Compliance Calibrator • Fire Fighter 12 Risk Consulting | Security & Privacy | Application Integrity
  13. 13. Nuestra Experiencia Seguridad y Auditoría SAP Cliente Industria Línea de Descripción Servicio Energy & Application • Proyecto de Rediseño de Perfiles en SAP R/3 Resources Integrity • Auditoría a los procesos de negocio en SAP R/3 • Implementación de SAP AIS (Audit Information Systems) Systems • Capacitación en auditoría y seguridad en SAP R/3 Consumer Application • Proyecto de Rediseño de Perfiles en SAP R/3 Business Integrity • Desarrollo de Procedimientos de Seguridad en SAP • Auditoría a los procesos de negocio en SAP R/3 (SOX SOX) • Administración de Perfiles de usuarios en SAP • Quality Assurance de Seguridad Desarrollos internos (Y-Z) (Y Energy & Application • Auditoría y seguridad en SAP R/3 – módulo SD y BC Resources Integrity • Capacitación en auditoría y seguridad en SAP • Remediación de Seguridad Desarrollos Internos (Z) 13 Risk Consulting | Security & Privacy | Application Integrity
  14. 14. Nuestra Experiencia Seguridad y Auditoría SAP Cliente Industria Línea de Descripción Servicio Energy & Application • Proyecto de Rediseño de Perfiles en SAP R/3 - ISU Resources Integrity • Auditoría y seguridad en SAP R/3 – módulo BC • Capacitación en auditoría y seguridad en SAP • Administración de Perfiles de usuarios en SAP Manufacturing Application • Proyecto de Rediseño de Perfiles en SAP R/3 Integrity • Desarrollo de Procedimientos de Seguridad en SAP • Auditoría a los procesos de negocio en SAP R/3 ( (SOX) • Remediación de Seguridad Desarrollos Internos (Y (Y-Z) • Administración de Perfiles de usuarios en SAP Manufacturing Application • Proyecto de Rediseño de Perfiles en SAP R/3 Integrity • Desarrollo de Procedimientos de Seguridad en SAP • Auditoría a los procesos de negocio en SAP R/3 • Capacitación en auditoría y seguridad en SAP R/3 • Administración de Perfiles de usuarios en SAP 14 Risk Consulting | Security & Privacy | Application Integrity
  15. 15. Nuestra Experiencia Seguridad y Auditoría SAP Cliente Industria Línea de Descripción Servicio Manufacturing Application • Auditoría a Procesos de Negocio en SAP R/3 Integrity • Capacitación en auditoría SAP R/3 (equipo de auditoría interna) • Estrategia Corporativa de Adm. de Perfiles de usuario en SAP Manufacturing Application • Diseño de Perfiles de Usuario en SAP R/3 Integrity • Administración de Perfiles de usuarios en SAP Financial Application • Capacitación en auditoría SAP R/3 (equipo de Services Integrity auditoría interna) Public Sector Application • Capacitación en Auditoría y Seguridad en SAP R/3 Integrity (equipo de fiscalizadores de empresas del estado) 15 Risk Consulting | Security & Privacy | Application Integrity
  16. 16. Nuestra Experiencia Seguridad y Auditoría SAP Cliente Industria Línea de Descripción Servicio Energy & Application • Capacitación en auditoría SAP R/3 (equipo de Resources Integrity auditoría interna) Manufacturing Application • Rediseño de Perfiles de Usuario en SAP R/3 Integrity • Capacitación en auditoría y seguridad en SAP R/3 Manufacturing Application • Rediseño de Perfiles de Usuario en SAP R/3 Integrity • Capacitación en auditoría y seguridad en SAP R/3 • Remediación de Seguridad Desarrollos Internos (Y-Z) (Y Energy & Application • Rediseño de Roles y Perfiles SAP Resources Integrity • Procedimientos de Seguridad en SAP Manufacturing Application • Diagnóstico de Seguridad y Controles Integrity (Implementación de SAP R/3) • Capacitación en Seguridad y Auditoría SAP 16 16 Risk Consulting | Security & Privacy | Application Integrity
  17. 17. Nuestra Experiencia Seguridad y Auditoría SAP Cliente Industria Línea de Descripción Servicio Energy & Application • Auditoría a la Integridad de los procesos de Resources Integrity negocio en SAP R/3 Real State Application • Modelo de Seguridad de Roles y Perfiles en SAP en Integrity la Implementación SAP (R/3 y SI Real State) • Quality Assurance de Controles en SAP (Implementación BBP R/3 – SI Real State) Manufacturing Application • Rediseño de Perfiles de Usuario en SAP R/3l Integrity • Remediación de Seguridad Desarrollos Internos (Y (Y- Z) Utility Services Application • Rediseño de Roles y Perfiles en SAP R/3 – ISU Integrity • Procedimiento de Seguridad para SAP Automotive Application • Diagnóstico de Seguridad y Controles Integrity (Implementación de SAP R/3) • Capacitación en Seguridad y Auditoría SAP 17 Risk Consulting | Security & Privacy | Application Integrity
  18. 18. Nuestra Experiencia Seguridad y Auditoría SAP Cliente Industria Línea de Descripción Servicio Consumer Application • Frente de Seguridad y Controles SAP – Proyecto Business Integrity One – Implementación SAP - Retail • QA Roles y Perfiles SAP • Procedimientos de Seguridad en SAP Automotive Application • Diagnóstico de Seguridad y Controles Integrity (Implementación de SAP R/3 y SI Automotive) IManufacturing Application • Quality Assurance de Roles y Perfiles Integrity (Implementación SAP R/3) Energy & Application • Frente de Seguridad y Controles SAP – Proyecto Resources Integrity CGE+ - Implementación SAP - Utilities • QA Roles y Perfiles SAP • QA de Controles Configurados • Procedimientos de Seguridad en SAP Public Sector Application • Rediseño de Roles y Perfiles SAP Integrity • Procedimientos de Administración de Seguridad SAP 18 Risk Consulting | Security & Privacy | Application Integrity
  19. 19. Risk Consulting ¿Qué nos diferencia? 19 Security & Privacy | Risk Consulting Footer © 2009 Deloitte
  20. 20. Risk Consulting Los mercados mundiales, las autoridades regulatorias y Deloitte es elegida la mejor Firma en los inversionistas exigen que las empresas, sus gerentes y directores, gestionen eficientemente los consultoría de riesgo del mundo riesgos de sus negocios.. El estudio “Identificando y seleccionando la consultora de •Conocemos su industria y sus necesidades Conocemos riesgo correcta” realizado por la empresa de investigación “Mientras nuestro en tecnología y mercado, Forrester, situó a Deloitte como la específicas cliente se focaliza en •Contamos con metodologías -desarrolladas por la desarrolladas mejor Firma en consultoría de riesgo a nivel mundial, por su estrategia integrada y multidisciplinaria para enfrentar este los objetivos de sus Firma- que permiten evaluar y modelar los riesgos tipo de asesoría. de los procesos, controlar e identificar los riesgos negocios, nuestros asociados a la integridad de la información expertos le ayudan a mantenida en ERPs, implementar soluciones para , “Deloitte alcanzó el primer lugar en este estudio que incluyó la gestión de Gobernabilidad, Riesgos y el análisis de 37 compañías del mundo que entregan este aumentar la Cumplimiento (GRC) y otros sistemas, así como ) tipo de servicios”. confiabilidad de sus realizar la función de auditoría interna.. “Deloitte enfoca sus proyectos desde la perspectiva de que operaciones, sus riesgo y rentabilidad son inseparables. Su énfasis en la sistemas y su Inteligencia en Riesgo y su Enterprise Value Map ayuda a los clientes a integrar el entendimiento de los riesgos y información, gestionarlos en los procesos existentes creando un cambio cultural desde el primer nivel de las decisiones estratégicas aportando al valor de hasta las tecnologías de primera línea y controles”. su empresa.” “Deloitte cuenta con la oferta más completa entre los proveedores fuertes se servicios de riesgo”. “Deloitte ofrece una amplia gama de competencias de gestión de riesgos, entregado por su entendimiento de la industria y el cliente, combinando adecuadamente sus competencias para garantizar soluciones globales”. The Forrester WaveTM: Risk Consulting Services, Q2 2007”, Michael Rasmussen and Chris McClean 20 Risk Consulting | Security & Privacy | Application Integrity
  21. 21. Risk Consulting - Servicios de S&P •Estudio de Forrester nos sitia como la firma líder en servicios de consultoría en seguridad de la información y riesgos tecnológicos en el mundo. “Deloitte, la firma líder en servicios de consultoría en seguridad de la información y riesgos tecnológicos” 21 Risk Consulting | Security & Privacy | Application Integrity
  22. 22. Capacidades Globales de los Servicios de S&P World-wide: RegionPractitioners Core Security & Privacy IT Risk Management Risk Consulting Consulting & Advisory Americas 800 2610 5850 23,000 EMEA 390 1,100 3000 14,635 APAC/Japan 240 580 1,150 4,990 Total 1,430 4,290 10,000 42, 625 Global Deloitte network brings critical mass, cross cross-functional knowledge to every solution Security Technology Centers Security Technology Centers >1500 Certified Information Security Auditors / Managers (CISA/CISM) >700 Certified Information London Amsterdam Systems Security Professionals VancouverCalgary Calgary Montreal London Frankfurt Brussels Frankfurt Vancouver Ottawa Montreal Brussels Amsterdam (CISSP) Ottawa Paris Tokyo Tokyo Toronto New York Toronto Chicago Madrid Madrid San Jose San Jose Chicago Santa Ana Santa Ana >150 Trained Consultants & Lead System Auditors Mexico Hong Kong Hyderabad >120 Certified Information Bogotá Bogot á Privacy Professionals (CIPP) Certified Project Management Professionals (PMP) São Paulo São Paulo Johannesburg Santiago Buenos Aires Buenos Aires Sydney Sydney Deloitte has 23 Technology Centers strategically located around Deloitte has 24 Security Technology Centers strategically located around the globe 22 Risk Consulting | Security & Privacy | Application Integrity
  23. 23. Capacidades Locales de S&P Certificaciones de Nuestros Algunos de Nuestros Clientes en los Últimos Años Profesionales E&R Financiero Retail TMT H&C Nuestros Metodologías Nuestras Alianzas 23 Risk Consulting | Security & Privacy | Application Integrity
  24. 24. “Deloitte” es la marca bajo la cual decenas de miles de profesionales comprometidos alrededor del mundo se unen para brindar servicios de auditoría, consultoría, manejo del riesgo, asesoramiento financiero y en impuestos para selectos clientes. Estas firmas son miembro de Deloitte Touche Tohmatsu, una asociación suiza (“DTT”). Cada una de las Firmas miembro brinda servicios en un área geográfica específica y está sujeta a las leyes y regulaciones profesionales del país o países en los que opere. DTT ayuda a coordinar las actividades de las Firmas miembro, pero no brinda servicios por sí misma. DTT y las Firmas miembro son entidades separadas legales e independientes, sin intervención alguna sobre las demás. DTT y cada una de las Firmas miembro de DTT son las únicas responsables por sus propios actos u omisiones, y no por los de las demás. Cada Firma miembro de DTT está estructurada de forma diferente, de acuerdo con las leyes, prácticas aduaneras y regulaciones nacionales, entre otros, y son libres de prestar los servicios profesionales en sus territorios a través de sus respectivas subsidiarias o entidades afiliadas. ©2009 - Deloitte. Todos los derechos reservados
  25. 25. Oficina central Av. Providencia 1760 Pisos 6, 7, 8, 9, 13 y 18 Providencia, Santiago Chile Fono: (56-2) 729 7000 Fax: (56-2) 374 9177 e-mail: deloittechile@deloitte.com Regiones Cap. Arturo Prat 461 Oficina 1902 Antofagasta Chile Fono: (56-55) 44 9660 Fax: (56-55) 44 9662 e-mail: antofagasta@deloitte.com 1 Poniente 123 Piso 7 Viña del Mar Chile Fono: (56-32) 246 6111 Fax: (56-32) 246 6086 e-mail: vregionchile@deloitte.com O’Higgins 940 Piso 6 Concepción Chile Fono: (56-41) 291 4055 Fax: (56-41) 291 4066 e-mail: concepcionchile@deloitte.com Libertador Bernardo O’Higgins 167 Oficina 603 Puerto Montt Chile Deloitte® se refiere a Deloitte Touche Tohmatsu -asociación suiza- y a su red de firmas miembro, Fono: (56-65) 288 600 cada una como una entidad única e independiente. Por favor, vea en www.deloitte.cl/acerca de la Fax: (56-65) 298 600 descripción detallada de la estructura legal de Deloitte Touche Tohmatsu y sus Firmas miembro. e-mail: puertomontt@deloitte.com © 2009 Deloitte. Miembro de Deloitte Touche Tohmatsu Todos los derechos reservados. www.deloitte.cl 25 Footer © 2009 Deloitte

×