En Novis tenemos una preocupación permanente por la seguridad de los datos de nuestros clientes. Como parte de nuestros proyectos de mejoras de seguridad hemos venido definiendo políticas para la administración de sistemas, las cuales están basadas en mejores prácticas de seguridad de SAP, en recomendaciones que los auditores de SAP nos hacen durante los procesos de certificación a Novis, y en buenas prácticas generales de seguridad de las normas ISO 27001.
En base a nuestra experiencia, compartimos los siguientes puntos que recomendamos validar en su organización:
La práctica usual y sus problemas
Usualmente, cuando la administración de los sistemas SAP está externalizada, las tareas de administración son ejecutadas por más de una persona. En algunos casos estos administradores utilizan una cuenta genérica, por ejemplo, al usuario “admin”, el cual está definido en todos los mandantes, incluído el mandante productivo. Esta situación conlleva los siguientes problemas:
- No se cuenta con una trazabilidad estricta e inmediata de las acciones de cada administrador que utiliza la cuenta admin. Para tener esta trazabilidad es necesario contar con un registro externo del uso de dicha cuenta, y cruzar este registro con el log de auditoría del sistema SAP, cuando es necesario.
- No es posible definir una cuenta para cada posible administrador, ya que es un proceso engorroso y supone un mayor uso de las licencias SAP del cliente.
- El usuario admin definido en el mandante productivo tiene un cierto nivel de acceso potencial a los datos de negocio del cliente. Este acceso potencial constituye un riesgo de seguridad, tanto para el cliente como para su proveedor de servicio, y es innecesario en la mayoría de los casos.
Una forma de administración segura
Un servicio de administración profesional y de calidad debe ser capaz de resolver todos los problemas mencionados más arriba, por medio de una combinación de herramientas técnicas y de políticas de uso adecuadas. De este modo, cada usuario técnico con acceso a los sistemas (soporte técnico, operadores, administradores, etc.) debería tener una cuenta de usuario propia, de modo de tener así la trazabilidad completa de todos los accesos y cambios realizados.
Por otro lado, con las herramientas y políticas adecuadas también es posible limitar al máximo la posibilidad de acceso de los usuarios técnicos a los datos del mandante productivo, y a los datos del negocio en general. Para el caso de tareas especiales de administración (aproximadamente un 5% de las actividades), o para situaciones de emergencia que requieran acceso al mandante productivo o privilegios especiales, se debe implementar un esquema de excepciones con políticas de seguridad del tipo Firefighter, que sea auditable en cualquier momento por el cliente.
Beneficios para el cliente
En conclusión, con una solución de seguridad adecuada para la administración de sistemas SAP, se genera automáticamente los siguientes beneficios:
- Los usuarios técnicos normalmente no tienen acceso a los datos de negocios del cliente.
- Hay trazabilidad completa sobre las actividades realizadas por cada usuario técnico sobre los sistemas del cliente.
- Hay un uso mínimo de las licencias SAP del cliente.
- Ante una auditoría, las prácticas de administración resultan bien evaluadas en cuanto a su cumplimiento con las exigencias estándar de seguridad.
¿Cuál es su situación actual? ¿Ha encontrado problemas similares en sus auditorías de seguridad? Háganos saber sus experiencias.
Más información de nuestros servicios en informacion@novis.com.mx
Feedback/discusión con el autor: Glen Canessa gerente de preventa Novis