¿Cuál es el motivo de que muchas empresas hagan grandesesfuerzos por cumplir los requisitos de conformidad? La mayoríade organizaciones se enfrentan a las ordenanzas con actividadesmanuales diferentes y tecnologías fragmentadas que aumentanel coste y la complejidad de la gestión del Gobierno, Riesgo yConformidad (GRC). Esta fragmentación influye en gran medi-da en la administración del control de acceso y autorización, unade las claves de una conformidad eficaz. Diversas ordenanzasnormativas del mundo, como la Ley federal Sarbanes-Oxley deEstados Unidos, exigen a las empresas controles de acceso y auto-rización sólidos y eficaces. Puede haber miles de reglas e interde-pendencias relacionadas con los derechos de acceso en los proce-sos empresariales y sistemas informáticos. Cada vez es más difícilgestionar los controles de acceso y autorización de un modo efi-caz sin un software que automatice el proceso de analizar y com-parar estas reglas, detectando los riesgos potenciales y ofreciendoa la dirección y al departamento de TI la información que nece-sitan para tomar decisiones que garanticen la conformidad.

Soluciones SAP® para GRC probadas

Las soluciones SAP® de Gobierno, Riesgo y Conformidad ofrecenun enfoque holístico para satisfacer una amplia gama de normati-vas multisectoriales y específicas del sector. Incluyen un paquetecompleto de aplicaciones integradas dedicadas al control del acce-so, el control de los procesos, la conformidad medioambiental ycuestiones de comercio global. La aplicación SAP GRC AccessControl, una de las principales soluciones SAP para GRC,proporciona una automatización integral para detectar, solucio-nar, mitigar y evitar riesgos de acceso y autorización en la empre-sa. El resultado es una segregación correcta de las tareas, costesmás bajos, menos riesgos y mejor rendimiento empresarial.

Implementando SAP GRC Access Control como parte de unaestrategia integrada de GRC, las empresas pueden combatir los

SAP Solution BriefSoluciones SAP de Gobierno, Riesgo y Conformidad

SAP® GRC Access Control es

una aplicación líder del merca-

do para la supervisión, evalua-

ción e implementación de con-

troles de acceso y autoriza-

ción. Diseñada para ayudar a

las empresas a satisfacer la ley

federal americana de

Sarbanes-Oxley y otras orde-

nanzas, la aplicación permite a

las empresas identificar y eli-

minar rápidamente los riesgos

de autorización de los sistemas

informáticos e incorporar con-

troles preventivos en los proce-

sos empresariales respetando

la normativa vigente. El resulta-

do es una reducción importan-

te de los tiempos, riesgos y

costes asociados con el cum-

plimiento de las regulaciones.

SAP® GRC ACCESS CONTROLIdentificación, eliminación y prevención de ries-gos de acceso y autorización en toda la empresa

riesgos normativos y aquellos relacionados con el negocio de unmodo más económico.

Conformidad en el control del acceso y la autorización

Más de 500 empresas de todo el mundo se han decantado porSAP GRC Access Control para gestionar sus procesos de confor-midad para el control de acceso y autorización. SAP GRC AccessControl proporciona una aplicación completa de control deacceso que aborda los ámbitos de análisis y corrección de riesgos,gestión de roles empresariales, gestión de privilegios de superu-suario y aprovisionamiento de usuarios según las normas.

Análisis y corrección de riesgos de acceso

SAP GRC Access Control es compatible con la conformidad entiempo real las 24 horas del día y evita violaciones de seguridad ycontroles antes de que estos se produzcan. La implementacióndel software de análisis y corrección de riesgos se realiza en unasemana. Después de este período las empresas pueden analizardatos en tiempo real, descubrir problemas ocultos y garantizar laeficacia de los controles de acceso y autorización de la empresa.

Análisis de datos productivosEn lugar de basarse en descargas de datos de varias aplicaciones,SAP GRC Access Control utiliza datos en tiempo real para eva-luar los riesgos y permite a las empresas identificar los conflic-tos inmediatamente, profundizar hasta llegar a la causa final ytrazar soluciones con agilidad.

Detección de problemas ocultosSAP GRC Access Control ayuda a las organizaciones a detectarposibles violaciones normativas que de otro modo podrían pasarinadvertidas hasta efectuar una auditoría. Por ejemplo, TI puedeutilizar la aplicación para analizar de forma instantánea miles delíneas de código personalizado, para detectar y ocuparse de proble-mas de acceso de usuario ocultos antes de que causen problemas.

Segregación correcta de las responsabilidadesPara mejorar la eficacia, la aplicación ofrece la base de datos máscompleta de normas de segregación de tareas (Segregation ofDuties ó SoD) disponible para aplicaciones de SAP, Oracle,PeopleSoft y JD Edwards. También facilita a los expertos en segu-ridad que no pertenecen a TI la creación de reglas personaliza-das, empleando un lenguaje empresarial común.

Gestión de riesgos en toda la empresaSAP GRC Access Control está preparado para toda la empresa yya no es necesario implementar diferentes programas de confor-midad para cada función o aplicación empresarial. Se ocupa delos problemas de SoD y detecta, soluciona y evita los riesgos deacceso y autorización a lo largo de dos dimensiones: la amplitudde los procesos empresariales cubiertos y la profundidad de laintegración con aplicaciones de software empresariales, existen-tes y personalizadas. Sólo SAP GRC Access Control se suminis-tra con una biblioteca de reglas preconfigurada referida a proce-sos centrales como “del aprovisionamiento al pago” y “delpedido al cobro”. Gracias al ecosistema de partners de SAP, exis-

SAP® GRC Access ControlResolución de los retos de control de acceso

Obtenga seguridad Manténgase seguro

Análisis y correcciónde riesgos de acceso

Gestión de rolesempresariales

Gestión de acceso deusuario privilegiado

Aprovisionamientode usuarios según

las normas

SAP GRC ACDefinición de

gestiones de roles

SAP GRC ACGestión de privilegios

de superusuario

SAP GRC ACAprovisionamientosegún las normas

SAP GRC ACAnálisis, detección y corrección de riesgos para controles de acceso y autorización

Prevención sostenible de violaciones de segregación de tareas

Figura 1: Conformidad integral con SAP GRC Access Control

te una amplia gama de conectores disponibles para aplicacionesempresariales de diversas empresas como Oracle, PeopleSoft, JDEdwards e Hyperion.

Gestión de roles empresariales

SAP GRC Access Control llega hasta la causa de los problemasde control de acceso gracias al diseño, la evaluación y el mante-nimiento de roles estandarizados y centralizados. Como resulta-do, el software ayuda a eliminar los errores manuales y facilita laaplicación de las mejores prácticas. Los expertos técnicos y lospropietarios de los procesos empresariales pueden documentarlas definiciones de los roles, realizar evaluaciones automatizadasde los riesgos, efectuar un seguimiento de los cambios y ocupar-se del mantenimiento con facilidad, mejorando la consistencia yreduciendo los costes de TI.

Definición de roles auditablesSAP GRC Access Control pone la propiedad de los roles enmanos de los propietarios de los procesos empresariales, enlugar del personal de TI. Los propietarios de los roles puedendefinir qué acciones y permisos forman cada función, desenca-denan workflows de aprobación, documentan el estado de losroles y se ocupan del mantenimiento de los historiales de cam-bios, eliminando el uso de las hojas de cálculo para elseguimiento manual. Una función de importación masiva deroles proporciona a los clientes grandes conjuntos de roles cre-ados manualmente que posibilitan un despliegue rápido. SAPGRC Access Control ayuda a los propietarios de procesosempresariales a rediseñar los roles permitiéndoles ver todos losroles en los que se utiliza una transacción determinada o com-

parar las definiciones de roles con la forma en que se utilizan enlas aplicaciones de SAP. Durante la fase de definición, es decir,antes de que los roles entren en productivo, la función de análi-sis y corrección de riesgos en SAP GRC Access Control busca deforma proactiva y marca las violaciones de SoD.

Creación automática de rolesCuando los propietarios de los procesos han definido los roles,pueden crearlos con un par de clics del ratón. La aplicaciónrefuerza la funcionalidad de generación de perfiles, eliminandola necesidad de fusionar datos durante este proceso. Para garan-tizar la integridad de los roles, SAP GRC Access Control permitea los propietarios de los procesos empresariales comparar lasdefiniciones de roles con los contenidos de las aplicaciones deSAP y captura los análisis e informes históricos necesarios parasatisfacer a los auditores.

Gestión de acceso de usuario privilegiado

¿De qué modo pueden las empresas asignar a los usuarios unacceso privilegiado de emergencia a los sistemas empresarialessin infringir las normativas?

Inicios de sesión de superusuario rápidos y seguros En caso de emergencia, el SAP GRC Access Control permite a losusuarios llevar a cabo actividades ajenas a su rol con privilegiossimilares a los de un superusuario en un entorno controlable yauditable. Es posible asignar un ID temporal que conceda alusuario un acceso privilegiado, pero al mismo tiempo regulado.El software se implementa y administra con facilidad y es consis-tente con el resto de software de SAP en términos de utilización.

Capacidades MultifuncionalesSAP GRC Access control cubre los siguientes procesos empresariales

SAP GRC ACCESS CONTROL

SAP Oracle PeopleSoft JD Edwards Hyperion

• HR• Procure to Pay• Order to Cash• Finance

– General Accounting– Project Systems– Fixed Assets

• Basis, Security and System Administration

• Materials Management• Advanced Planning and

Optimization• Supplier Relationship

Management• Customer Relationship

Management

• HR• Procure to Pay• Order to Cash• Finance

– General Accounting– Project Systems– Fixed Assets

• System Administration

• HR• Procure to Pay• Order to Cash• Finance

– General Accounting– Fixed Assets

• System Administration

• HR/Payroll• Procure to Pay• Order to Cash• Finance

– General Accounting• Consolidations

• Custom Rules

Figura 2: Una solución para

toda la empresa

www.sap.com/spain

© 2005 by SAP AG. Todos los derechos reservados. SAP, R/3, mySAP, mySAP.com, xApps, xApp y otros pro-ductos y servicios de SAP citados en este documento, así como sus respectivos logos son marcas o marcasregistradas de SAP AG en Alemania y en otros países del mundo. Todos los demás productos o servicios quese mencionan son marcas registradas de sus respectivas empresas. Los datos que contiene este documentotienen un propósito meramente informativo. Las especificaciones nacionales de producto pueden variar.

Seguimiento de las actividades de superusuarioLa aplicación realiza un seguimiento, supervisa y registra todaslas actividades que realiza un superusuario con un ID de usuarioprivilegiado. Los informes basados en Web ofrecen a los auditoresy a los propietarios de los procesos empresariales informes deta-llados de utilización de múltiples sistemas en toda la infraestruc-tura de software SAP. Los registros de actividad incluyeninformación detallada hasta el nivel de valor de campo y permi-ten filtrar, clasificar y descargar esta información.

Aprovisionamiento de usuarios según las normas

Cuando las empresas conceden y retiran el acceso a los sistemasempresariales, con frecuencia olvidan el modo en que estos cam-bios pueden afectar a los requisitos de SoD. SAP GRC AccessControl permite el aprovisionamiento de usuarios de formatotalmente respetuosa con las normas a lo largo del ciclo de vidadel empleado y evita nuevas violaciones de SoD. Las empresaspueden automatizar el aprovisionamiento, verificar si existenproblemas de SoD, optimizar las aprobaciones y reducir la cargade trabajo para el personal de TI.

Automatización del workflow de aprovisionamientoSAP GRC Access Control automatiza incluso los procesos deaprobación más complejos. Una interfaz intuitiva, de autoservi-cio y basada en Web permite a los usuarios solicitar accesoempleando una selección contextual de las descripciones de lasfunciones, que se define con la funcionalidad de gestión de rolesempresariales de SAP GRC Access Control. El motor deworkflow dinámico del Control de acceso GRC de SAP considerala responsabilidad funcional del solicitante y el tipo de solicitudde acceso que se efectúa, y determina automáticamente el enru-tamiento apropiado para la aprobación. La aplicación evita retra-sos de aprobación de acceso dirigiendo las solicitudes hacia apro-badores secundarios cuando los aprobadores primarios no esténdisponibles o no respondan.

Aprovisionamiento de usuarios según las normas en todala empresaSAP GRC Access Control está preparado para toda la empresa yse ocupa del aprovisionamiento de usuarios según las normas dedos formas. En primer lugar, simula y detecta el riesgo de accesoen los diversos procesos empresariales antes delaprovisionamiento. En segundo lugar, se ocupa del aprovisiona-

miento de múltiples aplicaciones empresariales seleccionadas,como las de SAP y Oracle. El aprovisionamiento se efectúa deforma manual o automática a través de “agentes” en tiempo real,que se incluyen en el software de SAP o de sus partners.

Identificación de problemas de SoD en tiempo realLa aplicación evita violaciones de SoD realizando una simulaciónen tiempo real de los datos en un sistema de producción y eva-luando toda la infraestructura de software de SAP (o ajeno aSAP). Incorporando actividades de control en los procesosempresariales diarios, las organizaciones pueden detectar las vio-laciones antes de que se produzcan.

Optimización de las aprobacionesSAP GRC Access Control optimiza las solicitudes de accesocompletando automáticamente cada solicitud con informaciónsobre la identidad del usuario procedente de un directorio LDAP(Lightweight Directory Access Protocol) o de una base de datosde HR, eliminando de este modo la necesidad de intervencióndel usuario. Los encargados de la aprobación reciben un mensa-je de correo con un hipervínculo directo a la solicitud dentro dela aplicación, que les permite ver y aprobar la solicitud. La apli-cación comprueba entonces si existen violaciones de seguridadantes de actualizar automáticamente las cuentas.

Reducción de la carga de TICon SAP GRC Access Control, los propietarios de los procesosempresariales pueden definir el acceso de usuario sin tener queaprender los términos técnicos que utiliza el departamento deTI. Pueden asignar manualmente roles a los solicitantes o dise-ñar el acceso basándose en otro usuario con una función similar.La aplicación proporciona una funcionalidad de autoservicio dereseteo de contraseña que permite a los usuarios iniciar la sesiónen un portal seguro para resetear sus propias contraseñas sinayuda del departamento de TI, una característica que puedereducir las llamadas de asistencia técnica hasta en un 50%.

Control de los riesgos de acceso y autorización

SAP GRC Access Control es la aplicación más completa del sec-tor para gestionar y evitar los riesgos de acceso y autorización.Para obtener más información, visite nuestro sitio web enwww.sap.com/grc.