Servicios de Seguridad SAP GRC - inprosec.es · BRM: Business Role Management Definición de la...

26
Servicios de Seguridad SAP ® GRC

Transcript of Servicios de Seguridad SAP GRC - inprosec.es · BRM: Business Role Management Definición de la...

Page 1: Servicios de Seguridad SAP GRC - inprosec.es · BRM: Business Role Management Definición de la nomenclatura de roles única para todos los sistemas. Creación de roles en múltiples

Servicios de Seguridad SAP® GRC

Page 2: Servicios de Seguridad SAP GRC - inprosec.es · BRM: Business Role Management Definición de la nomenclatura de roles única para todos los sistemas. Creación de roles en múltiples

Presentación

SAP GRC AC PC GTS

Soporte SAP GRC

Nosotros

Experiencia

Tenemos una sólida experiencia, habiendo realizado numerosos proyectos tanto para grandes empresas como multinacionales.

Áreas de negocio

Las áreas de negocio en las que

Inprosec desarrolla su actividad

son:

- SAP®

• Seguridad SAP®

• SAP® GRC

- Seguridad de la información.

DISPONIBILIDAD

INFORMACIÓN

Presentación

Certificaciones

Además de su formación académica, las Personas que forman parte del equipo de Consultoría de Inprosec son especialistas en Seguridad y Gestión de Proyectos: certificaciones CISA, CSX, ITIL, ISO 27001, Prince2 y SAP GRC.

8.85 Nota media obtenida por Inprosec en 2016 según nuestros clientes

Page 3: Servicios de Seguridad SAP GRC - inprosec.es · BRM: Business Role Management Definición de la nomenclatura de roles única para todos los sistemas. Creación de roles en múltiples

Presentación

SAP GRC AC PC GTS

Soporte SAP GRC

Nosotros

SAP GRC

SAP® GRC es un software ofrecido por SAP® que sirve para:

Automatizar procesos GRC

Integrar la gestión de riesgos en la estrategia, planificación y ejecución

operativa.

Gestionar los riesgos de la

empresa a tiempo real

Eficiencia

Apoyo en la Toma de Decisiones

Reducción de Riesgos

Page 4: Servicios de Seguridad SAP GRC - inprosec.es · BRM: Business Role Management Definición de la nomenclatura de roles única para todos los sistemas. Creación de roles en múltiples

Presentación

SAP GRC AC PC GTS

Soporte SAP GRC

Nosotros

SAP GRC

Los módulos de SAP® GRC

SAP® GRC está compuesto por 7 módulos. Destacamos 2:

- Access Control: Aplicación para monitorizar, evaluar y controlar los accesos y autorizaciones de los usuarios del sistema.

- Process Control: Se asegura el cumplimiento de las políticas de la empresa.

SAP GRC

Access Control

Process Control

Risk Management

Global Trade

Services

Audit Management

Nota Fiscal electrónica

Fraud Management

Page 5: Servicios de Seguridad SAP GRC - inprosec.es · BRM: Business Role Management Definición de la nomenclatura de roles única para todos los sistemas. Creación de roles en múltiples

Presentación

SAP GRC AC PC GTS

Soporte SAP GRC

Nosotros

Monitoriza, evalúa y controla los accesos y autorizaciones de los usuarios del sistema

ARA

Access Risk Analysis

ARM

Access Request Management

EAM

Emergency Access Management

BRM

Business Role Management

SAP GRC Access Control

Access Control

Page 6: Servicios de Seguridad SAP GRC - inprosec.es · BRM: Business Role Management Definición de la nomenclatura de roles única para todos los sistemas. Creación de roles en múltiples

Presentación

SAP GRC AC PC GTS

Soporte SAP GRC

Nosotros

SAP GRC Access Control

El módulo ARA se utiliza para la vigilancia preventiva y constante de SoD, riesgos, transacciones críticas y controles atenuantes. Permite:

ARA: Access Risk Analysis

Análisis en Tiempo Real de Conflictos de Segregación de Funciones

Asegurarse que los conflictos gestionados no se vuelvan a reintroducir en el sistema

Manejar y Monitorizar los riesgos de segregación más complicados (Cross System).

Monitorización a Tiempo Real (Creación de Informes, Alertas,…).

Documentar y Gestionar los controles compensatorios

Page 7: Servicios de Seguridad SAP GRC - inprosec.es · BRM: Business Role Management Definición de la nomenclatura de roles única para todos los sistemas. Creación de roles en múltiples

Presentación

SAP GRC AC PC GTS

Soporte SAP GRC

Nosotros

SAP GRC Access Control

Petición

Aprobación

Aprovisionamiento

- Aprobar ARM Request

- Aprobar Asignaciones

de Roles

- Creación/Modificación de

una cuenta de SAP

- Asignación de

Transacción/Roles

ARM: Access Request Management Automatizar el proceso de altas,

bajas y modificaciones

Creación de diferentes etapas

de aprobación para la creación de

una cuenta SAP.

Análisis de Riesgos de Segregación de Funciones en cada

una de las peticiones

Page 8: Servicios de Seguridad SAP GRC - inprosec.es · BRM: Business Role Management Definición de la nomenclatura de roles única para todos los sistemas. Creación de roles en múltiples

Presentación

SAP GRC AC PC GTS

Soporte SAP GRC

Nosotros

SAP GRC Access Control

Esta herramienta por si sola es suficiente para justificar la implantación de GRC.

El usuario por si mismo es quien utiliza la herramienta para resetear las contraseña en cualquiera de los sistemas SAP en donde tiene una cuenta.

No hay intermediarios entre el usuario y el reseteo de contraseñas.

El beneficio es tal que una de las estrategias es la implementación de PSS en todos los entornos (Producción, Calidad y Desarrollo).

Password Self Service

ARM: Access Request Management

Page 9: Servicios de Seguridad SAP GRC - inprosec.es · BRM: Business Role Management Definición de la nomenclatura de roles única para todos los sistemas. Creación de roles en múltiples

Presentación

SAP GRC AC PC GTS

Soporte SAP GRC

Nosotros

SAP GRC Access Control

Monitorización de los accesos críticos al sistema mediante Firefighters.

Aprobaciones especiales para el acceso a Firefighters.

Notificaciones de actividad enviadas en tiempo real a los responsables definidos

Envíos de logs completos con la actividad realizada en el sistema a los responsables definidos una vez que se termine la sesión del Firefighter

EAM: Emergency Access Management

Page 10: Servicios de Seguridad SAP GRC - inprosec.es · BRM: Business Role Management Definición de la nomenclatura de roles única para todos los sistemas. Creación de roles en múltiples

Presentación

SAP GRC AC PC GTS

Soporte SAP GRC

Nosotros

SAP GRC Access Control

Gestión de roles basado en una metodología preestablecida.

BRM: Business Role Management

Definición de la nomenclatura de roles única para todos los sistemas.

Creación de roles en múltiples sistemas.

Definición de los responsables de los roles para aprobar cualquier tipo de cambio en la configuración del rol.

Page 11: Servicios de Seguridad SAP GRC - inprosec.es · BRM: Business Role Management Definición de la nomenclatura de roles única para todos los sistemas. Creación de roles en múltiples

Presentación

SAP GRC AC PC GTS

Soporte SAP GRC

Nosotros

Beneficios de implementar SAP GRC Access Control

Mejora del servicio

• Creaciones de cuentas más rápidas. • Reducción de errores en los procesos de creación. • Transparencia en la creación/modificación de cuentas. • Reducción del tiempo en la interacción con el Help-Desk. • Reseteo de contraseñas por parte de los propios usuarios sin intermediarios.

SAP GRC Access Control

Reducción del Riesgo

• Controles automáticos preventivos. • Análisis de riesgos en tiempo real. • Mejora en las evidencias de auditoría. • Mejora en la seguridad del proceso de reseteo de contraseñas.

• Automatización del proceso de usuarios claves. • Reducción del tiempo y esfuerzo en el análisis de riesgos (ARA vs Manual). • Reducción del tiempo y esfuerzo en simulaciones. • Proceso automatizado para el reseteo de cuentas mediante ARM PSS

Reducción de Costos

Page 12: Servicios de Seguridad SAP GRC - inprosec.es · BRM: Business Role Management Definición de la nomenclatura de roles única para todos los sistemas. Creación de roles en múltiples

Presentación

SAP GRC AC PC GTS

Soporte SAP GRC

Nosotros

Potenciales ahorros

SAP GRC Access Control

Auditorías

Reducción del costo de auditorías. 20-25%

Mejora de la eficiencia dentro de los procesos de auditoría.

50-60%

Administración de usuarios

Reducción de tiempo en la revisión de peticiones de acceso.

75-85%

Reducción de tiempo para crear o cambiar cuentas SAP® .

75-85%

Reducción de tiempo en la autorización de peticiones de acceso.

70-80%

Reducción de tiempo en la eliminación de accesos.

75-85%

Reducción en soporte TIC

Reducción de reportes de control de acceso.

100%

Reducción de tiempo en la elaboración de informes.

20-50%

Reducción de riesgos

Roles SoD con conflictos internos

Autorizaciones y riesgos innecesarios asignados a usuarios

Manejo inadecuado de la asignación de roles

Cuentas con diversas asignaciones no controladas.

Page 13: Servicios de Seguridad SAP GRC - inprosec.es · BRM: Business Role Management Definición de la nomenclatura de roles única para todos los sistemas. Creación de roles en múltiples

Presentación

SAP GRC AC PC GTS

Soporte SAP GRC

Nosotros

SAP GRC Process Control

Process 1 Process 2 Process 3 Process 4 Process 5 Process 6

- Mediante la monitorización, los procesos se encuentran controlados por las Personas correctas, bajo un marco de cumplimiento de las políticas internas y las regulaciones.

- Válida para entornos SAP y no SAP: Marketing, Ventas, Producción, Logística, RRHH y/o Finanzas

Process control es la herramienta de SAP® GRC que permite establecer y monitorizar controles que permitan asegurar el buen funcionamientos de los procesos y las políticas establecidas.

Page 14: Servicios de Seguridad SAP GRC - inprosec.es · BRM: Business Role Management Definición de la nomenclatura de roles única para todos los sistemas. Creación de roles en múltiples

Presentación

SAP GRC AC PC GTS

Soporte SAP GRC

Nosotros

SAP GRC Process Control

Process Control: ciclo de vida de SAP® GRC

Definición de indicadores de control. Ejemplo: SoX, ISO 27001

Ejecución de evaluación de controles periódicas.

Identificación de las errores o excepciones por aplicación de los controles.

Remediación de excepciones por aplicación de las medidas correctoras pre-definidas.

Apoyo al proceso de decisión y facilita la monitorización continua y certificación de toda la función de control.

Definir Monitorizar Excepción Resolución Informar

Page 15: Servicios de Seguridad SAP GRC - inprosec.es · BRM: Business Role Management Definición de la nomenclatura de roles única para todos los sistemas. Creación de roles en múltiples

Presentación

SAP GRC AC PC GTS

Soporte SAP GRC

Nosotros

SAP GRC Process Control

Permite tener visibilidad sobre el desempeño de los procesos. Existen 2 formas de automatizar los controles asociados a los procesos:

Monitorización programada o interactiva

Por aparición de sucesos significativos

Sistema monitorizado

Sistema monitorizado

GRC

GRC

Resultados

Consulta

Repositorio de sucesos significativos

Monitorización

Page 16: Servicios de Seguridad SAP GRC - inprosec.es · BRM: Business Role Management Definición de la nomenclatura de roles única para todos los sistemas. Creación de roles en múltiples

Presentación

SAP GRC AC PC GTS

Soporte SAP GRC

Nosotros

SAP GRC Process Control

Policy Management es una aplicación dentro del Área de SAP® GRC Process Control que permite realizar todo el ciclo de vida de administración de una Política:

Creación Publicación Verificación

Policy Management

Page 17: Servicios de Seguridad SAP GRC - inprosec.es · BRM: Business Role Management Definición de la nomenclatura de roles única para todos los sistemas. Creación de roles en múltiples

Presentación

SAP GRC AC PC GTS

Soporte SAP GRC

Nosotros

SAP GRC Process Control

Informes Verificación

Page 18: Servicios de Seguridad SAP GRC - inprosec.es · BRM: Business Role Management Definición de la nomenclatura de roles única para todos los sistemas. Creación de roles en múltiples

Presentación

SAP GRC AC PC GTS

Soporte SAP GRC

Nosotros

SAP GRC Global Trade Services

Global Trade Services es la herramienta de SAP® GRC que permite automatizar los procesos de comercio internacional. La herramienta se divide en tres Áreas fundamentales: “Compliance Management” “Customs Management” y “Risk Management”

Compliance Management

Customs Management

Risk Management

GTS

Page 19: Servicios de Seguridad SAP GRC - inprosec.es · BRM: Business Role Management Definición de la nomenclatura de roles única para todos los sistemas. Creación de roles en múltiples

Presentación

SAP GRC AC PC GTS

Soporte SAP GRC

Nosotros

SAP GRC Global Trade Services

Compliance Management

SPL

Cada gobierno mantiene listados de personas/organizaciones “indeseables” con las que no permite que se realicen tratos comerciales.

Es responsabilidad de la empresa asegurar que no se incumple con estos listados, que se actualizan constantemente.

El embargo es una prohibición gubernamental o supra gubernamental que impide el comercio con otros países.

Es común que existan cupos de importación/exportación para determinados productos.

Debe obtenerse una licencia específica antes de introducir mercancías en un territorio.

Page 20: Servicios de Seguridad SAP GRC - inprosec.es · BRM: Business Role Management Definición de la nomenclatura de roles única para todos los sistemas. Creación de roles en múltiples

Presentación

SAP GRC AC PC GTS

Soporte SAP GRC

Nosotros

SAP GRC Global Trade Services

Customs Management

La clasificación de productos bajo los distintos códigos de tarifas internacionales es imprescindible para poder transportar mercancías de manera global.

A través de listas de terceros permite mantener los productos siempre actualizados.

Se integra perfectamente con el ERP para sincronizar la información y realizar seguimiento en todo momento del estado de los movimientos de mercancías.

Calcula automáticamente los costes asociados a los aranceles.

GTS puede conectarse directamente a los sistemas informáticos aduaneros.

Page 21: Servicios de Seguridad SAP GRC - inprosec.es · BRM: Business Role Management Definición de la nomenclatura de roles única para todos los sistemas. Creación de roles en múltiples

Presentación

SAP GRC AC PC GTS

Soporte SAP GRC

Nosotros

SAP GRC Global Trade Services

Risk Management

Risk Management es el modulo de SAP® GRC GTS que permite aprovechar oportunidades comerciales y la gestión de medios de pago. • Trato Preferencial: Los acuerdos de trato preferencial consisten en reducir los

aranceles para productos que cumplan determinadas condiciones. • Restitución: La Unión Europea subvenciona ciertos productos agrarios reembolsando

la diferencia entre los precios de la UE y el precio del mercado exterior. • Cartas de Crédito: Las cartas o letras de crédito son una figura dentro del comercio

internacional que permite asegurar el pago de las transacciones. GTS permite integrar la solicitud y la recepción de esas cartas.

Page 22: Servicios de Seguridad SAP GRC - inprosec.es · BRM: Business Role Management Definición de la nomenclatura de roles única para todos los sistemas. Creación de roles en múltiples

Presentación

SAP GRC AC PC GTS

Soporte SAP GRC

Nosotros

Soporte SAP GRC

Tan importante como usar una herramienta GRC es su mantenimiento. Por este motivo, Inprosec está especializado en servicios de soporte de SAP® GRC.

Diseño de roles basado en best

practice

Creación y modificación de roles

Servicio técnico

Reseteo de contraseñas. Asignación de accesos de

emergencia. Cambios de autorización.

Gestión de tickets

Page 23: Servicios de Seguridad SAP GRC - inprosec.es · BRM: Business Role Management Definición de la nomenclatura de roles única para todos los sistemas. Creación de roles en múltiples

Presentación

SAP GRC AC PC GTS

Soporte SAP GRC

Nosotros

Inprosec: ¿por qué nosotros?

Equipo multidisciplinar Nuestra propuesta de valor

No somos incompatibles con auditorías.

Somos independientes. Somos Consultores.

No competimos en mercados que no nos son familiares.

Inprosec cuenta con un equipo plurilingüe formado por diversos perfiles académicos (ingenieros, titulados superiores,…) que desempeñan sus funciones asumiendo roles de consultores, auditores, jefes de Proyecto, etc.

Mejora continua

En un mundo en constante cambio, es fundamental aprender y mejorar para adaptarse y ofrecer servicios alineados con las necesidades de los Clientes.

. .

.

Page 24: Servicios de Seguridad SAP GRC - inprosec.es · BRM: Business Role Management Definición de la nomenclatura de roles única para todos los sistemas. Creación de roles en múltiples

Presentación

SAP GRC AC PC GTS

Soporte SAP GRC

Nosotros

Inprosec: ¿por qué nosotros?

Inprosec, fue la Empresa pionera en implementar SAP® GRC V.10 en España. Los resultados obtenidos fueron presentados como caso de éxito en el evento SAP® GRC Europe 2013 celebrado en Ámsterdam.

Inprosec, presenta el caso de estudio de implementación en la multinacional VCEAA de los 4 principales componentes de Access Control (ARA, ARM,EAM,BRM). Caso de éxito presentado en el evento SAP® GRC 2015 en Niza: reducción de más de un millón de conflictos SoD en la multinacional VCEAA gracias al empleo de un modelo de roles basado en tareas y posiciones.

Page 25: Servicios de Seguridad SAP GRC - inprosec.es · BRM: Business Role Management Definición de la nomenclatura de roles única para todos los sistemas. Creación de roles en múltiples

Presentación

SAP GRC AC PC GTS

Soporte SAP GRC

Nosotros

Inprosec: ¿por qué nosotros?

Oficinas de Inprosec España

Oficinas de Inprosec México

Países donde Inprosec ha desarrollado proyectos de Seguridad de la Información, Seguridad SAP o SAP GRC

Page 26: Servicios de Seguridad SAP GRC - inprosec.es · BRM: Business Role Management Definición de la nomenclatura de roles única para todos los sistemas. Creación de roles en múltiples

Gracias por su atención.

¿Cómo podríamos ayudarle?

www.inprosec.com