Servicios de Seguridad SAP GRC

Transcripción

1 Servicios de Seguridad SAP GRC

2 INFORMACIÓN DISPONIBILIDAD Experiencia Tenemos una sólida experiencia, habiendo realizado numerosos proyectos tanto para grandes empresas como multinacionales Nota media obtenida por Inprosec en 2016 según nuestros clientes Certificaciones Además de su formación académica, las Personas que forman parte del equipo de Consultoría de Inprosec son especialistas en Seguridad y Gestión de Proyectos: certificaciones CISA, CSX, ITIL, ISO 27001, Prince2 y. Áreas de negocio Las áreas de negocio en las que Inprosec desarrolla su actividad son: - SAP Seguridad SAP SAP GRC - Seguridad de la información. Soporte

3 SAP GRC es un software ofrecido por SAP que sirve para: Automatizar procesos GRC Eficiencia Apoyo en la Toma de Decisiones Gestionar los riesgos de la empresa a tiempo real Integrar la gestión de riesgos en la estrategia, planificación y ejecución operativa. Reducción de Riesgos Soporte

4 Los módulos de SAP GRC SAP GRC está compuesto por 7 módulos. Destacamos 2: Fraud Management Access Control Process Control - Access Control: Aplicación para monitorizar, evaluar y controlar los accesos y autorizaciones de los usuarios del sistema. - Process Control: Se asegura el cumplimiento de las políticas de la empresa. Nota Fiscal electrónica Risk Management Audit Management Global Trade Services Soporte

5 Access Control ARA Access Risk Analysis Access Control Monitoriza, evalúa y controla los accesos y autorizaciones de los usuarios del sistema ARM Access Request Management EAM Emergency Access Management BRM Business Role Management Soporte

6 Access Control ARA: Access Risk Analysis El módulo ARA se utiliza para la vigilancia preventiva y constante de SoD, riesgos, transacciones críticas y controles atenuantes. Permite: Análisis en Tiempo Real de Conflictos de Segregación de Funciones Monitorización a Tiempo Real (Creación de Informes, Alertas, ). Asegurarse que los conflictos gestionados no se vuelvan a reintroducir en el sistema Manejar y Monitorizar los riesgos de segregación más complicados (Cross System). Documentar y Gestionar los controles compensatorios Soporte

7 Access Control ARM: Access Request Management Automatizar el proceso de altas, bajas y modificaciones Petición - Aprobar ARM Request - Aprobar Asignaciones de Roles Aprobación - Creación/Modificación de una cuenta de SAP - Asignación de Transacción/Roles Aprovisionamiento Creación de diferentes etapas de aprobación para la creación de una cuenta SAP. Análisis de Riesgos de Segregación de Funciones en cada una de las peticiones Soporte

8 Access Control ARM: Access Request Management Password Self Service Esta herramienta por si sola es suficiente para justificar la implantación de GRC. El usuario por si mismo es quien utiliza la herramienta para resetear las contraseña en cualquiera de los sistemas SAP en donde tiene una cuenta. No hay intermediarios entre el usuario y el reseteo de contraseñas. El beneficio es tal que una de las estrategias es la implementación de PSS en todos los entornos (Producción, Calidad y Desarrollo). Soporte

9 Access Control EAM: Emergency Access Management Monitorización de los accesos críticos al sistema mediante Firefighters. Aprobaciones especiales para el acceso a Firefighters. Notificaciones de actividad enviadas en tiempo real a los responsables definidos Envíos de logs completos con la actividad realizada en el sistema a los responsables definidos una vez que se termine la sesión del Firefighter Soporte

10 Access Control BRM: Business Role Management Gestión de roles basado en una metodología preestablecida. Definición de la nomenclatura de roles única para todos los sistemas. Creación de roles en múltiples sistemas. Definición de los responsables de los roles para aprobar cualquier tipo de cambio en la configuración del rol. Soporte

11 Access Control Beneficios de implementar Access Control Mejora del servicio Creaciones de cuentas más rápidas. Reducción de errores en los procesos de creación. Transparencia en la creación/modificación de cuentas. Reducción del tiempo en la interacción con el Help-Desk. Reseteo de contraseñas por parte de los propios usuarios sin intermediarios. Reducción del Riesgo Reducción de Costos Controles automáticos preventivos. Análisis de riesgos en tiempo real. Mejora en las evidencias de auditoría. Mejora en la seguridad del proceso de reseteo de contraseñas. Automatización del proceso de usuarios claves. Reducción del tiempo y esfuerzo en el análisis de riesgos (ARA vs Manual). Reducción del tiempo y esfuerzo en simulaciones. Proceso automatizado para el reseteo de cuentas mediante ARM PSS Soporte

12 Access Control Potenciales ahorros Auditorías Reducción del costo de auditorías % Mejora de la eficiencia dentro de los procesos de auditoría % Reducción en soporte TIC Reducción de reportes de control de acceso. Reducción de tiempo en la elaboración de informes. 100% 20-50% Administración de usuarios Reducción de tiempo en la revisión de peticiones de acceso. Reducción de tiempo para crear o cambiar cuentas SAP. Reducción de tiempo en la autorización de peticiones de acceso. Reducción de tiempo en la eliminación de accesos % 75-85% 70-80% 75-85% Reducción de riesgos Roles SoD con conflictos internos Autorizaciones y riesgos innecesarios asignados a usuarios Manejo inadecuado de la asignación de roles Cuentas con diversas asignaciones no controladas. Soporte

13 Process Control Process control es la herramienta de SAP GRC que permite establecer y monitorizar controles que permitan asegurar el buen funcionamientos de los procesos y las políticas establecidas. Process 1 Process 2 Process 3 Process 4 Process 5 Process 6 - Mediante la monitorización, los procesos se encuentran controlados por las Personas correctas, bajo un marco de cumplimiento de las políticas internas y las regulaciones. - Válida para entornos SAP y no SAP: Marketing, Ventas, Producción, Logística, RRHH y/o Finanzas Soporte

14 Process Control Process Control: ciclo de vida de SAP GRC Definir Monitorizar Excepción Resolución Informar Definición de indicadores de control. Ejemplo: SoX, ISO Ejecución evaluación controles periódicas. de de Identificación de las errores o excepciones por aplicación de los controles. Remediación de excepciones por aplicación de las medidas correctoras predefinidas. Apoyo al proceso de decisión y facilita la monitorización continua y certificación de toda la función de control. Soporte

15 Process Control Monitorización Permite tener visibilidad sobre el desempeño de los procesos. Existen 2 formas de automatizar los controles asociados a los procesos: Monitorización programada o interactiva Sistema monitorizado Resultados Consulta GRC Por aparición de sucesos significativos Sistema monitorizado GRC Repositorio de sucesos significativos Soporte

16 Process Control Policy Management Policy Management es una aplicación dentro del Área de SAP GRC Process Control que permite realizar todo el ciclo de vida de administración de una Política: Creación Publicación Verificación Soporte

17 Process Control Verificación Informes Soporte

18 Global Trade Services Global Trade Services es la herramienta de SAP GRC que permite automatizar los procesos de comercio internacional. La herramienta se divide en tres Áreas fundamentales: Compliance Management Customs Management y Risk Management Compliance Management Customs Management GTS Risk Management Soporte

19 Global Trade Services Compliance Management SPL Cada gobierno mantiene listados de personas/organizaciones indeseables con las que no permite que se realicen tratos comerciales. Es responsabilidad de la empresa asegurar que no se incumple con estos listados, que se actualizan constantemente. El embargo es una prohibición gubernamental o supra gubernamental que impide el comercio con otros países. Es común que existan cupos de importación/exportación para determinados productos. Debe obtenerse una licencia específica antes de introducir mercancías en un territorio. Soporte

20 Global Trade Services Customs Management La clasificación de productos bajo los distintos códigos de tarifas internacionales es imprescindible para poder transportar mercancías de manera global. A través de listas de terceros permite mantener los productos siempre actualizados. Se integra perfectamente con el ERP para sincronizar la información y realizar seguimiento en todo momento del estado de los movimientos de mercancías. Calcula automáticamente los costes asociados a los aranceles. GTS puede conectarse directamente a los sistemas informáticos aduaneros. Soporte

21 Global Trade Services Risk Management Risk Management es el modulo de SAP GRC GTS que permite aprovechar oportunidades comerciales y la gestión de medios de pago. Trato Preferencial: Los acuerdos de trato preferencial consisten en reducir los aranceles para productos que cumplan determinadas condiciones. Restitución: La Unión Europea subvenciona ciertos productos agrarios reembolsando la diferencia entre los precios de la UE y el precio del mercado exterior. Cartas de Crédito: Las cartas o letras de crédito son una figura dentro del comercio internacional que permite asegurar el pago de las transacciones. GTS permite integrar la solicitud y la recepción de esas cartas. Soporte

22 Soporte Tan importante como usar una herramienta GRC es su mantenimiento. Por este motivo, Inprosec está especializado en servicios de soporte de SAP GRC. Diseño de roles basado en best practice Servicio técnico Creación y modificación de roles Gestión de tickets Reseteo de contraseñas. Asignación de accesos de emergencia. Cambios de autorización. Soporte

23 Inprosec: por qué nosotros? Equipo multidisciplinar Inprosec cuenta con un equipo plurilingüe formado por diversos perfiles académicos (ingenieros, titulados superiores, ) que desempeñan sus funciones asumiendo roles de consultores, auditores, jefes de Proyecto, etc... Mejora continua. En un mundo en constante cambio, es fundamental aprender y mejorar para adaptarse y ofrecer servicios alineados con las necesidades de los Clientes. Nuestra propuesta de valor No somos incompatibles con auditorías. Somos independientes. Somos Consultores. No competimos en mercados que no nos son familiares. Soporte

24 Inprosec: por qué nosotros? Inprosec, fue la Empresa pionera en implementar SAP GRC V.10 en España. Los resultados obtenidos fueron presentados como caso de éxito en el evento SAP GRC Europe 2013 celebrado en Ámsterdam. Inprosec, presenta el caso de estudio de implementación en la multinacional VCEAA de los 4 principales componentes de Access Control (ARA, ARM,EAM,BRM). Caso de éxito presentado en el evento SAP GRC 2015 en Niza: reducción de más de un millón de conflictos SoD en la multinacional VCEAA gracias al empleo de un modelo de roles basado en tareas y posiciones. Soporte

25 Inprosec: por qué nosotros? Oficinas de Inprosec España Oficinas de Inprosec México Países donde Inprosec ha desarrollado proyectos de Seguridad de la Información, Seguridad SAP o Soporte

26 Cómo podríamos ayudarle? Gracias por su atención.