Uno de los mayores casos de éxito de nuestra compañía ha sido la realización de un proyecto de rediseño de roles basado en buenas prácticas que redujo en más del 96,5% los Conflictos de Segregación de Funciones que existían en diferentes sistemas SAP. Debido a ello queremos explicaros como ha sido el proceso desde el primero momento.
Dicho caso fue presentado en el Evento de SAP GRC Europa en Niza el día 18 de Junio de 2015
VCEAA es la filial de Votorantim Cimentos en Europa, África y Asia. Votorantim Cimentos forma parte del TOP 10 de las mayores cementeras del mundo:
El reto
La dificultad del rediseño de roles era la existencia de diferentes sistemas SAP para cada uno de los países, lo que dificultaba las tareas del proyecto puesto que era necesario replicar todo el modelo de roles para cada uno de los sistemas SAP. Por el otro lado, cada país tenía un modelo de roles diferente, uno basado en usuarios, otro basado en posiciones y otro basado en tareas/actividades.
Estos dos puntos hacían, por una parte, que los equipos de seguridad que gestionaban los roles tenían diferentes estrategias que impedían la centralización y por otra parte la falta de una nomenclatura global hacía muy difícil la gestión y aprovisionamiento de roles.
Solución Inprosec
Debido a la necesidad de cumplir con la regulación SoX, se dividió el proyecto en dos fases, la primera centrada en una drástica reducción de accesos para reducir riesgos y conflictos de SoD que no eran requeridos por los usuarios y una segunda fase donde se definirían las bases de un nuevo modelo de roles, basado en buenas prácticas, global de manera que los países seguirían un mismo criterio en la gestión de roles.
Anteriormente, los roles eran gestionados de manera local y sin una definición clara a la hora de tener que ir creando los roles. Para dar un ejemplo la situación era:
- Túnez seguía un modelo de roles basado en Posición
- Marruecos tenía un modelo mixto de roles basado en Usuario Nominal y Posición.
- Turquía tenía un modelo mixto de roles basado en Usuario Nominal y Posición.
- España tenía un modelo de roles basado en Tareas.
La primera fase del proyecto de eliminar los accesos que no tenían uso supuso la reducción de 1160 Riesgos de Segregación de Funciones.
La segunda fase se centró en la definición y autorización del nuevo modelo de roles basado en tareas:
Las tareas se alinean con los roles técnicos y la agrupación de los roles generaría el rol de la posición que técnicamente se implementaría mediante roles compuestos.
Resultados
A nivel de números totales de roles que se generaron con el nuevo modelo de roles se detallan en la siguiente tabla por cada uno de los países:
La reducción de Riesgos que se obtuvo a lo largo de este proyecto fue de cerca del 70%, lo que supone una gran reducción de esfuerzo sobre la ejecución de controles mitigantes. Se detalla a continuación la reducción para cada uno de los países:
Finalmente, la reducción que más impacto tuvo en la presentación del caso fue la reducción de un 96,5% sobre los conflictos de SoD y que superaba el total de 1 millón de conflictos de SoD remediados:
