Uno de los mayores casos de éxito de nuestra compañía en el Área de SAP® Seguridad ha sido la realización de un proyecto de Rediseño de Roles en un sistema de HCM (Recursos Humanos). Dicho proyecto se enfocó en rediseñar el modelo de roles y los perfiles estructurales, para limitar al máximo posible los accesos a modificar y visualizar información sensible en el sistema de Recursos Humanos de EMT.
La Empresa Municipal de Transportes de Madrid (EMT) es una sociedad anónima, propiedad del Ayuntamiento de Madrid. EMT es el gestor global de la movilidad de superficie en la ciudad de Madrid y se encarga de la gestión y explotación de los servicios de autobús urbano; bicicleta pública (BiciMAD); grúa municipal, aparcamientos públicos y de residentes, y Teleférico. EMT está integrada en el Consorcio Regional de Transportes de Madrid, autoridad encargada de la planificación del transporte público en Madrid.
EL RETO
La dificultad del proyecto era por un lado definir una matriz de riesgos propia para los accesos críticos de la organización de Recursos Humanos y la definición e implantación de un nuevo modelo de roles adaptado a sus necesidades.
La clave del proyecto era conseguir definir roles por posición (roles compuestos) que mejorara el día a día de la gestión de usuarios, sin perder el foco en la restricción de accesos a nivel de infotipos y perfiles estructurales, así como en la reducción de los riesgos críticos y de segregación de funciones del sistema.
Indicar que este proyecto fue muy completo, ya que también se realizó la implementación de SSO (procedimiento de autenticación que habilita al usuario para acceder a varios sistemas con una sola instancia de identificación) e Implementación de SAP® GRC Access Control (EAM, ARA, ARM, BRM y PSS).
SOLUCIÓN INPROSEC
El proyecto se dividió en 4 Bloques donde las 2 primeros se relacionaban específicamente con la parte de RR.HH que vamos a detallar a continuación (diseño de la matriz de riesgos y reingeniería de roles), siendo otro bloque el relacionado con SSO y otro con la configuración de SAP® GRC AC.
Cada uno de los bloques se dividió en 3 fases:
- Definición Matriz de Riesgos HCM (Bloque I)
-
-
- Análisis Inicial
- Entrevistas Responsables de Negocio
- Publicación Matriz
-
- Implantación Modelo de Roles HCM (Bloque II)
-
- Definición del Nuevo Modelo de Roles
- Despliegue del Nuevo Modelo de Roles
- Traspaso de Información
Definición Matriz de Riesgos HCM (Bloque I)
Se dio inicio al proyecto realizando la definición de la matriz de riesgos, ya que es el pilar fundamental para diseñar e implantar el nuevo modelo de roles basado en buenas prácticas, y utilizarla para realizar el análisis de riesgos en SAP® GRC Access Control (Access Risk Analysis). De esta forma podremos medir los riesgos iniciales que tienen los usuarios y la reducción conseguida una vez finalizado el proyecto de remediación.
Los sistemas de RR.HH suelen estar muy customizados, es decir, hay gran cantidad de transacciones Z (custom) en uso. Por ello, el mayor reto fue realizar un análisis pormenorizado de cada una de las transacciones custom con el fin de identificar su funcionalidad y confirmar si tienen que ser añadidas a la matriz de riesgos.
Una vez analizadas las transacciones Z, y partiendo de la matriz de riesgos estándar de SAP® HR incluida en SAP® GRC, se realizó un primer borrador de la matriz de riesgos para poder realizar las entrevistas funcionales con los responsables de los procesos de negocio de recursos humanos y el con el equipo de auditoría interna. La matriz de riesgos se definió a nivel de riesgos de segregación de funciones (SoD) y de acciones críticas.
Una vez disponible el primer borrador de la matriz de riesgos, se iniciaron las reuniones de trabajo con los responsables por parte de negocio de recursos humanos para alcanzar los siguientes objetivos:
- Confirmar riesgos y funciones de la matriz de riesgos estándar.
- Identificar riesgos y funciones propias de EMT.
- Confirmar transacciones Custom a añadir a la matriz de riesgos.
- Identificar riesgos entre sistemas SAP®.
- Definir controles compensatorios asociados a los riesgos identificados en la matriz de riesgos.
Con el fin de mantener en el tiempo el ciclo de vida de las matrices de riesgos y controles, se llevó a cabo la definición de los procedimientos asociados para alcanzar tal fin. De forma concreta, se estableció el procedimiento de actualización periódica de la matriz de riesgos y el procedimiento de desarrollo de código seguro.
Tanto la matriz de riesgos y controles como los procedimientos asociados se presentaron al equipo interno de EMT por medio de sesiones de formación.
Los entregables asociados a este bloque fueron los siguientes:
- Procedimiento actualización matriz.
- Procedimiento desarrollo código seguro.
- Matrices de riesgos y de controles.
- Informe análisis transacciones Z, incluyendo acciones y recomendaciones.
Implantación Modelo de Roles HCM (Bloque II)
El modelo de roles se diseñó sobre la totalidad de los más de 300 usuarios del sistema SAP® HCM de EMT. Se implementó un modelo de roles sostenible en el tiempo y escalable, con una única nomenclatura de fácil comprensión y alineado con la matriz de riesgos de HR propia definida en el Bloque 1 del proyecto.
Inicialmente se realizó un análisis del uso transaccional de los usuarios del sistema SAP® HCM de EMT para identificar qué transacciones serán incluidas en los nuevos roles. Antes de diseñar y construir los nuevos roles, se definió y acordó una nomenclatura de roles con EMT que permitía identificar y mantener de manera eficientemente el nuevo modelo.
La clasificación de las transacciones en roles fue basada en funciones respetando la matriz de riesgos definida. Se crearon Enabler Role para otorgar el acceso a los objetos de autorización que requieran restricciones específicas, como por ejemplo los que contengan el campo infotipo y división de personal. También se definieron los accesos en base a la estructura organizativa, a través de la utilización de perfiles estructurales.
La creación de los roles y los perfiles estructurales se realizó en el entorno de desarrollo, y fueron transportados al entorno de calidad para realizar las pruebas funcionales y el UAT (User Acceptance Testing). Se acordó con los responsables de EMT que usuarios serían los encargados de realizar las pruebas de aceptación del nuevo modelo, siendo el objetivo tener como mínimo un usuario de referencia por cada puesto de trabajo definido, de esa manera se confirmaría la operatividad de los todos los roles compuestos.
El inicio de esta segunda fase coincidió con el despliegue de la herramienta de Access Risk Analysis de SAP® GRC Access Control, que se utilizó para realizar el análisis de riesgos inicial y poder compararlo con el análisis que se realizó al finalizar del proyecto.
Se acordó con EMT las fases del despliegue del nuevo modelo de roles para los diferentes grupos de usuarios. De esta manera, EMT pudo determinar el orden en el que los usuarios fueron migrados, con el objetivo de minimizar el impacto en la operativa, sin afectar a los procesos de negocio. Además, no se asignarían simultáneamente los nuevos roles a todos los usuarios de un mismo grupo de usuarios con el propósito de reducir el posible impacto del despliegue de la nueva solución.
Paralelamente al despliegue del modelo, se realizó el traspaso de información al equipo de EMT encargado de la gestión de roles, para poder realizar una gestión y mantenimiento correcto del nuevo modelo de roles implementado, una vez finalizado el período de soporte de cada uno de los grupos de usuarios desplegados. Para ello, se realizaron sesiones de formación específicas en donde se detallaron cada uno de los procedimientos definidos en las fases anteriores.
Los entregables asociados a este bloque fueron los siguientes:
- Informe de riesgos inicial y simulación de reducción de riesgos. Esto ayudará a definir una de las líneas base del proyecto.
- Diseño funcional y técnico del nuevo modelo de roles a implementar en el sistema SAP® HCM de EMT.
- Informe sobre las acciones realizadas: roles creados / transacciones asignadas.
- Informe Final sobre Riesgos de SoD residuales del proyecto.
- Manuales de formación y mantenimiento del nuevo modelo de roles.
RESULTADOS
La implementación de una matriz de riesgos propia de Recursos Humanos permitió a EMT no solo tener identificados y monitorizados sus accesos estándar más críticos, si no también sus accesos Custom (Transacciones Z).
En relación con la implementación de un nuevo Modelo de Roles se pudieron ver beneficiados principalmente en los siguientes puntos:
- Definición de una nueva nomenclatura de roles adaptada a sus necesidades, que agiliza la identificación de estos en el día a día.
- Roles basados en funcionalidades, evitando asignar un rol que traiga transacciones con otras funcionalidades que el usuario no necesita.
- Reducción en el número de riesgos y accesos que estaban disponibles con el modelo de roles anterior.
- Definición de roles compuestos por puestos de trabajo facilitando la gestión de los “Onboarding” y “Movers”.
- Identificación de los infotipos que serían accesibles para las diferentes posiciones existentes en la organización de EMT. Adicionalmente, se limitaron cada uno de ellos a los permisos permitidos: Visualización y/o Modificación.
- Activación de la restricción organizativa mediante el establecimiento de los perfiles estructurales en el nuevo modelo de roles implementado. Esto supuso que las posiciones que tenían acceso a los infotipos tenían limitada la información a la división de personal a la que pertenecían.
- Activación de una restricción que limitaba los accesos a unos infotipos a través de un perfil estructural. Existen objetos de autorización, por ejemplo P_ORGINCON, que permiten ampliar el acceso a la información de un infotipo mediante la utilización de un perfil estructural menos restringido, o viceversa.
