La correcta gestión de riesgos en SAP® es clave para garantizar el cumplimiento normativo y la seguridad de los accesos. Los cuadros de mando de riesgos en SAP® GRC permiten visualizar de forma clara los riesgos asociados a usuarios, roles y procesos críticos. En este artículo, exploramos cómo funcionan, cómo configurarlos y qué prácticas aplicar para sacarles el máximo provecho.
¿Qué es un Dashboard de Riesgos en SAP® GRC?
Los cuadros de mando de riesgos en SAP®GRC (Governance, Risk and Compliance) permiten analizar, visualizar y mitigar riesgos de acceso en sistemas SAP. A través del SAP® GRC Access Control, las organizaciones pueden controlar de forma centralizada los riesgos asociados a usuarios, roles y procesos de negocio.
Tipos de Informes en el Dashboard de Riesgos de SAP® GRC
User Analysis Dashboard
Este dashboard ofrece una vista detallada de los usuarios con riesgos activos en SAP®. Se puede filtrar la información por:
- Tipo de riesgo: Riesgo por permisos o por acciones.
- Grupo de usuarios
- Sistema SAP® involucrado
El informe es interactivo, lo que significa que puedes hacer clic en una sección específica del diagrama y obtendrás información detallada sobre los usuarios y los riesgos afectados:
Además, el informe muestra el estado actual de los sistemas SAP®, indicando usuarios con/sin riesgos y su respectivo porcentaje.
Este informe se genera mediante la planificación del programa GRC Batch Risk Analysis.
Role Analysis Dashboard
El dashboard de análisis de roles identifica los roles que presentan riesgos en los sistemas SAP®.
El informe también es interactivo, al igual que el informe anterior “Análisis de Usuarios”.
Además, proporciona una visión del estado de los roles activos en el sistema. Idealmente, la mayoría de los roles (desde una perspectiva de “Single Role”) deben clasificarse como “Roles sin violaciones”. Si no es así, puede ser necesario iniciar un proyecto de rediseño de roles SAP®.
La ejecución del análisis se realiza desde las transacciones SE38 o SA38, ejecutando el programa: “GRAC_BATCH_RISK_ANALYSIS”.
Por otro lado, este informe también muestra la comparación entre los riesgos a nivel de roles y los riesgos a nivel de usuarios.
Risk Violation Dashboard
Tal como se describió en los tableros anteriores (“Análisis de Usuarios” y “Análisis de Roles”), el dashboard de “Violaciones de Riesgo” posee las mismas funcionalidades que los anteriores, pero enfocado desde la perspectiva de conflictos de riesgo. El informe mantiene el mismo formato visual que los anteriores.
Además, los informes detallan los conflictos de riesgo por proceso de negocio (heredados del riesgo), y se trata también de un informe interactivo, desde el cual se puede extraer directamente la información correspondiente a cada proceso de negocio.
SAP® GRC Batch Risk Analysis
Ejecución del Programa
Como se mencionó anteriormente, la información que aparece en el dashboard proviene de la ejecución del programa de Análisis de Riesgos en Lote de SAP® (utilizando las transacciones SE38/SA38 e ingresando el nombre del programa “GRAC_BATCH_RISK_ANALYSIS”).
Sin embargo, existen algunas opciones dentro de la configuración que pueden modificar la información que aparece en los dashboards previamente mencionados. El Batch Risk Analysis Program puede filtrarse por los siguientes criterios:
- Tipo de Usuario (se pueden excluir usuarios del tipo Sistema o Comunicación).
- Usuario o Grupo de Usuarios.
- Tipo de Riesgo:
- A nivel de Acción.
- A nivel de Permisos (Permisos / Acciones Críticas / Permisos Críticos).
- Roles/Perfiles Críticos.
Además, el sistema GRC permite definir excepciones como parte del análisis de riesgos ejecutado por este programa. Esta opción se encuentra en la transacción SPRO, bajo el nombre: “Maintain Exclude Objects for Batch Risk Analysis”, y permite excluir rangos de valores por sistema en las siguientes categorías:
- Usuarios
- Roles
- Perfiles
- Grupos de Usuarios
Parámetros
Por otro lado, es posible establecer criterios adicionales para el Análisis de Riesgos en Lote utilizando la sección de Parámetros dentro del sistema SAP® GRC.
Los más recomendados son los siguientes:
- 1027: Habilitar el Análisis de Riesgos en modo offline.
- 1028: Incluir usuarios expirados.
- 1029: Incluir usuarios bloqueados.
- 1030: Incluir riesgos mitigados.
- 1031: Ignorar roles y perfiles críticos.
- 1032: Incluir usuarios de referencia durante el análisis de usuarios.
- 1033: Incluir controles de mitigación en roles/perfiles dentro del análisis de riesgos.
Dependiendo de las políticas y necesidades de tu organización, puedes seleccionar el valor “Sí” o “No” para cada parámetro.
Además, se recomienda activar el parámetro 1027 (Valor: “Sí”).
Por ejemplo, si deseas ejecutar un Batch Risk Analysis excluyendo a los usuarios bloqueados y expirados, deberías configurar los parámetros 1028 y 1029 con el valor “No”.
Información de Tablas en SAP®
Cuando tu sistema tiene activado el parámetro 1027 (Habilitar Análisis de Riesgos Offline), la información del Batch Risk Analysis se almacena en tablas del sistema SAP®.
La tabla que contiene mayor cantidad de información sobre el Batch Risk Analysis es: GRACUSERPRMVL.
Esta tabla almacena todos los datos relacionados con:
- Usuarios,
- Riesgos
- Conflictos.
Dado que el dashboard mencionado anteriormente segmenta la información por Usuarios, Riesgos y Conflictos, esta tabla representa una alternativa muy sencilla para extraer toda la información de forma consolidada.
Sin embargo, es importante tener en cuenta que esta tabla almacena los datos de todos los análisis en lote realizados anteriormente, por lo que se recomienda filtrar por el campo “Timestamp” (marca de tiempo) para evitar visualizar registros de usuarios, riesgos o conflictos que ya no estén vigentes actualmente.
Puntos clave
- Programar el Batch Risk Analysis permite activar todos los dashboards estándar de SAP® GRC Access Control.
- La interacción dentro de los dashboards de GRC Access Control ayuda a comprender qué usuarios y roles de SAP® están generando riesgos dentro del sistema.
- Al ejecutar el Batch Risk Analysis se recomienda excluir los usuarios del tipo Sistema del análisis.
- Es importante utilizar la opción de “Objetos Excluidos” para proporcionar información relevante a las partes interesadas (stakeholders).
- El Batch Risk Analysis proporciona información por cada mes, por lo tanto, al programar la ejecución del programa, la fecha del último día del mes en que se ejecutó será la que permanezca visible en el dashboard de GRC (sin embargo, durante cada ejecución mensual los datos irán actualizándose).
- Los parámetros dentro del sistema GRC permiten excluir estados adicionales que no se consideran normalmente en la ejecución estándar del programa, como por ejemplo usuarios expirados.
- Es altamente recomendable activar el parámetro 1027, para almacenar toda la información del Análisis de Riesgos dentro del sistema SAP® GRC.
- Es fundamental familiarizarse con las tablas “GRACUSERPRMVL” y “GRACROLEPRMVL”, ya que en ellas se encuentra toda la información relacionada con el Batch Risk Analysis.
Optimiza tus cuadros de mando de riesgos en SAP® GRC
Si este artículo sobre dashboards de riesgo en SAP® GRC te ha resultado interesante o crees que tu organización podría beneficiarse de una gestión más eficiente del riesgo y cumplimiento, te invitamos a descubrir cómo podemos ayudarte desde Inprosec.
Puedes echar un vistazo a nuestros servicios de SAP®GRC o de SAP® Security, o ponerte en contacto con nosotros directamente haciendo clic aquí.