Recientemente, nuestro equipo de Inprosec tuvo la oportunidad de asistir al evento SAP Insider 2023 más relevante a nivel internacional, celebrado en Copenhague. Este encuentro proporcionó una plataforma única para conocer las últimas tendencias y avances en soluciones de SAP, especialmente en áreas de Identity Access Governance (IAG), Access Control (GRC AC), y Enterprise Risk and Compliance Solutions.
A continuación queremos hacer un pequeño resumen de las ponencias más destacadas que asistimos.
Harnessing the Power: Maximizing IAM Efficiency with SAP Cloud IAG
La sesión impartida por Alessandro Banzer se centró en la herramienta de cloud de SAP, IAG (Identity Access Governance). Esta herramienta, permite a los clientes realizar el control de accesos de los sistemas de SAP tanto On-Premise. No obstante, a través de otros servicios de BTP que pueden ser utilizados conjuntamente con IAG (IAS e IPS) se mostraron las distintas posibilidades que puede existir para poder hacer control de identidades en todas las soluciones de SAP (tanto Cloud, como On-Premise).
También se hizo un resumen de las posibilidades en las que los clientes pueden utilizar IAG, esto es:
- Como única solución de control de acceso
- Conjuntamente con SAP GRC AC, a través del Cloud Bridge, en donde ambas herramientas puede trabajar conjuntamente.
Case Study: Managing Access Governance and Security Using SAP GRC in a Highly Regulated Industry
En este caso de estudio, presentado por la empresa Boehringer Ingelheim, se mostró la evolución durante los últimos 8 en la gestión de usuarios y de riesgos en la organización. Esta evolución, se enmarca en un contexto de alto control regulatorio, al tratarse de una empresa del sector farmacéutico. Como uno de los principales retos, se plantea la adopción de una nueva herramienta que sustituya en un futuro a SAP IDM, que será decomisionada en los próximos años.
Compliant User Provisioning from Hire to Retire: How to Streamline, Manage, and Automate User Access Provisioning
La siguiente de las ponencias del primer día fue impartida James Roeske, quien se centró en el proceso de aprovisionamiento de usuarios. Después de una primera introducción más de buenas prácticas y proceso, en la que se remarcó la importancia de no solo hacer aprovisionamiento de cuentas, sino el aprovisionamiento de cuentas eficiente y que permite garantizar el cumplimiento normativo, se mostraron, a continuación, las herramientas de SAP GRC que permiten cumplir este objetivo, tales como ARM (módulo de GRC AC para la automatización del proceso de aprovisionamiento) o los HR Triggers para automatizar el proceso de altas y bajas de usuarios.
The Adventure of Business Use Cases Becoming Real GRC Features and Functions at SAP
Como viene siendo habitual, esta ponencia impartida por Marie-Luis Wagener-Kirchner, responsable de productos como GRC Process Control, Risk Management, Audit Management u otros del portfolio de Enterprie Risk and Compliance Solutions se centró en como la propia organización de SAP, a raíz de utilizar ellos mismos las herramientas de GRC tales como Process Control o Risk Management, convierten en nuevas funcionalidades los casos de uso que internamente desarrollan. La presentación se centró en mostrar a los asistentes las nuevas funcionalidades que ya pueden ser usadas por los clientes. Entre ellas, se destaca:
- Nuevos dashboards por defecto para poder usar en SAC (SAP Analitics Cloud).
- Nuevas interfaces de visualización (ABAP WebDynpro), y nuevas opciones de personalización.
- Una integración con Microsoft Word para generar informes de Risk Management en dicho formato.
Access Governance: Strategy and Roadmap for the Years to Come
La sesión fue impartida por Gero Maeder, responsable de la solución de GRC AC como de IAG, en la que se explicó a los asistentes la hoja de ruta de ambas soluciones en los próximos años. Más allá de las mejores que se presentaron, se confirma la liberación de una nueva versión de SAP GRC AC para SAP HANA en el año 2026. De esta manera, será obligatorio el uso de una base de datos HANA para poder disponer de GRC AC.
De esta manera, se confirma que la solución de GRC AC es una inversión justificable en cuanto a que la herramienta estará todavía muchos años más en el mercado disponible, y con soporte y desarrollo por parte de SAP.
En cuanto a IAG, se destaca que principalmente la integración (nativa) de nuevos tipos de sistemas, y también la liberación para todos los clientes (hasta la fecha no estaba disponible de manera general) de la funcionalidad de PAM (Priviledge Access Management, o también conocida como Accesos de Emergencia o Firefighter) para el software SAP S/4 HANA Cloud.
Case Study: Power-Up Your Defences: Leveraging SAP Enterprise Threat Detection – The Legend of Security at Nintendo
En esta ponencia, el equipo de Nintendo presento su camino de digitalización a través de soluciones SAP, empezando en 2016 con la implementación del ECC; posteriormente la migración a S/4 HANA u otras soluciones implementadas. A partir de ese momento, se muestra como la organización no tenía visibilidad sobre los eventos potencialmente peligrosos que sucedían en su sistema (ejecución de transacciones críticas, ejecución del modo depuración en entornos productivos, etc.).
Para ello, optaron por implementar la solución Enterprise Thread Detection (ETD), que les permitió automatizar la identificación de dichos eventos gracias a la definición de reglas que los permitieran capturar. Posteriormente, Nintendo estableció en ETD un proceso manual de revisión, dónde cada evento reportado debía ser debidamente atendido, analizado y justificado.
Turn Risk into Reward with SAP Enterprise Risk and Compliance Solutions
Nuevamente Marie-Luis Wagener-Kirchner, presentó cual es la hoja de ruta de las herramientas del portfolio Enterprie Risk and Compliance Solutions entre las que se encuentran algunas como SAP GRC Process Control o Risk Management. Entre las principales novedades, se confirma también la llegada de una nueva versión de GRC PC y RM para SAP HANA en el año 2026 (lo que, nuevamente, requerirá instalar SAP GRC en base de datos HANA), lo que garantiza el futuro de la herramienta para los próximos años. Adicionalmente, se desliza la posibilidad de que la solución solo esté disponible en edición Private Cloud, aunque esto no se puede confirmar todavía.
Se anuncian además algunas mejoras, tales como integraciones de GRC PC con nuevos sistemas, como SAP FieldGlass (sistema de tipo cloud).
El equipo de Inprosec identificó así un cambio de paradigma en relación a AC (y confirmado por la propia Marie-Luis) y es que SAP GRC PC será integrable de manera nativa con los sistemas del cloud público de SAP, sin necesidad de otros middlewares tables como el Cloud Bridge. Adicionalmente, se confirma que poco a poco, se irán por tanto integrando nuevos sistemas cloud.
Case Study: Perfetti Van Melle´s Quest Towards and Integrated and Automated GRC Model
Esta sesión, impartida por Marcelo Monsores, se centró en mostrar desde una perspectiva de proceso, el camino que ha seguido la empresa Perfetti Van Melle´s en aras de mejorar su control de accesos en sus sistemas SAP.
Así, se presenta la hoja de ruta que la empresa está siguiendo para pasar de un punto inicial con pocos procesos documentados, accesos altamente amplios que concedían a los usuarios riesgos de segregación de funciones, y una baja adopción de las tecnologías existentes para el control de accesos (en este caso, SAP GRC AC), a un estado controlado y sostenible en términos de accesos.
Case Study: How to Increase Risk Awareness, Control Adoption, and Visibility – The Vestas Journey to Streamline Financial Compliance Processes
En este caso presentado por Diego Allera, GRC Senior Specialist, se presenta una implementación de SAP GRC PC en la organización Vestas. Se explican inicialmente los principales motivos para llevar a cabo el proyecto, tales como la capacidad de tener una única fuente de información centralizada de información, o la necesidad de tener una herramienta que permitiera automatizar los procesos que hasta ese momento se hacían de manera manual o casi manual.
Así, se da comienzo a la explicación de los principales motivos de éxito de la implementación, tales como la involucración de la alta dirección, la simplificación de sus proceso, y la necesidad de transmitir bien la información a todos los equipos.
Finalmente, ya en el plano de herramienta, se explican las soluciones técnicas adoptadas, tales como el MCP (Manual Control Perfomance) para la documentación de la ejecución de los controles, el ToE (Test of Effectiveness) para dictaminar o no la efectividad del control; y el uso de CCM (Continous Control Monitoring) para automatizar ciertos controles.
Harness The Power of SAP GRC Across Your Entire Landscape, Options for Cloud and Non-ABAP Systems
En esta nueva sesión de James Roeske, se da cuenta de las distintas opciones que los clientes tienen para poder llevar a cabo un eficiente control de accesos en todo su entorno de aplicaciones, tanto SAP On-Premise, como SAP cloud, o incluso no-SAP.
Para ello, se presentan las distintas soluciones:
- La ya conocida SAP GRC AC
- SAP IAG, tanto en su modo de solución única, como en su modo puente para extender a SAP GRC AC hacia los entornos Cloud.
- Soluciones propias de terceros para extender SAP GRC AC a los entornos cloud.
- Análisis for ficheros, que permite hacer análisis de riesgos para sistemas no SAP desde GRC AC.
Get hands-on security recommendations for your SAP BTP Environment
En este caso, no se trataba de una presentación, sino una sesión de trabajo real. En ella, el equipo de Inprosec ha podido trabajar en la seguridad del entorno de SAP BTP, desde la configuración de políticas de contraseñas, configuración de doble factor de autenticación, creación de usuarios y roles, y revisión de logs de auditoría que permiten identificar los eventos que suceden en SAP BTP .
Case Study: How to Regain Control Over SAP User Authorizations and Remediate SoD Violations – The Vestas Journey to Secure Seggregation of Duties.
En esta sesión, impartida por la empresa Vestas, se da cuenta del proceso seguido para pasar de una situación inicial, en la que se había perdido el control sobre la cantidad de riesgos existente en el sistema, con accesos altamente amplios, a un escenario controlado.
Para ello, se desarrolló una propia matriz de riesgos, dada que la matriz de riesgos estándar de SAP no cubría todos los requisitos de Vestas. A continuación, se definió cual era el modelo de accesos necesario para Vestas, optando por un modelo de business roles, basado en roles técnicos que agrupen las transacciones usadas por los usuarios en funcionalidades.
Finalmente, se destaca la colaboración con todos los equipos, para lograr el mayor refinamiento posible de estos roles, de tal manera que no tuvieran nunca riesgos internos de segregación de funciones.
Finalizamos este resumen extendiendo un sincero agradecimiento a la organización del evento SAP en Copenhague. Su dedicación y esfuerzo en reunir a expertos y líderes del sector ha sido fundamental para profundizar nuestro conocimiento en soluciones SAP y estrategias de gobernanza. Estas jornadas han sido no solo informativas, sino también inspiradoras, marcando el camino hacia la innovación y eficiencia en nuestras prácticas empresariales. Gracias por una experiencia enriquecedora y valiosa.
