Aspectos a considerar al evaluar una solución automatizada de análisis de segregación funcional (SoD) en sus siglas en inglés (Segregation of Duties)

‪Al evaluar una solución de este tipo debe preocuparse que a lo menos cumpla con lo siguiente: ‬

‪- Que haga análisis de transacciones conflictivas.‬

‪- Que haga análisis de transacciones criticas (no es lo mismo que transacciones conflictivas) ‬

‪- Que permita hacer análisis desde 1 a muchos usuarios en tiempo real.‬

‪- Que permita hacer análisis desde 1 a muchos roles/perfiles en tiempo real.‬

‪- Que el nivel de análisis sea fino, es decir, que llegue a las capas más especificas de autorización (denominadas 3 capas de seguridad de autorización en SAP).  De lo contrario, los resultados son falsos positivos y eso contamina la evidencia (invalida los resultados)‬

‪- Que entregue los riesgos SoD, es decir, si son altos, medios y bajos, con la descripción de estos, a fin de que los Process Owners y Role Owners, sepan claramente a los riesgos que se exponen en la medida que autorizan un acceso.  No basta con que indique si el nivel de riesgo es alto, medio, bajo, es muy importante que indique la implicancia o el concepto del riesgo. ‬

‪- Que permita hacer análisis en tiempo real o sacar una foto en el momento que se estime pertinente. ‬

‪- Que ofrezca funcionalidades para incorporar los controles de mitigación de los riesgos aceptados por los dueños de la información. ‬

‪- Que tenga reglas de segregación funcional de clase mundial (buenas prácticas)‬

‪- Que permita agregar reglas de segregación funcional a la medida del negocio (adhoc a la industria en la que está la empresa por ejemplo)‬

‪- Que permita customizar o adaptar las reglas SoD estándares.‬

‪- Que permita realizar aprovisionamiento de accesos a través de un workflow en forma automática. (provisioning) con análisis de riesgo SoD en forma simultánea.‬

‪- Que permita hacer análisis SoD a nivel de roles/perfiles (intrarol) y roles a usuarios (por usuarios)‬

‪- Que almacene automáticamente la evidencia de las aprobaciones de acceso por parte de los dueños de la información.‬

‪- Que la evidencia de aprobaciones almacenada sea auditable.‬

‪- Qué permita monitorear los accesos amplios de los súper-usuarios y que la solución deje evidencia automática de los cambios realizados. (ejemplo: cambios sobre campos críticos de ciertas tablas o customizing SAP)‬

‪A lo menos estas funcionalidades deberían tener una buena herramienta de análisis SoD, para poder obtener resultados razonables, en forma eficiente y rentabilizar la inversión, de lo contrario es muy probable que se deba volver a los mecanismos manuales de análisis.  ‬

‪Otro factor no menor, es elegir un partner implementador que cuente con credenciales concretas y validables, dado a que como son soluciones relativamente nuevas, el riesgo que se corre al hacerlo con partners sin experiencia es muy alto y el proyecto puede tender al fracaso. (este es un factor crítico de éxito)‬

Trace de autorizaciones por medio de la transacción ST01 – una muy buena herramienta para auditores y administradores de seguridad SAP

Esta herramienta posee características que la hace ser una de las más importantes para auditar y obtener evidencia de accesos de los usuarios del sistema SAP: 

– Herramienta de fácil uso y es recomendable dominar el concepto de autorización para su utilización e interpretación adecuada (capa 1, 2 y 3 de seguridad de autorizaciones) 

– Herramienta que no merma el performance de la operación del ambiente en donde se tenga activada (no es invasiva). Este es el típico motivo por el cual se le bloquea el acceso a los auditores, perdiendo la oportunidad de obtener evidencia de muy buena calidad para la auditoría.  Si el trace está activo solamente para la verificación de autorizaciones, no habría merma de performance.  Eventualmente podríamos tener impacto, en la medida que activemos todas las opciones del trace (RFC, tablas, etc.) 

– Ocupa espacio en disco que se puede ir reciclando por medio de uso de dispositivos externos (discos de respaldo externos) y así no merma el espacio en disco. Esto se puede ir haciendo día a día, dado a la cantidad de información que almacena el trace y se recomienda dejarlo en 99MB de almacenamiento (máximo), a fin de que cada archivo genere la mayor cantidad de información posible. 

– Para un eficiente procesamiento y análisis de la evidencia, se recomienda trabajar el resultado del trace apoyado de un CAATs (técnicas de auditoría asistidas por computador) – ACL, ACCESS, EXCEL 

– La evidencia obtenida llega a nivel de capa 3 de seguridad de accesos (capa 1 S_TCODE, capa 2 TSTCA y capa 3 USOBT, por lo que la enriquece para evitar falsos positivos.
– Para un modelo de prevención de delitos (Ley 20.393) y/o fraudes (procedimientos de detección de fraudes en el marco de las auditorías internas o externas) es muy recomendado, debido a la calidad de la evidencia. 
– Para el monitoreo del modelo de control interno de segregación funcional SoD-SOX Compliance, es muy recomendado, ya que nos permite obtener evidencia del monitoreo que hacen los dueños de procesos (process owners) o dueños de roles (role owners) en relación a los accesos bajo su responsabilidad. 
– Se puede complementar con los resultados de otras herramientas tales como: Ejecución histórica de transacciones ST03, STAD, SM04, SM20 log de auditoría con obtención de usuario, transacción y terminal (estas herramientas solamente llegan a nivel de capa 1 de seguridad, es decir, a nivel de transacción ejecutada por usuarios y no cubren los objetos de autorización. (Son susceptibles de levantar falsos positivos), pero complementado con el trace de autorizaciones se enriquece la evidencia.

Las 6 herramientas que el auditor SAP debe dominar

Actualmente un número importante de empresas de gran tamaño y de diversas industrias, han implementado el sistema ERP SAP en todo el mundo, lo cual implica que los auditores internos y externos para poder estar a la altura de las circunstancias y ejecutar auditorías con base en la fuente confiable e ir al origen de la información, requieren dominar el uso de ciertas herramientas estándar que posee este sistema de clase mundial, considerando a su vez que el escepticismo profesional es esencial en todo auditor.

A continuación les mencionaré las 6 herramientas de auditoría para SAP ERP, que todo auditor debe conocer:
1.- Sistema de Infomación de usuarios y autorizaciones – Transacción SUIM: Esta herramienta le permite al auditor poder efectuar pruebas de auditoría orientadas al maestro de usuario y a los roles, perfiles y autorizaciones.  Asimismo, permite revisar los parámetros de seguridad del sistema relacionados con la autenticación de usuarios en SAP entre otros.
2.- Sistema info de tablas del sistema – Transacción SE16 en modo Display: Esta herramienta le permite al auditor poder obtener tablas de las bases de datos del sistema SAP y poder realizar pruebas relacionadas con las transacciones en los ciclos de negocio y los aspectos propios de la configuración del sistema.  En la medida que esta herramienta es usada con precaución, el auditor no debería tener inconvenientes, pero se recomienda bajar tablas masivas en procesos de fondo, a fin de no mermar el performance en ambiente productivo de SAP.  Se pueden hacer pruebas relacionadas con parámetros de controles configurados, revisión de los libros contables: Libro Diario, Centralizaciones Contables, Procedimientos de Detección de Fraudes, etc. complementado con herramientas tales como: ACL, IDEA, EXCEL, etc.
3.- Sistema info de diccionario de datos y programas ABAP – Transacción SE15 en modo Display: Permite en modo display revisar las bases de datos lógicas que contienen las tablas físicas del sistema SAP y comprender la relación entre estas y los procesos de negocio implementados.  Asimismo, se puede revisar las sentencias de programación de los programa ABAP de SAP y así verificar que las mismas, cumplan con los estándares y buenas prácticas definidos en las políticas y procedimientos de la organización.
4.- Sistema info de customizing o configuración del sistema SAP – Transacción SPRO en modo Display: Permite revisar la configuración funcional de los procesos parametrizados en SAP, de esta forma el auditor podrá revisar los controles configurados de cada proceso por ejemplo: Estrategias de liberación o aprobación en compras, límites de tolerancia en compras y gestión de stock, clases de documentos, etc.
5.- Trace o tracking de log de autorizaciones y transacciones – Transacciones ST01 y ST03 Display: Estas transacciones permiten obtener evidencia de las ejecuciones tanto de transacciones como autorizaciones que han efectuado los usuarios en SAP, por lo que le permitirá al auditor recabar información clave respecto a los privilegios que los usuarios han usado y si los mismos, corresponden estrictamente a lo que deberían tener.  La interpretación del trace de la transacción ST01 es muy técnica y requiere de conocimientos experto del concepto de autorización en SAP.
6.- Sistema info de auditoría AIS – Basado en roles de auditor actualmente: Esta herramienta es altamente útil y prácticamente contiene las 5 herramientas antes mencionadas y viene configurada por defecto en modo display, lo que hace mucho más fácil su uso.  La gran particularidad que tiene esta herramienta, es que cubre aspectos de implementación técnica del módulo BC de SAP y aspectos funcionales, por lo que es muy completa, ya que trae grupos de reportes predefinidos que entregan evidencia de auditoría en forma inmediata.  Ver presentación de AIS: https://www.slideshare.net/pdhernandez/presentacin-audit-information-system-sap-ais-56224867

IT Risk Management solutions

Les comparto el último cuadrante mágico de Gartner, acerca de IT Risk Management solutions, basado en estudio realizado que considera aspectos tales como:

– Funcionalidades acorde a buenas prácticas

– Versatilidad

– Usabilidad

– Intuitividad

– Potencial data analytics

– Potencial robótica e inteligencia artificial

– Implementación y soporte post go live

#ERM #GRC #RiskManagement

Los problemas y soluciones que identifica el asesor presidencial en ciberseguridad

En entrevista realizada hoy al asesor presidencial en ciberseguridad Mario Farren, por el Diario Financiero, se refiere a los problemas y soluciones que identifica en relación a la implementación de medidas tendientes a mitigar riesgos relativos a ciberseguridad en entidades tanto públicas como privadas y hace mención al estado del arte en que nos encontramos en Chile, resaltando la ausencia de modelos de gestión de riesgos robustos y maduros.

En definitiva, mientras no exista orgánica, marco normativo robusto, eficaz y cambio cultural que potencie la función de gestión integral de riesgos en las organizaciones y de manera holística, difícilmente prosperarán iniciativas orientadas a la gestión del riesgo de ciberseguridad, driver que por cierto, es uno más de los que se debe gestionar en el ámbito operacional y cuyas repercusiones pondrían mermar de sobremanera a entidades, sobre todo en donde las tecnologías son dominantes para el core business, impactando también a nivel estratégico.

Aquí no se trata de pensar en el ROI (retorno sobre la inversión), sino que más bien, hay que pensar en el costo total de falla para avanzar con estas inversiones, donde muchos ejecutivos se pierden en la búsqueda del ROI asociado a la implementación de un modelo de gestión integral de riesgos (ERM) y las iniciativas tienden a quedar en nada, a medias y/o abandonadas.

Tal como dice Mario Farren: ”desde el punto de vista organizacional es que quizás, antes de comenzar a comprar herramientas tecnológicas, tenemos que hacer cambios organizacionales”; esto implica que si no se cuenta con un modelo de riesgos que cumpla con las buenas prácticas, ni las herramientas más sofisticadas le harán gestionar los riesgos de ciberseguridad de forma eficaz.

https://www.df.cl/noticias/mercados/banca-fintech/los-problemas-y-soluciones-que-identifica-el-asesor-presidencial-de/2019-08-02/133452.html

Riesgos de ciberseguridad en industria financiera

A propósito de la noticia que el portal de Radio Biobío, ha dado a conocer hoy, respecto a que la empresa Redbanc admite que le robaron información de casi 300 mil tarjetas de crédito y débito, comentar que las inversiones en medidas de ciberseguridad, claramente no han sido suficientes para mitigar este tipo de riesgos, que repercuten en la imagen y reputación de la entidad, golpea fuertemente la confianza de la ciudadanía en relación al uso de estas tarjetas y quedan mantos de dudas entre el regulador, los bancos y los diversos actores de la industria.

A este respecto, es importante señalar que la evidencia da cuenta que la industria financiera es de las más maduras en nuestro país en materia de gestión de riesgos e incluso varias entidades han implementado modelos de gestión integral de riesgos, basados en ISO 31.000, ISO 27.001, COSO ERM y Basilea I y II, pero a todas luces falta para llegar a un estado del arte que permita estar relativamente tranquilos.

Quizás las entidades de apoyo al giro bancario, están un poco más atrás en la rigurosidad de estos modelos, que deben ser holísticos y apuntar con énfasis a los procesos core business, pero claramente están por sobre la media del resto de las industrias en relación a iniciativas de gestión de riesgos y automatización de las mismas.

Esto nos lleva a reflexionar respecto a que definitivamente la robótica e inteligencia artificial de la mano de data analytics, juegan y seguirán jugando un rol esencial en relación con la implementación de medidas mitigatorias basadas en smart risk, para disminuir este tipo de riesgos, que día a día se hacen más sofisticados y complejos de controlar.

Aquí es donde están los grandes desafíos de la ciberseguridad para la revolución digital que estamos viviendo, es decir, en el uso de big data, data analytics, robótica e inteligencia artificial, lo que debe ser parte de la arquitectura de los modelos de monitoreo continuo preventivo.

La primera y segunda línea de defensa (gerencias operativas y funciones de aseguramiento respectivamente), tienen un desafío no menor y no solamente en la industria financiera, sino que en todas aquellas industrias expuestas con tecnologías dominantes y para la tercera línea de defensa, no deja de ser un gran reto todo esto sin duda alguna, pensando en modelos de auditoría continua.

Consideraciones implementación de solución Risk Management (ERM)

Les comparto último reporte de Gartner respecto a soluciones de clase mundial para la Gestión Integral de Riesgos, lo cual da cuenta de funcionalidades alineadas con buenas prácticas como COSO ERM 2017.

Hay que recordar que antes de implementar una solución para la Gestión Integral de Riesgos (ERM), es importante considerar:

– Alto estándar de cumplimiento respecto a prácticas de ciberseguridad, puesto que si se trata de soluciones SaaS (Software como servicio), si no cuenta con altos estándares de seguridad, la información estratégica y confidencial de las entidades queda absolutamente expuesta. Esta condición debería ser certificada en materia de ciberseguridad.

– Niveles de respaldo adecuados y certificados.

– Alta usabilidad, es decir, que sea una solución intuitiva para los usuarios finales.

– Interfaz gráfica compatible con reportabilidad para los niveles de alta dirección y el directorio.

– Que se pueda integrar a las diversas funciones de la organización de forma holística. Primera, segunda y tercera línea de defensa.

– Que se pueda generar indicadores claves de riesgo (KRI) y que los mismos sea posible vincularlos con los indicadores claves de gestión (KPI) de la organización, conforme a como lo establece COSO ERM 2017.

Ver último reporte de GARTNER https://grclatam-my.sharepoint.com/:b:/p/phernandez/EQ7Lu4pSh71NuGzmMWxJqskBDj-DnmzlMgBBHRaHfGIX5w?e=nvwhod