2. ApliRH Consulting es una
empresa española, con
vocación internacional,
especializada en control de
riesgos corporativos en SAP
que ha desarrollado una
metodología propia de
reingeniería de roles y
autorizaciones SAP por la que
se permite acometer
proyectos SOX/SoD con
seguridad, rapidez y éxito
asegurado.
ApliRH, SL nace en Valladolid
(España) en 2008 con una
vocación de servicio a las
empresas en el desarrollo y
mejora de su sistema SAP,
facilitando a sus clientes
herramientas y servicios que
aporten valor añadido a sus
procesos de negocio, y
generando seguridad en su
entorno.
www.aplirh.es
❑ Experiencia: Ponemos a su disposición un equipo de consultores
expertos en SOX que le ayudarán en la elaboración de su plan de riesgos
y gestión de autorizaciones adaptándolo a su organización y
necesidades.
❑ Investigación y Conocimiento: La continua interrelación con nuestros
clientes y el conocimiento nos permite ampliar el catálogo de riesgos en
SAP, así como los sistemas para controlarlos.
❑ En Continuo Crecimiento: Nuestro departamento de programación está
continuamente desarrollando nuevas soluciones para su seguridad y
beneficio.
3. º
A - SOLUCIONES Y SERVICIOS APLIRH
AAM
AUTOMATIZACIÓN DE
ROLES Y GESTIÓN DEL
CAMBIO
SARC
MATRIZ Y
CONTROL DE
RIESGOS
SFS
SEGREGACIÓN DE FUNCIONES
Y REINGENIERÍA DE ROLES
SEGURIDAD
y
SEGREGACIÓN
EUM
ADMINISTRACIÓN
DE LICENCIAS
SAP
SMU
MONITORIZACIÓN DE
USUARIOS Y
TRAZABILIDAD
GDG SX3200
GESTIÓN DE IDENTIDADES
Y DE CERTIFICADOS
DIGITALES
GESTIÓN
USUARIOS
+ +
+ +
+
SEGREGACIÓN
AVANZADA
ALF
APROBACIÓN
LEGAL DE
WORKFLOW Y
DOCUMENTACIÓN
COMPLIANCE
& SECURITY
RCMM
CONTROL DE RIESGOS Y
MEDIDAS DE MITIGACIÓN
+ +
GESTIÓN INTEGRAL DE RIESGOS
• Plataforma GRC, donde aprovechar las
sinergias en ámbitos diferentes como
privacidad, seguridad o riesgo penal.
• Integración con los procesos de
negocio
Información
CUMPLIMIENTO GRPD
Protección de Datos
• Descubrimiento y protección de datos
sensibles.
• Disociación de datos compatible con
todas las bases de datos.
Información
Diagnóstico
INFORME INICIAL
DE AUDITORIA
+
Ahora con Nuevas
FUNCIONALIDADES
SoD
4. SEGURIDAD Y SEGREGACIÓN (Proyecto SoD-SOX)
SUITE DE RIESGOS
SUITE DE RIESGOS
Para llevar a cabo un proyecto de segregación de funciones con garantías de éxito es necesario seguir una
metodología utilizando distintas herramientas para cada fase del proyecto.
En ApliRH combinamos de manera secuencial y recurrente las soluciones instaladas en SAP, con herramientas
externas propias desarrolladas tras nuestra larga experiencia y siguiendo una metodología de trabajo propia.
Conseguimos realizar proyectos a la carta,
para cualquier cliente y necesidad
❑ Todas las soluciones ApliRH son desarrollos en ABAP y se instalan directamente en ECC / S4, sin
necesidad de ninguna inversión en hardware (excepto solución GDG)
❑ Implantación rápida, económica y sencilla, garantía de éxito del proyecto.
❑ Control Online de la asignación y creación de los roles, evitando asignar autorizaciones con riesgo.
❑ El sistema permite la flexibilidad suficiente para adaptarse a situaciones donde resulta complicado
aplicar una segregación de funciones completa.
❑ Nuestro sistema de supervisión de riesgos permitidos, automatiza los controles de mitigación.
❑ Se dispone de visibilidad por parte de usuarios claves sobre los controles aplicados a los procesos
de negocio y las personas que los desempeñan.
❑ Sistema de prevención del fraude con beneficios económicos directos al disminuir de manera notable
los riesgos de fraude en la organización y los recursos técnicos necesarios para la gestión de roles.
❑ Permite eliminar la burocracia de otros controles establecidos con el mismo fin.
❑ Gestión de roles de usuario estructurada y relacionada con objetos estructurales de la organización
de la compañía (organigrama de la empresa).
5. º
SEGURIDAD Y SEGREGACIÓN (Proyecto SoD-SOX)
AAM
AUTOMATIZACIÓN DE ROLES Y
GESTIÓN DEL CAMBIO
SARC
CONTROL DE
RIESGOS
SFS
SEGREGACIÓN DE
FUNCIONES Y
REINGENIERÍA DE
ROLES
SEGURIDAD y SEGREGACIÓN
+
+
SEGREGACIÓN
AVANZADA
RCMM
CONTROL DE RIESGOS Y
MEDIDAS DE MITIGACIÓN
+
Diagnóstico
INFORME INICIAL
DE AUDITORIA
+
ALF
APROBACIÓN
LEGAL DE
WORKFLOW Y
DOCUMENTACIÓN
Funcionalidad FAR de AAM
• Crear roles a usuarios específicos de
forma automática.
• Personalizar las autorizaciones
asociadas a las funciones generales.
Funcionalidad AUTOMATIZACIÓN
• ????
Matriz
ELABORACION
MATRIZ DE
RIESGOS
6. SEGURIDAD Y SEGREGACIÓN (Proyecto SoD-SOX)
SUITE DE RIESGOS
SUITE DE RIESGOS
TODAS LAS SOLUCIONES SON TOTALMENTE INDEPENDIENTES Y COMPATIBLES ENTRE SI Y SE INSTALAN EN
SAP SIN NECESIDAD DE MAQUINA. SOLUCIONES ACTUALIZADAS PARA ECC Y S/4 HANA.
7. SEGURIDAD Y AUTOMATIZACIÓN (Proyecto SoD-SOX)
SUITE DE RIESGOS
Esta solución permite realizar una comparación entre
los criterios de incompatibilidad o reglas que
contiene la herramienta, versus los accesos y
funciones que tienen los usuarios en la aplicación.
La herramienta contiene más de 180 reglas de
incompatibilidad divididas en distintos niveles de criticidad.
Es un desarrollo en ABAP que permite
mantener una matriz de riesgos
transaccionales en el sistema y validar la
adecuación de roles y/o usuarios a la
misma.
Puede utilizarse a modo de informes para detectar los roles
y/o usuarios con riesgos o bien evitando de manera activa la
entrada de conflictos en roles y/o usuarios. SARC se integra
totalmente con nuestra solución AAM (sistema para gestión
automática de roles) de manera que se evitará asignar
posiciones a usuarios que genere conflictos respecto a la
matriz de riesgos.
SARC (SYSTEM AUDIT RISK CONTROL)
Permite a un usuario no técnico mantener los
roles de los usuarios finales desde una
estructura organizativa estándar, que ofrece
como resultado la asignación de roles a
usuarios a medida.
Los roles asignados se crean tomando como modelo roles
base por objeto función (función profesional), asignando a
dichos roles base los objetos de autorización organizativos
que el cliente establezca como variables, y que se asignan a
cada posición mediante un infotipo desarrollado
específicamente al efecto.
La parametrización de AAM precisa de la
creación de roles base que se construirán
desde la aplicación externa SOD-RSF, al igual
que la construcción de las funciones y
asignación de usuarios.
AAM (AUTOMATIC AUTHORIZATIONS
MANAGEMENT)
VIDEOS
Video SARC - Video AAM
8. SFS - SERVICIO AUDITORIA y SEGREGACIÓN
Reingeniería de roles basada en funciones y tareas (SFS).
ENTORNO DINÁMICO DE
CONSTRUCCIÓN DE NUEVOS ROLES
BASÁNDOSE EN:
• Que los roles de los usuarios
resultantes cumplan la matriz de
riesgos. Se contempla la posibilidad
de excepciones con medidas
mitigantes concretas.
• Que los nuevo roles de los usuarios
difieran lo menos posible de las
transacciones que habitualmente
venía utilizando los usuarios.
• Que no se generen cuellos de botella
en las tareas diarias de SAP debido a
una errónea distribución de los roles.
• Que resulte una estructura de roles
que represente lo más posible la
realidad de los procesos de negocio
• Nuestra herramienta de consultoría
permite realizar simulaciones online
de todas las variables que
intervienen: riesgos, funciones,
tareas, usuarios, transacciones,
unidades organizativas y parámetros.
• Tareas
• Funciones
• Usuarios
• Transacciones
• Unidades Organizativas
• Parámetros
• Roles
Más de 30 informes
sobre Tareas,
Funciones,
Transacciones, Roles,
Incompatibilidades,
etc…
REINGENIERÍA DE ROLES BASADA EN FUNCIONES Y
PROCESOS, Y ANALIZADA DESDE DISTINTOS PUNTOS DE
VISTA
9. GESTIÓN DE USUARIOS
SUITE DE RIESGOS
SUITE DE RIESGOS
El proyecto de gestión de usuarios que ApliRH propone para SAP, integra tres sistemas:
✓ Sistema de mecanismos de gestión, monitoreo y auditoria de los procesos de autenticación que a la
vez tenga trazabilidad de los usuarios.
✓ Sistema de monitoreo de los accesos de los usuarios que permita conocer detalladamente las
actividades que realizan los usuarios y configurar alertas que informen de los malos usos y
costumbres.
✓ Sistema de control de las licencias SAP que la empresa mantiene en su sistema.
❑ Todas las soluciones ApliRH son desarrollos en ABAP y se instalan directamente en ECC / S4, sin
necesidad de ninguna inversión en hardware (excepto solución GDG).
❑ Implantación rápida, económica y sencilla, garantía de éxito del proyecto.
❑ Sistema de prevención del fraude con beneficios económicos directos al disminuir de manera notable
los riesgos de fraude en la organización y permite eliminar controles establecidos con el mismo fin.
❑ Las interfaces de integración están certificadas por SAP, integradas en el núcleo de SAP NETWEAVER.
❑ Integración con dispositivos de externos de seguridad.
❑ Gestionar las identidades sobre acciones de múltiples usuarios realizando procesos de autenticación sobre el
mismo usuario de SAP.
❑ Creación de trazas personalizadas de auditoria, orientadas a cubrir las necesidades de protección del
procesos de autenticación.
❑Control de TODOS los documentos creados por usuarios con riesgos permitidos, con el
objetivo de mitigar dichos riesgos.
❑Control de la administración de licencias SAP y automatización de la administración de
usuarios.
❑ Mejora en la planificación y la información y provisión de la cuentas de los usuarios y racionalización del uso
del sistema transaccional.
10. GESTION DE USUARIOS
EUM
ADMINISTRACIÓN
DE LICENCIAS
SAP
SMU
MONITORIZACIÓN DE
USUARIOS Y
TRAZABILIDAD
GDG SX3200
GESTIÓN DE IDENTIDADES
Y DE CERTIFICADOS
DIGITALES
GESTIÓN USUARIOS
+ +
+
SEGREGACIÓN
AVANZADA
ALF
APROBACIÓN
LEGAL DE
WORKFLOW Y
DOCUMENTACIÓN
11. GESTIÓN DE USUARIOS
SUITE DE RIESGOS
TODAS LAS SOLUCIONES SON TOTALMENTE INDEPENDIENTES Y COMPATIBLES ENTRE SI Y SE INSTALAN EN SAP
SIN NECESIDAD DE MAQUINA (a excepción del producto GDG). SOLUCIONES ACTUALIZADAS PARA ECC Y S/4 HANA.
Autenticación y
Trazabilidad
(GDG)
•Sistema de
mecanismos de
gestión, monitoreo y
auditoria de los
procesos de
autenticación que a la
vez genere una
trazabilidad completa
de los usos y
costumbres delos
usuarios en el sistema
cn su integración con
SMU
Monitoreo(SMU)
•Monitoreo de
usuarios
•Emite alertas
configurables para
acciones u omisiones
de los usuarios
•Almacenamiento del
log de auditoria para
trazabilidad del
usuario
Externalización
Aprobaciones
(ALF)
•Permite externalizar
la aprobación de
WorkFlows fuera del
propio sistema SAP
mediante la
configuración deunos
tipos de documento y
unas políticas de
aprobación por cada
tipo de documento de
manera
Controlde
Licencias(EUM)
•Herramienta de
controlde licencias ,
para una
reclasificación
automática y ajuste
sobrelas contratadas
(Audit SAP)
•Optimización del
consumo y
personalización dela
seguridad
GDG
SX-3200
Dispondremos de
una protección de
los procesos de
negocio asociados a
la gestión de
identidad y además
proveer trazas
centralizadas de
autenticación
SMU
Dispondremos de
trazabilidad y
monitoreo del uso
que hace cada
usuario del sistema
ALF
Dispondremos de
una solución que de
manera externa
permite la firma
digital de WorkFlows
fuera de SAP
Mayor controly
seguridad sobrela
aprobación.
EUM
Dispondremos deun
controlcompleto y
automático de las
licencias SAP,
racionalizando su
uso.
12. GESTIÓN DE IDENTIDADES Y FIRMA DIGITAL SAP
INCLUYE
GDG SX3200 ERP Security Appliance
Producto de seguridad, integración nativa con plataforma SAP R/3
Data Protection y Firma Digital
❑ Cifrado de información crítica y función resumen
❑ Protección de tramas bancarias compatibles con plataformas
SWIFT
❑ Protección de correo electrónico, cifrado y firmado centralizado
❑ Firma Digital reconocida con soporte de Hardware Security Module
Gestión y Custodia de Identidad Digital
❑ Dispone de un propio Proveedor Criptográfico Microsoft.
❑ Soporte y protección de Canal desde puesto cliente.
❑ Firma digital en navegadores (Microsoft Explorer, Firefox, Chome)
Gestión de Autenticación para Firma Digital
❑ Multiples factor de autenticación (Hw/Sw).
❑ Soporte One Time Password.
❑ Autenticación web compatible vía Microsoft Cryptographic
Provider.
13. METODOLOGÍA DEL TRABAJO (Proyectos SoD-SOX)
Diagnóstico Inicial
▪ Extracción de datos
referidos a usuarios y
accesos de SAP del cliente
de manera Rápida y Segura
con nuestros extractor (la
ejecución del extractor la
realiza el propio cliente,
teniendo información de la
data extraida)
▪ Análisis de riesgos por
Aplirh a través de la su
solución SARC y su matriz
de riesgos estándar y de
mejores prácticas.
▪ Extracción de datos del Log
de Auditoría sobre
transacciones ejecutadas
por los usuarios .
Control inicial de
riesgos
▪ Carga de la matriz de
riesgos de mejores
prácticas para definir una
matriz particular propia de
cada cliente, con sus
riesgos aplicables.
▪ Parametrización en SARC
de riesgos establecidos con
transacciones SAP que los
generan.
Segregación y
Reingeniería
▪ Definición de funciones-
tareas del cliente basadas
en las mejores prácticas de
ApliRH.
▪ Reingeniería de roles
basada en funciones
asociadas a posiciones y a
tareas-roles. Diseñando
roles base compuestos por
agrupaciones de
transacciones que forman
parte del proceso de
negocio.
▪ Los nuevos roles
resultantes están libres de
riesgos.
Automatización
▪ Los roles base sirven para la
construcción de roles
derivados, que el sistema
crea y asigna
automáticamente a
posiciones y,
posteriormente, a usuarios.
▪ Los roles base disponen de
todos los elementos de
autorización necesarios
salvo los organizativos
variables.
▪ Los roles derivados son
copia de los base,
completados con los
parámetros organizativos
asignados a cada posición.
PLAN DEL TRABAJO DEL PROYECTO
14. PRE-AUDITORIA DE LICENCIAS Y ACCESOS INDIRECTOS
SUITE DE RIESGOS
Ante este escenario APLIRH propone:
Proporcionar al cliente las herramientas desde
las perspectivas técnicas, funcionales y
contractuales que permitan optimizar en la
medida de lo posible el coste de licenciamiento
en su plataforma SAP.
✓ Mejorar el conocimiento sobre el escenario
actual de licenciamiento.
✓ Optimizar el consumo de licencias de usuarios
nominales, haciendo una reclasificación
efectiva.
✓ Conocer la existencia de riesgos de accesos
indirectos a través de la generación de
documentos desde sistemas de terceros
integrados con SAP.
✓ Identificar riesgos y oportunidades de mejora
de los sistemas de terceros integrados con
SAP.
Tradicionalmente, el licenciamiento de uso de SAP es un licenciamiento por usuario nominal o usuario nombrado lo
que mas adelante denominaremos Acceso Humano Directo. Sin embargo, recientemente SAP esta reclamando
también un licenciamiento por documentos o usuarios que se conectan a SAP por medio de otras interfaces o
sistemas legados conectados al sistema principal
En consecuencia, SAP ha desarrollado un nuevo modelo de precios abordando los desafíos de lo que se ha
denominado Accesos Indirectos. SAP distingue entre:
❑ Acceso Humano Directo: Se produce cuando los seres humanos inician sesión en utilizar el sistema
ERP a través de una interfaz entregado con o como una parte del sistema ERP (basado en usuarios).
❑ Acceso indirecto: El acceso indirecto se produce cuando los seres humanos, o cualquier dispositivo o
indirectamente sistemas utilizan el sistema ERP a través de un software intermediario no-SAP entre los
usuarios y el sistema ERP de SAP, tales como un front-end no SAP, una solución adaptada para el cliente,
o una aplicación de terceros.
PROBLEMÁTICA A ESTUDIAR
▪ ¿Cuántas licencias realmente se necesitan?
▪ ¿Qué es lo que realmente se tiene contratado?
▪ ¿Cómo se puede disminuir los costes de mantenimientos
con la optimización de licencias?
▪ ¿Sería posible reestructurar el contrato de licencias de
manera que sea más rentable?
▪ ¿Existe riesgo de accesos indirectos?
▪ ¿Qué me pueden exigir sobre el coste de accesos
indirectos?
15. SERVICIOS GRC-AC : IMPLEMENTACIÓN Y SOPORTE
SUITE DE RIESGOS
Soporte:
❑ Servicio Técnico
❑ Gestión de Tickets
❑ Diseño y Modificación de Roles
(Auditoria SoD-RSF)
Implementación:
1. Inicio
✓ Análisis preliminar de riesgos y controles
✓ Instalar el software y generar informes urgentes que identifiquen
áreas de alta prioridad a remediar.
2. Alcanzar un estado de cumplimiento
✓ Evaluar y analizar el conjunto de reglas estándar sobre
incompatibilidades
✓ Eliminar los conflictos a nivel de rol y resolverlos a nivel de
usuario
✓ Garantizar el cumplimiento de los requisitos
✓ Transferir la propiedad de los controles de acceso a los
propietarios de los procesos de negocio
✓ Perfeccionar la configuración del software para conseguir
informes precisos así como un rendimiento óptimo
3. Administrar los riesgos y accesos privilegiados, y
accesos de terceros
✓ Definir procesos para gestionar las violaciones y accesos
privilegiados
✓ Definir procedimientos para gestionar la concesión de accesos a
terceros
4. Mantener el nivel de cumplimiento
✓ Definir la integración entre los controles de acceso y el entorno
de control
✓ Incorporar los controles de acceso y autorizaciones de SAP a
los procedimientos de gestión del cambio sobre los procesos y
tecnologías existentes
✓ Asignar responsabilidades para la monitorización de los accesos
✓ Transformar la gestión de accesos de los usuarios por parte de
las áreas de negocio en actividades habituales
16. OTRAS SOLUCIONES APLIRH PARA SAP
SUITE DE RIESGOS
AUR (Automatic User Reports)
permite automatizar el acceso a la
información de SAP de personas
ajenas al sistema, de manera que no
es necesario tener un usuario de
SAP.
Objetivos:
✓ Posibilitar la configuración de
envíos de correos electrónicos con
informes resultantes en SAP
pudiendo controlar no solo que
informes se envían al destinatario,
si no que partes de la información
recibe.
✓ Automatizar la consulta de informes
de SAP pudiendo definir para cada
puesto de trabajo aquellos que le
son necesarios para el desempeño
de sus funciones y la frecuencia y
periodicidad con la que debe recibir
dicha información.
✓ Permitir liberar el acceso a
información relevante de usuarios
con acceso al sistema, a todo el
personal implicado en la
organización de una manera
automática, rápida y eficaz.
SVMI (System Visual Menu
Interactive) permite realizar de una
manera sencilla y rápida menús
visuales con botones.
Objetivos:
✓ Disponer de sus procesos de trabajo
más importantes en una sola pantalla
✓ Ordenar sus tareas en SAP por una
lógica
✓ Asociar los Menús a departamentos o
funciones de la organización
✓ Programar dichos botones de manera
interactiva de manera que aparezcan
o desaparezcan de la pantalla en
determinadas horas o fechas
✓ Documentar cada uno de los
procesos de trabajo con Manuales
SVMI o con Manuales específicos de
la empresa.
✓ Anexar iconos a los botones de
manera que les haga más inteligibles
✓ Incluir logos de departamento o
corporativos
✓ Poder anexar a dichos botones con
programas y variantes que se puedan
ejecutar directamente evitando tareas
repetitivas.
SAT (System Access Table)
permite crear de una manera
sencilla y rápida transacciones con
sus respectivos programas.
Objetivos:
✓ Disponer de una transacción que
permita realizar tareas de lectura,
modificación, y/o creación de
registro de una manera rápida y
sencilla sin necesidad de utilizar
código ABAP.
✓ Facilidad en preselección de los
datos a, modificar, borrar o leer y
en la entrada de datos
✓ Poder acotar exactamente el uso
sobre la tabla (lectura,
modificación, nuevas entradas,
etc…)
✓ Posibilidad de crear las
transacciones en productivo o
transportarlas desde desarrollo e
integración.
✓ Manejar cualquier tabla o vista de
SAP
✓ Trazabilidad del uso de
transacciones criticas como la
SM30 y la SE16
17. APLIRH: CUMPLIMIENTO CORPORATIVO Y SEGURIDAD
SUITE DE RIESGOS
Nuestros servicios están dirigidos al cumplimiento normativo (compliance) en
diversos ámbitos como son:
CUMPLIMIENTO Y SEGURIDAD
CORPORATIVA
GRC/SoD de Accesos SAP
• Control de la asignación y
creación de roles, evitando
autorizaciones con riesgo.
• Segregación de funciones
Información AQUI
CUMPLIMIENTO GRPD
Protección de Datos
• Descubrimiento y protección de datos
sensibles.
• Disociación de datos compatible con
todas las bases de datos.
Información AQUI
CUMPLIMIENTO NORMATIVO
DERIVADO DEL SOFTWARE
Securizar desde licenciamiento
• Factores de riesgo que afectan a la
continuidad de negocio, los
resultados económicos, la reputación o
la responsabilidad de una corporación y
sus directivos. Información AQUI
Compliance
& Security
18. OTROS SERVICIOS APLIRH
Datos que parecen
reales, pero no lo son
Descubrimiento y
Disociación de Datos
Sensibles
✓ Elaboración del diccionario de
datos sensibles de la
organización
✓ Determinación del nivel de
protección
✓ Asignación del algoritmo de
disociación
✓ Elaboración del mapa de datos
sensibles
✓ Asignación de reglas de gobierno
del proceso de protección
✓ Ejecución de las herramientas de
disociación y transferencia de
datos entre entornos
RPA-Automatización
Robótica de Procesos
✓ Identificar los procesos de
negocio susceptibles de mejorar
su eficiencia mediante técnicas
de robótica y el desarrollo e
implantación de las soluciones
tecnológicas necesarias para ello.
✓ Básicamente, cualquier
proceso de alto volumen,
dirigido por reglas de negocio
y repetible cumple los
requisitos para la
automatización.
Riesgo Normativo
derivado del Software
SCRM - Software
Sompliance and Risk
Management
✓ SCRM se comporta como un
modelo de Protección, ante los
factores de riesgo normativo
derivados del software, que
pueden afectar a la continuidad
de negocio, los resultados
económicos, la reputación o la
responsabilidad de una
corporación y sus directivos.
✓ Securizar desde el software los
riesgos derivados del mismo.
✓ Herramienta al servicio de la
continuidad de negocio.
ATHUS-RPA
Ahorro - Productividad –
Precisión – Escalabilidad -
Analítica avanzada