viernes, 28 de noviembre de 2014

SAP y La Segregación de funciones

El pasado 12 de noviembre, Abast Systems organizó con éxito el evento “Gestión de Perfiles y Segregación de Funciones en Entornos SAP” en conjunto con @pliRH (empresa Española especializada en la consultoría técnica y funcional en SA).


Al evento asistieron y participaron directores, responsables y administradores de SAP de importantes empresas de los sectores servicios, juegos online y casinos y alimentación, entre otros.

En el evento se realizaron demostraciones de herramientas automatizadas que permiten al  negocio mejorar la gestión de los roles y autorizaciones minimizando los esfuerzos humanos.

La demostración de las herramientas fue complementada con la metodología a seguir para llevar con éxito un proyecto de segregación de funciones. 

  • SARC (GRC SAP) à Herramienta para la gestión de riesgos.
  • SFS à Solución en SAP de ayuda para la segregación de funciones.
  • SMU à Sistema de monitorización de usuarios, control de accesos de cada uno de los                     usuarios, configuraciones de alerta, etc.
  • SCMC à Herramienta de ayuda para la gestión del cambio.
  • AAM à solución SAP para la gestión automática de redes

Con participación de los asistentes, se realizaron múltiples ejemplos de cómo solucionar varias problemáticas relacionadas con la gestión de roles y autorizaciones en SAP:
  • Longevidad en las autorizaciones otorgadas a los perfiles / roles desde la instalación y personalización del sistema SAP.
  • Crecimiento de las operaciones de la compañía e incremento de autorizaciones añadidas a los perfiles / roles existentes para afrontar las tareas del día a día
  • Consultorías poco eficientes a la hora de la entrega de los resultados, hojas Excel con  los roles-transacciones-autorizaciones sobre objetos + usuarios-funciones y tareas.
Otro de los aspectos más relevantes del evento fue la demostración de la metodología para afrontar un proyecto de segregación de funciones:

1) Identificación de riesgos y adaptación de la empresa.  Es muy importante comenzar la implantación con una matriz estable.
2) Segmentar las estructuras en base a criterios:
  • Agrupación de usuarios homogéneos en actividad (empresarial y/o territorial).
  • Aprobación de la agrupación por el líder del área. 
    3) Monitorizar las transacciones que utilizan realmente los usuarios durante un periodo de tiempo. Construir el modelo de segregación (matriz de funciones y tareas) en simulación para cada modelo de manera independiente. 
      4) Definir y construir el modelo:
  • Asignar directamente los roles previstos al usuario en base a roles pre configurados.
  • Automatizar los roles desde la estructura organizativa OM estándar de SAP
5) Planificar la fecha de limitación de los roles.

En la mesa de opinión, los aspectos de más interés comentados por los asistentes al evento, fueron:
  • Afectación sobre el control de los usuarios SAP_ALL.
  • Gestión de alertas y tipos de alertas (asignación de transacciones incompatibles a roles de usuario)
  • Control de las transacciones “Z” (transacciones creadas para operativas específicas)
  • Creación de roles “Padre” y no funcionales (utilizados para copiar y crear nuevos roles)
  • Fomentar cambios a nivel organizativo para implementar las modificaciones de los roles

Aunque a priori pueda suponer la segregación de funciones un proyecto complejo, la implantación ofrece la oportunidad de mejorar la organización de la empresa, poniendo en marcha mecanismos de re-ingeniería de procesos ofreciendo múltiples beneficios.

Por tanto la segregación de funciones será una consecuencia directa de la implantación de sistemas de control de riegos (GRC) como sistema para prevenir y mitigar riesgos en la organización. 



viernes, 21 de noviembre de 2014

Propuesta Nuevo Reglamento LOPD – El DPO (Data Protection Officer)

En junio de 2014 se organizó una ponencia de trabajo en la que el Coordinador de Auditoria y Seguridad de la información en la Autoridad Catalana de Protección de Datos, expuso las novedades de la propuesta de Reglamento UE de Protección de Datos y anticipó los puntos que probablemente formarán parte de la nueva norma.

En este artículo se va a profundizar sobre uno de los principales puntos que serán susceptibles de aplicación para la mayoría de entidades, en el momento de la aprobación del reglamento de la Unión Europea de Protección de Datos.

El Reglamento será de aplicación directa a todos los Estados miembros. Todas las empresas que traten datos de carácter personal y dispongan de un establecimiento en un Estado miembro deberán aplicarlo, aunque las operaciones materiales de tratamiento de la información se lleven a cabo fuera de la Unión Europea.

El objetivo del Reglamento es alcanzar un mayor nivel de protección de los datos de carácter personal, especialmente en el medio digital, alineando la gestión de la protección de datos con el resto de actividades ordinarias y cotidianas que conforman la estructura organizativa y las reglas de negocio de las empresas, a lo que se une la obligación de ofrecer una mayor transparencia respecto del tratamiento de datos que llevan a cabo, en base a informar más y mejor sobre las operaciones de tratamiento.

Este nuevo Reglamento está considerado por las instituciones europeas como uno de los pilares del mercado único digital europeo, que debería estar ultimado, al menos conceptualmente, en el 2015.


Aunque no será de cumplimiento obligatorio para todas las Organizaciones, unos de los mayores cambios es el de disponer de la figura del DPO. 

Se establece el perfil del DPO como un profesional conocedor de la materia (legislación y buenas prácticas) y capacitado para desarrollar todas las funciones que describe el Reglamento (ej. supervisión, información, asesoramiento, formación, comunicación al Comité de empresa sobre el tratamiento de datos de los empleados, auditorías, seguridad, etc.), aunque por el momento no se detalla la obligación de acreditar una formación determinada.

No obstante, muy probablemente se establecerán mecanismos de acreditación, ya sean a nivel europeo o local, respecto de la formación o capacitación requerida.

Entre las funciones que habrá de desarrollar las más destacadas serian:
  • El DPO deberá ser el punto de enlace entre la Autoridad de Control y el responsable o encargado tratamiento, aunque la responsabilidad por el incumplimiento de la normativa recaerá siempre sobre la empresa.
  • Ha de ser una persona física y su identidad y datos de contacto deberán ser comunicados a la Autoridad competente y al público en general. Podrá ser interno (el mandato mínimo será de 4 años) o externo (el mandato mínimo será de 2 años), En cualquier caso el DPO deberá contar con los recursos humanos y materiales necesarios para desarrollar sus funciones de forma adecuada.
  • El cargo de DPO no reviste exclusividad por lo que el profesional podrá desarrollar otras funciones y competencias, siempre que le permitan garantizar los principios de independencia (no parece por tanto que esta función pueda ser asignada, por ejemplo, al Responsable de Seguridad) y deber de secreto que rigen su actividad. Se deberán considerar los aspectos legales pertinentes en el contrato al momento de externalizar esta función.
  • Deberá estar presente en la toma de decisiones sobre los procesos que vayan a implicar el tratamiento de datos personales, y disponer de una interlocución directa con la Dirección Ejecutiva, si bien no es necesario que pertenezca a ella.

Se expone la figura del DPO por estar calificado como uno de los cambios más sustanciales de la normativa, pero no será de aplicación para todas las entidades que traten datos de carácter personal.

Los supuestos en que se determina la obligatoriedad del DPO son:
  • Tratamiento de datos de más de 5.000 personas durante 12 meses consecutivos.
  • Tratamiento de categorías especiales de datos (ej. Hospitales).
  • Tratamiento de datos de localización (ej. geolocalización).
  •  Tratamiento que consista en la monitorización del interesado (ej. navegación).
  • Tratamiento de datos de menores y empleados a gran escala.
  • Administraciones Públicas.

lunes, 17 de noviembre de 2014

El Plan de Gestión de Crisis, punto de partida de la continuidad de negocio

El último precedente acontecido de la crisis del Ébola y la deficiente gestión que los Estados del “primer mundo” afectados han hecho de la misma, ha provocado que muchas organizaciones hagan autocrítica y se planteen si realmente disponen de niveles de madurez  suficientes en materia de continuidad de negocio que les permitan gestionar cierto tipo de incidentes tan graves como inesperados. La actualidad habla del ébola, pero los expertos en continuidad de negocio hace tiempo que hablamos de la Pandemia como un escenario de riesgo al que las organizaciones deben enfrentarse, protegiendo en primer lugar la salud de sus empleados y en segundo lugar a sus procesos de negocio (indisponibilidad simultánea de empleados que ponga en peligro la operativa de la compañía).

A pesar de que el riesgo de un caso de ébola en España existe desde hace tiempo y era factible, ha quedado evidenciado que no se disponía ni de los procedimientos / protocolos adecuados ni de las medidas de seguridad necesarias. En el caso del Estado esto no es de recibo, sin embargo también opino que las organizaciones no son responsables de no estar preparadas para un escenario tan específico como este, si bien si deberían estar trabajando escenarios genéricos como “Indisponibilidad Personal / Pandemia”. Todo lo acontecido (decisiones que aumentan el riesgo de contagio de la población, ausencia de comunicación formal…) es un ejemplo claro de que cuando ocurre una crisis, o un escenario de desastre es vital gestionar correctamente la situación desde el inicio, desde la “toma de decisiones”, ya que son estas las que van a minimizar o magnificar la crisis en función de lo acertadas que sean. Está claro que la clave es decidir correctamente, pero para ello  las organizaciones deben preocuparse en primer lugar por definir un Plan de Gestión de Crisis adecuado, el cual sea interiorizado, comunicado y simulado en la organización y que permita gestionar la crisis acontecida desde la capa estratégica.

Determinar y poner en marcha una respuesta es un elemento clave para el éxito o fracaso de un programa de gestión de la Continuidad y el punto de partida para definir esta respuesta es el Plan de Gestión de Crisis, el cual ofrece un marco de acción que permite a una Organización  que la toma de decisiones y las directrices a ejecutar (planes operativos o estrategias de recuperación que deben activarse)  permitan conseguir una reacción eficiente ante cualquier contingencia. Este Plan establece el flujo de notificación y escalado de los incidentes hasta los niveles en los que existe “poder de decisión” y establece el momento y el papel  que debe jugar cada rol.



La estructura organizativa del Plan de Gestión de Crisis se define en tres ámbitos principales de actuación:
  •  Un nivel ejecutivo de valoración y toma de decisiones.
  •   Un nivel táctico de procedimientos, protocolos,  asignación de funciones, responsabilidades y grado de autoridad.
  •     Un nivel operativo de gestión de la emergencia y evaluación de la gravedad de la situación.


Por tanto, es muy importante tener en cuenta que una vez que se haya definido e interiorizado el Plan de Gestión de Crisis en la compañía, será cuando esta estará preparada para definir los Planes Operativos que incluyan protocolos específicos para abordar escenarios detallados de pandemia, de indisponibilidad de tecnología,  de indisponibilidad de proveedores… o incluso la activación de un Protocolo Corporativo ante Enfermedades Infecciosas.