En Novis, la seguridad de los datos de nuestros clientes es una prioridad constante. Por eso, hemos desarrollado políticas específicas para la administración SAP, como parte de nuestros proyectos de mejora continua en seguridad.
Estas políticas se basan en tres pilares:
• Las mejores prácticas de SAP en seguridad,
• Las recomendaciones de auditores de SAP durante los procesos de certificación,
• Y las normas internacionales, como ISO 27001.
Recomendaciones basadas en nuestra experiencia
A partir de lo que hemos aprendido, sugerimos revisar en su organización los siguientes puntos críticos:
Prácticas comunes y sus riesgos
Cuando la administración SAP está externalizada, es común que varias personas ejecuten tareas de administración. A veces, lo hacen usando una cuenta genérica, como el usuario “admin”, presente incluso en el mandante productivo.
Esta práctica genera tres problemas importantes:
1. Falta de trazabilidad inmediata: No es posible saber con precisión quién realizó cada acción con esa cuenta. Para lograrlo, se necesita un registro externo que se cruce con el log de auditoría del sistema SAP.
2. Dificultad para crear cuentas individuales: Asignar una cuenta por persona puede ser complejo y podría implicar un mayor uso de licencias SAP.
3. Riesgo de acceso a datos sensibles: El usuario “admin” en el mandante productivo tiene acceso potencial a información de negocio. Esto representa un riesgo innecesario tanto para el cliente como para su proveedor de servicios.
¿Cómo implementar una administración SAP segura?
Una administración profesional debe resolver estos problemas con políticas claras y herramientas adecuadas.
Lo ideal es que cada usuario técnico (como operadores, administradores o personal de soporte) tenga una cuenta propia. Así se asegura la trazabilidad completa de todos los accesos y cambios realizados.
Además, es posible restringir el acceso de usuarios técnicos a los datos del mandante productivo. Solo en casos especiales —aproximadamente un 5% de las actividades— o ante emergencias, se puede usar un esquema de excepciones, como el modelo Firefighter, que permite auditar estos accesos en cualquier momento.
Beneficios directos para el cliente
Con una solución de seguridad bien implementada en la administración SAP, se obtienen beneficios claros:
• Los usuarios técnicos no acceden a los datos de negocio del cliente.
• Existe trazabilidad total de todas las actividades sobre los sistemas.
• Se logra un uso optimizado de las licencias SAP.
• Las prácticas de administración son bien evaluadas en auditorías de seguridad.
¿Cuál es su situación actual? ¿Ha encontrado problemas similares en sus auditorías de administración SAP? Háganos saber sus experiencias.
Más información de nuestros servicios en nuestra página de contacto.
Autor: Glen Canessa
Otros artículos relacionados aquí
Chile
México
Estados Unidos
