Funcionamiento sobre Sistemas SAP (R)
SOUTH TRADE NETWORK (STN) www.interceptor.com.ar HOJA DE DATOS INTERCEPTOR Modulo de Evaluación de Segregación de Funciones Incompatibles (SOD) Funcionamiento sobre Sistemas SAP (R) SAP and SAP GRC are a SAP AG Trademark / Interceptor is a STN Trademark Interceptor SoD Detección en línea “on the fly” de problemas de segregación de funciones en sistemas SAP. Contenido Hoja de datos - Interceptor SoD 04 06 08 10 2 Introducción & contexto El Interceptor SoD, le permite gestionar integralmente los riesgos asociados a los problemas de segregación de funciones en sistemas SAP. Interceptor es una solución de desarrollo nacional que permite la detección automática de transacciones incompatibles diseñadas y/o asignadas en su modelo de seguridad SAP actual. Adicionalmente brinda diversas herramientas para el administrador con el objetivo de gestionar integralmente el ciclo de vida de los riesgos. • • • Cómo funciona? Esquema de funcionamiento del Interceptor SoD Características únicas Características “World Class“ Características principales de la herramienta y funcionalidades extras • Detecta preventivamente la asignación incorrecta de roles y funciones crítica y/o incompatibles. Permite ejecutar simulaciones previa implementación de los cambios. Permite documentar aquellos riesgos que hayan sido asumidos por el negocio y generar excepciones documentadas y aprobadas Posee un sistema de actualización dinámica de las matrices de seguridad, de forma tal, que ante cambios en su modelo, pueda actualizar fácilmente la herramienta. Descubra todas las características de Interceptor. Solicite hoy mismo una demostración del producto. Esquemas de Comercialización En su datacenter, appliance, virtualizado, en la nube 3 STN STN PROBLEMÁTICA ACTUAL: Introducción & contexto En el contexto de negocios actual, las Compañías reconocen la importancia que tienen sus aplicaciones e infraestructura tecnológica en el desarrollo de sus negocios, los riesgos a los cuales se encuentran expuestos y lo significativo de las herramientas informáticas que poseen para el procesamiento de la información y la comunicación de los datos Es necesario proteger sus activos y los datos que éstos procesan, de personas que podrían intentar explotar las vulnerabilidades o debilidades en modelo de seguridad aplicativa que soporta el modelo de negocio. La segregación de funciones es una de las principales actividades de control interno destinada a prevenir o reducir el riesgo de errores o irregularidades y en especial el fraude interno en las organizaciones. Su función es la de asegurar que un individuo no pueda llevar a cabo todas las fases de una operación/transacción desde su autorización, pasando por la custodia de activos y el mantenimiento de los registros maestros necesarios. En función de lo expuesto la administración eficiente de la segregación de funciones en el ambiente de proce- 4 samiento SAP es una de las grandes preocupaciones de las áreas de Protección de Activos de Información de los departamentos de Tecnología de la Información. 400 billones de USD es el costo por fraude anual en USA La mayoría de los casos se deben a empleados propios El control de la segregación de funciones es una de las actividades claves En los tiempos que vivimos, es indispensable automatizar los controles con el uso de la tecnología... Interceptor lo ayuda a automatizar el proceso Genere reportes SoD manualmente o en forma automática recurrente Utilice los mismos para prevenir proactivamente accesos no permitidos. Le permite efectuar evaluaciones en todos sus mandantes Realice evaluaciones contra su matriz de segregación de funciones, simule las asignaciones antes de llevarlas a producción. 5 STN STN Creative spread: problemas frecuentes: Cómo funciona? Interceptor le permite definir una matriz de seguridad de SAP; en la cual su Compañía define que funciones son incompatibles. STN lo asiste en la confección de la Matriz si Ud. no posee una definida. Integración Interceptor posee una interface amigable con la cual Ud. podrá cargar la matriz de seguridad. Dicha interface permite parametrizar el formato de “carga“, permitiendo definir incluso las columnas de una planilla Excel (r) con los datos a ser interpretados. Autenticación integrada y acceso mediante RFC El Interceptor accede mediante RFC a sus mandantes SAP, sólo es necesario definir un usuario Interceptor en su sistema SAP con mínimos accesos de lectura. Asimismo Ud. ingresa al Interceptor con su usuario de Active Directory. Una vez definida la matriz, es necesario que Ud. cargue los datos de los mandantes de SAP existentes. Interceptor probará dichas conexiones y le informará 6 acerca del resultado exitoso de la conexión. A continuación Interceptor replicará los datos de las tablas de seguridad de SAP en forma manual o automática según Ud lo defina. De forma tal que Ud pueda realizar evaluaciones con los datos en línea (on-line) o con la “foto“ de su SAP a la noche anterior. Asimismo, y con el objetivo de agilizar las réplicas, Interceptor realiza réplicas únicamente de las diferencias; es decir de aquellos datos de los roles y usuarios que hayan sido modificados luego de la última replicación. Interceptor le permitirá cargar excepciones, es decir usuarios o roles que no deben ser analizados. Una vez cargados los datos Datos listos. Que comience el análisis !! necesarios Interceptor le permitirá entre otros ejecutar las siguientes acciones: • • • Evaluación parcial o total de un mandante SAP filtrando o no incompatibilidades a analizar, roles simples o compuestos, riesgos bajo alcance, etc. Simular una futura asignación de roles en usuarios, es decir le permitirá simular con un cambio en un mandante de desarrollo que sucederá en producción previo transporte. Interceptor SoD posee un reporte de resultados exportable en Excel o en archivos crudos. 94% Que un mismo empleado pueda cargar una nota de crédito y aprobarla Que un mismo empleado pueda liberar un pedido sin aprobación de precios. Que un empleado pueda agregar un proveedor y a su vez aprobar las O.C. Excepciones Interceptor le permite documentar los riesgos acptados y reportar diferencias entre períodos de tiempo, por ejemplo: podrá deffinir un usuario que puede realizar una transacción incompatible, incluso adjuntando la documentación de dicha aprobación. 2013 Cómo funciona 54% 2015 El Interceptor SoD es un sistema autónomo, el mismo se conecta mediante RFC y no necesita de modificaciones en sus sistemas SAP. 63% 83 % Análisis de la gestión de los riesgos Podrá analizar ejecutivamente y a detalle técnico las diferencias entre evaluaciones antes y después de remediar los issues. 7 STN STN Simulaciones y evaluaciones guiadas mediante Wizards !! ... 78 Características World Class A continuación se detallan las principales características del Interceptor SoD: - Análisis de issues SoD online - Simulaciones SoD previo transporte a producción - Simulación mediante usuarios dummy - Evaluación de funciones críticas - Manejo de excepciones - Filtrado inteligente por rol simple/compuesto, usuario - Filtrado de corridas por todas o varias incompatibilidades - Administración y documentación de riesgos remanentes - Dashboard de control y seguimiento - Reporting detallado / exportación en texto y Excel. - Configuración asistida de su entorno Active Directory - Auditoría detallada de la propia herramienta - Replicaciones online y offline - Calendarización automática de las evaluaciones - Manejo de múltiples matrices y sistemas - Portal web flexible y configuración mediante wizards - Importación de matrices mediante planillas Excel % modelo de seguridad El Interceptor le permite cargar su matríz de segregación de funciones en una forma sencilla, permitiendo la incorporación de incompatibilidades, transacciones, objetos, campos y valores que las generan. Reporting técnico: Resultados de las evaluaciones. Identificando los valores de la matriz de incompatibilidades detectados 8 Reporting ejecutivo: Resultados globales, tendencias, mejoras en la gestión evolutiva de los riesgos asociados a SoD Multitasking: Interceptor posee un motor SoD que le permite ejecutar en forma simultánea diversas evaluaciones en paralelo Notificaciones: Ud será notificado en tiempo real ante la aparición de issues tanto en la herramienta como por correo electrónico Adicionalmente le permite cargar transacciones críticas y/o combinaciones de objetos críticos que de por si generan un issue por el solo hecho de estar asignadas. Un gran número de empresas consultadas observan que la implementación Herramientas nativas de SAP para el control de Segregación de Funciones Incompatibles acarrea costos y una complejidad de proyecto muy altos Interceptor no sólo brinda una alternativa económica, sino que agiliza enormemente el proceso de gestión 81 % Interceptor posee un dashboard para el control de las corridas, replicaciones e indicadores principales del sistema 2015 2014 Diversas empresas informan que los resultados de herramientas alternativas no brindaban hasta hoy exactitud ni las características de Interceptor. 9 STN Esquemas de Comercialización Interceptor le permite planificar las evaluaciones automáticas a ser ejecutadas diariamente, quincenalmente o cuando lo necesite. Planifique corridas con mayor o menor detalle, cumpla con las regulaciones internacionales, con las auditorías internas y externas y mejore el control interno de la Compañía. Interceptor puede adaptarse a su estándar de arquitectura tecnológica gracias a su diseño modular multicapa Tipo de arquitectura y sizing inicial Interceptor posee una arquitectura modular, con un motor de evaluación SoD totalmente independiente a la interface WEB de administración, lo cual permite una implementación en diferentes plataformas tecnológicas. Appliance, virtual o en la nube, diferentes alternativas para cada Compañía... SIZING Es muy importante el sizing inicial de la solución para que la misma responda con la cantidad de mandantes y evaluaciones simultáneas que necesite. Podemos ofrecerle en un extremo una solución monolítica implementada en un único appliance rackeable en su datacenter. Asimismo una solución mixta la cual consiste en aprovechar recursos de su compañía e instalar el sistema en ambientes virtualizados. Otra de las opciones que suelen solicitarnos es la implementación del software como servicio (SaaS) y dentro de ella poseemos la alternativa de la nube. Si Ud optase por la opción intermedia (Virtualizada) ofrecemos dentro de ella una administración de las plataformas (sistema operativo y base de datos) a cargo nuestro o a cargo de sus empleados. No dude en consultar algún otro esquema que se adapte mejor a sus necesidades. Interceptor posee una gran flexibilidad de plataformas, diferentes esquemas de arquitectura tecnológica y diversos esquemas de soporte. STN le brinda un soporte integral durante y luego de la implemmentación Solicite la implementación o la asistencia en la confección del modelo de seguridad de SAP y/o la asistencia en el diagnóstico integral inicial. 10 La herramienta definitiva para la gestión efectiva de los riesgos aplicativos! 11 STN credenciales INTERCEPTOR Casos de éxito Interceptor SoD es un desarrollo nacional, cuenta con el soporte de un equipo multidisciplinario con una amplia experiencia en Seguridad de la Información y con una extensa trayectoria en grandes proyectos de SAP (r). oil & gas, Una de las principales petroleras del País La petrolera ha confiado en STN el diagnóstico continuo de la segregación de funciones de todos sus mandantes de SAP. El Interceptor aporta un papel clave en la gestión de riesgos en un ambiente de gran dimensión; poniendo a prueba día tras día la correcta replicación, evaluaciones programadas y reporting de la herramienta en sus ambientes de desarrollo, QA y producción. Interceptor fue seleccionado en una compulsa abierta entre varias herramientas del mercado, incluso con la propia del desarrollador del software de base SAP(r). Interceptor se destacó frente a sus rivales debido a las características únicas en el mercado, como la simulación, creación de usuarios de prueba (dummies), gestión y documentación de riesgos aceptados (excepciones), la integración con Active Directory, la evaluación de segregación de funciones y funciones / transacciones críticas y el detalle y exactitud de sus resultados. Appliance Virtualizado En la Nube Delegue la implementación; solicite un equipo rackeable en sus instalaciones El Interceptor podrá implementarse en una máquina virtual de su datacenter Realice las evaluaciones desde la nube. Proteja las comunicaciones con vínculos privados. Banking, Bancos Argentinos de primera línea Interceptor se encuentra implementado en numerosas entidades bancarias de la República Argentina. Las entidades confían en Interceptor la alta carga de trabajo relacionada con la gestión de riesgos que exigen las regulaciones bancarias. 12 13 SOUTH TRADE NETWORK S.R.L. Av. Belgrano Nro 687 Piso 8º of. 33 (C1092AAG) CABA - Argentina +54 (11) 4334-4844 / 4343-2706 www.southtradenetwork.com www.interceptor.com.ar
© Copyright 2024