¡Lo más importante es el tiempo!
Establecer unos conceptos de autorización al comienzo de un proyecto ahorrará tiempo, dinero y nervios.
En cualquier proyecto de implementación de TI habrá un momento en que la persona responsable tenga que establecer qué empleados pueden tener acceso a ciertas funcionalidades y de qué forma pueden hacerlo. Los equipos de proyectos a menudo se tienen que ocupar de los temas de accesos y autorizaciones justo antes de la implantación productiva. Por lo que no sólo pueden ocasionar un malgasto de tiempo y de costes significativos, sino que también en el peor de los casos pueden poner en peligro la fecha de lanzamiento.
"Por desgracia, esta es una situación que sorprendentemente ocurre durante muchos proyectos de implementación. Dependiendo del tipo de proyecto esto puede resultar muy caro. Por lo tanto, los conceptos de autorización deberían considerarse durante la fase de planificación cuando se está definiendo el concepto", afirma Bianca Folkerts, Associate Partner y Responsable de Cumplimiento en el departamento de IT-Consulting de ConVista Consulting. "Mi recomendación es integrar un apartado de 'Autorizaciones' con acceso de calidad en los proyectos y agregar un capítulo de 'Integración en el concepto de autorización' a las plantillas para los conceptos técnicos", añade la experta.
Preguntas adecuadas en mal momento
Las preguntas adecuadas normalmente se realizan cuando ya es demasiado tarde: Justo antes de la fecha de lanzamiento uno se pregunta, por ejemplo, de qué forma los distintos departamentos deberían acceder a las nuevas funciones o qué datos se tienen que guardar bajo ciertos criterios. Un análisis más detallado normalmente muestra que son necesarias autorizaciones adicionales o que en el peor de los casos el diseño de los roles de autorización existentes ya no se ajustan a los nuevos procesos.
"En retrospectiva es normalmente muy difícil, por ejemplo, definir grupos de autorización para cuentas de inventario, cuentas a pagar y cuentas a cobrar. Y la implementación de una función o un informe no va más allá si no se puede utilizar posteriormente", aclara Folkerts. Por lo tanto, esto tiene sentido cuando los respectivos requisitos ya van a ser documentados en el concepto técnico y llevados a cabo en la fase de Personalización.
Incluyendo gestión de riesgo y pruebas
Tener en cuenta estos temas durante la fase inicial ofrece una ventaja adicional. En lo referente a pruebas técnicas, los conceptos de autorización existentes se pueden testar con estas pruebas. Esto significa una reducción significativa en costes. "Por ello, recomendamos completar los casos de pruebas con los datos correspondientes para que los procesos técnicos y los permisos asociados se prueben. La experiencia demuestra que los permisos a menudo se prueban después del lanzamiento. Si luego hay que afrontar cambios, los accesos normalmente se distribuirán de forma jerárquica a todo el mundo. En lo referente a una gestión sólida del riesgo, este hecho es por supuesto un desastre total", afirma Folkerts.
Un método integral
Siendo una compañía de consultoría de TI y un partner de SAP de reconocido prestigio, ConVista Consulting implementa la herramienta de SAP SAP Business Objectives GRC. Un concepto de autorización bien estructurado es la base para una eficaz Gestión del Control de Acceso. ConVista respalda a sus clientes ya desde la fase de planificación con el diseño y realización de un concepto de autorización y con la definición y formación de roles. No sólo se tiene en cuenta la legislación y las directrices internas. Los expertos también analizan los procesos y las descripciones de los trabajos y observan el entorno tecnológico del sistema, las responsabilidades y las convenciones con nombres definidos. La concepción ocurre con una observación a la flexibilidad necesaria, por ejemplo para las compras de la compañía y para las adaptaciones estructurales dentro de la organización. Bianca Folkerts está convencida de que:
"Con este método exhaustivo podemos ofrecer seguridad a nuestros clientes y les podemos proteger de malas sorpresas."
