PROYECTO FINAL

SEGURIDAD DE SISTEMAS

UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA

FACULTAD DE INGENIERIA EN SISTEMAS DE
INFORMACIN
CURSO DE SEGURIDAD DE SISTEMAS

PROYECTO FINAL

INTEGRANTES DEL GRUPO:

RONAL JUNIOR LEIVA RAMIREZ 090-02-524
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

Contenido
INTRODUCCION.............................................................................................. 4
OBJETIVOS...................................................................................................... 5
OBJETIVO GENERAL..................................................................................... 5
OBJETIVOS ESPECFICOS............................................................................. 5
SEGURIDAD INFORMTICA.............................................................................. 6
Etapas de Madurez:..................................................................................... 6
Para qu Sirve?.......................................................................................... 6
Qu observacin obtengo?........................................................................6
Aseguramiento de la informacin...............................................................6
RIESGOS DE TI............................................................................................ 7
Por qu Riesgo?......................................................................................... 7
Amenaza..................................................................................................... 7
Vulnerabilidad............................................................................................. 7
Control........................................................................................................ 7
Atributos de seguridad de la informacin...................................................7
DELITOS INFORMTICOS................................................................................. 8
ESTADSTICAS................................................................................................. 9
LEYES............................................................................................................. 9
DESTRUCCIN DE REGISTROS INFORMTICOS.............................................10
ALTERACIN DE PROGRAMAS.......................................................................10
REPRODUCCIN DE INSTRUCCIONES O PROGRAMAS DE COMPUTACIN.....10
GOBIERNO TI................................................................................................ 10
MTRICAS.................................................................................................. 11
BUENAS PRCTICAS.................................................................................. 11
GESTION DE SERVICIOS DE NEGOCIO.......................................................11
BENEFICIOS DE IMPLEMENTAR BSM..........................................................11
ITIL............................................................................................................... 12
COBIT........................................................................................................... 12
ANALISIS FORENSE INFORMTICO................................................................12
MANEJO DE INCIDENTES............................................................................... 12
AGENTES INTELIGENTES PUEDEN ACTUAR COMO CONTROL DE INCIDENCIAS
..................................................................................................................... 13
Governance, Risk, and Compliance (GRC)....................................................14
Control de acceso:.................................................................................... 16
Proceso de control:.................................................................................... 16
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

SAP GRC Gestin de Riesgos:....................................................................16

Funcionalidades de la solucin.....................................................................17
Control de Acceso..................................................................................... 18
Gestin de la auditora.............................................................................. 18
Optimice la gestin de auditora y alinela con los riesgos
crticos.................................................................................................. 18
Gestin de controles y del cumplimiento regulatorio................................18
Mantenga el cumplimiento y los procesos de negocio eficaces
mientras reduce el riesgo.................................................................18
Gestin del Riesgo Empresarial.................................................................19
Conserve y haga crecer el valor del negocio con gestin de
riesgo empresarial............................................................................. 19
Gestin del Fraude.................................................................................... 19
Prevenga las prdidas financieras rpida y eficazmente con
gestin de fraudes............................................................................. 19
Control de Acceso......................................................................................... 20
Control de Auditora..................................................................................... 21
Planificar, gestionar y realizar la auditora................................................21
Gestin de controles y del cumplimiento regulatorio...................................22
Gestin del Riesgo Empresarial....................................................................23
Gestin del Fraude....................................................................................... 24
La deteccin del fraude y controles de continuidad..................................24
Investigacin del fraude y calibracin.......................................................25
Prevencin del fraude............................................................................... 25
La forma segura de otorgar privilegios en SAP"..........................................26
Ventajas SAP Access Control:....................................................................27
Situacin actual del negocio........................................................................28
Diagrama Solicitud y Asignacin de accesos actual....................................29
Acciones realizadas en la implementacin...................................................30
Nuevo Diagrama Solicitud y Asignacin de accesos...................................31
E-grafa:........................................................................................................ 32
CONCLUSIONES............................................................................................ 33
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

INTRODUCCION

En el presente documento se aborda el tema de la seguridad en informtica.

Hemos desarrollado los temas que guardan referencia con la seguridad
desde un aspecto macro llegando a profundizar en la implementacin de un
sistema de seguridad sobre la plataforma SAP, el cual se llama GRC.
Abordamos tambin detalles en los cuales especificamos como se tratarn
los temas especficos para una corporacin multinacional en la cual se
proveen vehculos de transporte.
Hemos destacado los aspectos ms importantes y hemos brindado la
informacin necesaria para la implementacin del proyecto.
Gracias por leer nuestro proyecto.
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

OBJETIVOS
OBJETIVO GENERAL
Implementar SAP GRC a fin de poder estructurar de manera eficaz los
controles de seguridad de informacin en la corporacin, agregando
valor a las responsabilidades del departamento de TI en el tema de
resguardo de la informacin.
Con esto lograremos minimizar seriamente cualquier oportunidad que
se tenga de violentar los sistemas informticos y darle cumplimento a
uno de los temas que se nos ha encargado como departamento de TI,
el cual se refiere al resguardo, proteccin y tratamiento as como
velar por la integridad de la informacin de la corporacin.

OBJETIVOS ESPECFICOS
Simplificar el enfoque de GRC integrando y automatizando
actividades de GRC claves en los procesos existentes.

Reducir la complejidad y mejorar la informacin estratgica

visualizando y proyectando cmo impacta el riesgo sobre el
rendimiento.

Proteger la reputacin y el bienestar financiero de la empresa

fortaleciendo las prcticas de gestin de riesgos.

Resguardar toda la informacin con la que la corporacin

cuenta

Identificar y trabajar sobre las reas de oportunidad detectadas

a fin de reducir cualquier tipo de vulnerabilidad detectada.

Contar con procesos y herramientas robustas, las cuales nos

ayudarn para la implementacin de planes de contingencia.
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

SEGURIDAD INFORMTICA
Se refiere a todas aquellas medidas que se toman para impedir que
se lleven a cabo actividades no autorizadas en un dispositivo o
sistema informtico, y que puedan causar algn dao en la
informacin o en los equipos.
Esto consiste en una estrategia que lleva a 4 fases: Auditoria interna,
Auditoria Externa, Regulatorios, Corporativos
Cuando hablamos de seguridad informtica debemos de hacernos
estas preguntas:

Qu deseamos proteger?
Se debe identificar primeramente cules son los bienes que
requieren proteccin.
De qu se quiere proteger?
Identificar cules son las amenazas que estn presentes ante
dichos bienes.
Cmo se quiere proteger?
Cules son los mecanismos de seguridad que se utilizarn para
lograr la seguridad deseada.

Adems se debe tomar en cuenta las vulnerabilidades tanto fsica,

natural o amenaza.

Etapas de Madurez:
Es un conjunto estructurado de elementos que me dicen el nivel de
madurez en el que se encuentra mi software, esto me ayuda a
establecer un orden claro y discreto que definen el nivel o etapa de
madurez, as mismo me describe la evolucin de la organizacin.

Para qu Sirve?
Para medir, para saber dnde debo estar, planear lo que debo lograr,
gestionar el crecimiento y evolucin de la organizacin.

Qu observacin obtengo?
Qu estoy haciendo, como lo estoy haciendo.
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

Aseguramiento de la informacin
Existen esquemas a nivel de organizaciones que se pueden
implementar para proteger la informacin como Esquema Prohibitivo
y Esquema Permisivo.
En el Esquema Prohibitivo puedo definir: listas negras, listas de
prohibiciones, listas de actividades.
En el Esquema Permisivo puedo definir: Hardening de servicios,
restriccin de los recursos compartidos obteniendo una conectividad
ms segura.

RIESGOS DE TI
Riesgos en el tratamiento de la informacin.

Por qu Riesgo?
- Porque la organizacin se sostiene a partir de la informacin
que maneja.
- Porque asegurar la informacin siempre tiene costo, pero
mantener la informacin vulnerable podra tener un costo an
mayor.

Amenaza
Causa potencial de un incidente no deseado que puede causar dao a
un sistema u organizacin.

Vulnerabilidad
Puede ser explotada por una o ms amenazas.

Control
Medio con el cual se maneja el riesgo.

Atributos de seguridad de la informacin

- Confidencialidad
- Integridad
- Disponibilidad

Una posible escala en confidencialidad sera:

PRIORI
CONFIDENCIALIDAD DAD
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

Informacin que puede ser utilizada sin

autorizacin por cualquier persona 0
informacin que puede ser utilizada por
empleados de la organizacin 1
Informacin que solo puede ser utilizada por un
grupo de personas designadas 2
Informacin que solo puede ser utilizada por un
grupo de personas exclusivo y muy reducido 3

PRIORI
INTEGRIDAD DAD
Informacin cuya modificacin en un sistema
puede repararse fcilmente y que no afecta el
funcionamiento de la organizacin. 0
Informacin cuya modificacin poder
corregirse, pero puede ocasionar perjuicio 1
Informacin cuya modificacin es difcil de
llevarla a cabo y puede ocasionar perjuicio 2
Esta informacin no podra repararse e impide
que la organizacin contine con sus
actividades. 3

PRIORI
DISPONIBILIDAD DAD
Informacin que est restringida pero no afecta
el funcionamiento de la organizacin 0
Informacin en la cual est restringida los datos
y es permanente por un tiempo corto 1
Informacin en la cual la informacin
permanece restringida durante una jornada
laboral. 2
Informacin en la cual si la informacin queda
restringida durante una hora prudencial,
pueden detenerse las actividades de la
empresa. 3
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

DELITOS INFORMTICOS
Es aquel causado por algn artefacto tecnolgico y su fin es el
perjuicio a otras personas o grupo de personas.
Entre los ms comunes est: Malware, virus, piratera, fraudes, robos,
etc.
Si mencionamos algunas caractersticas podran ser:
- Los que se dedican a esto tienen conocimiento especfico y han
sido contratados para un objetivo especfico.
- Han provocado serias prdidas econmicas.
- Ha habido muchos casos, pero lamentablemente pocas
denuncias.
- No importa el pas en el que se encuentren.

ESTADSTICAS
- 113 Mil millones es el costo global de los delitos informticos
- 378 millones de vctimas al ao
- 1 milln de vctimas por da
- 12 personas por segundo
- 50% de adultos han sido vctimas de un delito informtico.

En Guatemala los delitos ocasionados no son penados por la ley, las

iniciativas de estas leyes se han quedado estancadas en el congreso
de la repblica.

LEYES
Utilizando el artculo publicado por pgina
http://www.estuderecho.com/
El artculo ms conocido es:
ARTICULO 274. Ser sancionado con prisin de cuatro a seis aos y
multa de cincuenta mil a cien mil quetzales, quien realizare
cualquiera de los actos siguientes:
a) La atribucin falsa de calidad de titular de un derecho de autor,
de artista, intrprete o ejecutarse, de productor de fonograma o
de un organismo de radiodifusin, independientemente de que
los mismos se exploten econmicamente o no.
b) La presentacin, ejecucin o audicin pblica o transmisin,
comunicacin, radiodifusin y/o distribucin de una obra
literaria o artstica protegida, sin la autorizacin del titular del
derecho, salvo los casos de excepcin establecidos en las leyes
de la materia.
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

c) La transmisin o la ejecucin pblica de un fonograma

protegido, sin la autorizacin de un productor, salvo los casos
de excepcin establecidos en las leyes de la materia.
d) La reproduccin o arrendamiento de ejemplares de obras
literarias, artsticas o cientficas protegidas, sin la autorizacin
del titular.
e) La reproduccin o arrendamiento de copias de fonogramas
protegidos, sin la autorizacin de su productor.
f) La fijacin, reproduccin o transmisin de interpretaciones o
ejecuciones protegidas, sin la autorizacin del artista.
g) La fijacin, reproduccin o retransmisin de emisiones
protegidas, sin autorizacin del organismo de radiodifusin.
h) La impresin por el editor, de mayor nmero de ejemplares que
el convenido con el titular del derecho.
i) Las adaptaciones, arreglos, limitaciones o alteraciones que
impliquen una reproduccin disimulada de una obra original.
j) La adaptacin, traduccin, modificacin, transformacin o
incorporacin de una obra ajena o parte de ella, sin autorizacin
del titular.
k) La publicacin de una obra ajena protegida, con el ttulo
cambiado o suprimido, o con el texto alterado, como si fuera de
otro autor.
l) La importacin, exportacin, transporte, reproduccin,
distribucin, comercializacin, exhibicin, venta u ofrecimiento
para la venta de copias ilcitas de obras y fonogramas
protegidos.
m) La distribucin de ejemplares de una obra o fonograma
protegido, por medio de la venta, el arrendamiento o cualquier
otra modalidad de distribucin, sin la autorizacin del titular del
derecho.

DESTRUCCIN DE REGISTROS
INFORMTICOS
ARTICULO 274 "A". Ser sancionado con prisin de seis meses a
cuatro aos, y multa de doscientos a dos mil quetzales, el que
destruyere, borrare o de cualquier modo inutilizare registros
informticos.
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

ALTERACIN DE PROGRAMAS
ARTICULO 274 "B". La misma pena del artculo anterior se aplicar
al que alterare, borrare o de cualquier modo inutilizare las
instrucciones o programas que utilizan las computadoras.

REPRODUCCIN DE INSTRUCCIONES
O PROGRAMAS DE COMPUTACIN
ARTICULO 274 "C". Se impondr prisin de seis meses a cuatro aos
y multa de quinientos a dos mil quinientos quetzales al que, sin
autorizacin del autor, copiare o de cualquier modo reprodujere las
instrucciones o programas de computacin.

GOBIERNO TI
Son todas las acciones que se realizan en el rea de TI en conjunto
con la alta direccin. Esto constituye una parte primordial del
gobierno de la empresa en base a la estructura organizativa y
directiva necesaria para asegurarse que TI es un ente importante
para facilitar el desarrollo y objetivos estratgicos definidos.
Esto garantiza que:
- TI siempre est alineada con la estrategia del negocio.
- Los riesgos relacionados con el mismo ya son conocidos y
administrados, por tanto los recursos son manejados de forma
segura.
- ITIL
- COBIT
- CMMI

MTRICAS
Los controles estn dirigidos por medidas.
Como por ejemplo:
- Key perfomance Indicator
- CMM
- GOBIERNO TI
- BSC

Existen 4 perspectivas que se centran en las siguientes cuestiones:

1. Clientes
2. Procesos internos
3. Aprendizaje y crecimiento
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

4. Los aspectos financieros

BUENAS PRCTICAS
Es un conjunto de procedimientos en un mbito profesional que son
probados y generalmente son aceptados en la industria y ayudan
para generar valor al negocio.
Estas pueden provenir de muchas fuentes, marcos pblicos de trabajo
como ITIL, COTIB, CMMI y normas ISO.

GESTION DE SERVICIOS DE NEGOCIO

BSM es una disciplina que hace explicita la relacin entre los
componentes de la infraestructura informtica, de manera que
permite al personal responsable de las TI enfocarse en los procesos
de negocio de la empresa.

BENEFICIOS DE IMPLEMENTAR BSM

- Reduce notablemente el tiempo de NO DISPONIBILIDAD
- Mejoran la comunicacin entre las empresas
- Ayuda a los operadores a priorizar su trabajo.
- Mejoran la satisfaccin del usuario final

ITIL
La estructura base ha demostrado ser til para las organizaciones en
todos los sectores a travs de su adopcin por innumerables
compaas como base para consulta, educacin y soporte de
herramientas de software.

COBIT
Conjunto de mejores prcticas para el manejo de informacin creado
por la Asociacin para la Auditoria y Control de Sistemas de
informacin (ISACA). Es un marco de referencia para la direccin de
IT, as como tambin de herramientas de soporte que permite a la
alta direccin reducir brecha entre las necesidades de control,
cuestiones tcnicas y los riesgos del negocio.

ANALISIS FORENSE INFORMTICO

El anlisis forense digital se corresponde con un conjunto de tcnicas
destinadas a extraer informacin valiosa de discos, sin alterar el
estado de los mismos. Esto permite buscar datos que son conocidos
previamente, tratando de encontrar un patrn o comportamiento
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

determinado, o descubrir informacin que se encontraba oculta. En

este post se introducir el tema, as como la utilidad del mismo, ya
sea dentro o fuera de una investigacin.
En el campo de la Informtica Forense existen diversas etapas que
definen la metodologa a seguir en una investigacin: identificacin,
preservacin o adquisicin, anlisis y presentacin de los resultados.
Siguiendo el flujo lgico de actividades, primero se debe identificar las
fuentes de datos a analizar y aquello que se desea encontrar, luego
se debe adquirir las imgenes forenses de los discos o fuentes de
informacin, posteriormente se realiza el anlisis de lo adquirido para
extraer informacin valiosa y finalmente se ordenan los resultados del
anlisis y se presentan, de tal modo que resulten tiles. Hace unas
semanas se analiz en este blog el proceso de adquisicin,
comparando medidas de rendimiento y facilidad de uso, para
determinar qu herramienta de adquisicin de imgenes forenses
elegir. Es tiempo de pasar a la siguiente etapa: el anlisis de la
informacin adquirida.

MANEJO DE INCIDENTES
Se generan de los diferentes ataques que sufren los sistemas que se
interconectan con internet. Dichos ataques amenazan el buen
funcionamiento de cualquier organizacin y violan las polticas de
seguridad.
Ante las diferentes tipos de amenazas es posible clasificar 2 tipos de
incidentes
- Incidentes automticos
- Incidentes manuales

AGENTES INTELIGENTES PUEDEN

ACTUAR COMO CONTROL DE
INCIDENCIAS
Un agente inteligente acta con autonoma en nombre de una
persona o identidad, es decir, que acta sin intervencin humana o
de otros sistemas externos.
Suponga un grupo de agentes inteligentes que colaboren con un CERT
o Equipo de Respuesta a Incidentes de Seguridad Informtica
(Computer Emergency Response Team por sus siglas en ingls),
ayudando a determinar qu tipo de incidente est ocurriendo en un
sistema que est bajo ataque, con base en los sntomas que ste
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

presenta. Los agentes proporcionaran alertas, soluciones inmediatas

y medidas en forma automtica para controlar dicho incidente.
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

Governance,
Risk, and
Compliance
(GRC)
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

En una era de creciente regulacin y la rendicin de cuentas de la

organizacin, la gestin del riesgo se ha convertido en un reto de
negocio importante y es la colocacin de una demanda cada vez
mayor sobre los recursos.

Para la mayora de las empresas, la gestin del riesgo en toda la

empresa es un reto importante. Los requisitos son cada vez ms
compleja y la necesidad de una visibilidad completa del riesgo es
fundamental, sin embargo, muy difcil de lograr. El enfoque
fragmentado por lo general a la gestin del riesgo ya no es una
opcin viable. Gestin de riesgos eficaz es ahora una competencia
bsica. A travs de una mejor automatizacin, centralizacin y por
convertir los datos en informacin procesable, las empresas pueden
transformar la gestin de riesgos de una carga operativa y financiera
en un facilitador para el xito.

SAP GRC es una gran manera de maximizar el rendimiento, tanto

estratgico como operativo, a travs de la gestin de las regulaciones
y el cumplimiento de polticas. Tambin mitiga cualquier tipo de
riesgo de negocio, de Finanzas de Recursos Humanos, las
preocupaciones ambientales para la gestin del comercio.

Las empresas estn evolucionando ms rpidamente para responder

a los cambios del mercado, junto con el aumento de los riesgos. Y las
partes interesadas estn exigiendo una mayor integridad y
transparencia. Las hojas de clculo, correos electrnicos y
documentos administrados de forma inadecuada ya no son
aceptables para los reguladores, auditores externos y los altos
ejecutivos de la empresa en ltima instancia responsable de los fallos
de GRC.
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

Al implementar SAP GRC obtenemos los siguientes beneficios:

Simplificar su enfoque de GRC integrando y automatizando

actividades de GRC claves en los procesos existentes.

Reducir la complejidad y mejorar la informacin estratgica

visualizando y proyectando cmo impacta el riesgo sobre el
rendimiento.

Proteger la reputacin y el bienestar financiero de su empresa

fortaleciendo las prcticas de gestin de riesgos.

Para conseguir un sistema integrado de GRC primero tenemos que

mirar a los mdulos individuales dentro de la solucin SAP GRC;

Control de acceso:

Se centra especficamente en lo que las personas tienen acceso

en una organizacin. Puede parecer bsico, pero con entrantes,
que mueven los que abandonan, el acceso adecuado puede ser
una preocupacin real. El empleo adecuada segregacin de
funciones, que regula las funciones de la empresa, la inclusin
de usuarios, y la concesin de acceso de emergencia para los
usuarios auditado sper es clave para la gestin de riesgo de la
organizacin .

Proceso de control:

Acta como un centro de control central que automatiza tareas,

supervisa la actividad e informes en tiempo real. Se le da una
visin continua en el estado de cumplimiento de los controles
en el lugar a travs de sus procesos de negocio clave,
alinendolos con la prevencin de riesgos. En conjuncin
con controles bien definidos que erradiquen la duplicacin y
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

simplifican la garanta, SAP GRC Process Controles una potente

capacidad.

SAP GRC Gestin de Riesgos:

Le ayuda a integrar y coordinar las actividades de gestin de

riesgos, a obtener una ms profunda comprensin del riesgo, Y en
planta oportuna, respuestas fiables. Proporciona informacin
detallada para ayudarle a gestionar el riesgo de manera
responsable. Y ayuda a evaluar las amenazas y oportunidades,
para que pueda tomar mejores decisiones para impactar
positivamente en el rendimiento de su negocio.
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

Funcionalidades de la solucin

Control de Acceso

Automatice la administracin y ejecute gobernanza de acceso

con ms facilidad

Optimice el proceso de gestin y validacin del acceso del usuario a

las aplicaciones y los datos. Con soluciones de gobernanza de acceso
de SAP, usted puede automatizar el aprovisionamiento y certificar el
acceso, incorporar controles de plizas preventivas, monitorear y
automatizar revisiones de actividad de acceso de emergencia y
posibilitar a los dueos de la empresa gestionar el acceso al sistema
con un soporte mnimo de TI.

Gestin de la auditora

Optimice la gestin de auditora y alinela con los riesgos crticos

Impulse ms valor a partir de las actividades internas de gestin de
auditora. Las soluciones de SAP pueden ayudarlo a:

Optimizar procesos de auditora bsicos con documentacin intuitiva

y funcionalidades mviles

Aumentar la eficacia de la auditora con mejor planificacin y

generacin de informes

Mejorar la alineacin del negocio con procesos de auditora

integrados a las actividades de gestin de fraudes, control de
procesos y gestin de riesgos.
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

Gestin de controles y del cumplimiento

regulatorio

Mantenga el cumplimiento y los procesos de negocio eficaces

mientras reduce el riesgo

Ayude a asegurar efectivamente controles continuos y la gestin del

cumplimiento. Concentre los recursos en los procesos, las
regulaciones y los riesgos de alto impacto para obtener informacin
estratgica continua sobre el estado del cumplimiento y control. Con
ms visibilidad, usted puede reducir los costos mientras aumenta la
confianza y la calidad de los procesos de negocio.

Gestin del Riesgo Empresarial

Conserve y haga crecer el valor del negocio con gestin de

riesgo empresarial

Comprenda qu influye en los niveles de riesgo, cmo los que

impactan sobre el valor y qu respuestas son ms adecuadas para la
gestin del riesgo empresarial. Las soluciones de SAP pueden ayudar
a los consejos corporativos, comits de auditora, ejecutivos y
gerentes de operaciones a:

Alinear la gestin de riesgos con los impulsores de valor de

negocio

Obtener informacin estratgica sobre cmo ocurren los riesgos

Actuar sobre los riesgos y las oportunidades emergentes

Proyectar el impacto de los acontecimientos no planificados

 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

Gestin del Fraude

Prevenga las prdidas financieras rpida y eficazmente con

gestin de fraudes

Minimice la prdida financiera a travs de la deteccin temprana e

investigacin de alertas ms eficaces en la gestin del fraude. Las
soluciones de SAP pueden ayudarlo a:

Examinar altos volmenes de transacciones y datos de socios

de negocio

Investigar y documentar potenciales casos de fraude

Limitar los falsos positivos con calibracin y simulacin en

tiempo real sobre grandes volmenes de datos

Mejorar la respuesta y el control para reducir futuros casos de

actividad fraudulenta
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

Control de Acceso

La gestin de acceso de los usuarios a sus aplicaciones empresariales

requiere un cuidadoso equilibrio - demasiado acceso crea un riesgo, y
demasiado poco ralentiza impulso. SAP Gestin de acceso da una idea
de las consecuencias financieras de violacines - para que pueda
tomar decisiones ms informadas sobre el control de acceso.

Obtener una comprensin clara de los costes y el impacto de

violacines de control de acceso

Reducir los esfuerzos de control manual y eliminar los falsos

positivos

Centralizar la monitorizacin, seguimiento de la investigacin y

la resolucin de violacines de acceso

Dar a los usuarios de negocios propiedad sobre las actividades

de remediacin.
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

Control de Auditora
Debido a que el software automatiza y acelera el proceso de auditora
- la liberacin de los auditores internos para adoptar un papel ms
estratgico, de asesoramiento. Aprovechar la potencia de la base de
datos de SAP HANA en memoria, integrarse con otras soluciones de
gobierno, riesgo y cumplimiento (GRC), y alinear la auditora interna
con los objetivos generales de la empresa.

Planificar, gestionar y realizar la auditora

capturar instantneamente la documentacin de auditora y las

pruebas con las capacidades mviles y herramientas de
arrastrar y soltar

Crear, controlar y gestionar los problemas de auditora con un

seguimiento global y seguimiento

Utilice las funciones de bsqueda para obtener ms valor de

legado y documentos de trabajo

Contratar auditores con una interfaz fcil de usar y

herramientas de colaboracin

Integrar con SAP Fraud Management, Gestin de Riesgos de

SAP, SAP y Control de Procesos para alinearse con el negocio

Maximizar la utilizacin del personal y reducir los gastos de

viaje con una mejor planificacin de auditora interna, gestin
de recursos, y la programacin
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

Gestin de controles y del

cumplimiento regulatorio
Debido a que ayuda a proteger su negocio con un control continuo y
el control del cumplimiento. Mejorar la eficacia de sus procesos de
control interno a travs de sistemas no SAP SAP y, con fuerza y ellos
se alinean con los requisitos de eficiencia de prevencin y riesgo.

Obtenga soporte escalable para mltiples controles internos y

programas de gestin de cumplimiento

Mejorar la eficiencia mediante la identificacin, priorizacin y

concentrar los recursos en los procesos clave de negocio y
riesgos

Ganar visibilidad en tiempo real de todos los procesos de

control de cumplimiento e internos

Ciclos de auditora de control interno de la velocidad y reducir

los costos de auditora con la automatizacin

Detectar problemas antes, de forma proactiva analizar fallos de

control y seguimiento de remediacin

Cumplir con una serie de normas: contra el soborno y la

corrupcin (por ejemplo, FCPA), cumplimiento financiero (SOx,
la Directiva de la UE 8 ...), los controles de TI (por ejemplo
CobIT), los requisitos de la industria tales como Basilea II / III, la
FDA (GMP y GLP), la FERC / NERC, y mucho ms
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

Gestin del Riesgo Empresarial

Debido a que el software puede ayudar a proteger y crear valor para

sus grupos de inters - de los inversores a los empleados y clientes.
Identificar y evaluar los riesgos y oportunidades, determinar una
estrategia de respuesta, y monitorear el progreso. Con la Gestin de
Riesgos de SAP, podr:

Identificar los riesgos empresariales y alinearlos con los

procesos de negocio que crean valor

Evaluacin y anlisis de riesgos en trminos de probabilidad y la

magnitud del impacto

Eficacia de la gestin del riesgo pista con informes integrados y

anlisis

Un seguimiento continuo de los riesgos a travs de indicadores

de riesgo clave basadas en SAP HANA (KRI)
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

Gestin del Fraude

La deteccin del fraude y controles de

continuidad

Captura, bsqueda, y analizar datos de mltiples fuentes -

incluyendo SAP y software de negocios no-SAP

Detectar actividades sospechosas, ya que est sucediendo para

detener las transacciones fraudulentas antes de que afecten su
cuenta de resultados

Integrarse con SAP Control de Procesos, Gestin de Auditora

SAP y SAP Business Partner de cribado para mejorar su marco de
control, mejorar las polticas de prevencin del fraude, cumplir con
las regulaciones contra el fraude, la pantalla terceros, y refinar las
respuestas al riesgo

Entregar las notificaciones de alerta eficaces y las respuestas

ms eficientes para escenarios de fraude relacionados con su
organizacin - como el robo de los empleados, la corrupcin, el
fraude o la garanta

Investigacin del fraude y calibracin

Utilizar las funciones de calibracin y simulacin para realizar

anlisis de hiptesis en los datos histricos y refinar las estrategias
de deteccin
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

Disminuir los resultados falsos positivos utilizando criterios

granulares para ajustar los mtodos de deteccin

Analizar el rendimiento de las reglas de deteccin y

configuraciones para evaluar qu enfoques son los ms eficaces

Prevencin del fraude

calcular rpidamente las puntuaciones de riesgo y analizar

escenarios de fraude para entender cmo evitar que vuelva a
suceder

Se integra con las aplicaciones ERP para detener las

transacciones potencialmente fraudulentas antes de su posterior
procesamiento

Integrarse con SAP anlisis predictivo para determinar qu

mtodos son los ms eficaces para impedir el fraude - y tomar
mejores decisiones para reducir el riesgo
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

Es esta fase del proyecto solo esta contemplado la implementacin

de SAP ACCESS CONTROL.

La forma segura de otorgar

privilegios en SAP"

La solucin SAP GRC Access Control, no solamente nos sirve para

hacer anlisis de riesgos cuando se hace el aprovisionamiento de
privilegios a los usuarios tanto de SAP ERP como de otras soluciones
SAP, sino que tambin nos sirve para hacer uso de la propuesta de
funciones por procesos de negocio que posee como lnea base de
buenas prcticas, las que se pueden usar para el desarrollo de los
roles que deben ser asignados a los usuarios.

Este enfoque de desarrollo de roles por funciones SAP GRC Access

Control, est siendo implementado de manera creciente en las
empresas, lo cual adems es vinculado con el mdulo HCM (Recursos
Humanos) de SAP, a fin de automatizar la provisin de privilegios en
un marco controlado, a partir de los movimientos de altas o bajas que
se realiza en el maestro de personal de la entidad.
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

Esta vinculacin se hace a nivel de roles funcionales (por procesos de

negocio) y cargos, lo que se relaciona con las posiciones y/o funciones
de HCM para lograr la automatizacin del modelo.

Ventajas SAP Access Control:

Los roles construidos y relacionados a las funciones de SAP GRC

Access Control, no poseen problemas de incompatibilidades y
ya vienen segregados funcionalmente, por lo que pueden ser
asignados de forma limpia a los usuarios.

Las funciones SAP GRC Access Control estn relacionadas a

procesos de negocios y funcionalidades estndar dentro de
estos, por lo que llevarlo a roles de privilegios para usuarios,
nos ayuda a estandarizar procesos en la entidad y en forma
segura.

La administracin de los roles emanados de funciones SAP GRC

Access Control, es mucho ms ptima y sustentable en el
tiempo, sobre todo si la entidad posee implementada la
solucin SAP GRC Access Control.

Se erradica de la entidad los roles hbridos, modelos atomizados

y los trajes a la medida para usuarios, que al no estar
relacionados a una lgica de procesos de negocio, siempre es
complejo administrarlo y se termina dependiendo de los
administradores de roles, por lo que se disminuye o mitiga el
riesgo de dependencia funcionaria.

Para que este o cualquier modelo de roles en SAP, perdure en el

tiempo, sin tener que hacer reingeniera de roles o rediseo de
privilegios cada tres aos promedio, es necesario apoyarse por una
herramienta de monitoreo continuo como SAP GRC Access Control
para su administracin, sobre todo considerando que esta solucin de
SAP, es un verdadero sistema experto que contiene set de reglas
estndares para anlisis de segregacin funcional y accesos crticos.
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

Situacin actual del negocio

Se tienen muchos inconvenientes en la gestin actual de los accesos
y en el control de los mismos siendo algunos riesgos e
inconvenientes los siguientes:
No existe una matriz de puestos a nivel organizacional

No se cuenta con la documentacin de los accesos asignados

actualmente en el sistema.

No existe un proceso de solicitud de otorgacin de accesos

No se cuenta con un proceso de autorizacin de accesos

El 70% de los usuarios tienen algn acceso otorgado

incorrectamente.

No se puede cuantificar el riesgo con los accesos otorgados

actualmente
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

Los accesos se operan directamente en la instancia productiva

Diagrama Solicitud y Asignacin de

accesos actual
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

Acciones realizadas en la
implementacin

Para la implementacin de la solucin (Access Control) se tuvieron

que realizar algunas acciones y procesos para posteriormente
plasmarlos en el sistema.

Definicin de Puestos a nivel organizacional

Definicin de matriz de autorizacin segn estructura

organizacional

Creacin de matriz de acceso segn puesto organizacional

Creacin de niveles de accesos

 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

Creacin de roles

Asignacin de Accesos a Roles

Depuracin de usuarios

Asignacin de roles a usuarios

Definicin de nuevo proceso de solicitud, autorizacin,

asignacin y replicacin de los accesos en el sistema.

Nuevo Diagrama Solicitud y

Asignacin de accesos
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

E-grafa:

http://www.tcpsi.com/servicios/gobierno_ti.htm
https://seguinfo.wordpress.com/2007/07/05/las-10-mejores-practicas-
en-seguridad/
https://www.academia.edu/11494593/Conceptos_basicos_en_buenas_
practicas_de_TI_y_seguridad_informatica
http://revista.seguridad.unam.mx/numero-14/gesti%C3%B3n-de-
incidentes-de-seguridad-inform%C3%A1tica-con-agentes-inteligentes
 PROYECTO FINAL
SEGURIDAD DE SISTEMAS

CONCLUSIONES

- Al implementar GRC en los procesos ya establecido se puede

obtener mejores resultado en cuanto al control del manejo de
informacin y seguridad en cuanto a privilegios otorgados en
los usuarios.

- Con la implementacin de GRC se puede controlar los alto

volmenes de transaccionalidad para llevar un mejor control de
casos de fraudes o anticiparse al alguna anomala que pueda
darse.

- Al implementar GRC, lograremos estar un paso adelante ante

cualquier riesgo o amenaza, pudiendo identificarla tendremos la
oportunidad de poder mitigar el riesgo.