Diseño de roles en SAP: de las normas a la realidad del negocio

El mito de los roles de solo visualización en SAP

6 de noviembre de 2025

Publicado por m.martos en 20 de noviembre de 2025

Categorías

Diseño de roles en SAP: de las normas a la realidad del negocio

Autor: Daniel Velasco
Cargo: Consultor de Seguridad Senior
Fecha: Noviembre 2025

El diseño de roles SAP no se trata solo de cumplir normas, sino de adaptar principios como mínimo privilegio, trazabilidad y segregación de funciones a la realidad del negocio. Este artículo explica cómo transformar los marcos de control —SOX, ITIL, ISO 27001— en un modelo de roles sostenible, que proteja lo crítico sin complicar la operativa diaria.

De las buenas prácticas a la realidad operativa 

Los marcos de control —SOX, ITIL, ISO 27001— imponen principios sólidos: control de acceso, trazabilidad, mínimo privilegio y segregación de funciones (SoD).

Sin embargo, no dicen cómo construir roles en SAP.

El reto no es entender la norma, sino traducirla a un modelo de roles sostenible y alineado con la operativa. Aplicar seguridad de forma estricta puede obstaculizar el trabajo diario:

usuarios que necesitan completar procesos

proliferación de roles

alto coste de mantenimiento

La clave es el equilibrio entre seguridad y funcionalidad: proteger lo crítico sin frenar al negocio. Requiere una arquitectura clara, buen gobierno y un enfoque realista sobre la madurez de la organización.

Aunque la ley SOX es la referencia más conocida, es importante reseñar que existen regulaciones equivalentes como JSOX (Japón) o C-SOX (Canadá), que comparten los mismos principios de control financiero, trazabilidad y segregación de funciones. En Europa, por ejemplo, existe una Directiva sobre entidades de crédito que exige a las instituciones financieras gobernanza y segregación de funciones. En la práctica cada vez mas auditorías tanto internas como externas, aplican los principios de la ley SOX.

Qué dicen las normas y que NO dicen 

Cada marco de control aporta una visión complementaria sobre cómo deben gestionarse los accesos en SAP, pero ninguno dicta cómo deben estructurarse los roles.

Entender sus objetivos es esencial para diseñar un modelo coherente. 

SOX (Sarbanes-Oxley)

Nació para evitar fraudes financieros, en SAP se traduce en algo simple: no puedes ser juez y parte, es decir, no puedes diseñar roles que permitan crear un pago y aprobarlo. Por tanto, su máxima es exigir trazabilidad y Segregación de Funciones (SoD), lo que favorece modelos de roles por puestos de trabajo y procesos.

ITIL

Es un manual de buenas prácticas para gestionar procesos de TI sin caos, aplicado a la gestión de accesos en SAP, significa que los accesos deben pedirse, aprobarse y revisarse siguiendo un proceso ordenado de provisión. Promueve una gestión estructurada basada en roles funcionales por proceso alineado con SOX, lo que encaja bien con la estandarización.

ISO 27001

Está más enfocado a proteger la información y pide que cada usuario tenga acceso solo a lo necesario, ni más, ni menos, y que cada cierto tiempo revises que eso sigue siendo cierto. Refuerza por tanto, el principio de mínimo privilegio.

La parte interesante, es que ninguna de estas normas explica cómo se deben construir los roles en SAP, están enfocadas en objetivos, pero no en el cómo alcanzarlos. Por tanto, el diseño del modelo de roles es responsabilidad interna: adaptar los principios a la realidad del negocio y no al revés.

Modelos de diseño de roles: De la teoría a la práctica 

Modelo por transacciones (granularidad técnica) 

Modelo por tareas o procesos (granularidad funcional) 

Este enfoque construye roles asignando transacciones y objetos de autorización de manera individual y detallada. El objetivo es construir un puesto de trabajo otorgar únicamente los permisos estrictamente necesarios para ejecutar sus tareas, maximizando el control desde un punto de vista técnico. 

Ventajas: control preciso, fácil auditoría, riesgos claramente identificables. 
Desventajas: poco intuitivo para usuarios, mantenimiento costoso y limitada escalabilidad.

Este enfoque agrupa previamente las transacciones necesarias para una función completa del negocio, alineando la estructura de roles con la organización interna y su operativa real. El puesto resulta en una suma de procesos de negocio estructurados.

Ventajas: fácil de entender, menos roles por usuario, mejor alineación con la operativa.

Desventajas: posible exceso de privilegios y mayor dificultad para gestionar SoD.

Riesgos comunes asociados 

Las decisiones sobre el modelo se deben tomar a nivel de puesto de trabajo. La excesiva granularidad para su construcción termina produciendo fragmentación de puestos y un crecimiento descontrolado del número de roles. Además, los roles describen transacciones, no funciones de negocio, lo que dificulta el entendimiento de los accesos por parte de auditoría o negocio.  

Riesgos comunes asociados 

Las decisiones sobre el modelo se deben tomar a nivel de proceso de negocio. Al empaquetar actividades completas, es más probable que se agrupen funciones incompatibles generando conflictos SoD. Los usuarios pueden recibir autorizaciones adicionales dentro del proceso que no necesitan.

Aplicación ideal:  

Entornos con requisitos regulatorios altos o auditorías financieras frecuentes, y dónde exista un equipo técnico especializado capaz de mantener el modelo de manera restrictiva. 

Aplicación ideal 

Organizaciones que priorizan la agilidad, la adopción funcional y la coherencia organizativa, con procesos maduros y una carga regulatoria moderada.  

Modelo híbrido (la solución más común y sostenible. 

En la mayoría de los casos, la solución más sostenible es híbrida: combinar control técnico en zonas críticas con flexibilidad funcional en procesos de menor riesgo. 

Como encontrar el equilibrio: estandarización vs mínimo privilegio 

Diseñar roles en SAP no es solo una cuestión técnica, sino una decisión estratégica de gobierno.  

La estandarización implica simplificar: menos variantes, mantenimiento más eficiente y una mejor experiencia para el usuario y para quien administra los accesos.

El mínimo privilegio implica restringir: otorgar únicamente lo necesario para reducir riesgos y exposición.

Ambos principios son válidos, pero rara vez coexisten sin compromiso. 

El punto óptimo depende del riesgo del proceso y del nivel de madurez de la organización.

En procesos críticos para la organización (financieros, aprovisionamiento, pagos, usuarios con acceso productivo), tiende a prevalecer el mínimo privilegio técnico.

En procesos de soporte o bajo riesgo, puede aplicarse una mayor estandarización funcional.

Un modelo sostenible no es el más restrictivo, sino el más coherente con los riesgos y el nivel de exigencia de cumplimiento interno así como, la propia capacidad de gobierno de la organización.  

Alineación con marcos regulatorios: compatibilidades y tensiones 

Una vez definido el modelo de roles, es necesario integrarlo en el marco de control corporativo. Aquí es donde aparecen las principales tensiones entre trazabilidad, estandarización y mínimo privilegio.

La clave está en compatibilizar objetivos: 

SOX asegura quién hizo qué y por qué.

ITIL asegura cómo se aprueban y mantienen los accesos.

ISO 27001 asegura que solo se tenga lo necesario y se revise regularmente.

En la práctica, SOX aporta visibilidad, ITIL aporta proceso e ISO 27001 aporta control técnico. Ningún marco puede vivirse de forma aislada, la seguridad depende de como se aplican en conjunto, no en seguir cada una de ellas al pie de la letra.

Recomendaciones finales 

A la hora de definir un modelo de roles en SAP, conviene recordar algunos principios prácticos:

Empieza por el riesgo y el nivel de exigencia de la compañía en cuanto a riesgos. Identifica que procesos necesitan control estricto y cuales admiten mayor flexibilidad.

Combina granularidad y flexibilidad

Garantiza trazabilidad entre puestos, procesos y usuarios

Controla las excepciones: documenta y valida su vigencia.

Define un gobierno claro

En definitiva, la definición del modelo de roles en SAP se sitúa en la intersección entre seguridad, negocio y cumplimiento normativo. 

Los marcos de control establecen qué debe cumplirse —mínimo privilegio, SoD, trazabilidad—, pero cada organización debe decidir cómo aplicarlo en función de su realidad operativa.

El equilibrio se logra combinando control y simplicidad: granularidad allí donde aporta valor, estandarización donde facilita la vida.

La madurez no se mide por tener el modelo más restrictivo, sino por mantener uno seguro, comprensible y sostenible en el tiempo. 