Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Una inmersión profunda en los roles y permisos de NetSuite

Una inmersión profunda en los roles y permisos de NetSuite

Jan 19, 2024

Una comprensión clara y segura de los roles de usuario es vital para gestionar NetSuite con éxito. Ya sea que esté implementando una nueva cuenta, limpiando una antigua o configurando la segregación de tareas para el SOX compliance, necesita tener un conocimiento sólido de algunos fundamentos.

Entendiendo los roles de usuario

NetSuite cuenta con un sistema de control de acceso basado en roles. Esto significa que cada usuario necesita que se le asigne un rol para obtener acceso, y ese rol determina lo que pueden ver y hacer en el sistema.

Existen 636 permisos distintos que rigen 4923 tareas, búsquedas y registros separados. Además, cada rol puede tener una vista de lista o formulario preferido o requerido para cada tipo de registro y transacción. Y encima de eso están todas las configuraciones contextuales que determinan qué datos ve un usuario de diferentes segmentos y subsidiarias. Dependiendo de la naturaleza de su cuenta, eso podría ser cientos de miles de combinaciones potenciales.

Contenido relacionado seleccionado:

Sin embargo, la realidad rara vez es tan compleja. En términos simples, los roles están compuestos de tres cosas:

  • Permisos: otorgue a los usuarios el derecho de ver datos y realizar acciones con ellos.
  • Restricciones: limite el uso de un permiso a datos relacionados con su filial, departamento o clase.
  • Interfaces: como formularios, vistas de lista y paneles de control, y el tema de navegación general conocido como 'centro', definen cómo ven las cosas los usuarios.

Entendiendo los permisos de usuario

Cada rol de usuario (excepto el Administrador) necesita al menos un permiso. Esencialmente, un permiso es un conjunto de derechos que rige lo que un usuario puede y no puede hacer en el sistema.

La mayoría de los permisos también tienen un rango de niveles de permiso, desde Ver hasta Completo. Son los siguientes:

  • Ver: El usuario puede ver los datos pero no puede cambiarlos
  • Crear: El usuario también puede crear un registro o transacción, pero no puede editarla
  • Editar: El usuario TAMBIÉN puede cambiar un registro o transacción después de que fue creado
  • Completo: El usuario también puede ELIMINAR un registro o transacción

Sea extremadamente cuidadoso al otorgar niveles de permiso Completos a casi cualquier persona, para casi cualquier cosa. Casi ningún rol operativo debería tener un conjunto de permisos transaccionales establecido en Completo.

Cuatro preguntas frecuentes sobre permisos de usuario

¿Qué permisos tiene el rol de Admin?

Los administradores tienen todos los permisos Y la capacidad de otorgar acceso a cualquier persona Y la capacidad de eliminar toda tu cuenta. Por lo tanto, debes ser muy cuidadoso a quién le das acceso de Admin. Una cosa clave que se debe recordar es que casi todas las capacidades incluidas en el rol de Administrador están disponibles como permisos separados. La mejor manera de pensar en un permiso es como un atajo que permite a los Administradores otorgar a un rol un grupo de capacidades en un solo paso.

¿Qué es una tarea?

Muchos permisos se describen en relación con una tarea. Esta relación es una de las principales fuentes de confusión en torno a los permisos. Entonces, ¿qué es una tarea?

Una tarea es básicamente un camino para hacer algo en NetSuite. Siempre está representada por uno o más elementos de interfaz. Estos elementos pueden ser algo en la navegación o en una interfaz de registro o transacción.

Por ejemplo, el permiso de Aprobación de Pedido de Venta activa y desactiva la tarea de Aprobación de Pedido de Venta. Sin este permiso, un usuario no puede aprobar un pedido de venta.

¿Cómo afectan los permisos a la navegación?

El nivel de permiso “Ver” controla la navegación y, en algunos casos, la capacidad de añadir un recordatorio a un panel de control. Los otros niveles controlan la habilidad de crear, cambiar o eliminar datos en registros, transacciones o configuraciones, lo que a su vez puede cambiar la funcionalidad de una interfaz agregando un botón o habilitando un estado de aprobación.

Esto es cierto no solo para los datos y transacciones, sino también para todos los permisos de configuración mencionados anteriormente. Además, realmente no importa si la capacidad se denomina tarea o registro — la relación funcional con el permiso es la misma.

¿Cuáles son las diferentes categorías para los roles y permisos de NetSuite?

  • Transacciones: Estos permisos controlan el acceso a los registros de transacciones de NetSuite y la capacidad de aprobarlos. Es importante asignar permisos limitados basados en roles específicos para asegurar una adecuada segregación de funciones. Considere si ciertos roles requieren permisos para configurar flujos de trabajo de SuiteFlow relacionados con transacciones.
  • Informes: Estos permisos determinan el acceso a informes financieros más amplios dentro de NetSuite. Los roles involucrados en la elaboración de informes financieros suelen tener asignados la mayoría de estos permisos.
  • Listas: Esta categoría cubre el acceso a todos los registros no transaccionales en NetSuite, como clientes, proveedores y empleados. Tenga en cuenta que no todos los permisos en esta categoría pueden tener nombres intuitivos, por lo que revise cuidadosamente cada permiso para entender su propósito. Ciertos permisos administrativos, como “Actualizaciones Masivas”, deben estar restringidos a un pequeño subconjunto de usuarios.
  • Configuración: Estos permisos son principalmente de naturaleza administrativa. Sin embargo, algunos permisos en esta categoría pueden ser relevantes para una gama más amplia de roles. Por ejemplo, el permiso “Importar archivo CSV” permite a los usuarios finales procesar sus propias importaciones de CSV para los registros a los que tienen acceso. Además, el permiso “SAML Single Sign-on” es esencial para los roles que utilizan la autenticación de inicio de sesión único.
  • Registro personalizado: Esta categoría se refiere a SuiteApps o registros personalizados dentro de NetSuite. Se puede otorgar acceso a registros específicos o grupos de registros a los usuarios en función de sus roles. Durante la implementación de una nueva SuiteApp, estos permisos a menudo se ajustan para permitir a los usuarios interactuar con la solución según sea necesario.

Monitoreo del comportamiento del administrador

En NetSuite, el rol de Administrador otorga a los usuarios amplios poderes transaccionales — y con eso viene el potencial de fraude. En un mundo ideal, ningún usuario debería poder crear, editar y eliminar transacciones en una cuenta de producción.

El monitoreo y la revisión regular de todos los cambios transaccionales realizados por usuarios con privilegios de administrador es una parte clave de la preparación para el cumplimiento de SOX, sin mencionar que es una mejor práctica para mantenerse seguro. Sin embargo, detectar estos cambios puede ser más difícil de lo que se espera. Como resultado, incluso si confías plenamente en tu equipo, estar preparado para una auditoría puede ser un desafío.

La raíz del problema es que en NetSuite, algunos scripts y flujos de trabajo se ejecutarán como administrador, incluso si no son activados por un usuario con privilegios de administrador. El resultado son cientos o incluso miles de falsos positivos cuando realizas una búsqueda de notas del sistema para actividad transaccional.

Limpieza de roles no utilizados

La gestión de acceso en NetSuite es mucho más difícil cuando tienes roles sin usar en tu sistema. Como otras formas de deuda técnica, los roles usados complican cada decisión sobre el control de acceso. Y cuanto más tiempo pospongas un proyecto de limpieza, peor se vuelve el problema.

Dos tipos de roles son candidatos para la limpieza:

  • Roles no asignados que no están asignados a nadie
  • Roles no utilizados que están asignados pero no se usan

Para encontrar roles no asignados, simplemente realice una búsqueda en el registro de empleados y agrupe los resultados por rol. Cualquier rol de usuario que no esté en la lista no está asignado a nadie.

Para encontrar roles no utilizados, ejecute una búsqueda en el Login Audit Trail (Setup>Manage Users>View User Login Audit Trail) para todos los inicios de sesión en los últimos seis meses. Si el rol no está en esta lista, no está en uso.

En una cuenta con mucha actividad, estas búsquedas pueden agotarse. Para solucionar el problema, limite su búsqueda solo a los roles que le preocupan.

Por qué es más fácil con Netwrix Platform Governance (anteriormente Netwrix Strongpoint)

Netwrix Platform Governance (anteriormente Netwrix Strongpoint) viene con búsquedas preconfiguradas para identificar roles no utilizados y no asignados en NetSuite.

Netwrix Platform Governance proporciona un nivel adicional de seguridad y tranquilidad, almacenando automáticamente los roles eliminados en un archivo permanente que puede restaurarse en cualquier momento.

Como mencionamos anteriormente, Netwrix Platform Governance es la única solución que encuentra scripts que se ejecutan como un rol específico.

Revisión del Uso de Permisos

Cada vez que se edita un registro, NetSuite crea una nota del sistema que describe qué se cambió, cuándo se cambió, por quién y con qué rol. Utilizando esto, podemos trabajar hacia atrás para averiguar qué permisos se están utilizando para cambiar los datos.

Si el registro tiene notas del sistema y no hay notas del sistema relacionadas con usuarios que crean o editan el registro relevante, el permiso no se está utilizando activamente (es decir, no se está utilizando para ingresar o cambiar datos/configuraciones).

Sin embargo, un permiso que no se está utilizando activamente puede incluir elementos de navegación que no se capturan en las notas del sistema. Por lo tanto, si estás utilizando este método para limpiar permisos de NetSuite, cualquier candidato que identifiques debe configurarse en Ver — no eliminado — para evitar problemas de navegación. 

Finalmente, si descubre que necesita establecer un permiso para Ver (o para eliminar un permiso) de un grupo de roles personalizados, puede realizar ese cambio utilizando una actualización masiva. Sin embargo, tenga MUCHO CUIDADO de seleccionar los roles correctos.

Informes clave de Netwrix Platform Governance:

Netwrix Platform Governance viene con tres informes predeterminados para ayudarlo a revisar el uso de permisos:

  • Actividad Transaccional por Rol: El informe de ‘Actividad transaccional por rol’ cubre todas las transacciones, incluyendo las transacciones personalizadas
  • Actividad de la Empresa por Rol: El informe ‘Actividad de la empresa por rol’ abarca Leads, Clientes, Prospectos, Proveedores, Socios y Otras Compañías
  • Otra Actividad de Registro por Rol: El informe ‘Other record activity by role’ cubre todos los registros y configuraciones que tienen notas del sistema

Aplicando el Principio de Menor Privilegio a NetSuite

Para garantizar la data security y minimizar el riesgo de acceso no autorizado, es crucial aplicar el principio de privilegio mínimo al configurar los privilegios y roles de usuario dentro de NetSuite. Al otorgar a los usuarios los privilegios mínimos necesarios para realizar sus funciones laborales, las organizaciones pueden reducir el potencial de abuso y acciones no autorizadas dentro del sistema.

El principio de mínimo privilegio aboga por otorgar a los usuarios el menor nivel de privilegio requerido para que puedan desempeñar sus responsabilidades laborales de manera efectiva. Desaconseja la práctica de asignar privilegios o roles excesivos, particularmente durante las etapas iniciales de una organización cuando se enfatiza la velocidad y la agilidad. Otorgar privilegios innecesarios puede dejar el sistema vulnerable al abuso y comprometer la seguridad. La revisión regular de los privilegios de los usuarios es esencial para asegurar que se alineen con las responsabilidades laborales actuales.

Al configurar los privilegios y roles de usuario en NetSuite, es crucial adherirse al principio de menor privilegio para mantener un entorno seguro. Aquí hay algunas consideraciones clave:

  1. Permisos basados en roles: Alinee los permisos para roles similares para garantizar la consistencia y facilitar el mantenimiento continuo. Al agrupar usuarios con funciones laborales similares bajo roles apropiados, puede simplificar la asignación de permisos y reducir el riesgo de otorgar acceso excesivo.
  2. Creación de Roles Considerada: Al crear nuevos roles, evalúe cuidadosamente los permisos requeridos para cada rol. Considere el principio de menor privilegio y asigne solo los privilegios necesarios basados en las funciones específicas del trabajo de los usuarios dentro de esos roles.
  3. Mantenimiento Continuo: Revise y actualice regularmente los privilegios y roles de los usuarios a medida que cambian las responsabilidades laborales. Esta práctica ayuda a garantizar que los usuarios tengan los privilegios necesarios para realizar sus tareas de manera efectiva sin acceso innecesario a datos sensibles o funciones del sistema.
  4. Migración Controlada de Roles de Usuario: Al realizar migraciones de roles de usuario a gran escala dentro de NetSuite, considere alternativas a la migración manual. Evalúe opciones que permitan transiciones de roles eficientes y seguras, minimizando el potencial de errores o escalaciones de privilegios no intencionadas.

Riesgos de Procesos Empresariales: Asegurando los Permisos Correctos de NetSuite

Asignar permisos de rol y niveles de permiso en NetSuite es crucial para controlar el acceso de los usuarios y mantener la seguridad del sistema. Sin embargo, otorgar permisos incorrectos o niveles inapropiados puede introducir riesgos en los procesos de negocio. Por ejemplo, permisos excesivos sin los controles adecuados pueden llevar a fraude o errores, mientras que permisos inadecuados pueden obstaculizar tareas críticas como los procesos de cierre financiero. Al evaluar cuidadosamente y alinear los permisos de rol con el principio de menor privilegio, las organizaciones pueden mitigar riesgos y asegurar un entorno seguro de NetSuite.

NetSuite ofrece varios tipos de restricciones que se pueden definir dentro de los roles para controlar el acceso a diferentes tipos de registros. Estas incluyen Restricciones de Empleados, Restricciones de Departamento, Restricciones de Clase, Restricciones de Ubicación y Restricciones de Filial. Cada restricción limita el acceso a tipos específicos de registros basados en ciertos valores de campo, asegurando que los usuarios con roles asignados solo puedan ver o editar los registros relevantes.

Sin embargo, cuando los permisos y niveles de permiso no se asignan correctamente, existen riesgos potenciales para los procesos de negocio. Otorgar permisos excesivos, como permitir que un rol de usuario cree registros de proveedores, facturas de proveedores y pagos a proveedores sin los controles apropiados, puede introducir riesgos significativos para la organización. Es crucial evaluar e implementar las medidas necesarias de mitigación de riesgos para evitar posibles fraudes o errores.

Gestión de la Separación de Funciones en NetSuite

La segregación de funciones es el concepto de que la misma persona no debería poder completar pasos consecutivos en la misma cadena de transacciones. Por ejemplo, una persona que pudiera emitir cheques y también saldar la cuenta bancaria podría encubrir sus rastros en un fraude.

La segregación de funciones es claramente una gran preocupación al revisar los roles y permisos de NetSuite. Es una parte crítica del cumplimiento de SOX y también es cada vez más solicitada en empresas privadas.

La práctica estándar para mantener la segregación de funciones consiste en dividir responsabilidades entre diferentes personas con distintos roles. También se puede lograr añadiendo un paso de control, como una revisión secundaria o aprobación, en una parte de la transacción.

El mayor error que cometen las empresas al implementar SoD es que no limpian primero sus roles de usuario. El segundo error más grande es que se enredan demasiado limpiando sus roles. Con eso en mente, podemos trazar un camino mucho más simple para poner en marcha SoD:

  1. Encuentre y desactive todos los roles no utilizados y no asignados
  2. Encuentre y elimine todas las asignaciones de rol no utilizadas
  3. Compruebe los conflictos de segregación de funciones dentro de los roles utilizando la biblioteca de reglas de Netwrix Platform Governance
  4. Compruebe si los permisos en conflicto están siendo utilizados activamente; si no es así, configúrelos en “Ver” para resolver el conflicto.
  5. Resuelva cualquier conflicto restante mediante la construcción de controles inteligentes utilizando el Netwrix Platform Governance Agent.
  6. Compruebe los conflictos de múltiples roles y resuélvalos utilizando Agent.

La segregación de funciones (SoD) es crucial para mantener controles internos efectivos y prevenir errores y fraudes dentro de una organización. Hay tres áreas principales que necesitan estar segregadas: autorización, custodia y registro.

La implementación de la segregación de funciones mitiga el riesgo de fraude. El fraude suele ocurrir cuando están presentes tres condiciones: motivo, racionalización y oportunidad. Al separar tareas clave, como la creación de proveedores y el pago de facturas, la creación de clientes y la emisión de notas de crédito, o la creación de asientos contables y su aprobación, se reduce la oportunidad de cometer fraude.

La segregación de funciones es importante porque impide que una sola persona tenga un control excesivo y la capacidad de abusar de ese control para fines no autorizados. Ayuda a proteger contra actividades fraudulentas como la malversación de fondos, el espionaje corporativo, campañas de venganza o la falsificación de registros financieros.

En el contexto de NetSuite, gestionar el acceso y hacer cumplir la segregación de funciones puede ser complejo debido a la multitud de permisos y tareas involucradas. NetSuite contiene numerosos permisos que gobiernan diversas tareas, búsquedas y registros. La gestión efectiva del acceso requiere tiempo y recursos que no siempre pueden estar disponibles para los administradores y equipos financieros. Además, la automatización puede introducir conflictos inesperados que los auditores pueden considerar como deficiencias de control, lo que hace que sea aún más desafiante mantener una segregación de funciones adecuada.

Cumplimiento SOX y controles de acceso

Como se mencionó anteriormente, la segregación de funciones (SoD) — y la revisión de acceso en general — es una gran parte del cumplimiento de SOX. Los auditores quieren ver que los controles de prevención de fraude estén integrados en el sistema y respaldados por roles y asignaciones de permisos bien definidos.

El problema es que las revisiones de acceso de segregación de deberes (SoD) tradicionales son instantáneas en el tiempo. Los equipos de NetSuite preparan sus roles y permisos para la revisión trimestral, a menudo con grandes gastos. Este enfoque requiere una extensa revisión manual de los cambios relacionados y horas de trabajo investigando falsos positivos. Asimismo, no te brinda — ni a tus auditores — ninguna confianza de que los conflictos que ocurran entre auditorías serán detectados y abordados.

El resultado es que los costos de auditoría se disparan, los niveles de estrés son altos y las deficiencias materiales, que agravan aún más ambos problemas, son comunes. Además, no hay una protección real integrada en el sistema, así que incluso si puedes luchar a través de una auditoría, realmente no estás protegido contra el fraude, que es el punto de partida de SOX.

El enfoque de Cumplimiento Continuo para la Gestión de Acceso

Netwrix Platform Governance es la única solución nativa de SoD para NetSuite. Basada en nuestro enfoque de 'cumplimiento continuo' para SOX, monitorea los cambios de roles y permisos de manera constante, brindándote una visión lista para auditoría del acceso, en cualquier momento.

Netwrix Platform Governance también puede bloquear cambios particularmente inseguros, como otorgar derechos de Administrador sin aprobación previa. Se implementa rápidamente, para que pueda estar operativo con menos estrés.

Las bibliotecas preconstruidas de reglas y herramientas se integran en el registro del empleado y le brindan la capacidad de implementar rápidamente controles detectivos, de bloqueo y de mitigación que ayudan a controlar el acceso a roles y permisos críticos — y demostrarlo a los auditores.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Paul Staz

VP de Ventas y Marketing

Como VP de Ventas y Marketing, Paul es responsable de impulsar el crecimiento de los productos de Infraestructura y Aplicaciones en el portafolio de Netwrix. Sus principales áreas de enfoque son la seguridad y el cumplimiento para NetSuite, Salesforce e Infraestructura de Red. Está apasionado por las Estrategias de Ir al Mercado y generar resultados positivos para los clientes. Anteriormente, Paul fue VP de Ventas y Marketing en Strongpoint donde dirigió las funciones de Ir al Mercado antes de que fuera adquirido por Netwrix. Paul tiene un título de Licenciado en Artes y una Maestría en Administración de Empresas de la Universidad McMaster en Hamilton, Ontario, Canadá.

Aprende más sobre este tema

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

¿Qué es la gestión de registros electrónicos?

Análisis Cuantitativo de Riesgo: Expectativa de Pérdida Anual

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad