­

Autorizaciones en S/4HANA y SAP Business AI: la gobernanza sigue en manos del experto
­

La inteligencia artificial está adquiriendo un papel cada vez más relevante en el ecosistema SAP. Con el avance de SAP Business AI incluyendo capacidades como Joule o SAP Copilot, ha surgido la percepción de que el futuro de la seguridad podría automatizarse completamente. Sin embargo, cuando hablamos de autorizaciones, roles y migraciones hacia SAP S/4HANA, la realidad es distinta: la IA todavía no puede sustituir al experto humano ni asumir la responsabilidad de diseñar por sí sola un modelo de seguridad robusto.


En este artículo analizamos   la IA desde un punto de vista teórico como desde las funcionalidades disponibles en SAP Business AI. Aunque existan funcionalidades etiquetadas como “Inteligencia Artificial”, en la práctica muchas de ellas se apoyan en mecanismos de análisis avanzados ya presentes en soluciones como GRC y proporcionan resultados de alto nivel. Estas herramientas pueden asistir, pero no reemplazar la arquitectura clásica de autorizaciones pueden ayudar, sí; pero no pueden decidir. Tal como se expone en el SAP Security Fórum, delegar la provisión de accesos en un modelo implica aceptar un grado de estocasticidad en la toma de decisiones y cuestionarse cómo garantizar la responsabilidad de estos.


La migración a SAP S/4HANA supone un cambio profundo que va más allá de la tecnología. Es un proceso de rediseño organizativo y operativo, donde el modelo de roles debe reconstruirse desde la raíz, apoyado en nuevas arquitecturas, procesos y responsabilidades. En este contexto, las autorizaciones dejan de ser un elemento técnico para convertirse en un pilar de gobernanza que determina la segregación de funciones, trazabilidad, el cumplimiento y control del riesgo. La IA puede identificar patrones, redundancias o anomalías. Sin embargo, carece del criterio estratégico, del entendimiento de negocio y del conocimiento normativo que exige un modelo de seguridad bien gobernado. La experiencia humana sigue siendo imprescindible para interpretar, decidir y contextualizar.


En relación con el modelo de responsabilidad compartida, es importante aclarar que no aplica en todos los escenarios. Solo es relevante cuando existe un hyperscaler o proveedor de infraestructura; no en implantaciones on-premise ni en entornos donde el cliente gestiona integralmente la plataforma. En aquellos casos donde sí aplica, el proveedor asegura la infraestructura, pero sigue siendo el cliente quien define su modelo de roles, establece controles de acceso y mantiene la gobernanza de seguridad. La IA opera siempre dentro de los límites definidos previamente por el experto: no asigna permisos por sí misma, sino que interpreta identidades y muestra información dependiendo de los roles diseñados por el experto de autorizaciones.


Antes de introducir IA en el entorno SAP, es imprescindible contar con autorizaciones sólidas y correctamente diseñadas. De lo contrario, los riesgos se amplifican.  Si los accesos no están bien gobernados, los modelos podrían entrenarse con datos restringidos o irrelevantes, comprometiendo la calidad del entrenamiento y exponiendo información sensible También existe el riesgo de que la IA acceda inadvertidamente a datos personales, financieros o de clientes, vulnerando normativas como GDPR. Además, al automatizar tareas que tradicionalmente estaban bien delimitadas por roles, la IA puede difuminar las fronteras de responsabilidad: sin una buena segregación de funciones (SoD), sería fácil generar conflictos de SoD incluso de manera involuntaria.


La automatización amplifica el impacto de cualquier brecha: un único rol mal definido puede permitir que la IA realice acciones de alto riesgo a gran escala. Esto refuerza la necesidad de modelos estrictamente definidos. Un diseño adecuado de roles no solo protege los datos, sino que garantiza que las capacidades inteligentes trabajen dentro de un perímetro seguro, controlado y auditado. Pese a que SAP trabaja en principios como la “trust propagation”, las experiencias iniciales muestran que este mecanismo no siempre actúa como se espera y puede exponer más información de la prevista si el backend no está correctamente ajustado.


Durante una migración a S/4HANA, las organizaciones suelen encontrar legados complejos: roles obsoletos, accesos excesivos, inconsistencias y conflictos de SoD acumulados con el tiempo. La IA puede acelerar el análisis, pero no tiene la capacidad de determinar qué debe conservarse, qué debe eliminarse o cómo mapear las nuevas funciones del negocio. Esas decisiones requieren la colaboración de expertos de seguridad, auditoría y negocio, que aportan el contexto que la IA no posee.

El verdadero futuro de las autorizaciones en SAP reside en un modelo híbrido. La IA aporta velocidad, capacidad analítica y eficiencia en tareas repetitivas; los profesionales aportan juicio, conocimiento del riesgo, interpretación de procesos y sentido organizativo. En el análisis inicial, la IA puede detectar accesos atípicos; en el diseño, el experto define la arquitectura; en la implementación, la tecnología agiliza pruebas y validaciones; y en la operación continua, la IA monitoriza mientras el equipo de seguridad toma decisiones estratégicas.


La inteligencia artificial en SAP S/4HANA debe entenderse como una aliada, no como un sustituto. Asiste, analiza y optimiza, pero no gobierna. La responsabilidad sobre los accesos, los datos y el cumplimiento normativo sigue estando en manos del cliente y de los profesionales que diseñan, mantienen y supervisan el modelo de seguridad. En la era de SAP Business AI, la figura del experto en autorizaciones no pierde relevancia: la incrementa. La IA puede sugerir, pero solo los humanos pueden decidir.


Fuentes consultadas:

SAP Learning Hub – *Understanding the Customer’s Security Responsibilities Using AI*

SAP Community Blog – *Principles to Practice: Securing SAP Business AI*

Whitehall Resources – *AI Security in SAP: Why Your Next Consultant Needs to Have It* (junio 2025)              
­
Volver al Boletín
­
­
­
­

Copyright 2023 AUSAPE. Para realizar consultas o el envío de noticias que puedan aparecer en este boletín, hágalo a nuestra dirección de correo electrónico: comunicacion@ausape.com. Si lo desea, puede crear enlaces desde sus páginas web a la dirección de la página principal de AUSAPE.

Lo recibiste porque estás suscrit@ nuestra newsletter.

Ver en navegador | Cancelar suscripción