Title | Taller de Seguridad SAP ERP |
---|---|
Author | Robert Galarga |
Pages | 50 |
File Size | 5.3 MB |
File Type | |
Total Downloads | 137 |
Total Views | 588 |
Isaca Santiago Chapter Ciclo de Talleres Técnicos 2014 Taller de Seguridad SAP ERP Relator: María Esther Soto Consultor Senior ERS / Deloitte Enterprise Risk Services | Security & Privacy Services | GRC Solutions Marzo, 2014 Tabla de contenido 1. CV Relator. 19:00 a 19:05 2. Introducción a la se...
Accelerat ing t he world's research.
Taller de Seguridad SAP ERP Robert Galarga
Related papers
Download a PDF Pack of t he best relat ed papers
ASAP Raul Ullauri
Implant ación de soluciones SAP para el mercado de t elecomunicaciones siguiendo la met odología AS… Jesus Garcia Manual De Sap r3 ent erprise Cast ellano Roger Hill
Isaca Santiago Chapter Ciclo de Talleres Técnicos 2014
Taller de Seguridad SAP ERP
Relator: María Esther Soto Consultor Senior ERS / Deloitte Enterprise Risk Services | Security & Privacy Services | GRC Solutions Marzo, 2014
Tabla de contenido
1. CV Relator.
19:00 a 19:05
2. Introducción a la seguridad en SAP ERP.
19:06 a 19:25
3. Parámetros claves de la seguridad en SAP ERP
19:26 a 19:40
4. Concepto de autorización en SAP ERP
19:41 a 20:20
5. Segregación de Funciones en SAP ERP
20:21 a 20:45
6. Break
20:46 a 21:00
7. Herramientas de seguridad en SAP ERP
21:01 a 21:20
8. Ciclo de Seguridad ABAP y Tablas Z
21:21 a 21:35
9. SAP GRC Access Control y su relación con el
21:36 a 21:49
concepto de autorización. 10. Preguntas
2
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
21:50 a 22:00
CV Relator
3
CV Relator Enterprise Risk Services Security & Privacy Services
María Esther Soto Consultor Senior Tel:+56 2 729 8766
Email: [email protected]
Estudios: •
Ingeniera informática- Universidad de Santiago de Chile
Ha participado en diversos proyectos relacionados con diagnóstico, rediseño, diseño e implementación de seguridad SAP: Corporación Sofofa, Unimarc, Metro, Empresas Taylor, Mutual de Seguridad, entre otras-
Experiencia relevante
Consultor Senior de Risk Consulting de la línea de Seguridad y Privacidad de Deloitte, Ingeniero en ejecución en computación e informática. Con cinco años de experiencia como desarrolladora en ABAP y cuatro años en Seguridad SAP. Además, ha participado en cursos de: Seguridad SAP y Metodología EVD en Deloitte. Actualmente participa como relatora de cursos tanto de Auditoría y Seguridad ERP SAP para capacitaciones abiertas y cerradas a clientes.
4
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Introducción a la Seguridad en SAP ERP
5
Introducción Comprender el concepto del ERP SAP 6.0 y conocer las distintas funcionalidades que este sistema posee, las cuales se traducen en módulos que interactúan de forma integrada para el procesamiento de las transacciones de negocio bajo una jerarquía organizacional.
Comprender los ámbitos que cubre el Basis Component de SAP y la importancia que el mismo tiene dentro de un modelo integrado de seguridad. Enfocar la seguridad de las aplicaciones como un todo, bajo el punto de vista de un modelo integrado de seguridad.
6
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Conceptos Hoja divisoria básicos – Times de SAP New Roman desde 52pt
7
Footer
Conceptos básicos de SAP ¿Qué es SAP? Arquitectura Cliente / Servidor multi-nivel.
Base (Middleware) soporta tecnología de sistemas abiertos. Business Framework Architecture, abierta a integración total con otros componentes y aplicaciones. Interfaz de usuario homogénea entre aplicaciones. Ambiente de desarrollo de fácil comprensión. Integración total entre aplicaciones. Amplio rango de servicios.
8
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Conceptos básicos de SAP ¿Qué es SAP? Capa 1
BD Principal
Capa de Base de Datos Información validada por el usuario
Datos para ver o cambiar
Capa 2
Buffer BD
Buffer BD
Capa de Aplicación Información de salida para el usuario
Información de entrada desde el usuario
Información de entrada desde el usuario
Capa 3 Capa de Presentación
9
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Información de salida para el usuario
Conceptos básicos de SAP Módulos de SAP
SD
FI
Sales & Distribution
Financial Accounting
MM
CO
Materials Mgmt.
Controlling
PP
AM
6.0
Production Planning
Fixed Assets Mgmt.
QM
Cliente/ Servidor ABAP/4 PM Plant Main-tenance BC
PS
Quality Manage-ment
10
Project System
WF Workflow
HR
IS
Human Resources
Industry Solutions
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Conceptos básicos de SAP Módulos de SAP
BC
• ABAP/4 Development Workbench • Computer Center Management System • Sistema de Transportes • Administración de la Base de Datos • Administración de Seguridad
Componente Basis ……..
11
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Conceptos básicos de SAP Módulos de SAP Categoria Funcional - Industry Solutions IS SAP High Tech & Electronics SAP Engineering & Construction SAP Consumer Products SAP Oil & Gas
SAP Utilities
SAP Health Care
SAP Transportation
Business Information Warehouse
SAP Public Sector Sales Force Automation
...
SAP Telecomm
6.0 SAP Automotive
SAP Media
SAP Chemicals Advanced Planner & Optimizer
B2B Procurement
SAP Pharmaceuticals
SAP Retail SAP Aerospace & Defense SAP Banking SAP Service Providers
12
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Análisis General Módulo Basis
13
Overview de Componente Basis Modelo Integrado de Seguridad • SAP es solo una aplicación de muchísimas.... • Sólo estamos definiendo la seguridad para un elemento que junto a otros conformarían el engranaje total de seguridad Informática.
14
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Overview de Componente Basis Modelo Integrado de Seguridad
•
Cubre los siguientes ámbitos:
15
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Overview de Componente Basis Modelo Integrado de Seguridad
Módulos de 6.0
ABAP/4 Development Workbench 6.0 BASIS Sistema Operativo
16
Base de Datos
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Protocolo de Comunicac iones
GUI´S (Interfaces Gráficas de Usuario)
Overview de Componente Basis Control de Cambios - Landscape
Single Client / Single System Mandante
Multi Client / Single System Mandante
Instancia 6.0
Mandante
Instancia 6.0
Single Client / Single System / Multi Servers
17
Mandante
Mandante
Mandante
Mandante
Instancia 6.0
Instancia 6.0
Instancia 6.0
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Single Client / Multi system/ Single Servers Mandante
Mandante
Instancia 6.0
Mandante
Overview de Componente Basis Control de Cambios - Transporte
Mandante
Desarrollo
Transporte de cambios para Test
Instancia 6.0
Mandante
Control de Calidad
Liberación para producción
Instancia 6.0
Mandante
Producción Instancia 6.0
18
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Liberación para actualizaciones
Parámetros Hoja divisoria claves – Times de la Seguridad New Roman en desde SAP ERP 52pt
1 9
Footer
Seguridad de Usuarios Controles de Accesos Parámetros: Control de claves de acceso con parámetros del perfil del sistema .
Reglas definidas por el cliente: Programa : RSPARAM Transaccion : RSPFPAR
Ejecución directa de programas es una mala practica “riesgo de Seguridad” 20
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Seguridad de Usuarios Controles de Accesos Parámetros: Control de claves de acceso con parámetros del perfil del sistema RDISP/GUI_AUTO_LOGOUT • Segundos de inactividad antes de desactivar la sesión de un usuario. El valor 0 indica no se aplica la desactivación. El valor se mide en segundos, valor recomendado 20 minutos (valor 1200)
LOGIN/FAILS_TO_SESSION_END • Número de veces que un usuario puede ingresar una password incorrecta antes de que el sistema finalice los intentos de logon. El valor por defecto es 3. Se puede ingresar un rango entre 1 a 99. El valor recomendado es 3. LOGIN/FAILS_TO_USER_LOCK • Número de veces que un usuario puede ingresar una password incorrecta antes de que el sistema bloquee los intentos reiterativos. El bloqueo de la cuenta de usuario es automáticamente liberado a l medianoche del mismo día. valor recomendado de 3 a 5. LOGIN/MIN_PASSWORD_LNG • Número mínimo de caracteres que debe ser usados por una password. Por defecto se exigen 3. Puede ser un rango de 3 a 8. El valor recomendado es de 6 a 8.
LOGIN/PASSWORD_EXPIRATION_TIME • Número de días después de los cuales se debe cambiar la password. El valor por defecto es 0. El valor recomendado es 30 ó 45 días.
21
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Seguridad de Usuarios Controles de Accesos Parámetros: Control de claves de acceso con parámetros del perfil del sistema
Reglas definidas por el cliente: Programa : RSPARAM Transaccion : RSPFPAR
22
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Seguridad de Usuarios Controles de Accesos Parámetros: Control de claves de acceso con parámetros del perfil del sistema
Políticas de Seguridad de la Información
Parámetros de Seguridad SAP
23
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Reglas definidas por el cliente: Programa : RSPARAM Transaccion : RSPFPAR
Concepto de Autorización en SAP ERP
24
Introducción •
Comprender el concepto de autorización, sus derivadas y las diversas capas de seguridad que le permite al usuario del sistema SAP, poder ejecutar una transacción.
•
Asimismo, esta sesión tiene como objetivo que los alumnos conozcan la herramienta que permite construir los roles y perfiles de autorización para los privilegios de usuario y los distintos tipos de roles que existen y la utilidad que se le puede dar a cada uno de ellos.
25
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Seguridad de Autorizaciones Concepto de autorización Objeto de Autorización
Centro para OC
Unidad básica de seguridad
Autorización Instancia del objeto de autorización
Rol / Perfil
26
2.- Centro
Autorización #1
Autorización #2
1.-Actividad = Crear 2.-Centro = 001
1.-Actividad = Visual. 2.-Centro = Todos
Rol/Perfil #1
Rol/Perfil #2
(Crear OC) Representa tareas
1.- Actividad
*Autorización #1 *Otras autorizaciones
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
(Recepción Mat.) *Autorización #2 *Otras autorizaciones
Seguridad de Autorizaciones Concepto de autorización - Perfil
Perfil: Representa conjunto de autorizaciones
27
Perfil #1 (Crear PO) •Autorización #1 •Autoriz.Adicionales
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Perfil #2 (Recepción de bienes) •Autorización #2 •Autoriz.Adicionales
Seguridad de Autorizaciones Concepto de autorización - Perfil Rol: Representa conjunto de tareas de una función
28
Rol (Enpleado de Compras) •Perfil #1 •Perfiles Adicionales
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Rol (Empleado de Recepción) •Perfil #2 •Perfiles Adicionales
Seguridad de Autorizaciones Concepto de autorización Centro para OC
Objeto de Autorización
2.- Centro
Unidad básica de seguridad
Autorización Instancia del objeto de autorización
Rol / Perfil
1.- Actividad
Autorización #1
Autorización #2
1.-Actividad = Crear 2.-Centro = 001
1.-Actividad = Visual. 2.-Centro = Todos
Rol/Perfil #1 (Crear OC) *Autorización #1 *Otras autorizaciones
Rol/Perfil #2 (Recepción Mat.) *Autorización #2 *Otras autorizaciones
Representa tareas
Rol Compuesto Representa roles de trabajo 29
Rol Compuesto (Empleado compras) *Rol/Perfil #1 *Otros Roles/perfiles
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Rol Compuesto (Empleado recepción) *Rol/Perfil #2 *Otros Roles/perfiles
Seguridad de Autorizaciones Concepto de autorización Objeto principal
S_TCODE
Adicionado en la versión 3.0d Asegura transacciones individuales Primer objeto chequeado cuando un usuario ingresa una transacción
El objeto S_TCODE siempre debe tener status STANDAR“
30
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Seguridad de Autorizaciones Mecánica de Autorización Conociendo las 3 capas de seguridad estándar
Capa 1 Ejecute la Transacción
S_TCODE Capa 2
Capa 3 Crear Pedido de Compras
31
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Segregación Hoja divisoria de–Funciones Times New Roman desde 52pt
32
Introducción Segregación de Funciones •
Comprender el concepto de segregación funcional y su relación con las diversas capas de seguridad que le permite al usuario del sistema SAP, poder ejecutar una transacción a niveles organizacionales diferentes.
•
Identificar los puntos relevantes para mantener una adecuada segregación de funciones en la organización con el fin de mantener un sano control interno.
•
Entender el significado de una segregación funcional adecuada y su impacto para la información y los procesos realizados por la compañía, con el fin de prevenir fraudes y la integridad de la información
33
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Segregación de Funciones Tips •
Una de las principales actividades de control interno
•
Al aplicarlo a SAP podemos hacer referencia a la siguiente sentencia “La seguridad en un ERP, debe abordar el resguardo de la disponibilidad, confidencialidad e integridad de la información del negocio”
•
Tiene como objetivo prevenir o reducir el riesgo de errores o irregularidades, y en especial el fraude interno en las organizaciones
•
Permite asegurar que un individuo no pueda llevar a cabo todas las fases de una operación/transacción, desde su autorización, pasando por la custodia de activos y el mantenimiento de los registros maestros necesarios
•
Control de accesos transaccionales y de manejo de información
34
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Segregación Funcional de Funciones Segregación
Como mitigar los riesgos de errores y/o fraudes al limitar el acceso a transacciones críticas y/o conflictivas? Crear Proveedor (Compra)
Aprobar pedido de compras
Crear pedido de compras
Aprobar pedido de compras
Registrar factura acreedor
Registrar factura acreedor
35
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Segregación de Funciones Segregación Funcional
Escenario Riesgoso
Crear Proveedor (Compra)
RIESGO ¡¡¡¡ Que un usuario realice la creación de un proveedor ficticio y que las facturas sean registradas por el mismo usuario, las que se irían directo a la propuesta de pago automática
Escenario Típico de Fraude
Registrar factura acreedor
CONTROL 3 Alternativas: 1.- Segregar el acceso en 2 usuarios (Automático-preventivo) 2.- Implementar un control automático para que la factura se registre bloqueada y una instancia de control la aprueba (Automático – preventivo) 3.- Colocar un control de mitigación que consista en un reporte de monitoreo (semiautomático – detectivo)
36
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Segregación Funcional de Funciones Segregación Beneficios Beneficios • • • • •
•
37
Mayor control sobre el modelo de accesos de los usuarios, manteniendo procedimientos conocidos y establecidos. Mejorar el ambiente de control interno Reducir las acciones fraudulentos o mal intencionadas dentro de la compañía Mantener información sensible y crítica de la compañía en los usuarios que realmente responden a su nivel de responsabilidad. Mejorar los niveles de seguridad del sistema, según las buenas practicas Proteger eficientemente el ambiente que sustenta la información operacional y financiera del negocio.
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Ciclodivisoria Hoja de Seguridad – Times ABAP yNew Tablas Roman desde 52pt
38
Seguridad ABAP Ciclo Virtuoso de Seguridad de Programas ABAP
Catastro
Seguridad Autorización
Seguridad ABAP
Marco de Gobernabilidad
Seguridad Transacción
39
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Seguridad Grupo de Autorización
Seguridad ABAP Ciclo Virtuoso de Seguridad de Tablas
Catastro
Seguridad Autorización
Marco de Gobernabilidad
Seguridad Transacción
40
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Seguridad Grupo de Autorización
1 . - Ve r i f i c a r l o s o b j e t o s a c t i v o s para la transacción PFCG (SU24)
Herramientas de Seguridad ERP SAP 2.- Realizar un ajuste masivo de roles
3.- Buscar que transacción leen el o b j e t o S _ TA B U _ D I S
41 41
© 2011 Deloitte
Enterprise ...