Taller de Seguridad SAP ERP PDF

Preview

Summary

Isaca Santiago Chapter Ciclo de Talleres Técnicos 2014 Taller de Seguridad SAP ERP Relator: María Esther Soto Consultor Senior ERS / Deloitte Enterprise Risk Services | Security & Privacy Services | GRC Solutions Marzo, 2014 Tabla de contenido 1. CV Relator. 19:00 a 19:05 2. Introducción a la se...

Description

Accelerat ing t he world's research.

Taller de Seguridad SAP ERP Robert Galarga

Related papers

Download a PDF Pack of t he best relat ed papers 

ASAP Raul Ullauri

Implant ación de soluciones SAP para el mercado de t elecomunicaciones siguiendo la met odología AS… Jesus Garcia Manual De Sap r3 ent erprise Cast ellano Roger Hill

Isaca Santiago Chapter Ciclo de Talleres Técnicos 2014

Taller de Seguridad SAP ERP

Relator: María Esther Soto Consultor Senior ERS / Deloitte Enterprise Risk Services | Security & Privacy Services | GRC Solutions Marzo, 2014

Tabla de contenido

1. CV Relator.

19:00 a 19:05

2. Introducción a la seguridad en SAP ERP.

19:06 a 19:25

3. Parámetros claves de la seguridad en SAP ERP

19:26 a 19:40

4. Concepto de autorización en SAP ERP

19:41 a 20:20

5. Segregación de Funciones en SAP ERP

20:21 a 20:45

6. Break

20:46 a 21:00

7. Herramientas de seguridad en SAP ERP

21:01 a 21:20

8. Ciclo de Seguridad ABAP y Tablas Z

21:21 a 21:35

9. SAP GRC Access Control y su relación con el

21:36 a 21:49

concepto de autorización. 10. Preguntas

2

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

21:50 a 22:00

CV Relator

3

CV Relator Enterprise Risk Services Security & Privacy Services

María Esther Soto Consultor Senior Tel:+56 2 729 8766

Email: [email protected]

Estudios: •

Ingeniera informática- Universidad de Santiago de Chile

Ha participado en diversos proyectos relacionados con diagnóstico, rediseño, diseño e implementación de seguridad SAP: Corporación Sofofa, Unimarc, Metro, Empresas Taylor, Mutual de Seguridad, entre otras-

Experiencia relevante

Consultor Senior de Risk Consulting de la línea de Seguridad y Privacidad de Deloitte, Ingeniero en ejecución en computación e informática. Con cinco años de experiencia como desarrolladora en ABAP y cuatro años en Seguridad SAP. Además, ha participado en cursos de: Seguridad SAP y Metodología EVD en Deloitte. Actualmente participa como relatora de cursos tanto de Auditoría y Seguridad ERP SAP para capacitaciones abiertas y cerradas a clientes.

4

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Introducción a la Seguridad en SAP ERP

5

Introducción Comprender el concepto del ERP SAP 6.0 y conocer las distintas funcionalidades que este sistema posee, las cuales se traducen en módulos que interactúan de forma integrada para el procesamiento de las transacciones de negocio bajo una jerarquía organizacional.

Comprender los ámbitos que cubre el Basis Component de SAP y la importancia que el mismo tiene dentro de un modelo integrado de seguridad. Enfocar la seguridad de las aplicaciones como un todo, bajo el punto de vista de un modelo integrado de seguridad.

6

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Conceptos Hoja divisoria básicos – Times de SAP New Roman desde 52pt

7

Footer

Conceptos básicos de SAP ¿Qué es SAP? Arquitectura Cliente / Servidor multi-nivel.

Base (Middleware) soporta tecnología de sistemas abiertos. Business Framework Architecture, abierta a integración total con otros componentes y aplicaciones. Interfaz de usuario homogénea entre aplicaciones. Ambiente de desarrollo de fácil comprensión. Integración total entre aplicaciones. Amplio rango de servicios.

8

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Conceptos básicos de SAP ¿Qué es SAP? Capa 1

BD Principal

Capa de Base de Datos Información validada por el usuario

Datos para ver o cambiar

Capa 2

Buffer BD

Buffer BD

Capa de Aplicación Información de salida para el usuario

Información de entrada desde el usuario

Información de entrada desde el usuario

Capa 3 Capa de Presentación

9

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Información de salida para el usuario

Conceptos básicos de SAP Módulos de SAP

SD

FI

Sales & Distribution

Financial Accounting

MM

CO

Materials Mgmt.

Controlling

PP

AM

6.0

Production Planning

Fixed Assets Mgmt.

QM

Cliente/ Servidor ABAP/4 PM Plant Main-tenance BC

PS

Quality Manage-ment

10

Project System

WF Workflow

HR

IS

Human Resources

Industry Solutions

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Conceptos básicos de SAP Módulos de SAP

BC

• ABAP/4 Development Workbench • Computer Center Management System • Sistema de Transportes • Administración de la Base de Datos • Administración de Seguridad

Componente Basis ……..

11

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Conceptos básicos de SAP Módulos de SAP Categoria Funcional - Industry Solutions IS SAP High Tech & Electronics SAP Engineering & Construction SAP Consumer Products SAP Oil & Gas

SAP Utilities

SAP Health Care

SAP Transportation

Business Information Warehouse

SAP Public Sector Sales Force Automation

...

SAP Telecomm

6.0 SAP Automotive

SAP Media

SAP Chemicals Advanced Planner & Optimizer

B2B Procurement

SAP Pharmaceuticals

SAP Retail SAP Aerospace & Defense SAP Banking SAP Service Providers

12

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Análisis General Módulo Basis

13

Overview de Componente Basis Modelo Integrado de Seguridad • SAP es solo una aplicación de muchísimas.... • Sólo estamos definiendo la seguridad para un elemento que junto a otros conformarían el engranaje total de seguridad Informática.

14

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Overview de Componente Basis Modelo Integrado de Seguridad

•

Cubre los siguientes ámbitos:

15

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Overview de Componente Basis Modelo Integrado de Seguridad

Módulos de 6.0

ABAP/4 Development Workbench 6.0 BASIS Sistema Operativo

16

Base de Datos

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Protocolo de Comunicac iones

GUI´S (Interfaces Gráficas de Usuario)

Overview de Componente Basis Control de Cambios - Landscape

Single Client / Single System Mandante

Multi Client / Single System Mandante

Instancia 6.0

Mandante

Instancia 6.0

Single Client / Single System / Multi Servers

17

Mandante

Mandante

Mandante

Mandante

Instancia 6.0

Instancia 6.0

Instancia 6.0

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Single Client / Multi system/ Single Servers Mandante

Mandante

Instancia 6.0

Mandante

Overview de Componente Basis Control de Cambios - Transporte

Mandante

Desarrollo

Transporte de cambios para Test

Instancia 6.0

Mandante

Control de Calidad

Liberación para producción

Instancia 6.0

Mandante

Producción Instancia 6.0

18

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Liberación para actualizaciones

Parámetros Hoja divisoria claves – Times de la Seguridad New Roman en desde SAP ERP 52pt

1 9

Footer

Seguridad de Usuarios Controles de Accesos Parámetros: Control de claves de acceso con parámetros del perfil del sistema .

Reglas definidas por el cliente: Programa : RSPARAM Transaccion : RSPFPAR

Ejecución directa de programas es una mala practica “riesgo de Seguridad” 20

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Seguridad de Usuarios Controles de Accesos Parámetros: Control de claves de acceso con parámetros del perfil del sistema RDISP/GUI_AUTO_LOGOUT • Segundos de inactividad antes de desactivar la sesión de un usuario. El valor 0 indica no se aplica la desactivación. El valor se mide en segundos, valor recomendado 20 minutos (valor 1200)

LOGIN/FAILS_TO_SESSION_END • Número de veces que un usuario puede ingresar una password incorrecta antes de que el sistema finalice los intentos de logon. El valor por defecto es 3. Se puede ingresar un rango entre 1 a 99. El valor recomendado es 3. LOGIN/FAILS_TO_USER_LOCK • Número de veces que un usuario puede ingresar una password incorrecta antes de que el sistema bloquee los intentos reiterativos. El bloqueo de la cuenta de usuario es automáticamente liberado a l medianoche del mismo día. valor recomendado de 3 a 5. LOGIN/MIN_PASSWORD_LNG • Número mínimo de caracteres que debe ser usados por una password. Por defecto se exigen 3. Puede ser un rango de 3 a 8. El valor recomendado es de 6 a 8.

LOGIN/PASSWORD_EXPIRATION_TIME • Número de días después de los cuales se debe cambiar la password. El valor por defecto es 0. El valor recomendado es 30 ó 45 días.

21

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Seguridad de Usuarios Controles de Accesos Parámetros: Control de claves de acceso con parámetros del perfil del sistema

Reglas definidas por el cliente: Programa : RSPARAM Transaccion : RSPFPAR

22

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Seguridad de Usuarios Controles de Accesos Parámetros: Control de claves de acceso con parámetros del perfil del sistema

Políticas de Seguridad de la Información

Parámetros de Seguridad SAP

23

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Reglas definidas por el cliente: Programa : RSPARAM Transaccion : RSPFPAR

Concepto de Autorización en SAP ERP

24

Introducción •

Comprender el concepto de autorización, sus derivadas y las diversas capas de seguridad que le permite al usuario del sistema SAP, poder ejecutar una transacción.

•

Asimismo, esta sesión tiene como objetivo que los alumnos conozcan la herramienta que permite construir los roles y perfiles de autorización para los privilegios de usuario y los distintos tipos de roles que existen y la utilidad que se le puede dar a cada uno de ellos.

25

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Seguridad de Autorizaciones Concepto de autorización Objeto de Autorización

Centro para OC

Unidad básica de seguridad

Autorización Instancia del objeto de autorización

Rol / Perfil

26

2.- Centro

Autorización #1

Autorización #2

1.-Actividad = Crear 2.-Centro = 001

1.-Actividad = Visual. 2.-Centro = Todos

Rol/Perfil #1

Rol/Perfil #2

(Crear OC) Representa tareas

1.- Actividad

*Autorización #1 *Otras autorizaciones

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

(Recepción Mat.) *Autorización #2 *Otras autorizaciones

Seguridad de Autorizaciones Concepto de autorización - Perfil

Perfil: Representa conjunto de autorizaciones

27

Perfil #1 (Crear PO) •Autorización #1 •Autoriz.Adicionales

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Perfil #2 (Recepción de bienes) •Autorización #2 •Autoriz.Adicionales

Seguridad de Autorizaciones Concepto de autorización - Perfil Rol: Representa conjunto de tareas de una función

28

Rol (Enpleado de Compras) •Perfil #1 •Perfiles Adicionales

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Rol (Empleado de Recepción) •Perfil #2 •Perfiles Adicionales

Seguridad de Autorizaciones Concepto de autorización Centro para OC

Objeto de Autorización

2.- Centro

Unidad básica de seguridad

Autorización Instancia del objeto de autorización

Rol / Perfil

1.- Actividad

Autorización #1

Autorización #2

1.-Actividad = Crear 2.-Centro = 001

1.-Actividad = Visual. 2.-Centro = Todos

Rol/Perfil #1 (Crear OC) *Autorización #1 *Otras autorizaciones

Rol/Perfil #2 (Recepción Mat.) *Autorización #2 *Otras autorizaciones

Representa tareas

Rol Compuesto Representa roles de trabajo 29

Rol Compuesto (Empleado compras) *Rol/Perfil #1 *Otros Roles/perfiles

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Rol Compuesto (Empleado recepción) *Rol/Perfil #2 *Otros Roles/perfiles

Seguridad de Autorizaciones Concepto de autorización Objeto principal

S_TCODE

Adicionado en la versión 3.0d Asegura transacciones individuales Primer objeto chequeado cuando un usuario ingresa una transacción

El objeto S_TCODE siempre debe tener status STANDAR“

30

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Seguridad de Autorizaciones Mecánica de Autorización Conociendo las 3 capas de seguridad estándar

Capa 1 Ejecute la Transacción

S_TCODE Capa 2

Capa 3 Crear Pedido de Compras

31

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Segregación Hoja divisoria de–Funciones Times New Roman desde 52pt

32

Introducción Segregación de Funciones •

Comprender el concepto de segregación funcional y su relación con las diversas capas de seguridad que le permite al usuario del sistema SAP, poder ejecutar una transacción a niveles organizacionales diferentes.

•

Identificar los puntos relevantes para mantener una adecuada segregación de funciones en la organización con el fin de mantener un sano control interno.

•

Entender el significado de una segregación funcional adecuada y su impacto para la información y los procesos realizados por la compañía, con el fin de prevenir fraudes y la integridad de la información

33

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Segregación de Funciones Tips •

Una de las principales actividades de control interno

•

Al aplicarlo a SAP podemos hacer referencia a la siguiente sentencia “La seguridad en un ERP, debe abordar el resguardo de la disponibilidad, confidencialidad e integridad de la información del negocio”

•

Tiene como objetivo prevenir o reducir el riesgo de errores o irregularidades, y en especial el fraude interno en las organizaciones

•

Permite asegurar que un individuo no pueda llevar a cabo todas las fases de una operación/transacción, desde su autorización, pasando por la custodia de activos y el mantenimiento de los registros maestros necesarios

•

Control de accesos transaccionales y de manejo de información

34

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Segregación Funcional de Funciones Segregación

Como mitigar los riesgos de errores y/o fraudes al limitar el acceso a transacciones críticas y/o conflictivas? Crear Proveedor (Compra)

Aprobar pedido de compras

Crear pedido de compras

Aprobar pedido de compras

Registrar factura acreedor

Registrar factura acreedor

35

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Segregación de Funciones Segregación Funcional

Escenario Riesgoso

Crear Proveedor (Compra)

RIESGO ¡¡¡¡ Que un usuario realice la creación de un proveedor ficticio y que las facturas sean registradas por el mismo usuario, las que se irían directo a la propuesta de pago automática

Escenario Típico de Fraude

Registrar factura acreedor

CONTROL 3 Alternativas: 1.- Segregar el acceso en 2 usuarios (Automático-preventivo) 2.- Implementar un control automático para que la factura se registre bloqueada y una instancia de control la aprueba (Automático – preventivo) 3.- Colocar un control de mitigación que consista en un reporte de monitoreo (semiautomático – detectivo)

36

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Segregación Funcional de Funciones Segregación Beneficios Beneficios • • • • •

•

37

Mayor control sobre el modelo de accesos de los usuarios, manteniendo procedimientos conocidos y establecidos. Mejorar el ambiente de control interno Reducir las acciones fraudulentos o mal intencionadas dentro de la compañía Mantener información sensible y crítica de la compañía en los usuarios que realmente responden a su nivel de responsabilidad. Mejorar los niveles de seguridad del sistema, según las buenas practicas Proteger eficientemente el ambiente que sustenta la información operacional y financiera del negocio.

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Ciclodivisoria Hoja de Seguridad – Times ABAP yNew Tablas Roman desde 52pt

38

Seguridad ABAP Ciclo Virtuoso de Seguridad de Programas ABAP

Catastro

Seguridad Autorización

Seguridad ABAP

Marco de Gobernabilidad

Seguridad Transacción

39

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Seguridad Grupo de Autorización

Seguridad ABAP Ciclo Virtuoso de Seguridad de Tablas

Catastro

Seguridad Autorización

Marco de Gobernabilidad

Seguridad Transacción

40

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Seguridad Grupo de Autorización

1 . - Ve r i f i c a r l o s o b j e t o s a c t i v o s para la transacción PFCG (SU24)

Herramientas de Seguridad ERP SAP 2.- Realizar un ajuste masivo de roles

3.- Buscar que transacción leen el o b j e t o S _ TA B U _ D I S

41 41

© 2011 Deloitte

Enterprise ...