Taller de Seguridad SAP ERP

Isaca Santiago Chapter
Ciclo de Talleres Tcnicos 2014
Taller de Seguridad SAP ERP
Relator:
Mara Esther Soto
Consultor Senior
ERS / Deloitte
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Marzo, 2014
Tabla de contenido
1. CV Relator.
19:00 a 19:05
2. Introduccin a la seguridad en SAP ERP.
19:06 a 19:25
3. Parmetros claves de la seguridad en SAP ERP
19:26 a 19:40
4. Concepto de autorizacin en SAP ERP
19:41 a 20:20
5. Segregacin de Funciones en SAP ERP
20:21 a 20:45
6. Break
20:46 a 21:00
7. Herramientas de seguridad en SAP ERP
21:01 a 21:20
8. Ciclo de Seguridad ABAP y Tablas Z
21:21 a 21:35
9. SAP GRC Access Control y su relacin con el
21:36 a 21:49
concepto de autorizacin.
10. Preguntas
21:50 a 22:00
CV Relator
CV Relator
Enterprise Risk Services
Security & Privacy Services
Mara Esther Soto

Consultor Senior
Tel:+56 2 729 8766
Email: mariasoto@DELOITTE.com
Estudios:
Ingeniera informtica- Universidad de Santiago de Chile
Ha participado en diversos proyectos relacionados con

diagnstico, rediseo, diseo e implementacin de seguridad
SAP: Corporacin Sofofa, Unimarc, Metro, Empresas Taylor,
Mutual de Seguridad, entre otras-
Experiencia relevante
Consultor Senior de Risk Consulting de la lnea de Seguridad

y Privacidad de Deloitte, Ingeniero en ejecucin en
computacin e informtica. Con cinco aos de experiencia
como desarrolladora en ABAP y cuatro aos en Seguridad
SAP.
Adems, ha participado en cursos de: Seguridad SAP y
Metodologa EVD en Deloitte.
Actualmente participa como relatora de cursos tanto de
Auditora y Seguridad ERP SAP para capacitaciones abiertas
y cerradas a clientes.
Introduccin a la Seguridad en
SAP ERP
Introduccin
Comprender el concepto del ERP SAP 6.0 y conocer las distintas
funcionalidades que este sistema posee, las cuales se traducen en
mdulos que interactan de forma integrada para el procesamiento de
las transacciones de negocio bajo una jerarqua organizacional.
Comprender los mbitos que cubre el Basis Component de SAP y la

importancia que el mismo tiene dentro de un modelo integrado de
seguridad.
Enfocar la seguridad de las aplicaciones como un todo, bajo el punto
de vista de un modelo integrado de seguridad.
Conceptos
Hoja
divisoria
bsicos
Times
de SAP
New Roman desde 52pt
Footer
Conceptos bsicos de SAP

Qu es SAP?
Arquitectura Cliente / Servidor multi-nivel.
Base (Middleware) soporta tecnologa de sistemas abiertos.

Business Framework Architecture, abierta a integracin total
con otros componentes y aplicaciones.
Interfaz de usuario homognea entre aplicaciones.
Ambiente de desarrollo de fcil comprensin.
Integracin total entre aplicaciones.
Amplio rango de servicios.

Qu es SAP?
Capa 1
BD Principal
Capa de Base de Datos

Informacin
validada por
el usuario
Datos para
ver o cambiar
Capa 2
Buffer BD
Buffer BD
Capa de Aplicacin
Informacin
de salida
para el
usuario
Informacin
de entrada
desde el usuario
Informacin
de entrada
desde el
usuario
Capa 3
Capa de Presentacin
Informacin
de salida
para el
usuario

Mdulos de SAP
SD
FI
Sales &
Distribution
Financial
Accounting
MM
CO
Materials
Mgmt.
Controlling
PP
AM
6.0
Production
Planning
Fixed Assets
Mgmt.
QM
PS
Quality
Manage-ment
Project
System
Cliente/ Servidor
ABAP/4
PM
Plant Main-tenance
BC
10
WF
Workflow
HR
IS
Human
Resources
Industry
Solutions

Mdulos de SAP
BC
ABAP/4 Development Workbench

Computer Center Management System
Sistema de Transportes
Administracin de la Base de Datos
Administracin de Seguridad
Componente Basis ..
11

Mdulos de SAP
Categoria Funcional - Industry Solutions IS
SAP High Tech & Electronics
SAP Engineering & Construction
SAP Consumer Products
SAP Oil & Gas
SAP Transportation
Business
Information
Warehouse
SAP Utilities
SAP Health Care
SAP Public Sector

Sales
Force
Automation
...
SAP Telecomm
6.0
SAP Automotive
SAP Media
SAP Chemicals
Advanced
Planner &
Optimizer
B2B
Procurement
SAP Pharmaceuticals
SAP Retail
SAP Aerospace & Defense
SAP Banking
SAP Service Providers
12
Anlisis General Mdulo

Basis
13
Overview de Componente Basis

Modelo Integrado de Seguridad
SAP es solo una aplicacin de muchsimas....
Slo estamos definiendo la seguridad para un elemento que
junto a otros conformaran el engranaje total de seguridad
Informtica.
14

Cubre los siguientes mbitos:
15

Mdulos de 6.0
ABAP/4 Development Workbench

6.0 BASIS
Sistema
Operativo
16
Base de
Datos
Protocolo
de
Comunicac
iones
GUIS
(Interfaces
Grficas
de
Usuario)

Control de Cambios - Landscape
Single Client / Single System

Mandante
Multi Client / Single System

Mandante
Instancia 6.0
Mandante
Instancia 6.0
Single Client / Single System

/ Multi Servers
17
Mandante
Mandante
Mandante
Mandante
Instancia 6.0
Instancia 6.0
Instancia 6.0
Single Client / Multi system/

Single Servers
Mandante
Mandante
Instancia 6.0
Mandante

Control de Cambios - Transporte
Mandante
Desarrollo
Transporte de cambios para Test
Instancia 6.0
Mandante
Control
de Calidad
Liberacin para produccin
Instancia 6.0
Mandante
Produccin
Instancia 6.0
18
Liberacin para
actualizaciones
Parmetros
Hoja
divisoria
claves
Times
de la
New Roman
Seguridad
en desde
SAP ERP
52pt
1
9
Footer
Seguridad de Usuarios
Controles de Accesos
Parmetros: Control de claves de acceso con parmetros del
perfil del sistema
.
Reglas definidas por

el cliente:
Programa : RSPARAM
Transaccion : RSPFPAR
Ejecucin directa
de programas es
una mala practica
riesgo de
Seguridad
20
perfil del sistema
RDISP/GUI_AUTO_LOGOUT
Segundos de inactividad antes de desactivar la sesin de un usuario. El valor 0 indica no se aplica la
desactivacin. El valor se mide en segundos, valor recomendado 20 minutos (valor 1200)
LOGIN/FAILS_TO_SESSION_END
Nmero de veces que un usuario puede ingresar una password incorrecta antes de que el sistema finalice
los intentos de logon. El valor por defecto es 3. Se puede ingresar un rango entre 1 a 99. El valor
recomendado es 3.
LOGIN/FAILS_TO_USER_LOCK
Nmero de veces que un usuario puede ingresar una password incorrecta antes de que el sistema bloquee
los intentos reiterativos. El bloqueo de la cuenta de usuario es automticamente liberado a l medianoche
del mismo da. valor recomendado de 3 a 5.
LOGIN/MIN_PASSWORD_LNG
Nmero mnimo de caracteres que debe ser usados por una password. Por defecto se exigen 3. Puede
ser un rango de 3 a 8. El valor recomendado es de 6 a 8.
LOGIN/PASSWORD_EXPIRATION_TIME
Nmero de das despus de los cuales se debe cambiar la password. El valor por defecto es 0. El valor
recomendado es 30 45 das.
21
perfil del sistema

el cliente:
Programa : RSPARAM
22
perfil del sistema
Polticas de
Seguridad de la
Informacin
Parmetros de
Seguridad SAP
23

el cliente:
Programa : RSPARAM
Concepto de Autorizacin
en SAP ERP
24
Introduccin
Comprender el concepto de autorizacin, sus derivadas y las

diversas capas de seguridad que le permite al usuario del
sistema SAP, poder ejecutar una transaccin.
Asimismo, esta sesin tiene como objetivo que los alumnos

conozcan la herramienta que permite construir los roles y
perfiles de autorizacin para los privilegios de usuario y los
distintos tipos de roles que existen y la utilidad que se le puede
dar a cada uno de ellos.
25
Seguridad de Autorizaciones
Concepto de autorizacin
Objeto de
Autorizacin
Centro para
OC
Unidad bsica de
seguridad
Autorizacin
Instancia del objeto
de autorizacin
Rol / Perfil
26
2.- Centro
Autorizacin #1
Autorizacin #2
1.-Actividad = Crear
2.-Centro = 001
1.-Actividad = Visual.
2.-Centro = Todos
Rol/Perfil #1
Rol/Perfil #2
(Crear OC)
Representa tareas
1.- Actividad
*Autorizacin #1
*Otras autorizaciones
(Recepcin Mat.)
*Autorizacin #2
Concepto de autorizacin - Perfil
Perfil:
Representa
conjunto de
autorizaciones
27
Perfil #1
(Crear PO)
Autorizacin #1
Autoriz.Adicionales
Perfil #2
(Recepcin de bienes)
Autorizacin #2
Autoriz.Adicionales
Concepto de autorizacin - Perfil
Rol:
Representa
conjunto de
tareas de una
funcin
28
Rol
(Enpleado de Compras)
Perfil #1
Perfiles Adicionales
Rol
(Empleado de Recepcin)
Perfil #2
Perfiles Adicionales
Centro para
OC
Objeto de
Autorizacin
2.- Centro
Unidad bsica de
seguridad
Autorizacin
Instancia del objeto
de autorizacin
Rol / Perfil
1.- Actividad
Autorizacin #1
Autorizacin #2
1.-Actividad = Crear
2.-Centro = 001
1.-Actividad = Visual.
2.-Centro = Todos
Rol/Perfil #1
(Crear OC)
*Autorizacin #1
Rol/Perfil #2
(Recepcin Mat.)
*Autorizacin #2
Representa tareas
Rol
Compuesto
Representa roles
de trabajo
29
Rol Compuesto
(Empleado compras)
*Rol/Perfil #1
*Otros Roles/perfiles
Rol Compuesto
(Empleado recepcin)
*Rol/Perfil #2
*Otros Roles/perfiles
Objeto principal
S_TCODE
Adicionado en la versin 3.0d

Asegura transacciones individuales
Primer objeto chequeado cuando un
usuario ingresa una transaccin
El objeto S_TCODE siempre debe tener

status STANDAR
30
Mecnica de Autorizacin
Conociendo las 3 capas de seguridad estndar
Capa 1
Ejecute la
Transaccin
S_TCODE
Capa 2
Capa 3
Crear Pedido
de Compras
31
Segregacin
Hoja
divisoria
deFunciones
Times
New Roman desde 52pt
32
Introduccin
Segregacin de Funciones
Comprender el concepto de segregacin funcional y su relacin con las

diversas capas de seguridad que le permite al usuario del sistema SAP,
poder ejecutar una transaccin a niveles organizacionales diferentes.
Identificar los puntos relevantes para mantener una adecuada segregacin

de funciones en la organizacin con el fin de mantener un sano control
interno.
Entender el significado de una segregacin funcional adecuada y su

impacto para la informacin y los procesos realizados por la compaa, con
el fin de prevenir fraudes y la integridad de la informacin
33
Tips
Una de las principales actividades de control interno
Al aplicarlo a SAP podemos hacer referencia a la siguiente sentencia

La seguridad en un ERP, debe abordar el resguardo de la
disponibilidad, confidencialidad e integridad de la informacin del
negocio
Tiene como objetivo prevenir o reducir el riesgo de errores o

irregularidades, y en especial el fraude interno en las organizaciones
Permite asegurar que un individuo no pueda llevar a cabo todas las

fases de una operacin/transaccin, desde su autorizacin, pasando
por la custodia de activos y el mantenimiento de los registros maestros
necesarios
Control de accesos transaccionales y de manejo de informacin
34
Segregacin Funcional
de Funciones
Segregacin
Como mitigar los riesgos de errores y/o fraudes al limitar el

acceso a transacciones crticas y/o conflictivas?
Crear Proveedor (Compra)
Aprobar pedido de compras
Crear pedido de compras
Aprobar pedido de compras
Registrar factura acreedor
35
Escenario Riesgoso
Crear Proveedor (Compra)
RIESGO
Que un usuario realice la creacin de un
proveedor ficticio y que las facturas sean
registradas por el mismo usuario, las que
se iran directo a la propuesta de pago
automtica
Escenario Tpico de Fraude
CONTROL
3 Alternativas:
1.- Segregar el acceso en 2 usuarios
(Automtico-preventivo)
2.- Implementar un control automtico para
que la factura se registre bloqueada y una
instancia de control la aprueba (Automtico
preventivo)
3.- Colocar un control de mitigacin que
consista en un reporte de monitoreo
(semiautomtico detectivo)
36
de Funciones
Segregacin
Beneficios
Beneficios
37
Mayor control sobre el modelo de accesos de los usuarios,

manteniendo procedimientos conocidos y establecidos.
Mejorar el ambiente de control interno
Reducir las acciones fraudulentos o mal intencionadas dentro de la
compaa
Mantener informacin sensible y crtica de la compaa en los usuarios
que realmente responden a su nivel de responsabilidad.
Mejorar los niveles de seguridad del sistema, segn las buenas
practicas
Proteger eficientemente el ambiente que sustenta la informacin
operacional y financiera del negocio.
Ciclodivisoria
Hoja
de Seguridad
Times
ABAP
yNew
Tablas
Roman desde 52pt
38
Seguridad ABAP
Ciclo Virtuoso de Seguridad de Programas ABAP
Catastro
Seguridad
Autorizacin
Seguridad
ABAP
Marco de
Gobernabilidad
Seguridad
Transaccin
39
Seguridad
Grupo de
Autorizacin
Seguridad ABAP
Ciclo Virtuoso de Seguridad de Tablas
Catastro
Seguridad
Autorizacin
Marco de
Gobernabilidad
Seguridad
Transaccin
40
Seguridad
Grupo de
Autorizacin
1 . - Ve r i f i c a r l o s o b j e t o s a c t i v o s
para la transaccin PFCG (SU24)
Herramientas de Seguridad
ERP SAP
2.- Realizar un ajuste masivo de
roles
3.- Buscar que transaccin leen el

o b j e t o S _ TA B U _ D I S
41
41
2011 Deloitte
Herramientas de Monitoreo
Autorizaciones
Transaccin ST01 : Trace de sistema
42
Me permite hacer
rastreo ejecucin
de autorizaciones
por parte de los
usuarios
Herramientas de Monitoreo
Autorizaciones
Transaccin ST03N : Carga de Trabajo del Sistema
Me permite revisar
transacciones
ejecutadas
histricamente por
los usuarios
43
Herramientas de Gestion
Usuarios
Transaccin SUIM : Sistema de informacin de usuarios
44
SAP GRC
Hoja
divisoria
Access
Times
Control y
New
su
relacin
Romancon
desde
el concepto
52pt
de
autorizaciones
4
5
Footer
SAP GRC Access Control
GRC Access Control
Objetivos
El siguiente cuadro presenta la secuencia de implementacin y uso de los distintos

mdulos de la herramienta SAP GRC Access Control.
Gestin y Control de Accesos
Identificar y
Analizar Riesgos
Administrar Roles
de Acceso
Administrar accesos
crticos
Business Role
Management - BRM
Emergency Access
Management EAM
Provision and Manage

User PMU
Solucin para definicin y

gestin de Roles
Solucin para control de

acceso privilegiado
Solucin de
provisionamiento
Prevenir
Analyze and Manage Risk AMR

Solucin de anlisis, deteccin y
remediacin de riesgos de acceso y autorizacin
Prevencin sustentable de infracciones a la segregacin de funciones
46
Arquitectura de generacin de riesgos en

GRC Acces Control SAP
47
Preguntas
48
Oficina central
Av. Providencia 1760
Pisos 6, 7, 8, 9, 13 y 18
Providencia, Santiago
Chile
Fono: (56-2) 729 7000
Fax: (56-2) 374 9177
e-mail: deloittechile@deloitte.com
Regiones
Cap. Arturo Prat 461
Oficina 1902
Antofagasta
Chile
Fono: (56-55) 44 9660
Fax: (56-55) 44 9662
e-mail: antofagasta@deloitte.com
1 Poniente 123
Piso 7
Via del Mar
Chile
Fono: (56-32) 246 6111
Fax: (56-32) 246 6086
e-mail: vregionchile@deloitte.com
OHiggins 940
Piso 6
Concepcin
Chile
Fono: (56-41) 291 4055
Fax: (56-41) 291 4066
e-mail:
concepcionchile@deloitte.com
Audi t Consul t i ng Tax &Legal Risk Consul t i ng

Fi nancial Advi sory Servi ces Out sourci ng
Deloitte se refiere a Deloitte Touche Tohmatsu -asociacin suiza- y a su red de firmas miembro,
cada una como una entidad nica e independiente. Por favor, vea en www.deloitte.cl/acerca de la
descripcin detallada de la estructura legal de Deloitte Touche Tohmatsu y sus Firmas miembro.
2012 Deloitte. Miembro de Deloitte Touche Tohmatsu

Todos los derechos reservados.
49
Libertador Bernardo OHiggins 167

Oficina 603
Puerto Montt
Chile
Fono: (56-65) 288 600
Fax: (56-65) 298 600
e-mail: puertomontt@deloitte.com
www.deloitte.cl

Taller de Seguridad SAP ERP - Marzo 2014 VF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Taller de Seguridad SAP ERP - Marzo 2014 VF

Cargado por

Copyright:

Formatos disponibles

Isaca Santiago Chapter

Ciclo de Talleres Tcnicos 2014

2. Introduccin a la seguridad en SAP ERP.

3. Parmetros claves de la seguridad en SAP ERP

4. Concepto de autorizacin en SAP ERP

5. Segregacin de Funciones en SAP ERP

7. Herramientas de seguridad en SAP ERP

8. Ciclo de Seguridad ABAP y Tablas Z

9. SAP GRC Access Control y su relacin con el

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Mara Esther Soto

Ingeniera informtica- Universidad de Santiago de Chile

Ha participado en diversos proyectos relacionados con

Consultor Senior de Risk Consulting de la lnea de Seguridad

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Comprender los mbitos que cubre el Basis Component de SAP y la

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Conceptos bsicos de SAP

Base (Middleware) soporta tecnologa de sistemas abiertos.

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Conceptos bsicos de SAP

Capa de Base de Datos

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Conceptos bsicos de SAP

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Conceptos bsicos de SAP

ABAP/4 Development Workbench

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Conceptos bsicos de SAP

SAP Health Care

SAP Public Sector

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Anlisis General Mdulo

Overview de Componente Basis

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Overview de Componente Basis

Cubre los siguientes mbitos:

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Overview de Componente Basis

ABAP/4 Development Workbench

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Overview de Componente Basis

Single Client / Single System

Multi Client / Single System

Single Client / Single System

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Single Client / Multi system/

Overview de Componente Basis

Transporte de cambios para Test

Liberacin para produccin

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Reglas definidas por

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Reglas definidas por

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Reglas definidas por

Comprender el concepto de autorizacin, sus derivadas y las

Asimismo, esta sesin tiene como objetivo que los alumnos

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Enterprise Risk Services | Security & Privacy Services | GRC Solutions