Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Taller de Seguridad SAP ERP - Marzo 2014 VF
Taller de Seguridad SAP ERP - Marzo 2014 VF
Relator:
Mara Esther Soto
Consultor Senior
ERS / Deloitte
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Marzo, 2014
Tabla de contenido
1. CV Relator.
19:00 a 19:05
19:06 a 19:25
19:26 a 19:40
19:41 a 20:20
20:21 a 20:45
6. Break
20:46 a 21:00
21:01 a 21:20
21:21 a 21:35
21:36 a 21:49
concepto de autorizacin.
10. Preguntas
21:50 a 22:00
CV Relator
CV Relator
Enterprise Risk Services
Security & Privacy Services
Email: mariasoto@DELOITTE.com
Estudios:
Experiencia relevante
Introduccin a la Seguridad en
SAP ERP
Introduccin
Comprender el concepto del ERP SAP 6.0 y conocer las distintas
funcionalidades que este sistema posee, las cuales se traducen en
mdulos que interactan de forma integrada para el procesamiento de
las transacciones de negocio bajo una jerarqua organizacional.
Conceptos
Hoja
divisoria
bsicos
Times
de SAP
New Roman desde 52pt
Footer
BD Principal
Datos para
ver o cambiar
Capa 2
Buffer BD
Buffer BD
Capa de Aplicacin
Informacin
de salida
para el
usuario
Informacin
de entrada
desde el usuario
Informacin
de entrada
desde el
usuario
Capa 3
Capa de Presentacin
Informacin
de salida
para el
usuario
SD
FI
Sales &
Distribution
Financial
Accounting
MM
CO
Materials
Mgmt.
Controlling
PP
AM
6.0
Production
Planning
Fixed Assets
Mgmt.
QM
PS
Quality
Manage-ment
Project
System
Cliente/ Servidor
ABAP/4
PM
Plant Main-tenance
BC
10
WF
Workflow
HR
IS
Human
Resources
Industry
Solutions
BC
Componente Basis ..
11
SAP Transportation
Business
Information
Warehouse
SAP Utilities
...
SAP Telecomm
6.0
SAP Automotive
SAP Media
SAP Chemicals
Advanced
Planner &
Optimizer
B2B
Procurement
SAP Pharmaceuticals
SAP Retail
SAP Aerospace & Defense
SAP Banking
SAP Service Providers
12
13
14
15
Mdulos de 6.0
16
Base de
Datos
Protocolo
de
Comunicac
iones
GUIS
(Interfaces
Grficas
de
Usuario)
Instancia 6.0
Mandante
Instancia 6.0
17
Mandante
Mandante
Mandante
Mandante
Instancia 6.0
Instancia 6.0
Instancia 6.0
Mandante
Instancia 6.0
Mandante
Mandante
Desarrollo
Instancia 6.0
Mandante
Control
de Calidad
Instancia 6.0
Mandante
Produccin
Instancia 6.0
18
Liberacin para
actualizaciones
Parmetros
Hoja
divisoria
claves
Times
de la
New Roman
Seguridad
en desde
SAP ERP
52pt
1
9
Footer
Seguridad de Usuarios
Controles de Accesos
Parmetros: Control de claves de acceso con parmetros del
perfil del sistema
.
Ejecucin directa
de programas es
una mala practica
riesgo de
Seguridad
20
Seguridad de Usuarios
Controles de Accesos
Parmetros: Control de claves de acceso con parmetros del
perfil del sistema
RDISP/GUI_AUTO_LOGOUT
Segundos de inactividad antes de desactivar la sesin de un usuario. El valor 0 indica no se aplica la
desactivacin. El valor se mide en segundos, valor recomendado 20 minutos (valor 1200)
LOGIN/FAILS_TO_SESSION_END
Nmero de veces que un usuario puede ingresar una password incorrecta antes de que el sistema finalice
los intentos de logon. El valor por defecto es 3. Se puede ingresar un rango entre 1 a 99. El valor
recomendado es 3.
LOGIN/FAILS_TO_USER_LOCK
Nmero de veces que un usuario puede ingresar una password incorrecta antes de que el sistema bloquee
los intentos reiterativos. El bloqueo de la cuenta de usuario es automticamente liberado a l medianoche
del mismo da. valor recomendado de 3 a 5.
LOGIN/MIN_PASSWORD_LNG
Nmero mnimo de caracteres que debe ser usados por una password. Por defecto se exigen 3. Puede
ser un rango de 3 a 8. El valor recomendado es de 6 a 8.
LOGIN/PASSWORD_EXPIRATION_TIME
Nmero de das despus de los cuales se debe cambiar la password. El valor por defecto es 0. El valor
recomendado es 30 45 das.
21
Seguridad de Usuarios
Controles de Accesos
Parmetros: Control de claves de acceso con parmetros del
perfil del sistema
22
Seguridad de Usuarios
Controles de Accesos
Parmetros: Control de claves de acceso con parmetros del
perfil del sistema
Polticas de
Seguridad de la
Informacin
Parmetros de
Seguridad SAP
23
Concepto de Autorizacin
en SAP ERP
24
Introduccin
25
Seguridad de Autorizaciones
Concepto de autorizacin
Objeto de
Autorizacin
Centro para
OC
Unidad bsica de
seguridad
Autorizacin
Instancia del objeto
de autorizacin
Rol / Perfil
26
2.- Centro
Autorizacin #1
Autorizacin #2
1.-Actividad = Crear
2.-Centro = 001
1.-Actividad = Visual.
2.-Centro = Todos
Rol/Perfil #1
Rol/Perfil #2
(Crear OC)
Representa tareas
1.- Actividad
*Autorizacin #1
*Otras autorizaciones
(Recepcin Mat.)
*Autorizacin #2
*Otras autorizaciones
Seguridad de Autorizaciones
Concepto de autorizacin - Perfil
Perfil:
Representa
conjunto de
autorizaciones
27
Perfil #1
(Crear PO)
Autorizacin #1
Autoriz.Adicionales
Perfil #2
(Recepcin de bienes)
Autorizacin #2
Autoriz.Adicionales
Seguridad de Autorizaciones
Concepto de autorizacin - Perfil
Rol:
Representa
conjunto de
tareas de una
funcin
28
Rol
(Enpleado de Compras)
Perfil #1
Perfiles Adicionales
Rol
(Empleado de Recepcin)
Perfil #2
Perfiles Adicionales
Seguridad de Autorizaciones
Concepto de autorizacin
Centro para
OC
Objeto de
Autorizacin
2.- Centro
Unidad bsica de
seguridad
Autorizacin
Instancia del objeto
de autorizacin
Rol / Perfil
1.- Actividad
Autorizacin #1
Autorizacin #2
1.-Actividad = Crear
2.-Centro = 001
1.-Actividad = Visual.
2.-Centro = Todos
Rol/Perfil #1
(Crear OC)
*Autorizacin #1
*Otras autorizaciones
Rol/Perfil #2
(Recepcin Mat.)
*Autorizacin #2
*Otras autorizaciones
Representa tareas
Rol
Compuesto
Representa roles
de trabajo
29
Rol Compuesto
(Empleado compras)
*Rol/Perfil #1
*Otros Roles/perfiles
Rol Compuesto
(Empleado recepcin)
*Rol/Perfil #2
*Otros Roles/perfiles
Seguridad de Autorizaciones
Concepto de autorizacin
Objeto principal
S_TCODE
30
Seguridad de Autorizaciones
Mecnica de Autorizacin
Conociendo las 3 capas de seguridad estndar
Capa 1
Ejecute la
Transaccin
S_TCODE
Capa 2
Capa 3
Crear Pedido
de Compras
31
Segregacin
Hoja
divisoria
deFunciones
Times
New Roman desde 52pt
32
Introduccin
Segregacin de Funciones
33
Segregacin de Funciones
Tips
34
Segregacin Funcional
de Funciones
Segregacin
35
Segregacin de Funciones
Segregacin Funcional
Escenario Riesgoso
RIESGO
Que un usuario realice la creacin de un
proveedor ficticio y que las facturas sean
registradas por el mismo usuario, las que
se iran directo a la propuesta de pago
automtica
CONTROL
3 Alternativas:
1.- Segregar el acceso en 2 usuarios
(Automtico-preventivo)
2.- Implementar un control automtico para
que la factura se registre bloqueada y una
instancia de control la aprueba (Automtico
preventivo)
3.- Colocar un control de mitigacin que
consista en un reporte de monitoreo
(semiautomtico detectivo)
36
Segregacin Funcional
de Funciones
Segregacin
Beneficios
Beneficios
37
Ciclodivisoria
Hoja
de Seguridad
Times
ABAP
yNew
Tablas
Roman desde 52pt
38
Seguridad ABAP
Ciclo Virtuoso de Seguridad de Programas ABAP
Catastro
Seguridad
Autorizacin
Seguridad
ABAP
Marco de
Gobernabilidad
Seguridad
Transaccin
39
Seguridad
Grupo de
Autorizacin
Seguridad ABAP
Ciclo Virtuoso de Seguridad de Tablas
Catastro
Seguridad
Autorizacin
Marco de
Gobernabilidad
Seguridad
Transaccin
40
Seguridad
Grupo de
Autorizacin
1 . - Ve r i f i c a r l o s o b j e t o s a c t i v o s
para la transaccin PFCG (SU24)
Herramientas de Seguridad
ERP SAP
2.- Realizar un ajuste masivo de
roles
41
41
2011 Deloitte
Herramientas de Monitoreo
Autorizaciones
Transaccin ST01 : Trace de sistema
42
Me permite hacer
rastreo ejecucin
de autorizaciones
por parte de los
usuarios
Herramientas de Monitoreo
Autorizaciones
Transaccin ST03N : Carga de Trabajo del Sistema
Me permite revisar
transacciones
ejecutadas
histricamente por
los usuarios
43
Herramientas de Gestion
Usuarios
Transaccin SUIM : Sistema de informacin de usuarios
44
SAP GRC
Hoja
divisoria
Access
Times
Control y
New
su
relacin
Romancon
desde
el concepto
52pt
de
autorizaciones
4
5
Footer
Objetivos
Identificar y
Analizar Riesgos
Administrar Roles
de Acceso
Administrar accesos
crticos
Business Role
Management - BRM
Emergency Access
Management EAM
Solucin de
provisionamiento
Prevenir
46
47
Preguntas
48
Oficina central
Av. Providencia 1760
Pisos 6, 7, 8, 9, 13 y 18
Providencia, Santiago
Chile
Fono: (56-2) 729 7000
Fax: (56-2) 374 9177
e-mail: deloittechile@deloitte.com
Regiones
Cap. Arturo Prat 461
Oficina 1902
Antofagasta
Chile
Fono: (56-55) 44 9660
Fax: (56-55) 44 9662
e-mail: antofagasta@deloitte.com
1 Poniente 123
Piso 7
Via del Mar
Chile
Fono: (56-32) 246 6111
Fax: (56-32) 246 6086
e-mail: vregionchile@deloitte.com
OHiggins 940
Piso 6
Concepcin
Chile
Fono: (56-41) 291 4055
Fax: (56-41) 291 4066
e-mail:
concepcionchile@deloitte.com
49
www.deloitte.cl