Taller de Seguridad SAP ERP

Isaca Santiago Chapter
Ciclo de Talleres Técnicos 2014
Taller de Seguridad SAP ERP
Relator:
María Esther Soto
Consultor Senior
ERS / Deloitte
Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Marzo, 2014
Tabla de contenido
1. CV Relator. 19:00 a 19:05

2. Introducción a la seguridad en SAP ERP. 19:06 a 19:25
3. Parámetros claves de la seguridad en SAP ERP 19:26 a 19:40
4. Concepto de autorización en SAP ERP 19:41 a 20:20
5. Segregación de Funciones en SAP ERP 20:21 a 20:45
6. Break 20:46 a 21:00
7. Herramientas de seguridad en SAP ERP 21:01 a 21:20
8. Ciclo de Seguridad ABAP y Tablas Z 21:21 a 21:35
9. SAP GRC Access Control y su relación con el 21:36 a 21:49
concepto de autorización.
21:50 a 22:00
10. Preguntas
2 Enterprise Risk Services | Security & Privacy Services | GRC Solutions

CV Relator
3
CV Relator
Enterprise Risk Services
Security & Privacy Services
María Esther Soto
Consultor Senior
Tel:+56 2 729 8766
Email: mariasoto@DELOITTE.com
Estudios:
• Ingeniera informática- Universidad de Santiago de Chile Ha participado en diversos proyectos relacionados con
diagnóstico, rediseño, diseño e implementación de seguridad
SAP: Corporación Sofofa, Unimarc, Metro, Empresas Taylor,
Mutual de Seguridad, entre otras-
Experiencia relevante
Consultor Senior de Risk Consulting de la línea de Seguridad
y Privacidad de Deloitte, Ingeniero en ejecución en
computación e informática. Con cinco años de experiencia
como desarrolladora en ABAP y cuatro años en Seguridad
SAP.
Además, ha participado en cursos de: Seguridad SAP y
Metodología EVD en Deloitte.
Actualmente participa como relatora de cursos tanto de
Auditoría y Seguridad ERP SAP para capacitaciones abiertas
y cerradas a clientes.

Introducción a la Seguridad en
SAP ERP
5
Introducción
Comprender el concepto del ERP SAP 6.0 y conocer las distintas

funcionalidades que este sistema posee, las cuales se traducen en
módulos que interactúan de forma integrada para el procesamiento de
las transacciones de negocio bajo una jerarquía organizacional.
Comprender los ámbitos que cubre el Basis Component de SAP y la

importancia que el mismo tiene dentro de un modelo integrado de
seguridad.
Enfocar la seguridad de las aplicaciones como un todo, bajo el punto

de vista de un modelo integrado de seguridad.

Conceptos
Hoja divisoria – Times
básicos de SAP
New Roman desde 52pt
7 Footer
Conceptos básicos de SAP
¿Qué es SAP?
Arquitectura Cliente / Servidor multi-nivel.
Base (Middleware) soporta tecnología de sistemas abiertos.
Business Framework Architecture, abierta a integración total

con otros componentes y aplicaciones.
Interfaz de usuario homogénea entre aplicaciones.
Ambiente de desarrollo de fácil comprensión.
Integración total entre aplicaciones.
Amplio rango de servicios.

¿Qué es SAP?
Capa 1 BD Principal
Capa de Base de Datos
Datos para Información

ver o cambiar validada por
el usuario
Capa 2
Buffer BD Buffer BD
Capa de Aplicación
Información Información Información Información

de salida de entrada de entrada de salida
para el desde el usuario desde el para el
usuario usuario usuario
Capa 3
Capa de Presentación

Módulos de SAP
SD FI
Sales & Financial
Distribution Accounting
MM CO
Materials
Mgmt. Controlling
PP AM
6.0
Production Fixed Assets
Planning Mgmt.
QM Cliente/ Servidor PS
Quality Project
Manage-ment System
PM
ABAP/4
WF
Plant Main-tenance
BC Workflow
HR IS
Human Industry
Resources Solutions

Módulos de SAP
• ABAP/4 Development Workbench

• Computer Center Management System
• Sistema de Transportes
BC • Administración de la Base de Datos
• Administración de Seguridad
Componente Basis ……..

Módulos de SAP
Categoria Funcional - Industry Solutions IS

SAP High Tech & Electronics
SAP Engineering & Construction
SAP Consumer Products
SAP Oil & Gas SAP Transportation

Business
Information
Ware-
house
SAP Utilities SAP Public Sector
Sales
Force
Auto-
SAP Health Care ...
mation
SAP Telecomm
6.0
SAP Automotive SAP Chemicals
Advanced
B2B
Planner &
Procurement
SAP Media Optimizer SAP Pharmaceuticals
SAP Retail
SAP Aerospace & Defense

SAP Banking
SAP Service Providers

Análisis General Módulo
Basis
13
Overview de Componente Basis
Modelo Integrado de Seguridad
• SAP es solo una aplicación de muchísimas....

• Sólo estamos definiendo la seguridad para un elemento que
junto a otros conformarían el engranaje total de seguridad
Informática.

• Cubre los siguientes ámbitos:

Módulos de 6.0
ABAP/4 Development Workbench
6.0 BASIS
GUI´S
Protocolo (Interfaces
Sistema Base de de Gráficas
Operativo Datos Comunicac de
iones Usuario)

Control de Cambios - Landscape
Single Client / Single System Multi Client / Single System

Mandante Mandante Mandante Mandante
Instancia 6.0 Instancia 6.0
Single Client / Single System Single Client / Multi system/

/ Multi Servers Single Servers
Mandante Mandante Mandante Mandante Mandante Mandante
Instancia 6.0 Instancia 6.0 Instancia 6.0 Instancia 6.0

Control de Cambios - Transporte
Mandante
Desarrollo Transporte de cambios para Test

Instancia 6.0
Mandante
Control
de Calidad Liberación para producción
Instancia 6.0
Mandante
Producción
Instancia 6.0 Liberación para
actualizaciones

Parámetros
claves de la
New Roman
Seguridad en desde
SAP ERP
52pt
1 Footer
9
Seguridad de Usuarios
Controles de Accesos
Parámetros: Control de claves de acceso con parámetros del

perfil del sistema
.
Reglas definidas por

el cliente:
Programa : RSPARAM
Transaccion : RSPFPAR
Ejecución directa
de programas es
una mala practica
“riesgo de
Seguridad”


perfil del sistema
RDISP/GUI_AUTO_LOGOUT
• Segundos de inactividad antes de desactivar la sesión de un usuario. El valor 0 indica no se aplica la

desactivación. El valor se mide en segundos, valor recomendado 20 minutos (valor 1200)
LOGIN/FAILS_TO_SESSION_END
• Número de veces que un usuario puede ingresar una password incorrecta antes de que el sistema finalice
los intentos de logon. El valor por defecto es 3. Se puede ingresar un rango entre 1 a 99. El valor
recomendado es 3.
LOGIN/FAILS_TO_USER_LOCK
• Número de veces que un usuario puede ingresar una password incorrecta antes de que el sistema bloquee
los intentos reiterativos. El bloqueo de la cuenta de usuario es automáticamente liberado a l medianoche
del mismo día. valor recomendado de 3 a 5.
LOGIN/MIN_PASSWORD_LNG
• Número mínimo de caracteres que debe ser usados por una password. Por defecto se exigen 3. Puede
ser un rango de 3 a 8. El valor recomendado es de 6 a 8.
LOGIN/PASSWORD_EXPIRATION_TIME
• Número de días después de los cuales se debe cambiar la password. El valor por defecto es 0. El valor
recomendado es 30 ó 45 días.


perfil del sistema

el cliente:
Programa : RSPARAM
Transaccion : RSPFPAR


perfil del sistema
Políticas de
Seguridad de la
Información

el cliente:
Parámetros de
Programa : RSPARAM
Seguridad SAP Transaccion : RSPFPAR

Concepto de Autorización
en SAP ERP
24
Introducción
• Comprender el concepto de autorización, sus derivadas y las

diversas capas de seguridad que le permite al usuario del
sistema SAP, poder ejecutar una transacción.
• Asimismo, esta sesión tiene como objetivo que los alumnos

conozcan la herramienta que permite construir los roles y
perfiles de autorización para los privilegios de usuario y los
distintos tipos de roles que existen y la utilidad que se le puede
dar a cada uno de ellos.

Seguridad de Autorizaciones
Concepto de autorización
1.- Actividad
Objeto de Centro para
Autorización OC 2.- Centro
Unidad básica de
seguridad
Autorización #1 Autorización #2
Autorización
1.-Actividad = Crear 1.-Actividad = Visual.
Instancia del objeto
de autorización
2.-Centro = 001 2.-Centro = Todos
Rol / Perfil Rol/Perfil #1 Rol/Perfil #2

(Crear OC) (Recepción Mat.)
*Autorización #1 *Autorización #2
Representa tareas *Otras autorizaciones *Otras autorizaciones

Concepto de autorización - Perfil
Perfil #1 Perfil #2
Perfil: (Crear PO) (Recepción de bienes)
Representa •Autorización #1 •Autorización #2
conjunto de •Autoriz.Adicionales •Autoriz.Adicionales
autorizaciones

Concepto de autorización - Perfil
Rol: Rol Rol

Representa (Enpleado de Compras) (Empleado de Recepción)
•Perfil #1 •Perfil #2
conjunto de •Perfiles Adicionales •Perfiles Adicionales
tareas de una
función

Centro para 1.- Actividad

Objeto de
Autorización OC
2.- Centro
Unidad básica de
seguridad
Autorización #1 Autorización #2
Autorización
1.-Actividad = Crear 1.-Actividad = Visual.
Instancia del objeto 2.-Centro = 001 2.-Centro = Todos
de autorización
Rol/Perfil #1 Rol/Perfil #2
Rol / Perfil (Crear OC) (Recepción Mat.)
*Autorización #1 *Autorización #2
*Otras autorizaciones *Otras autorizaciones
Representa tareas
Rol Rol Compuesto Rol Compuesto

Compuesto (Empleado compras) (Empleado recepción)
*Rol/Perfil #1 *Rol/Perfil #2
Representa roles *Otros Roles/perfiles *Otros Roles/perfiles
de trabajo
Objeto principal
S_TCODE Adicionado en la versión 3.0d

Asegura transacciones individuales
Primer objeto chequeado cuando un
usuario ingresa una transacción
El objeto S_TCODE siempre debe tener

status STANDAR“

Mecánica de Autorización
Conociendo las 3 capas de seguridad estándar
Capa 1
Ejecute la
S_TCODE
Transacción
Capa 2
Capa 3
Crear Pedido
de Compras

Segregación
Hoja de–Funciones
divisoria Times
New Roman desde 52pt
32
Introducción
Segregación de Funciones
• Comprender el concepto de segregación funcional y su relación con las

diversas capas de seguridad que le permite al usuario del sistema SAP,
poder ejecutar una transacción a niveles organizacionales diferentes.
• Identificar los puntos relevantes para mantener una adecuada segregación

de funciones en la organización con el fin de mantener un sano control
interno.
• Entender el significado de una segregación funcional adecuada y su

impacto para la información y los procesos realizados por la compañía, con
el fin de prevenir fraudes y la integridad de la información

Tips
• Una de las principales actividades de control interno
• Al aplicarlo a SAP podemos hacer referencia a la siguiente sentencia

“La seguridad en un ERP, debe abordar el resguardo de la
disponibilidad, confidencialidad e integridad de la información del
negocio”
• Tiene como objetivo prevenir o reducir el riesgo de errores o

irregularidades, y en especial el fraude interno en las organizaciones
• Permite asegurar que un individuo no pueda llevar a cabo todas las

fases de una operación/transacción, desde su autorización, pasando
por la custodia de activos y el mantenimiento de los registros maestros
necesarios
• Control de accesos transaccionales y de manejo de información

Segregación Funcional
Como mitigar los riesgos de errores y/o fraudes al limitar el

acceso a transacciones críticas y/o conflictivas?
Crear Proveedor (Compra) Aprobar pedido de compras
Crear pedido de compras
Aprobar pedido de compras
Registrar factura acreedor
Registrar factura acreedor

Escenario Riesgoso RIESGO ¡¡¡¡
Que un usuario realice la creación de un

proveedor ficticio y que las facturas sean
registradas por el mismo usuario, las que
Crear Proveedor (Compra) se irían directo a la propuesta de pago
automática
Escenario Típico de Fraude
Registrar factura acreedor CONTROL
3 Alternativas:
1.- Segregar el acceso en 2 usuarios
(Automático-preventivo)
2.- Implementar un control automático para
que la factura se registre bloqueada y una
instancia de control la aprueba (Automático –
preventivo)
3.- Colocar un control de mitigación que
consista en un reporte de monitoreo
(semiautomático – detectivo)

Beneficios
Beneficios
• Mayor control sobre el modelo de accesos de los usuarios,

manteniendo procedimientos conocidos y establecidos.
• Mejorar el ambiente de control interno
• Reducir las acciones fraudulentos o mal intencionadas dentro de la
compañía
• Mantener información sensible y crítica de la compañía en los usuarios
que realmente responden a su nivel de responsabilidad.
• Mejorar los niveles de seguridad del sistema, según las buenas
practicas
• Proteger eficientemente el ambiente que sustenta la información
operacional y financiera del negocio.

Ciclodivisoria
Hoja – Times
de Seguridad ABAP
yNew
Tablas
Roman desde 52pt
38
Seguridad ABAP
Ciclo Virtuoso de Seguridad de Programas ABAP
Catastro
Seguridad Seguridad
Autorización ABAP
Marco de
Gobernabilidad
Seguridad
Seguridad
Grupo de
Transacción
Autorización

Seguridad ABAP
Ciclo Virtuoso de Seguridad de Tablas
Catastro
Marco de Seguridad
Seguridad
Grupo de
Autorización Gobernabilidad Autorización
Seguridad
Transacción

1 . - Ve r i f i c a r l o s o b j e t o s a c t i v o s
Herramientas de Seguridad
para la transacción PFCG (SU24)
2.- Realizar un ajuste masivo de

ERP SAP roles
3.- Buscar que transacción leen el

o b j e t o S _ TA B U _ D I S
41 © 2011 Deloitte
Herramientas de Monitoreo
Autorizaciones
Transacción ST01 : Trace de sistema Me permite hacer

rastreo ejecución
de autorizaciones
por parte de los
usuarios

Herramientas de Monitoreo
Autorizaciones
Transacción ST03N : Carga de Trabajo del Sistema

Me permite revisar
transacciones
ejecutadas
históricamente por
los usuarios

Herramientas de Gestion
Usuarios
Transacción SUIM : Sistema de información de usuarios

SAP GRC
Access Control y
New
su relación
Romancondesde
el concepto
52pt de
autorizaciones
4 Footer
5
SAP GRC Access Control
El siguiente cuadro presenta la secuencia de implementación y uso de los distintos

módulos de la herramienta SAP GRC Access Control.
Gestión y Control de Accesos

Objetivos
Identificar y Administrar Roles Administrar accesos

Prevenir
Analizar Riesgos de Acceso críticos
Business Role Emergency Access Provision and Manage

Management – EAM User – PMU
GRC Access Control
Management - BRM
Solución para definición y Solución para control de Solución de

gestión de Roles acceso privilegiado provisionamiento
Analyze and Manage Risk – AMR
Solución de análisis, detección y

remediación de riesgos de acceso y autorización
Prevención sustentable de infracciones a la segregación de funciones

Arquitectura de generación de riesgos en
GRC Acces Control SAP

Preguntas…

Oficina central
Av. Providencia 1760
Pisos 6, 7, 8, 9, 13 y 18
Providencia, Santiago
Chile
Fono: (56-2) 729 7000
Fax: (56-2) 374 9177
e-mail: deloittechile@deloitte.com
Regiones
Cap. Arturo Prat 461
Oficina 1902
Antofagasta
Chile
Fono: (56-55) 44 9660
Fax: (56-55) 44 9662
e-mail: antofagasta@deloitte.com
1 Poniente 123
Piso 7
Viña del Mar
Chile
Fono: (56-32) 246 6111
Fax: (56-32) 246 6086
e-mail: vregionchile@deloitte.com
O’Higgins 940
Piso 6
Concepción
Chile
Fono: (56-41) 291 4055
Fax: (56-41) 291 4066
e-mail:
concepcionchile@deloitte.com
Audi t Consul t i ng Tax &Legal Risk Consul t i ng Libertador Bernardo O’Higgins 167
Fi nancial Advi sory Servi ces Out sourci ng Oficina 603
Puerto Montt
Chile
Deloitte® se refiere a Deloitte Touche Tohmatsu -asociación suiza- y a su red de firmas miembro, Fono: (56-65) 288 600
cada una como una entidad única e independiente. Por favor, vea en www.deloitte.cl/acerca de la Fax: (56-65) 298 600
descripción detallada de la estructura legal de Deloitte Touche Tohmatsu y sus Firmas miembro. e-mail: puertomontt@deloitte.com
© 2012 Deloitte. Miembro de Deloitte Touche Tohmatsu

Todos los derechos reservados. www.deloitte.cl
49

Taller de Seguridad SAP ERP - Marzo 2014 VF PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Taller de Seguridad SAP ERP - Marzo 2014 VF PDF

Cargado por

Copyright:

Formatos disponibles

Isaca Santiago Chapter

Ciclo de Talleres Técnicos 2014

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

1. CV Relator. 19:00 a 19:05

5. Segregación de Funciones en SAP ERP 20:21 a 20:45

6. Break 20:46 a 21:00

7. Herramientas de seguridad en SAP ERP 21:01 a 21:20

8. Ciclo de Seguridad ABAP y Tablas Z 21:21 a 21:35

9. SAP GRC Access Control y su relación con el 21:36 a 21:49

2 Enterprise Risk Services | Security & Privacy Services | GRC Solutions

4 Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Comprender el concepto del ERP SAP 6.0 y conocer las distintas

Comprender los ámbitos que cubre el Basis Component de SAP y la

Enfocar la seguridad de las aplicaciones como un todo, bajo el punto

6 Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Arquitectura Cliente / Servidor multi-nivel.

Base (Middleware) soporta tecnología de sistemas abiertos.

Business Framework Architecture, abierta a integración total

Ambiente de desarrollo de fácil comprensión.

Integración total entre aplicaciones.

Amplio rango de servicios.

8 Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Capa de Base de Datos

Datos para Información

Información Información Información Información

9 Enterprise Risk Services | Security & Privacy Services | GRC Solutions

10 Enterprise Risk Services | Security & Privacy Services | GRC Solutions

• ABAP/4 Development Workbench

Componente Basis ……..

11 Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Categoria Funcional - Industry Solutions IS

SAP Oil & Gas SAP Transportation

SAP Aerospace & Defense

SAP Service Providers

12 Enterprise Risk Services | Security & Privacy Services | GRC Solutions

• SAP es solo una aplicación de muchísimas....

14 Enterprise Risk Services | Security & Privacy Services | GRC Solutions

• Cubre los siguientes ámbitos:

15 Enterprise Risk Services | Security & Privacy Services | GRC Solutions

ABAP/4 Development Workbench

16 Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Control de Cambios - Landscape

Single Client / Single System Multi Client / Single System

Instancia 6.0 Instancia 6.0

Single Client / Single System Single Client / Multi system/

Instancia 6.0 Instancia 6.0 Instancia 6.0 Instancia 6.0

17 Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Control de Cambios - Transporte

Desarrollo Transporte de cambios para Test

18 Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Parámetros: Control de claves de acceso con parámetros del

Reglas definidas por

20 Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Parámetros: Control de claves de acceso con parámetros del

• Segundos de inactividad antes de desactivar la sesión de un usuario. El valor 0 indica no se aplica la

21 Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Parámetros: Control de claves de acceso con parámetros del

Reglas definidas por

22 Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Parámetros: Control de claves de acceso con parámetros del

Reglas definidas por

23 Enterprise Risk Services | Security & Privacy Services | GRC Solutions