Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Taller de Seguridad SAP ERP - Marzo 2014 VF PDF
Taller de Seguridad SAP ERP - Marzo 2014 VF PDF
Relator:
María Esther Soto
Consultor Senior
ERS / Deloitte
concepto de autorización.
21:50 a 22:00
10. Preguntas
3
CV Relator
Enterprise Risk Services
Security & Privacy Services
María Esther Soto
Consultor Senior
Tel:+56 2 729 8766
Email: mariasoto@DELOITTE.com
Estudios:
• Ingeniera informática- Universidad de Santiago de Chile Ha participado en diversos proyectos relacionados con
diagnóstico, rediseño, diseño e implementación de seguridad
SAP: Corporación Sofofa, Unimarc, Metro, Empresas Taylor,
Mutual de Seguridad, entre otras-
Experiencia relevante
Consultor Senior de Risk Consulting de la línea de Seguridad
y Privacidad de Deloitte, Ingeniero en ejecución en
computación e informática. Con cinco años de experiencia
como desarrolladora en ABAP y cuatro años en Seguridad
SAP.
Además, ha participado en cursos de: Seguridad SAP y
Metodología EVD en Deloitte.
Actualmente participa como relatora de cursos tanto de
Auditoría y Seguridad ERP SAP para capacitaciones abiertas
y cerradas a clientes.
5
Introducción
7 Footer
Conceptos básicos de SAP
¿Qué es SAP?
Capa 1 BD Principal
Capa de Aplicación
Capa 3
Capa de Presentación
SD FI
Sales & Financial
Distribution Accounting
MM CO
Materials
Mgmt. Controlling
PP AM
6.0
Production Fixed Assets
Planning Mgmt.
QM Cliente/ Servidor PS
Quality Project
Manage-ment System
PM
ABAP/4
WF
Plant Main-tenance
BC Workflow
HR IS
Human Industry
Resources Solutions
Advanced
B2B
Planner &
Procurement
SAP Media Optimizer SAP Pharmaceuticals
SAP Retail
13
Overview de Componente Basis
Modelo Integrado de Seguridad
Módulos de 6.0
6.0 BASIS
GUI´S
Protocolo (Interfaces
Sistema Base de de Gráficas
Operativo Datos Comunicac de
iones Usuario)
Mandante
Mandante
Control
de Calidad Liberación para producción
Instancia 6.0
Mandante
Producción
Instancia 6.0 Liberación para
actualizaciones
1 Footer
9
Seguridad de Usuarios
Controles de Accesos
Programa : RSPARAM
Transaccion : RSPFPAR
Ejecución directa
de programas es
una mala practica
“riesgo de
Seguridad”
LOGIN/FAILS_TO_SESSION_END
• Número de veces que un usuario puede ingresar una password incorrecta antes de que el sistema finalice
los intentos de logon. El valor por defecto es 3. Se puede ingresar un rango entre 1 a 99. El valor
recomendado es 3.
LOGIN/FAILS_TO_USER_LOCK
• Número de veces que un usuario puede ingresar una password incorrecta antes de que el sistema bloquee
los intentos reiterativos. El bloqueo de la cuenta de usuario es automáticamente liberado a l medianoche
del mismo día. valor recomendado de 3 a 5.
LOGIN/MIN_PASSWORD_LNG
• Número mínimo de caracteres que debe ser usados por una password. Por defecto se exigen 3. Puede
ser un rango de 3 a 8. El valor recomendado es de 6 a 8.
LOGIN/PASSWORD_EXPIRATION_TIME
• Número de días después de los cuales se debe cambiar la password. El valor por defecto es 0. El valor
recomendado es 30 ó 45 días.
Programa : RSPARAM
Transaccion : RSPFPAR
Políticas de
Seguridad de la
Información
24
Introducción
1.- Actividad
Objeto de Centro para
Autorización OC 2.- Centro
Unidad básica de
seguridad
Autorización #1 Autorización #2
Autorización
1.-Actividad = Crear 1.-Actividad = Visual.
Instancia del objeto
de autorización
2.-Centro = 001 2.-Centro = Todos
Perfil #1 Perfil #2
Perfil: (Crear PO) (Recepción de bienes)
Representa •Autorización #1 •Autorización #2
conjunto de •Autoriz.Adicionales •Autoriz.Adicionales
autorizaciones
Autorización #1 Autorización #2
Autorización
1.-Actividad = Crear 1.-Actividad = Visual.
Instancia del objeto 2.-Centro = 001 2.-Centro = Todos
de autorización
Rol/Perfil #1 Rol/Perfil #2
Rol / Perfil (Crear OC) (Recepción Mat.)
*Autorización #1 *Autorización #2
*Otras autorizaciones *Otras autorizaciones
Representa tareas
Objeto principal
Capa 1
Ejecute la
S_TCODE
Transacción
Capa 2
Capa 3
Crear Pedido
de Compras
32
Introducción
Segregación de Funciones
3 Alternativas:
1.- Segregar el acceso en 2 usuarios
(Automático-preventivo)
2.- Implementar un control automático para
que la factura se registre bloqueada y una
instancia de control la aprueba (Automático –
preventivo)
3.- Colocar un control de mitigación que
consista en un reporte de monitoreo
(semiautomático – detectivo)
38
Seguridad ABAP
Catastro
Seguridad Seguridad
Autorización ABAP
Marco de
Gobernabilidad
Seguridad
Seguridad
Grupo de
Transacción
Autorización
Catastro
Marco de Seguridad
Seguridad
Grupo de
Autorización Gobernabilidad Autorización
Seguridad
Transacción
Herramientas de Seguridad
para la transacción PFCG (SU24)
41 © 2011 Deloitte
41 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Herramientas de Monitoreo
Autorizaciones
4 Footer
5
SAP GRC Access Control
Management - BRM