Está en la página 1de 36

Capacitación

Seguridad SAP
nivel intermedio
Versión I

Risk Consulting | Security & Privacy | Application Integrity


Mayo, 2012
Agenda General

# Contenido Día Inicio Fin Relator

Arquitectura y capacidades de ERP SAP y


1 Día 1 9:00 13:00 Moises Daza
Seguridad de Componente Basis

Maria Esther
2 Gestión de Roles y Perfiles Día 2 9:00 13:00
Soto

Silvana
3 Seguridad del Maestro de Usuarios Día 3 9:00 13:00
Palacios

4 Seguridad ABAP/4 y Desarrollos Internos Día 4 9:00 13:00 Moises Daza

Herramientas de Monitoreo y Diccionario


5 de datos de la seguridad del sistema
Día 5 9:00 13:00 Gina Yañez

2 © 2012 Deloitte
Dia 5
Herramientas de
Monitoreo y Diccionario
de Datos

3 © 2012 Deloitte
Agenda
Agenda

# Contenido Inicio Fin

1 Herramientas de Monitoreo de Autorizaciones 9:00 9:30

2 Herramientas de Monitoreo de Usuarios 9:30 9:45

3 Herramientas de Monitoreo de Logs y Jobs 9:45 10:00

4 Herramientas de Monitoreo de Tablas 10:00 10:30

5 Coffe Break 10:30 10:45

6 Diccionario de Datos 10:45 11:15

7 Resumen General del Curso 11:15 12:00

8 Examen final 12:00 13:00

4 © 2012 Deloitte
Objetivos

Conocer las herramientas que nos ofrece el estándar de


SAP para realizar monitoreos adecuados de la seguridad
de nuestro sistema y accesos

Conocer tablas de datos importantes para una revisión de


seguridad

Repaso de los contenidos tratados con el fin de reforzar lo


aprendido

5 © 2012 Deloitte
Herramientas
Hoja – Times
divisoriade
New Roman desde 52pt
Monitoreo

6 Footer
© 2012 Deloitte
Herramientas de Monitoreo
Monitoreo de Autorizaciones

Transaccion ST01 : Trace de Sistema Me permite hacer


rastreo ejecución
de autorizaciones
por parte de los
usuarios

7 © 2012 Deloitte
Herramientas de Monitoreo
Monitoreo de Autorizaciones

Transaccion ST03N : Carga de Trabajo del Sistema


Me permite revisar
transacciones
ejecutadas
históricamente por
los usuarios

8 © 2012 Deloitte
Herramientas de Monitoreo
Monitoreo de Autorizaciones

Transacción SU56 : Análisis memoria interna de usuario

Permite revisar el
conjunto de
autorizaciones
para un usuario

9 © 2012 Deloitte
Herramientas de Monitoreo
Monitoreo de Usuarios

Transaccion RSRFCCHK: Destinos RFC con datos de


acceso
Permite verificar las
conexiones abiertas a
otros mandates a través
de RFC

10 © 2012 Deloitte
Herramientas de Monitoreo
Monitoreo de Usuarios

Transacción RSUSR200_UNUSED30: Usuarios sin


entrada al sistema en los últimos 30 días

11 © 2012 Deloitte
Herramientas de Monitoreo
Monitoreo de Usuarios

Transacción RSUSR003: Verificar claves de accesos


de usuarios estándar
Permite visualizar los
parámetros de perfil
configurados para login
de usuarios

12 © 2012 Deloitte
Herramientas de Monitoreo
Monitoreo de Usuarios

Transacción RFAUDI06_BCE: Número de registros


maestros de usuarios

Muestra el numero total


de usuarios existentes
por mandante

13 © 2012 Deloitte
Herramientas de Monitoreo
Monitoreo de Logs

Transacción RSPFPAR_SYSLOG: parámetros de perfil


para logs

Indica la configuracion de
los parametros de perfil
para el almacenamiento
de Logs de sistema

14 © 2012 Deloitte
Herramientas de Monitoreo
Monitoreo de Logs

Transacción RSPFPAR_SYSLOG: parámetros de perfil


para logs

Indica la configuracion de
los parametros de perfil
para el almacenamiento
de Logs de sistema

15 © 2012 Deloitte
Herramientas de Monitoreo
Monitoreo de Job
SM37 - Resumen de jobs de fondo

Peligro, debido a que se


podría liberar jobs de
otras personas o ver la
información contenida

16 © 2012 Deloitte
Herramientas de Monitoreo
Monitoreo de Job
SM35 - Supervisión batch input

17 © 2012 Deloitte
Herramientas de Monitoreo
Monitoreo de Job
SMX - Supervisión batch input

Permite visualizar solo los


Jobs propios

18 © 2012 Deloitte
Resumen
Hoja divisoria – Times
General
New Roman desde 52pt

1
19 Footer
© 2012 Deloitte
9
Arquitectura SAP y Seguridad de Componente Basis

SAP es un sistema de planificación integrada de recursos y que ayuda hacer


mas eficiente la gestión de las empresas

Esta compuesta por 3 capas de proceso, que permite una ejecución en línea de
procesos y abastecidos por base de datos única.

Las 3 capas de la arquitectura de SAP son :


Capa 1: Base de Datos
Capa 2: Servidor de Aplicaciones
Capa 3: Capa de Presentación o Cliente
Sus principales características son:
 Exhaustivo
 Integrado
 Abierto
 Flexible y Global

20 © 2012 Deloitte
Arquitectura SAP y Seguridad de Componente Basis
Sistema de Transportes - Inportancia
Importancia
Permite el traspaso de objetos de un ambiente o mandante,
hacia otro (ejemplo: Desarrollo a Producción)

Permite una mantención adecuada de los ambientes

Evita la duplicidad de trabajo y replicar las modificaciones

Minimización de riesgos sobre la información sobre el


ambiente de Producción

Registro de modificaciones

Aprobación de modificaciones

Respaldo de información

21 © 2012 Deloitte
Arquitectura SAP y Seguridad de Componente Basis
Herramientas de Monitoreo
Importanci
Las transacciones que nos permiten administrar y monitorear
las ordenes de transporte son:
STMS: Administración de Transportes
SE09 – SE10 : Liberación de ordenes de transportes y análisis
de tareas y objetos contenidos

El sistema puede ser monitoreado por la transacción RZ20


Soporte de operación durante 24 horas
Monitoreo y análisis del sistema
Monitoreo y análisis de la red
Reporte automático de problemas (alertas)
Balanceo y control automático

22 © 2012 Deloitte
Arquitectura SAP y Seguridad de Componente Basis
Mandantes
Importancia
El mandante es el nivel jerárquico superior en el Sistema ERP SAP.

Cada mandante es una unidad independiente con registros maestros


separados y un set completo de tablas.

SAP recomienda la aplicación de 3 instancias distintas y cada uno con


sus mandantes, con la finalidad de resguardar la información y para la
realización de pruebas sin afectar la información de Produccion:
 Desarrollo : que acceden los consultores de producto
(parametrizadores ) y programadores ABAP o JAVA que no posee
información del trabajo diario de la organización. Su estatus debe ser
“Abierto”
 QAS: al que acceden los consultores de producto, consultores
funcionales, y usuarios para probar el correcto funcionamiento del
programa o funcionalidad. Su estatus debe ser “Cerrado”
 Produccion: donde los consultores y desarrolladores no acceden,
salvo en casos particulares y solo como visualización, y es en donde la
organización posee sus datos operativos y al que acceden todos los
usuarios finales del sistema. Su estatus debe ser “Cerrado

23 © 2012 Deloitte
Arquitectura SAP y Seguridad de Componente Basis
Mandantes
Importancia
Las transacciones que nos permiten realizar un monitoreo de
los mandantes son:

 SCC4: Resumen Vista de mandates. Permite visualizar y


modificar las condiciones de seguridad establecidas para
el mandante. En ambiente de Producción solo debe dejar
visualizar los estados

 SCC3: Log de copias de mandantes

24 © 2012 Deloitte
Gestion de Roles y Perfiles

La verificación de accesos de usuarios para una transacción especifica


debe ser revisado siempre según la mecánica de autorización

La mecánica de autorización verifica 3 capas de seguridad:


 Capa 1 : objeto S_TCODE
 Capa 2 : Objeto mínimo de seguridad y validación . Tabla TSTCA o
transacción SE93
 Capa 3: Objetos de validación según programa ABAP de la transacción.
Tabla USOBT o USOBT_C o transacción SU24

La importancia de la transacción SU24 radica en que permite mantener


una correcta mantención de los objetos de autorización, permitiendo su
estatus de “Estándar”, lo cual corresponde a las Buenas Practicas

Un objeto con estatus Manuel o Modificado puede indicar falencias en la


administración de roles y perfiles, dando acceso a autorizaciones que los
usuarios realmente no necesitan para la operación.

25 © 2012 Deloitte
Gestion de Usuarios

Roles Derivados:
Corresponde a un tipo de rol simple que nos permite realizar una
segregación de autorizaciones para roles que necesitan el mismo
menú transaccional

Para los roles derivados es necesario generar dos tipos de roles:


Roles Padres: lleva las transacciones y valores de autorización
estándar
Roles Hijos: hereda las transacciones del Rol Padre y los valores de
autorización estándar. Su utilidad es que los valores organizaciones
pueden ser segmentados

El recomendable el uso de roles derivados en empresas que tengan


cargos o funciones de personas definidos iguales en transacciones
pero se deben diferenciar por zonas geográficas, centros
sociedades, etc

26 © 2012 Deloitte
Gestion de Roles y Perfiles

Roles a Posición:
Se requiere utilizar los roles convencionales y la estructura como
complemento para asignar autorizaciones a los usuarios.

Recomendado en el caso de Implementacion de HCM dentro de la


compañía

Debe existir una estructura organizacional ya definida en el sistema


que permita conocer cómo se organiza la empresa.

La estructura se puede utilizar para asignar roles convencionales no


sólo a HCM sino que a todos los módulos de SAP.

• Al tener implementado el módulo de HCM es recomendable que la


asignación de Rol-Posición este a cargo de Recursos Humanos.

Complementando la seguridad por roles, existe además la


perfilamiento por estructura organizativa.
27 © 2012 Deloitte
Gestion de Roles y Perfiles

Roles a Posición:
Se requiere utilizar los roles convencionales y la estructura como
complemento para asignar autorizaciones a los usuarios.

Recomendado en el caso de Implementacion de HCM dentro de la


compañía

Debe existir una estructura organizacional ya definida en el sistema


que permita conocer cómo se organiza la empresa.

La estructura se puede utilizar para asignar roles convencionales no


sólo a HCM sino que a todos los módulos de SAP.

• Al tener implementado el módulo de HCM es recomendable que la


asignación de Rol-Posición este a cargo de Recursos Humanos.

Complementando la seguridad por roles, existe además la


perfilamiento por estructura organizativa.
28 © 2012 Deloitte
Gestion de Roles y Perfiles

Objetos mas importantes a considerar para la segmentación y


administración
P_ORGIN Es uno de los objetos de autorización más importantes HR - HR: Master data, damos el
acceso a los infotipos.

P_ORGXX Si deseamos controlar con detalle el acceso HR Master Data, podemos utilizar el objeto de
autorización P_ORGXX

P_APPL Si deseamos proteger el acceso de los datos de HR de los Candidatos o aspirantes, lo


debemos hacer por medio de este objeto de autorización.

P_PERNR Si un usuario desea verificar los datos propios o del número del personal, el objeto de
autorización P_PERNR ayudará a la realizar la Verificación de datos personales (infotipo
HR).

P_ABAP Si algunos listados específicos, no críticos como: lista de teléfonos, lista de direcciones
internas entre otros, deben estar disponibles para los usuarios que normalmente no tienen
acceso a los datos HR, se pueden definir estos perfiles con el objeto de autorización HR:
Reporting (P_ABAP).

PLOG El acceso a objetos de Gestión Organizativa, de Formación, Gestión de Acontecimientos y


desarrollo de Personal se controla con el objeto de autorización Planificación de personal

... Y dos importantes objetos de autorizaciones de las Bases de Datos para ser usados en HR:

S_TABU_DIS Mantenimiento de tablas (vía herramientas estándar tales como SM30)

S_TABU_CLI Actualización de tablas válidas en todos los mandantes

29 © 2012 Deloitte
Gestion de Roles y Perfiles

Diccionario de Datos importante de Recordar:


 AGR_DEFINE: asociacion de roles padres e hijos
 AGR_USERS : asociacion de Rol a Usuario
 PA0105: datos de comunicación de usuario (infotipo 105 y n°
de persona)
 PA0105: Datos de organización de usuario (posición a
usuario)

30 © 2012 Deloitte
Gestion de Usuarios

La administracion de usuarios se realiza a traves de la transaccion


SU01.

Todos los usuarios estándar de SAP y que son generados al


momento de la implementación del sistema deben tener
consideraciones de conexión extras:
 DDIC : gestiona diccionario de datos. Se recomienda modificar su
contraseña por defecto 19920607. No debe ser eliminado del sistema
EARLYWATCH: realiza la revisión periódica del sistema por SAP a
través de SAPRouter (por mandante 066). Se recomienda modificar
su contraseña de inicio en el mandante 066, SUPPORT
SAPCPIC: realiza procesos de comunicación entre sistemas y
amplios privilegios. SE recomienda el cambio de contraseña inicial
ADMIN
SAP*: usuario con accesos amplios y con el cual se incial el
sistema. Se recomienda el cambio de su contraseña inicial PASS, su
bloqueo y desactivación a través de parámetros de perfil
31 © 2012 Deloitte
Gestion de Usuarios

Herramienta de revisión de usuarios estándar de SAP:


 Transacción RSUSR003

Herramienta de Revisión de Contraseñas:


 Tabla USR40 y su modificación e ingreso de nuevos datos debe
ser realizado a través de la transacción SM30

La pestaña “Licencias” en la administracion de usuario, es de gran


relevancia para las auditorias de SAP con respecto al cobro de
Licencias y a las atribuciones que puede tener cada usuario en el
sistema.

32 © 2012 Deloitte
Seguridad ABAP/4 y Desarrollos Internos

Los desarrollos internos tanto de programas, tablas y transacciones


deben estar normados por un marco de gobernabilidad definido por
la empresa

Los riesgo detectados a nivel de programas son para aquellos que


cumplen las siguientes caracteristicas:
 tipo 1: ejecutable
 Ademas usuarios con acceso a transacciones SA38, SE38 y SE80

Todos los programas ejecutables pueden ser listados a traves de la


tabla TRDIR

Todo programa de estar asociado a una transaccion Z, tener


authority check, grupo de autorizacionvalores de autorizacion y su
asociacion en la tabla SU24

33 © 2012 Deloitte
Seguridad ABAP/4 y Desarrollos Internos

Verificacion de Grupos de Autorizacion a programa: Tabla


TDDAT o Transaccion SE54

Listado de Grupos de Autorizacion existentes: Tabla TPGP

Asignacion de grupo de autorizacion a programa: Transaccion


SE38 (opcion Atributos)

Asociacion transaccion – programa: Tabla TSTC

34 © 2012 Deloitte
Preguntas…

35 © 2012 Deloitte
Oficina central
Av. Providencia 1760
Pisos 6, 7, 8, 9, 13 y 18
Providencia, Santiago
Chile
Fono: (56-2) 729 7000
Fax: (56-2) 374 9177
e-mail: deloittechile@deloitte.com
Regiones
Cap. Arturo Prat 461
Oficina 1902
Antofagasta
Chile
Fono: (56-55) 44 9660
Fax: (56-55) 44 9662
e-mail: antofagasta@deloitte.com
1 Poniente 123
Piso 7
Viña del Mar
Chile
Fono: (56-32) 246 6111
Fax: (56-32) 246 6086
e-mail: vregionchile@deloitte.com
O’Higgins 940
Piso 6
Concepción
Chile
Fono: (56-41) 291 4055
Fax: (56-41) 291 4066
e-mail:
concepcionchile@deloitte.com
Audi t Consul t i ng Tax &Legal Risk Consul t i ng Libertador Bernardo O’Higgins 167
Fi nancial Advi sory Servi ces Out sourci ng Oficina 603
Puerto Montt
Chile
Deloitte® se refiere a Deloitte Touche Tohmatsu -asociación suiza- y a su red de firmas miembro, Fono: (56-65) 288 600
cada una como una entidad única e independiente. Por favor, vea en www.deloitte.cl/acerca de la Fax: (56-65) 298 600
descripción detallada de la estructura legal de Deloitte Touche Tohmatsu y sus Firmas miembro. e-mail: puertomontt@deloitte.com

© 2012 Deloitte. Miembro de Deloitte Touche Tohmatsu


Todos los derechos reservados. www.deloitte.cl