SAP Basis y Seguridad | GESI Mejoras Seguridad Tecpetrol 2 Ttulo de la presentacin Agenda _Implementacin control para evitar asignacin de roles duplicados. _Implementacin para desasignacin de roles vencidos _Implementacin control de SNC Name _Segregacin de Roles PERU para las sociedades TGP COGA _Construccin y asignacin de Roles Compuestos _Limpieza de Roles con sociedades FI Inactivas/viejas
Tecpetrol 3 Ttulo de la presentacin Implementacin control para evitar asignacin de roles duplicados Se Implementa el control para evitar la duplicidad de roles ya asignados, esto evita que un usuario tenga asignado el mismo rol ms de una vez, evitando que solo se elimine un rol (en el caso que corresponda) y el usuario continua con los permisos asignados adems de mantener prolijas las asignaciones.
RIESGO SITUACION ACTUAL MEJORA PLANTEADA No se pueden asignar roles a un usuario que ya lo tiene asignado. El sistema arroja el siguiente mensaje:
Tener un usuario en el sistema con el mismo rol asignado ms de una vez. Al eliminar un rol si este esta duplicado el usuario continua con los permisos. Tecpetrol 4 Ttulo de la presentacin Implementacin para desasignacin de roles vencidos Automatizar el proceso de desasignacin, tomando como dato la fecha de fin de validez. Adems de evitar posibles errores, se optimizan los tiempos de esta tareas, al no tener que entrar usuario por usuario para una desasignacin manual.
RIESGO SITUACION ACTUAL MEJORA PLANTEADA La automatizacin disminuy considerablemente los tiempos dedicado a esta tareas adems de garantizar la correcta desasignacin de los roles.
Al realizar la desasignacin manual de roles vencidos, se pueden eliminar roles que no correspondan dejando al usuario sin los correspondientes permisos para trabajar en el sistema. Tecpetrol 5 Ttulo de la presentacin Implementacin control de SNC Name Se implementa el control del SNC Name a la hora de modificar/crear usuarios en el sistema . Ante la necesidad de restringir la vulnerabilidad del sistema que permita ingresar cualquier usuario dentro de este campo dando la posibilidad de ingresar por SSO con cualquier usuario al sistema.
RIESGO SITUACION ACTUAL MEJORA PLANTEADA El control restringe la posibilidad de ingresar cualquier valor dentro del campo SNC Name permitiendo solo ingresar el correspondiente ID del usuario.
Se puede completar el campo SNC Name en el perfil del usuario en SAP permitiendo que un usuario ingrese en el sistema con el ID de otro usuario. Tecpetrol 6 Ttulo de la presentacin Segregacin de Roles PERU para las sociedades TGP COGA - Identificar y modificar los roles con accesos a datos de ambas compaas, a slo a datos autorizados a cada una de ellas - Validar que usuarios de COGA/TGP no modifiquen ni visualicen datos de Tecpetrol. - Validar que usuarios de Tecpetrol no modifiquen datos de Per G&P que no estn centralizados. - Mantener los permisos de visualizacin de la sociedad Per G&P, a cierto grupo de usuarios autorizados de Tecpetrol.
Se cumplieron con todas las mejoras planteadas RIESGO SITUACION ACTUAL MEJORA PLANTEADA - Acceso a programas y datos de Tecpetrol de informacin sensible no autorizados. - Acceso a programas y datos de Per G&P de informacin sensible no autorizados Tecpetrol 7 Ttulo de la presentacin Construccin y asignacin de Roles Compuestos - Se construyeron los roles compuestos en base a la definicin de Compliance. - Se analizaron los accesos de los usuarios a asignar los Roles compuestos, entre sus roles actuales y los que se aplicara con la definicin del Compuesto. - Se probaron y analizaron los roles compuestos. - Se hicieron las asignaciones y desasignaciones correspondientes. RIESGO SITUACION ACTUAL MEJORA PLANTEADA - Asignacin/Desasignacin errnea por falla manual de accesos a programas y datos no autorizados debido al gran caudal de roles simples a administrar.
- Construir los roles en base a la definicin de Compliance. - Analizar y probar la correcta construccin de los mismos. - Desasignar los roles Simples. - Asignar los roles Compuestos.
Tecpetrol 8 Ttulo de la presentacin Limpieza de Roles con sociedades FI Inactivas/viejas RIESGO SITUACION ACTUAL MEJORA PLANTEADA - Acceso a crear, borrar o modificar datos e informacin sensible de Sociedades FI que ya no se utilizan. - Identificar y modificar los roles con permisos distintos al de visualizacin para sociedades FI inactivas. - Mantener los roles de visualizacin para histrico de datos. - Se identificaron y modificaron todos los roles con permisos distintos al de visualizacin para las sociedades FI inactivas (BUKRS). - Se mantuvieron todos aquellos roles de visualizacin para histrico de datos.