Seguridad en SAP HR

Autorizaciones en
mySAP HR
Michael Bonrat
Director de producto, SAP AG
Traducido por : Angel Garca Garca
Autorizaciones y Proteccin de Datos en mySAP HR
Autorizaciones especficas y conceptos de proteccin de datos en mySAP HR

Autorizaciones y proteccin de datos con objetos de autorizaciones
Autorizaciones y proteccin de datos con autorizaciones estructurales
Posibilidades de mejoras especficas de HR
Funciones generales para la proteccin de datos en el contexto de mySAP HR

Proteccin contra descargas no autorizadas
Proteccin contra ejecuciones no autorizadas de listados referentes a datos
maestros HR
Proteccin contra usos no autorizados de herramientas genricas de listados
Proteccin contra realizacin de listados a medida no autorizados con Ad-hocQuery
Proteccin contra accesos directos no autorizados a las tablas de la base de
datos
Requisitos legales
Mapa de carretera para la definicin e implementacin de los conceptos especficos

de la empresa sobre seguridad y el concepto de proteccin de datos
SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /2
Concepto de objetos de autorizacin

Usuario ...
... Tiene autorizacin, ... Que es chequeada:
Usuario
Autorizacin
Objeto de autoriz
Transaccin
Objeto de autoriz
Campo
Campo
Valor
Valor
Valor
Valor
Ejemplo de un objeto de autorizacin (P_ORGIN)

Un objeto de autorizacin se define por los campos contenidos en el
objeto. Un objeto de autorizacin puede tener hasta 10 campos.
Uno de los objetos de autorizacin ms importantes HR - HR: Master
data (P_ORGIN). Este objeto chequea los siguientes campos:
INFTY:Infotipo
SUBTY:Subtipo
AUTHC:Niveldeautorizacin
PERSA:readepersonal
PERSG:Grupodelempleado(divisin)
PERSK:Subgrupodelempleado
VDSK1:Claveorganizativa(categora)
Con este objeto de autorizacin, un usuario puede tener el siguiente

perfil de autorizacin ...
Ejemplo de un perfil de autorizacin definido con un

objeto de autorizacin HR
Ejemplo del grado de detalle que puedes usar para el acceso a datos
y el modo de acceso (lectura, escritura, ...) :
P_ORGIN
INFTY=06
SUBTY=*
A que tipo de datos (de un empleado ) se puede

acceder?
AUTHC=R,M
Como se accede a los datos?
PERSA=DE01
PERSG=1
PERSK=*
A que empleados podemos acceder a sus datos ?
VDSK1=*
Un usuario con el perfil recogido arriba puede

Mostrar (AUTHC = R) y buscar con los match codes ( AUTHC = M)
Infotipos 0000 to 0006 (incluyendo todos los subtipos) (INFTY: 0-6; SUBTY = *)
Este usuario tiene acceso a los empleados

Del rea de personal DE01, que est asignada al Grupo de Empleados 1
No hay autorizacin de chequeo usando los campos PERSK y VDSK
Los objetos ms importantes de autorizacin HR
P_ORGIN
Master Data
P_ORGXX
Master Data Chequeo extendido
P_APPL
Aspirantes, candidatos
P_PERNR
Master Data Chequeo del nmero de personal
P_ABAP
Realizacin de listados
PLOG
Planificacin del personal
... Y dos importantes objetos de autorizaciones de las Bases para ser usados en HR:
S_TABU_DIS
SM30)
Mantenimiento de tablas (via herramientas estndar tales como
S_TMS_ACT
TemSe: Acciones en ObjetosvTemSe
Proteccin extendida para HR master data (P_ORGXX)

Si deseas controlar el acceso a HR master data ms detalladamente,
puedes usar el objeto de autorizacin HR: Master Data Extended
Check (P_ORGXX) . Este objeto chequea los siguientes campos:
INFTY:Infotipo
SUBTY:Subtipo
SACHA:Administradordelibramientos
SACHP:AdministradordeHRMasterData
SACHZ:AdministradordeTimeRecording
SBMOD:AdministradordelGrupo(Subdivisiones)
Los campos SACHA, SACHP, SACHZ y SBMOD son campos del infotipo Asignacin
organizativa (0001). Como este infotipo puede tener registros dependientes del
tiempo, es posible que un usario tenga autorizacin para el acceso slo en
intervalos de tiempo especficos.
Proteccin de datos de aspirantes (P_APPL)

El acceso a los datos HR de aspirantes se controla con el objeto de
autorizacin HR: Aspirantes. Este objeto chequea los siguientes
campos:
INFTY:Infotipo
SUBTY:Subtipo
PERSA:readepersonal
APGRP:Grupodeaspirantes
APTYP:Rangoointervalodeaspirantes
VDSK1:Claveorganizativa
RESRF:Directordepersonalresponsabledelassolicitudes
En contraste con los objetos P_ORGIN y P_ORGXX el chequeo con esta
autorizacin no puede desactivarse.
El campo de autorizacin VDSK1 Clave organizativa

Este campo permite implementar perfiles de autorizacin basados en objetos de autorizacin
de un modo ms complejo. Se pueden definir reglas complejas, que rellenan este campo con
los valores combinados de los campos en el infotipo 0001 de los registros de tus
empleados y chequear de nuevo este valor con tus perfiles de autorizacin.
Clave organizativa:
12000000001000
rea de personal:
1200
Centro de costes:
0000001000
Clave organizativa:
12000000001200
rea de personal:
1200
Centro de costes:
0000001200
En el estndar, este campo se rellena con los valores de los campos rea de personal y
Centro de costes. En la actividad de adaptacin al usuario Set up organizational key se
pueden definir unas reglas propias para el campo.
(Camino (Path): Gestin de personal Administracin de personal Datos organizativos
Asignacin organizativa >Creacin de la clave organizativa)
Autorizacin para el acceso a los propios datos

maestros (P_PERNR)
Si un usuario debe alcanzar acceso a sus propios datos, otro perfil
como en el acceso general a los datos maestros, puedes controlar
esto con el objeto de autorizacin HR: Datos maestros Chequeo del
nmero de personal (P_PERNR). Este objeto chequea los siguientes
campos:
PSIGN:Interpretacindelnmerodepersonalasignado
INFTY:Infotipo
SUBTY:Subtipo
El campo Interpretacin del nmero de personal asignado y las opciones EXCLUIR

e INCLUIR controla el nivel de infotipo, si dispone de acceso al propio nmero de
personal, superior o inferior (como se define en P_ORGIN) la autorizacin debe
estar disponible..
Acceso simplificado para la ejecucin de programas

especficos (P_ABAP)
Si algunos listados especficos, no crticos (lista de telfonos, lista
de direcciones internas, ...) deben estar disponibles tambin para los
usuarios que normalmente no tienen acceso a los datos HR, se
pueden definir tales perfiles con el objeto de autorizacin HR:
Reporting (P_ABAP).
Este objeto chequea los siguientes campos:
REPID:NombredeprogramaABAP
COARS:Gradodesimplificacindelchequeodeautorizacones
Aparte del escenario descrito arriba (acceso simplificado a programas especficos),

tambin se pueden definir otros escenarios con el campo Gradode
simplificacindelchequeodeautorizaciones por ejemplo en el
acceso de slo lectura incluso para un secretario particular, que no es responsable
de un empleado especfico, es decir, un chequeo aislado, separado de una
asignacin organizativa y una autorizacin de infotipo
Proteccin de datos para objetos de Gestin Organizativa,

Formacin y Gestin de Acontecimientos. ... (PLOG)
El acceso a objetos de Gestin Organizativa, de Formacin y Gestin
de Acontecimientos y Desarrollo de Personal se controla con el
objeto de autorizacin Planificacin de personal (PLOG) . Este objeto
chequea los siguientes campos:
PLVAR:Versindelplan
INFOTYP:Infotipo
OTYPE:Tipodeobjecto
SUBTYP:Subtipo
ISTAT:Statusdelaplanificacin
PPFCODE:Cdigodefuncin
Objetos de autorizacin HR adicionales*
S_MWB_FCOD
Cdigos de funcin permitidos para el escritorio del
P_OCWBENCH
Actividades fuera del ciclo de Workbench
P_APPL
Aspirantes
P_PE02
Autorizacin para la regla de clculo del personal
P_PE01
Autorizacin para los esquemas de clculo del personal
P_PCLX
Agrupaciones
P_PCR
Registro de control de libramientos
P_CERTIF
Informes
P_TCODE
Cdigo de la transaccin
P_CATSXT
P_CATSXT
director
*en esta lista faltan algunos objetos de autorizacin internacionales o especficos del pas. Para conseguir la lista completa o cmo
encontrarlos use Mantenimiento de los Objetos de Autorizacin (TR: SU21) y visualice la clase de objeto HR .
Concepto de autorizacin estructural

El usuario ...
Usuario
... Tiene un perfil estructural, que se chequea

Autorizacin estructural
Perfil estructural
Transaccin
Perfil estructural
Campos
Campos
Valor
Valor
Ejemplos de perfiles estructurales (1)

OU0:001
OU0:001
Ejemplo 1:
Perfiles para directores de personal,
Quien necesita acceso completo a
las Unidades Organizativas,
Posiciones y Personas
Quien es responsable de los
empleados por rama de la
estructura organizativa
OU1:100
OU1:100
Pos1
Pos1
Pers1
Pers1
Pos2
Pos2
Pers2
Pers2
OU2:200
OU2:200
Pos3
Pos3
Pers3
Pers3
Pos4
Pos4
Pers4
Pers4
Perfil
N.
PV
OT OID Maint. Camino-E

Camino-E StatV
All
All_OU1
All_OU2
All_OU3
1
1
1
1
01
01
01
01
O
O
O
O
001
100
200
300
X
X
X
X
O-S-P
O-S-P
O-S-P
O-S-P
1
1
1
1
Profundidad
Profundidad
OU3:300
OU3:300
Pos5
Pos5
Pers5
Pers5
Pos6
Pos6
Pers6
Pers6
Signo Per.
FM
Ejemplos de perfiles estructurales (2)

EG0:001
EG0:001
Ejemplo 2:
Perfiles para administradores de
formacin,
Quien crea nuevos grupos de
acontecimientos
Quien crea nuevos tipos de
acontecimientos
Quien crea nuevos acontecimientos
EG1:100
EG1:100
ET1
ET1
E1
E1
ET2
ET2
E2
E2
EG2:200
EG2:200
ET3
ET3
E3
E3
ET4
ET4
E4
E4
Perfil
PV
OT OID Maint. Camino-E

Camino-E StatV
All
All_EG1
All_EG2
All_EG3
1
1
1
1
01
01
01
01
L
L
L
L
001
100
200
300
X
X
X
X
L-D-E
L-D-E
L-D-E
L-D-E
12
12
12
12
Profundidad
Profundidad
EG3:300
EG3:300
ET5
ET5
E5
E5
ET6
ET6
E6
E6
Signo Per.
FM
Definicin de las autorizaciones estructurales (1)

Para la definicin de las autorizaciones estructurales se usan los siguientes
campos:
Nombre del campo:
Significado:
(Perfil de autorizacin):
Clave del perfil
(Nmero de secuencia):
Nmero de lnea de la definicin del perfil
Versin del plan:
Para qu versin del plan es vlido el perfil
Tipo de objeto:
Tipo de objeto del objeto inicial
Objeto ID:
Objeto-ID del objeto inicial
Mantenimiento:
Mantenimiento o acceso de slo lectura
Camino de evaluacin:
Camino de evaluacin que debe usarse
Vector de estatus:
Estatus de la planificacin para leer
Profundidad:
Profundidad de lectura
Signo:
Direccin de lectura (de arriba a abajo o de abajo a

arriba)
Plazo:
Restriccin relativa al periodo de validez de la

estructura
Mdulo de funcin:
Mdulo de funcin para la definicin dinmica del

objeto inicial
y...
Definicin de las autorizaciones estructurales (2)

... Los siguientes campos son los
ms importantes:
OU0:001
OU0:001
Tipo de objeto y Objecto ID:
Cul es el objeto inicial de la

autorizacin estructural?
(Cul es el tipo e ID del objeto
inicial?)
Tipo de objeto y Mdulo de funcin:
Cul es el objeto inicial de la

autorizacin estructural?
(Qu mdulo FM sola encontrar el
objeto inicial?)
Camino de evaluacin:
Qu objetos estarn en el perfil?

Mantenimiento:
Qu tipo de acceso da el perfil?

Plazo:
Por qu periodo de validez de la

estructura da acceso el perfil?
OU1:100
OU1:100
Pos1
Pos1
Pers1
Pers1
Pos2
Pos2
Pers2
Pers2
O
O
S
S
P
P
OU2:200
OU2:200
Pos3
Pos3
Pers3
Pers3
Pos4
Pos4
Pers4
Pers4
1.1.02- ...
1.1.02- ...
OU3:300
OU3:300
Pos5
Pos5
Pers5
Pers5
Pos6
Pos6
Pers6
Pers6
Definicin genrica de las autorizaciones

estructurales (1)
Perfil para directivos que estn asignados a posiciones de directivos:
OU0:001
OU0:001
OU1:100
OU1:100
Pos1
Pos1
Pers1
Pers1
Pos2
Pos2
Pers2
Pers2
OU2:200
OU2:200
Pos3
Pos3
Pers3
Pers3
Pos4
Pos4
Pers4
Pers4
= Directivo
= Directivo
= Directivo
= Directivo
OU3:300
OU3:300
Pos5
Pos5 ==Directivo
Directivo
Pers5
Pers5
Pos6
Pos6
Pers6
Pers6
Perfil estructural genrico para esos usuarios:

Perfil
PV
OT OID Mant. Camino-E Mdulo de funcin
Directivo
01
O-S-P
No hay
objeto inicial
definido en
el perfil!
RH_GET_MANAGER_
ASSIGNMENT

estructurales (2)
Perfil para empleados que tienen posicin en una unidad organizativa:
OU0:001
OU0:001
OU1:100
OU1:100
Pos1
Pos1
Pers1
Pers1
Pos2
Pos2
Pers2
= Empleado
Pers2
= Empleado
OU2:200
OU2:200
Pos3
Pos3
Pers3
Pers3
Pos4
Pos4
Pers4 ==Empleado
Empleado
Pers4
OU3:300
OU3:300
Pos5
Pos5
Pers5
Pers5
Pos6
Pos6
Pers6 = Empleado
Pers6 = Empleado
Perfil estructural genrico para esos usuarios:

:
Perfil
PV
OT OID Mant. Camino-E Mdulo de Funcin
Directivo
01
O-S-P
No hay
objeto inicial
definido en
el perfil!
RH_GET_ORG_
ASSIGNMENT

estructurales (3)
Lgica empleada por los dos mdulos estndar para la bsqueda del objeto
inicial:
Mdulo de funcin RH_GET_MANAGER
_ASSIGNMENT:
Mdulo de funcin RH_GET_ORG

_ASSIGNMENT:
O0
O1
A012
= Hat
S1
US1
A268
US2
O2
A003
S2
P1
O0
P2
A268
O1
A012
= Hat
S1
US1
A268
US2
A003
S2
P1
A268
O2
P2
Se pueden definir mdulos propios, que pueden usar otros tipos de

relacin o de objeto!
Autorizaciones estructurales y ejecucin

El chequeo de autorizaciones para
usuarios con grandes perfiles de
autorizacin puede ocasionar
problemas de ejecucin.
Para evitar esto se debe:
No usar caminos de evaluacin
abiertos
Usar caminos de evaluacin
especficos por tipo de objeto
Para usuarios con grandes perfiles se

debera usar:
Almacenamiento de la vista de las
autorizaciones en SAPMemory (RHBAUS00)
Asignacin automtica de los
usuarios implicados (RHBAUS02)
Actualizacin automtica de los
usuarios implicados
(RHBAUS01 and RHBAUS02)
Mantenimiento efectivo y asignacin de los perfiles

estructurales
Tarea:
Definir perfiles
estructurales
Definicin
Manual
Definicin
Genrica
Resultado:
Perfiles estructurales
definidos
Tarea:
Asignar perfiles
Asignacin
Manual
Almacenar el perfil
en la Unidad
Organizativa o
Posicin y distribuir
(RHPROFL0)
Tarea:
Optimizar
ejecucin de
grandes perfiles
Asignacin
manual de
usuarios
Asignacin con
listado
RHBAUS02
Resultado:
Usuarios con grandes
perfiles asignados al
almacenamiento de las
vistas en SAP-Memory
Tarea:
Definir tarea para el
funcionamiento
ordinario de
RHBAUS00
Los principales campos de autorizaciones HR

Este campo controla el uso del objeto de
autorizacin P_ORGIN
Este campo controla el uso
del objeto de autorizacin
P_ORGXX

del objeto de autorizacin
P_PERNR
ORGIN:
ORGXX:
PERNR:
NNNNN:
ADAYS:
15
ORGPD:

de un objeto de
autorizacin definido por el
cliente
Plazo de tolerancia para el

chequeo de autorizacin en
das de calendario
Este campo controla si en la Administracin de

Personal tambin la estructura organizativa (y
los perfiles estructurales) deberan procesarse
en el chequeo de autorizaciones
Perfil completo de un usuario HR (concepto de

autorizacin en dos partes)
Perfiles
Perfiles definidos
definidos
con
con autorizacin
autorizacin
estructural:
estructural:
Perfiles
Perfiles definidos
definidos
con
con objetos
objetos de
de
autorizacin
autorizacin HR:
HR:
P_ORGIN
P_ORGIN
INFTY
INFTY
O-6
O-6
...
...
Perfil
Perfil completo
completo de
de
usuario
usuario 11
P_ORGIN
P_ORGIN
INFTY
INFTY
0-8
0-8
...
...
Perfil
Perfil compleo
compleo te
te
usuario
usuario 22
Posibilidades de mejora
Si se desean definir perfiles de autorizacin ms especficos que

los posibles con los objetos de autorizacin estndar o el estndar
de la autorizacin estructural, se pueden usar los siguientes
incrementos o mejoras:
Definir un objeto de autorizacin especfico de cliente (a medida)
(P_NNNNN) y activar el chequeo de autorizaciones con este objeto:
La mejora del concepto de autorizacin con un objeto definido de cliente se
recomienda si se desea chequear con campos que no se chequean en el objeto
estndar (Para este requisito se debe revisar las posibilidades de adaptar a medida
el campo VDSK1 en el objeto P_ORGIN)
BAdI: Autorizacin (HRPAD00AUTH_CHECK)

El uso de este BAdI se recomienda si se desea implementar una lgica propia de
chequeo de los datos maestros HR. (Para ms detalles sobre la implementacin de
este BAdI por favor, vanse los ejemplos de implementacin en la definicin BAdI)
BAdI: Autorizacin Estructural (HRBAS00_STRUAUTH)

El uso de este BAdI se recomienda si se desea implementar una lgica propia de
chequeo de la autorizacin estructural
Cuestiones especiales de autorizaciones acerca de

aplicaciones HR especficas (1)
Autoservicio del empleado:
Emplee la transaccin especial HR_USER para asignar
papeles/perfiles a usuarios ESS!
Vase la Gua de Implementacin ESS 4.6C (ISBN 1-893570-97-5)
Papel y Usuario (page 89)
Managers Desktop :
Asegrese de que los usuarios del Managers Desktop tienen
todas las autorizaciones que necesitan para las funciones
disponibles en el mismo!
Consulta Ad-hoc y Consulta SAP:
Asegrese de que los InfoSets de sus usuarios son consistentes

con sus respectivos perfiles!

aplicaciones HR especficas(2): Autoservicio del empleado
Autoservicio del Empleado:
Para la creacin y mantenimiento
de usuarios ESS emplee la
transaccin especial HR_USER.
1. Copie y adapte el papel
SAP_WP_ Employee o
SAP_ESSUSER
2. Seleccione empleados
3.

aplicaciones HR especficas(3): Autoservicio del empleado
1. + 2.
a)
3. a) Ajuste
usuarios/papel ESS
b) Cree usuario
y/o asigne papel
ESS
b)
c) Borre usuarios
c)

aplicaciones HR especficas(4): Managers Desktop
Tiene el usuario
autorizaciones para
todas las funciones
disponibles en el
rbol?

aplicaciones HR especficas (3): Managers Desktop
Tiene el usuario
autorizaciones para
todos los infotipos
disponibles en el
infoset?
(Dependiendo del modo
de funcin de la
Consulta-Ad-hoc podra
ser manejada por el
papel y el generador de
perfiles)
Conceptos de autorizacin en HR: Resumen

Objetos de autorizacin
HR
Mejorass
P_ORGIN: VDSK1
P_ORGIN
P_NNNN
P_ORGXX
BAdI: HRPAD...
P_ABAP
BAdI: HRBAS...
P_PLOG
...
Los objetos de autorizacin HR y la autorizacin estructural permiten incluso

implementar requisitos de autorizacin muy complejos de seguridad de
datos y autorizacin de accesos.
Si se necesita, este estndar se puede mejorar de varios modos (sin
modificacin!).
Proteccin contra descargas o exportaciones no

autorizadas
Se pueden proteger los datos contra
descargas o exportaciones no
permitidas con el objeto de autorizacin
Autorizacin para actividades GUI
(S_GUI).
Notas interesantes en este contexto:

0028777
0030724
0119800
No se debe olvidar en este contexto la

proteccin de datos mediante la
asignacin de impresoras especficas
para los directores personalmente o
salas de impresin especficas!
Proteccin contra la ejecucin no autorizada de

listados o logging de ejecucin de listados
Generalmente un usuario slo puede lanzar
listados, que estn disponibles a travs de
su Men de papel y el perfil especfico.
Incluso, si un usuario pudiera acceder a la
pantalla inicial de un listado, que no est
disponible en su men, no podr ejecutar
ese listado, por la entrada perdida en su
perfil
Otro modo de proteger datos crticos (, pero
que a veces debe ser accesible) es escribir
un archivo log sobre la ejecucin de estos
listados.
(Esta composicin se encuentra en el IMG
bajo:
Administracin de personal Herramientas
Revisin Listados iniciales Log)
Adicionalmente se pueden chequear para
cada usuario de aplicaciones, que la
transaccin SA38 or SE38 no est
disponible a travs de su perfil!
Proteccin contra la realizacin de listados no permitidos con herramientas

genricas de listados (1): Proteccin mediante men/perfil
Para los listados y tambin otras funciones

las herramientas de listado genricas
(Consulta Ad-hoc, Consulta SAP) slo
estn disponibles para un usuario si son
parte de su papel y el men de papel
especfico.
As se puede evitar el acceso a estas
herramientas creando un men de papeles
sin estas herramientas.
Adems de esta proteccin de acceso que

controla el acceso general a estas
herramientas ...
Proteccin contra la realizacin de listados no permitidos con

herramientas genricas de listados (2): Objeto de autorizacin S_QUERY
... El acceso al rea de consultas se controla
adicionalmente con el objeto de autorizacin
S_QUERY. Este objeto controla qu
actividades puede ejecutar un usuario en
herramientas de consulta:
Crear/Cambiar consultas
Crear/Cambiar InfoSets y Grupos de
usuarios
(No se puede crear codificacin adicional
para InfoSets con este objeto de
autorizacin!)
Incluso si un usuario hubiera podido iniciar

una herramienta genrica de listados sin tal
entrada en su men y sin los valores
correctos en el objeto de autorizacin, no
podra definir o iniciar consultas...
Proteccin contra la realizacin de listados no permitidos con

herramientas genricas de listados (3): InfoSets y grupos de usuarios
..., porque el acceso a infotipos HR slo es
posible a travs de Infosets explcitamente
asignados.
No olvide en este contexto:
Los perfiles de autorizacin definidos con
objetos de autorizacin y la autorizacin
estructural son relevantes tanto para
trabajar con las Consultas Ad-hoc-Query
como para trabajar con listados programados
u otras aplicaciones!
No InfoSet
No Query!
Proteccin contra la realizacin de listados no

permitidos con herramientas genricas de listados (4)
..., adems de estas caractersticas de seguridad que conciernen en primera lnea el desarrollo
y/o ejecucin de consultas predefinidas, es tambin posible log Ad-hoc-Reporting.
Para hacer un log de listados Ad-Hoc se define para qu InfoSet debe estar activo el log y se
obtienen campos de seleccin, campos de resultado, usuario, fecha, etc..
Se pueden listar los ficheros log con el grupo de usuario /SAPQUERY/SQ y el InfoSet
/SAPQUERY/QUERY_LOGGING.
(Para activar en el IMG: Componentes de base Consulta-SAP Logging)
Control de seguridad continuo con el Log de Auditora

de Seguridad (1)
Da adicionalmente al log del sistema la posibilidad de una cantidad de
acontecimientos relevantes de seguridad en el sistema. Los siguientes
acontecimientos y clasificaciones se pueden usar para registrar en log :
Clases de acontecimientos par ser
Posible clasificacin de
logged:
acontecimientos a auditar :
Dilogo logon
Slo los crticos
RFC/CPIC logon
Importantes y crticos
Funcin de llamada RFC
Todos
Transaccin inicial
Listado inicial
Cambio de maestro usuario
Otros
Adicionalmente se puede conectar el Log de auditora de seguridad al

Monitor de alerta de la direccin del centro informtico

de Seguridad(2)
1. Define las clases y acontecimientos que deben ser montorizados con log.

de Seguridad(3)
2. Definicin especfica de acontecimientos del filtro log.
Funciones generales para autorizaciones de acceso y

proteccin de datos: Conclusion
Funciones generales de
seguridad
Concepto de papel
Control de la impresora
Control de impresin
Control Import/Export
Variantes
...
Funciones de seguridad
en el rea de Consultas
Concepto de papel
Separacin de
Dev./Prod.
A.-object S_QUERY
InfoSets, Grupos de
usuarios
...
Escritura de log ,
auditoria- y Funciones
de traza
Log inicial de listados
Log de listados Ad-hoc
Auditora de seguridad
Traza
...
Las funciones generales, las del area de consultas, las de log writing y las de
auditora completan los conceptos de autorizacin en mySAP HR, las
cuales nos permiten implementar distintas formas para la proteccin de
datos.
Requisitos legales (1): Requisitos legales especficos

de la empresa ...
... El punto de partida en este rea!
Requisitos especficos de la empresa
El punto inicial de los requisitos legales en muchos pases son regulaciones y
pautas especficas de la empresa, que muy frecuentemente tienen virtualmente la

misma funcin y significado como ley nacional o internacional!
Debe cuidarse de tener en mente los representantes del empleado, cuando se
recogen los requisitos legales
Requisitos legales (2): Los trminos ms comunes en

los requisitos legales nacionales ...
... Se reconoce en este contexto:
Datos personales
Datos sensibles
Uso legal y fiel
Propsito
Adecuacin
Precisin
Informacin (de temas de datos)
Seguridad y Confidencialidad (... Con los costes apropiados en relacin
al riesgo)
Notificacin
Soluciones y penalizaciones...
Ms en:
Gua para la Proteccin de Datos para Organizaciones Multinacionales con
Operaciones en Europa (by Maitland & Co/UK)
Requisitos legales(3): Sitios Web sobre proteccin de

datos y requisitos legales nacionales
Australia:
www.privacy.gov.au/
Austria (DE, EN):
www.bka.gv.at/datenschutz/
Belgica (EN, NL, FR):
www.privacy.fgov.be/
Canada (EN, FR): www.privcom.gc.ca/
Dinamarca (DN, EN):
www.datatilsynet.dk/
Finlandia:
www.tietosuoja.fi/
Francia (FR, EN, ES):
www.cnil.fr/
Alemania (DE, EN):
www.bfd.bund.de/
Gran Bretaa:
www.dataprotection.gov.uk/
Grecia:
www.dpa.gr/
Hong Kong (EN):
www.pco.org.hk/
Hungra (EN):
www.obh.hu/adatved/indexek/index.htm/
Irlanda:
www.dataprivacy.ie/
Requisitos legales(4): Sitios Web sobre proteccin de

datos y requisitos legales nacionales
Italia (IT, EN):
Japn:
Holanda (NL, EN):
Nueva Zelanda:
Noruega (NO, EN):
Portugal:
Espaa:
Suecia (SV, EN):
Suiza (D, F, IT, EN):
USA/Puerto seguro:
www.garanteprivacy.it/garante/ie/HomePage
www.somucho.go.jp/
www.registratiekamer.nl/
www.privacy.org.nz/
www.datatilsynet.no/
www.cnpd.pt/
www.ag-protecciondatos.es/
www.datainspektionen.se/
www.edsb.ch/
www.export.gov/safeharbor/
Utilice tambin las pginas web de asociaciones de representacin de empleados

en los diferentes pases. Ofrecen con frecuencia buenas plantillas para las pautas
de proteccin de datos, que tambin son muy tiles para la implementacin
tcnica
Requisitos legales (5): Directiva de la UE sobre

proteccin de datos
Directiva de la UE
Prohibe la transferencia de datos personales a pases w/o protecciones
equivalentes
(Comprende: Precisin de datos, Uso apropiado, Conocimiento o conciencia
Derecho de acceso, ...)
personal,
Impacto de la Directiva de la UE
Simplifica las operaciones en Europa, no las complica
La ley est todava evolucionando y crea incertidumbre
Los usuarios de datos internacionales tienen que examinar sus prctics de
negocios a la luz de la legislacin cambiante
Pero!!!: La Directiva de la UE NO
Ilegaliza HR global
Imposibilita el procesamiento de datos europeos fuera de Europa
Impide el desarrollo de habilidades globales o bases de datos de incumbencia
Siempre que sigas algunas pautas, que puedes encontrar ...
Requisitos legales (5): Directiva de proteccin de

datos en la UE y cuestiones similares
... En las siguientes pginas web:
ltima decisin sobre Principios de Puerto Seguro equivalentes a la directiva de
proteccin de datos europeos
www.ita.doc.gov.ecom
http://europa.eu.int/comm/internal_market/en/media/dataprot/news/safeharbor.htm
Respuestas a preguntas adicionales relativas a las transferencia de datos
internacionales estn disponibles en las siguientes pginas web:
Transferencia de datos entre EEUU y JAPN:
Centro para la investigacin social y legal y la privacidad Japn-EEUU y el
programa de programa de proteccin de datos. (
http://www.privacyexchange.org/japan/jlegal/jprivacylaws.html) Gua para la
Privacidad y Proteccin de datos en Japn. Hackensack, NJ: CSLR, Noviembre
30, 2000.
Transferencia de datos entre pases ASEAN y No-ASEAN:
Asia Pacific Security (http://www.dfat.gov.au/arf/rshome.html)
Transferencia de datos entre pases MERCOSUR y No-Mercosur:
Actualmente no hay una regulacin general disponible. Aunque puede
examinar las pginas Web de los pases MERCOSUR concretos para una
informacin ms detallada o tomar como punto de partida las pginas de la UE
o EEUU.
Requisitos legales (6): Requisitos internacionales y

fuentes de legislacin/informacin
Mapa de carretera para la definicin e implementacin del

concepto de proteccin de datos para una empresa especfica (1)
Quien est implicado?
empleado
representantes de los empleados
empleador
Consultores (Internos/Externos)
SAP
...
Qu pautas y requisitos legales tienen
que ser aplicados?
Pautas especficas de la empresa sobre
proteccin de datos
Requisitos legales
Reglas europeas sobre proteccin de
datos
Puntos adicionales:
Aplicaciones Web
Presupuesto para seguridad y proteccin
de datos
Interfaces
Sistema de Desarrollo/ Productivo
...2001, TechED Vienna , WR13D3W1, Michael Bonrat /50
SAP AG
Objetivo:
Que todos los grupos implicados de la
empresa participen en la discusin sobre
seguridad y el concepto de proteccin de
datos
Objetivo:
Conseguir una primera vista de conjunto
de los requisitos a respetar
Objetivo:
Tener presente el esquema organizativo
y las necesidades y condiciones
especiales
Mapa de carretera (2): Primera especificacin de las necesidades

de la empresa: Basada en los requisitos del negocio
Antes de las cuestiones tcnicas de las
autorizaciones (papeles, perfiles, ...) se deben fijar
las necesidades funcionales del negocio y los
datos requeridos (con o sin contexto de
sistema!):
Qu papeles son necesarios para los datos

HR, que papeles para la administracin y la
adaptacin al cliente
Qu datos deben almacenarse en el

sistema?
Objetivo:
Conseguir una definicin de los papeles
del negocio
Objetivo:
Conseguir una vista general de los datos
a almacenar
Qu listados se necesitan?
Objetivo:
Realizar una lista de los listados a definir
... Y los resultados se deben documentar

en una primera versin de la gua de
proteccin de datos!
Mapa de carretera (3): Inicio de la implementacin

tcnica
Despus de la definicin de las
necesidades del negocio se deben
evaluar y tasar las posibilidades
implementacin tcnica tambin
desde un punto de vista de
seguridad!
Definicin tcnica inicial de papeles
Evaluacin e implementacin tcnica

inicial del almacenamiento de datos
Objetivo:
Definicin tcnica de funcional
papeles. Informacin sobre los objetos
de autorizacin disponibles para perfil
de datos
Objetivo:
Conseguir una visin general sobre los
pros y contras de diferentes
posibilidades:
- Infotipo estandar
- Infotipo adaptado al cliente...
Objetivo:
Conseguir una visin general sobre las
tcnicas de listado y enfoques a emplear
Evaluacin e implementacin tcnica

inicial de listados
Mapa de carretera(4): Decisiones relevantes de seguridad

basadas en informacin procedente de la implementacin tcnica
La informacin procedente de una
implementacin diferente da el fondo o
informacin previa para nuestras
decisiones de seguridad y su
implementacin
Cmo controlamos el perfil de acceso de
datos (Qu conceptos pueden/deben ser
usados)?
(documento en proteccin-d de la gua!)
Lista fija de los infotipos empleados (PA nad
PD) y de los tipos de objeto usados
(documento en proteccin-d de la gua!)
Implementacin de soluciones tcnicas para

listados y evaluacin de las implicaciones
para datos
Objetivo:
Definicin tcnica de perfil de acceso a
datos
Objetivo:
Evaluar las implicaciones para el perfil
de acceso a datos (tambin perfil
funcional) y adaptar perfiles)
Objetivo:
Evaluar las implicaciones para perfil de
acceso a datos (tambin perfil
funcional) y adaptar perfiles)
Ya durante la implementacin tcnica debe especficarse cmo se

debe controlar la gua en el sistema productivo!
Mapa de carretera (5): Test, Implementacin final y

Auditora continua (!)
Despus de los tests y el control de
implementacin de la gua en plazos
regulares:
Ejecutar y analizar las auditoras del
sistema
parametros?
Analizar los archivos log
Uso relacionado con el trabajo?
Analizar Diez superiores/Diez

inferiores
Chequee listados innecesarios: Mejore y
Analizar log-ons incorrectos, inicio

incorrecto de transacciones, ...
Logs con advertencias?, Cambio de
borre desde el men y perfil

Razn? (uso indebido, accesos no
autorizados, funcin perdida en el perfil, ?)
Autorizaciones y proteccin de datos en mySAP HR:

Conclusin:
Conceptos generales de
seguridad y autorizacin
seguridad general
(SSO, ...)
Papeles/Perfiles
S_GUI, ....
InfoSets, Grupos de
usuarios,
Conceptos de
autorizacin mySAP HR
Objetos de autorizacin
Mejoras
...
Definicin e
implementacin de un
concepto de proteccin
de datos especfico a la
empresa
Documentacin
Transparencia
Auditoria
Empleando
Funciones generales de seguridad en mySAP

Los conceptos de autorizacin en mySAP HR
Y un concepto especfico de empresa para la proteccin de datos
Puedes implementar un concepto de autorizacin y una gua de proteccin

de datos, que complete las necesidades legales y especficas de la
empresa.
Copyright 2001 SAP AG. Todos los derechos

reservados
No part of this publication may be reproduced or transmitted in any form or for any purpose without the
express permission of SAP AG. The information contained herein may be changed without prior notice.
Some software products marketed by SAP AG and its distributors contain proprietary software components
of other software vendors.
Microsoft, WINDOWS, NT, EXCEL, Word, PowerPoint and SQL Server are registered trademarks of
Microsoft Corporation.
IBM, DB2, OS/2, DB2/6000, Parallel Sysplex, MVS/ESA, RS/6000, AIX, S/390, AS/400, OS/390, and
OS/400 are registered trademarks of IBM Corporation.
ORACLE is a registered trademark of ORACLE Corporation.
INFORMIX-OnLine for SAP and Informix Dynamic ServerTM are registered trademarks of Informix Software
Incorporated.
UNIX, X/Open, OSF/1, and Motif are registered trademarks of the Open Group.
Citrix, the Citrix logo, ICA, Program Neighborhood, MetaFrame, WinFrame, VideoFrame, MultiWin and
other Citrix product names referenced herein are trademarks of Citrix Systems, Inc.
HTML, DHTML, XML, XHTML are trademarks or registered trademarks of W3C, World Wide Web
Consortium, Massachusetts Institute of Technology.
JAVA is a registered trademark of Sun Microsystems, Inc.
JAVASCRIPT is a registered trademark of Sun Microsystems, Inc., used under license for technology
invented and implemented by Netscape.
SAP, SAP Logo, R/2, RIVA, R/3, SAP ArchiveLink, SAP Business Workflow, WebFlow, SAP EarlyWatch, BAPI,
SAPPHIRE, Management Cockpit, mySAP.com Logo and mySAP.com are trademarks or registered
trademarks of SAP AG in Germany and in several other countries all over the world. All other products
mentioned are trademarks or registered trademarks of their respective companies.
Por favor, complete su sesin de evaluacin

y depostela en el buzn situado a la salida.
Sea amable tire su basura y no se lleve
los impresos para la prxima sesin.
The SAP TechEd 2001 Staff

Seguridad en SAP HR

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Seguridad en SAP HR

Cargado por

Copyright:

Formatos disponibles

Autorizaciones en

Traducido por : Angel Garca Garca

Autorizaciones y Proteccin de Datos en mySAP HR

Autorizaciones especficas y conceptos de proteccin de datos en mySAP HR

Funciones generales para la proteccin de datos en el contexto de mySAP HR

Mapa de carretera para la definicin e implementacin de los conceptos especficos

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /2

Concepto de objetos de autorizacin

... Tiene autorizacin, ... Que es chequeada:

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /3

Ejemplo de un objeto de autorizacin (P_ORGIN)

Con este objeto de autorizacin, un usuario puede tener el siguiente

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /4

Ejemplo de un perfil de autorizacin definido con un

A que tipo de datos (de un empleado ) se puede

Como se accede a los datos?

A que empleados podemos acceder a sus datos ?

Un usuario con el perfil recogido arriba puede

Este usuario tiene acceso a los empleados

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /5

Los objetos ms importantes de autorizacin HR

Master Data Chequeo extendido

Master Data Chequeo del nmero de personal

Planificacin del personal

Mantenimiento de tablas (via herramientas estndar tales como

TemSe: Acciones en ObjetosvTemSe

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /6

Proteccin extendida para HR master data (P_ORGXX)

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /7

Proteccin de datos de aspirantes (P_APPL)

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /8

El campo de autorizacin VDSK1 Clave organizativa

Autorizacin para el acceso a los propios datos

El campo Interpretacin del nmero de personal asignado y las opciones EXCLUIR

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /10

Acceso simplificado para la ejecucin de programas

Aparte del escenario descrito arriba (acceso simplificado a programas especficos),

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /11

Proteccin de datos para objetos de Gestin Organizativa,

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /12

Objetos de autorizacin HR adicionales*

Cdigos de funcin permitidos para el escritorio del

Actividades fuera del ciclo de Workbench

Autorizacin para la regla de clculo del personal

Autorizacin para los esquemas de clculo del personal

Registro de control de libramientos

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /13

Concepto de autorizacin estructural

... Tiene un perfil estructural, que se chequea

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /14

Ejemplos de perfiles estructurales (1)

OT OID Maint. Camino-E

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /15

Ejemplos de perfiles estructurales (2)

OT OID Maint. Camino-E

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /16

Definicin de las autorizaciones estructurales (1)

Clave del perfil

Nmero de lnea de la definicin del perfil

Versin del plan:

Para qu versin del plan es vlido el perfil

Tipo de objeto del objeto inicial

Objeto-ID del objeto inicial

Mantenimiento o acceso de slo lectura