Taller de Seguridad SAP ERP

Transcription

Isaca Santiago Chapter
Ciclo de Talleres Técnicos 2014
Taller de Seguridad SAP ERP
Relator:
María Esther Soto
Consultor Senior
ERS / Deloitte
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Marzo, 2014
Tabla de contenido
1. CV Relator.
19:00 a 19:05
2. Introducción a la seguridad en SAP ERP.
19:06 a 19:25
3. Parámetros claves de la seguridad en SAP ERP
19:26 a 19:40
4. Concepto de autorización en SAP ERP
19:41 a 20:20
5. Segregación de Funciones en SAP ERP
20:21 a 20:45
6. Break
20:46 a 21:00
7. Herramientas de seguridad en SAP ERP
21:01 a 21:20
8. Ciclo de Seguridad ABAP y Tablas Z
21:21 a 21:35
9. SAP GRC Access Control y su relación con el
21:36 a 21:49
concepto de autorización.
10. Preguntas
2
21:50 a 22:00
CV Relator
3
CV Relator
Enterprise Risk Services
Security & Privacy Services
María Esther Soto
Consultor Senior
Tel:+56 2 729 8766
Email: [email protected]
Estudios:
•
Ingeniera informática- Universidad de Santiago de Chile
Ha participado en diversos proyectos relacionados con
diagnóstico, rediseño, diseño e implementación de seguridad
SAP: Corporación Sofofa, Unimarc, Metro, Empresas Taylor,
Mutual de Seguridad, entre otras-
Experiencia relevante
Consultor Senior de Risk Consulting de la línea de Seguridad
y Privacidad de Deloitte, Ingeniero en ejecución en
computación e informática. Con cinco años de experiencia
como desarrolladora en ABAP y cuatro años en Seguridad
SAP.
Además, ha participado en cursos de: Seguridad SAP y
Metodología EVD en Deloitte.
Actualmente participa como relatora de cursos tanto de
Auditoría y Seguridad ERP SAP para capacitaciones abiertas
y cerradas a clientes.
4
Introducción a la Seguridad en
SAP ERP
5
Introducción
Comprender el concepto del ERP SAP 6.0 y conocer las distintas
funcionalidades que este sistema posee, las cuales se traducen en
módulos que interactúan de forma integrada para el procesamiento de
las transacciones de negocio bajo una jerarquía organizacional.
Comprender los ámbitos que cubre el Basis Component de SAP y la
importancia que el mismo tiene dentro de un modelo integrado de
seguridad.
Enfocar la seguridad de las aplicaciones como un todo, bajo el punto
de vista de un modelo integrado de seguridad.
6
Conceptos
Hoja
divisoria
básicos
– Times
de SAP
New Roman desde 52pt
7
Footer
Conceptos básicos de SAP
¿Qué es SAP?
Arquitectura Cliente / Servidor multi-nivel.
Base (Middleware) soporta tecnología de sistemas abiertos.
Business Framework Architecture, abierta a integración total
con otros componentes y aplicaciones.
Interfaz de usuario homogénea entre aplicaciones.
Ambiente de desarrollo de fácil comprensión.
Integración total entre aplicaciones.
Amplio rango de servicios.
8
¿Qué es SAP?
Capa 1
BD Principal
Capa de Base de Datos
Información
validada por
el usuario
Datos para
ver o cambiar
Capa 2
Buffer BD
Buffer BD
Capa de Aplicación
Información
de salida
para el
usuario
Información
de entrada
desde el usuario
Información
de entrada
desde el
usuario
Capa 3
Capa de Presentación
9
Información
de salida
para el
usuario
Módulos de SAP
SD
FI
Sales &
Distribution
Financial
Accounting
MM
CO
Materials
Mgmt.
Controlling
PP
AM
6.0
Production
Planning
Fixed Assets
Mgmt.
QM
PS
Quality
Manage-ment
Project
System
Cliente/ Servidor
ABAP/4
PM
Plant Main-tenance
BC
10
WF
Workflow
HR
IS
Human
Resources
Industry
Solutions
Módulos de SAP
BC
• ABAP/4 Development Workbench
• Computer Center Management System
• Sistema de Transportes
• Administración de la Base de Datos
• Administración de Seguridad
Componente Basis ……..
11
Módulos de SAP
Categoria Funcional - Industry Solutions IS
SAP High Tech & Electronics
SAP Engineering & Construction
SAP Consumer Products
SAP Oil & Gas
SAP Transportation
Business
Information
Warehouse
SAP Utilities
SAP Health Care
SAP Public Sector
Sales
Force
Automation
...
SAP Telecomm
6.0
SAP Automotive
SAP Media
SAP Chemicals
Advanced
Planner &
Optimizer
B2B
Procurement
SAP Pharmaceuticals
SAP Retail
SAP Aerospace & Defense
SAP Banking
SAP Service Providers
12
Análisis General Módulo
Basis
13
Overview de Componente Basis
Modelo Integrado de Seguridad
• SAP es solo una aplicación de muchísimas....
• Sólo estamos definiendo la seguridad para un elemento que
junto a otros conformarían el engranaje total de seguridad
Informática.
14
•
Cubre los siguientes ámbitos:
15
Módulos de 6.0
ABAP/4 Development Workbench
6.0 BASIS
Sistema
Operativo
16
Base de
Datos
Protocolo
de
Comunicac
iones
GUI´S
(Interfaces
Gráficas
de
Usuario)
Control de Cambios - Landscape
Single Client / Single System
Mandante
Multi Client / Single System
Mandante
Instancia 6.0
Mandante
Instancia 6.0
Single Client / Single System
/ Multi Servers
17
Mandante
Mandante
Mandante
Mandante
Instancia 6.0
Instancia 6.0
Instancia 6.0
Single Client / Multi system/
Single Servers
Mandante
Mandante
Instancia 6.0
Mandante
Control de Cambios - Transporte
Mandante
Desarrollo
Transporte de cambios para Test
Instancia 6.0
Mandante
Control
de Calidad
Liberación para producción
Instancia 6.0
Mandante
Producción
Instancia 6.0
18
Liberación para
actualizaciones
Parámetros
Hoja
divisoria
claves
– Times
de la
New Roman
Seguridad
en desde
SAP ERP
52pt
1
9
Footer
Seguridad de Usuarios
Controles de Accesos
Parámetros: Control de claves de acceso con parámetros del
perfil del sistema
.
Reglas definidas por
el cliente:
Programa : RSPARAM
Transaccion : RSPFPAR
Ejecución directa
de programas es
una mala practica
“riesgo de
Seguridad”
20
perfil del sistema
RDISP/GUI_AUTO_LOGOUT
• Segundos de inactividad antes de desactivar la sesión de un usuario. El valor 0 indica no se aplica la
desactivación. El valor se mide en segundos, valor recomendado 20 minutos (valor 1200)
LOGIN/FAILS_TO_SESSION_END
• Número de veces que un usuario puede ingresar una password incorrecta antes de que el sistema finalice
los intentos de logon. El valor por defecto es 3. Se puede ingresar un rango entre 1 a 99. El valor
recomendado es 3.
LOGIN/FAILS_TO_USER_LOCK
• Número de veces que un usuario puede ingresar una password incorrecta antes de que el sistema bloquee
los intentos reiterativos. El bloqueo de la cuenta de usuario es automáticamente liberado a l medianoche
del mismo día. valor recomendado de 3 a 5.
LOGIN/MIN_PASSWORD_LNG
• Número mínimo de caracteres que debe ser usados por una password. Por defecto se exigen 3. Puede
ser un rango de 3 a 8. El valor recomendado es de 6 a 8.
LOGIN/PASSWORD_EXPIRATION_TIME
• Número de días después de los cuales se debe cambiar la password. El valor por defecto es 0. El valor
recomendado es 30 ó 45 días.
21
perfil del sistema
el cliente:
Programa : RSPARAM
22
perfil del sistema
Políticas de
Seguridad de la
Información
Parámetros de
Seguridad SAP
23
el cliente:
Programa : RSPARAM
Concepto de Autorización
en SAP ERP
24
Introducción
•
Comprender el concepto de autorización, sus derivadas y las
diversas capas de seguridad que le permite al usuario del
sistema SAP, poder ejecutar una transacción.
•
Asimismo, esta sesión tiene como objetivo que los alumnos
conozcan la herramienta que permite construir los roles y
perfiles de autorización para los privilegios de usuario y los
distintos tipos de roles que existen y la utilidad que se le puede
dar a cada uno de ellos.
25
Seguridad de Autorizaciones
Concepto de autorización
Objeto de
Autorización
Centro para
OC
Unidad básica de
seguridad
Autorización
Instancia del objeto
de autorización
Rol / Perfil
26
2.- Centro
Autorización #1
Autorización #2
1.-Actividad = Crear
2.-Centro = 001
1.-Actividad = Visual.
2.-Centro = Todos
Rol/Perfil #1
Rol/Perfil #2
(Crear OC)
Representa tareas
1.- Actividad
*Autorización #1
*Otras autorizaciones
(Recepción Mat.)
*Autorización #2
Concepto de autorización - Perfil
Perfil:
Representa
conjunto de
autorizaciones
27
Perfil #1
(Crear PO)
•Autorización #1
•Autoriz.Adicionales
Perfil #2
(Recepción de bienes)
•Autorización #2
•Autoriz.Adicionales
Concepto de autorización - Perfil
Rol:
Representa
conjunto de
tareas de una
función
28
Rol
(Enpleado de Compras)
•Perfil #1
•Perfiles Adicionales
Rol
(Empleado de Recepción)
•Perfil #2
•Perfiles Adicionales
Centro para
OC
Objeto de
Autorización
2.- Centro
Unidad básica de
seguridad
Autorización
Instancia del objeto
de autorización
Rol / Perfil
1.- Actividad
Autorización #1
Autorización #2
1.-Actividad = Crear
2.-Centro = 001
1.-Actividad = Visual.
2.-Centro = Todos
Rol/Perfil #1
(Crear OC)
*Autorización #1
Rol/Perfil #2
(Recepción Mat.)
*Autorización #2
Representa tareas
Rol
Compuesto
Representa roles
de trabajo
29
Rol Compuesto
(Empleado compras)
*Rol/Perfil #1
*Otros Roles/perfiles
Rol Compuesto
(Empleado recepción)
*Rol/Perfil #2
*Otros Roles/perfiles
Objeto principal
S_TCODE
Adicionado en la versión 3.0d
Asegura transacciones individuales
Primer objeto chequeado cuando un
usuario ingresa una transacción
El objeto S_TCODE siempre debe tener
status STANDAR“
30
Mecánica de Autorización
Conociendo las 3 capas de seguridad estándar
Capa 1
Ejecute la
Transacción
S_TCODE
Capa 2
Capa 3
Crear Pedido
de Compras
31
Segregación
Hoja
divisoria
de–Funciones
Times
New Roman desde 52pt
32
Introducción
Segregación de Funciones
•
Comprender el concepto de segregación funcional y su relación con las
diversas capas de seguridad que le permite al usuario del sistema SAP,
poder ejecutar una transacción a niveles organizacionales diferentes.
•
Identificar los puntos relevantes para mantener una adecuada segregación
de funciones en la organización con el fin de mantener un sano control
interno.
•
Entender el significado de una segregación funcional adecuada y su
impacto para la información y los procesos realizados por la compañía, con
el fin de prevenir fraudes y la integridad de la información
33
Tips
•
Una de las principales actividades de control interno
•
Al aplicarlo a SAP podemos hacer referencia a la siguiente sentencia
“La seguridad en un ERP, debe abordar el resguardo de la
disponibilidad, confidencialidad e integridad de la información del
negocio”
•
Tiene como objetivo prevenir o reducir el riesgo de errores o
irregularidades, y en especial el fraude interno en las organizaciones
•
Permite asegurar que un individuo no pueda llevar a cabo todas las
fases de una operación/transacción, desde su autorización, pasando
por la custodia de activos y el mantenimiento de los registros maestros
necesarios
•
Control de accesos transaccionales y de manejo de información
34
Segregación Funcional
de Funciones
Segregación
Como mitigar los riesgos de errores y/o fraudes al limitar el
acceso a transacciones críticas y/o conflictivas?
Crear Proveedor (Compra)
Aprobar pedido de compras
Crear pedido de compras
Aprobar pedido de compras
Registrar factura acreedor
35
Escenario Riesgoso
Crear Proveedor (Compra)
RIESGO ¡¡¡¡
Que un usuario realice la creación de un
proveedor ficticio y que las facturas sean
registradas por el mismo usuario, las que
se irían directo a la propuesta de pago
automática
Escenario Típico de Fraude
CONTROL
3 Alternativas:
1.- Segregar el acceso en 2 usuarios
(Automático-preventivo)
2.- Implementar un control automático para
que la factura se registre bloqueada y una
instancia de control la aprueba (Automático –
preventivo)
3.- Colocar un control de mitigación que
consista en un reporte de monitoreo
(semiautomático – detectivo)
36
de Funciones
Segregación
Beneficios
Beneficios
•
•
•
•
•
•
37
Mayor control sobre el modelo de accesos de los usuarios,
manteniendo procedimientos conocidos y establecidos.
Mejorar el ambiente de control interno
Reducir las acciones fraudulentos o mal intencionadas dentro de la
compañía
Mantener información sensible y crítica de la compañía en los usuarios
que realmente responden a su nivel de responsabilidad.
Mejorar los niveles de seguridad del sistema, según las buenas
practicas
Proteger eficientemente el ambiente que sustenta la información
operacional y financiera del negocio.
Ciclodivisoria
Hoja
de Seguridad
– Times
ABAP
yNew
Tablas
Roman desde 52pt
38
Seguridad ABAP
Ciclo Virtuoso de Seguridad de Programas ABAP
Catastro
Seguridad
Autorización
Seguridad
ABAP
Marco de
Gobernabilidad
Seguridad
Transacción
39
Seguridad
Grupo de
Autorización
Seguridad ABAP
Ciclo Virtuoso de Seguridad de Tablas
Catastro
Seguridad
Autorización
Marco de
Gobernabilidad
Seguridad
Transacción
40
Seguridad
Grupo de
Autorización
1 . - Ve r i f i c a r l o s o b j e t o s a c t i v o s
para la transacción PFCG (SU24)
Herramientas de Seguridad
ERP SAP
2.- Realizar un ajuste masivo de
roles
3.- Buscar que transacción leen el
o b j e t o S _ TA B U _ D I S
41
41
© 2011 Deloitte
Herramientas de Monitoreo
Autorizaciones
Transacción ST01 : Trace de sistema
42
Me permite hacer
rastreo ejecución
de autorizaciones
por parte de los
usuarios
Herramientas de Monitoreo
Autorizaciones
Transacción ST03N : Carga de Trabajo del Sistema
Me permite revisar
transacciones
ejecutadas
históricamente por
los usuarios
43
Herramientas de Gestion
Usuarios
Transacción SUIM : Sistema de información de usuarios
44
SAP GRC
Hoja
divisoria
Access
– Times
Control y
New
su
relación
Romancon
desde
el concepto
52pt
de
autorizaciones
4
5
Footer
SAP GRC Access Control
GRC Access Control
Objetivos
El siguiente cuadro presenta la secuencia de implementación y uso de los distintos
módulos de la herramienta SAP GRC Access Control.
Gestión y Control de Accesos
Identificar y
Analizar Riesgos
Administrar Roles
de Acceso
Administrar accesos
críticos
Business Role
Management - BRM
Emergency Access
Management – EAM
Provision and Manage
User – PMU
Solución para definición y
gestión de Roles
Solución para control de
acceso privilegiado
Solución de
provisionamiento
Prevenir
Analyze and Manage Risk – AMR
Solución de análisis, detección y
remediación de riesgos de acceso y autorización
Prevención sustentable de infracciones a la segregación de funciones
46
Arquitectura de generación de riesgos en
GRC Acces Control SAP
47
Preguntas…
48
Oficina central
Av. Providencia 1760
Pisos 6, 7, 8, 9, 13 y 18
Providencia, Santiago
Chile
Fono: (56-2) 729 7000
Fax: (56-2) 374 9177
e-mail: [email protected]
Regiones
Cap. Arturo Prat 461
Oficina 1902
Antofagasta
Chile
Fono: (56-55) 44 9660
Fax: (56-55) 44 9662
1 Poniente 123
Piso 7
Viña del Mar
Chile
Fono: (56-32) 246 6111
Fax: (56-32) 246 6086
O’Higgins 940
Piso 6
Concepción
Chile
Fono: (56-41) 291 4055
Fax: (56-41) 291 4066
e-mail:
[email protected]
Audi t Consul t i ng Tax &Legal Risk Consul t i ng
Fi nancial Advi sory Servi ces Out sourci ng
Deloitte® se refiere a Deloitte Touche Tohmatsu -asociación suiza- y a su red de firmas miembro,
cada una como una entidad única e independiente. Por favor, vea en www.deloitte.cl/acerca de la
descripción detallada de la estructura legal de Deloitte Touche Tohmatsu y sus Firmas miembro.
©
2012 Deloitte. Miembro de Deloitte Touche Tohmatsu
Todos los derechos reservados.
49
Libertador Bernardo O’Higgins 167
Oficina 603
Puerto Montt
Chile
Fono: (56-65) 288 600
Fax: (56-65) 298 600
www.deloitte.cl

Taller de Seguridad SAP ERP

Transcription

Similar documents

HP Enterprise Security Services ProyecciÃ³n local con

SAP TMS – Gestión del Transporte

Descargar - Improve Digital

ACUERDO GENERAL SOBRE

AÑO 2014 - Security legal

MINDSAP: ECM for SAP Solutions

SAP TMS – Gestión del Transporte

GRUPO RADIO CENTRO, S.A.B. DE C.V.

Soluciones Horizontales

genetic services

Servicios de Testing

cfDNA

Diagnóstico Prenatal de Anomalías Cromosómicas Nuevos

Servicios - PathStone

Sociedad de responsabilidad limitada

Presentación completa - Pemex Gas y Petroquímica Básica

estructura de supply chain management y logística para la empresa

Especificaciones técnicas

Workshop Report Spain July 2015

SAP Educación México

Fórum AUSAPE 2014

Global Risk Consulting 环球风险咨询 Consultoría global de riesgos