Taller de Seguridad SAP

Isaca Santiago Chapter Ciclo de Talleres Técnicos 2014 Taller de Seguridad SAP ERP

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Marzo, 2014

Relator:

María Esther Soto

Consultor Senior

ERS / Deloitte

2 Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Tabla de contenido

1. CV Relator.

2. Introducción a la seguridad en SAP ERP.

3. Parámetros claves de la seguridad en SAP ERP

4. Concepto de autorización en SAP ERP

5. Segregación de Funciones en SAP ERP

6. Break

7. Herramientas de seguridad en SAP ERP

8. Ciclo de Seguridad ABAP y Tablas Z

9. SAP GRC Access Control y su relación con el

concepto de autorización.

10.Preguntas

19:00 a 19:05

19:06 a 19:25

19:26 a 19:40

19:41 a 20:20

20:21 a 20:45

20:46 a 21:00

21:01 a 21:20

21:21 a 21:35

21:36 a 21:49

21:50 a 22:00

CV Relator

María Esther Soto

Consultor Senior

Enterprise Risk Services

Security & Privacy Services

Tel:+56 2 729 8766

Email: mariasoto@DELOITTE.com

Estudios:

• Ingeniera informática- Universidad de Santiago de Chile

Experiencia relevante

Consultor Senior de Risk Consulting de la línea de Seguridad

y Privacidad de Deloitte, Ingeniero en ejecución en

computación e informática. Con cinco años de experiencia

como desarrolladora en ABAP y cuatro años en Seguridad

Además, ha participado en cursos de: Seguridad SAP y

Metodología EVD en Deloitte.

Actualmente participa como relatora de cursos tanto de

Auditoría y Seguridad ERP SAP para capacitaciones abiertas

y cerradas a clientes.

Ha participado en diversos proyectos relacionados con

diagnóstico, rediseño, diseño e implementación de seguridad

SAP: Corporación Sofofa, Unimarc, Metro, Empresas Taylor,

Mutual de Seguridad, entre otras-

Introducción a la Seguridad en SAP ERP

Introducción

Comprender el concepto del ERP SAP 6.0 y conocer las distintas

funcionalidades que este sistema posee, las cuales se traducen en

módulos que interactúan de forma integrada para el procesamiento de

las transacciones de negocio bajo una jerarquía organizacional.

Comprender los ámbitos que cubre el Basis Component de SAP y la

importancia que el mismo tiene dentro de un modelo integrado de

seguridad.

Enfocar la seguridad de las aplicaciones como un todo, bajo el punto

de vista de un modelo integrado de seguridad.

7 Footer

Hoja divisoria – Times New Roman desde 52pt Conceptos básicos de SAP

Arquitectura Cliente / Servidor multi-nivel.

Base (Middleware) soporta tecnología de sistemas abiertos.

Business Framework Architecture, abierta a integración total

con otros componentes y aplicaciones.

Interfaz de usuario homogénea entre aplicaciones.

Ambiente de desarrollo de fácil comprensión.

Integración total entre aplicaciones.

Amplio rango de servicios.

Conceptos básicos de SAP ¿Qué es SAP?

Capa de Base de Datos

BD Principal

Datos para

ver o cambiar

Información

de salida

para el

usuario

Información

de salida

para el

usuario

Capa de Aplicación

Buffer BD Buffer BD

Información

de entrada

desde el usuario

Información

de entrada

desde el

usuario

Información

validada por

el usuario

Capa de Presentación

Conceptos básicos de SAP ¿Qué es SAP?

Capa 1

Capa 2

Capa 3

6.0 Cliente/ Servidor

ABAP/4

FI Financial

Accounting

CO Controlling

AM Fixed Assets

PS Project System

WF Workflow

IS Industry

Solutions

MM Materials

HR Human

Resources

SD Sales &

Distribution

PP Production Planning

QM Quality

Manage-ment

PM Plant Main-tenance

Conceptos básicos de SAP Módulos de SAP

Componente Basis ……..

• ABAP/4 Development Workbench

• Computer Center Management System

• Sistema de Transportes

• Administración de la Base de Datos

• Administración de Seguridad

Categoria Funcional - Industry Solutions IS

Business

Information

mation

Procurement

Advanced

Planner &

Optimizer

SAP High Tech & Electronics

SAP Consumer Products

SAP Transportation

SAP Public Sector

SAP Telecomm

SAP Chemicals

SAP Pharmaceuticals

SAP Retail

SAP Banking

SAP Service Providers

SAP Aerospace & Defense

SAP Media

SAP Automotive

SAP Health Care

SAP Utilities

SAP Oil & Gas

SAP Engineering & Construction

Análisis General Módulo Basis

• SAP es solo una aplicación de muchísimas....

• Sólo estamos definiendo la seguridad para un elemento que

junto a otros conformarían el engranaje total de seguridad

Informática.

Overview de Componente Basis

Modelo Integrado de Seguridad

• Cubre los siguientes ámbitos:

Módulos de 6.0

ABAP/4 Development Workbench

6.0 BASIS

Sistema

Operativo Base de

Protocolo

Comunicac

GUI´S

(Interfaces

Gráficas

Usuario)

Control de Cambios - Landscape

Single Client / Single System

Instancia 6.0

Mandante

Multi Client / Single System

Instancia 6.0

Mandante Mandante Mandante

Single Client / Single System

/ Multi Servers

Instancia 6.0

Mandante

Instancia 6.0

Mandante

Instancia 6.0

Mandante

Single Client / Multi system/

Single Servers

Instancia 6.0

Mandante Mandante Mandante

Control de Cambios - Transporte

Liberación para

actualizaciones

Desarrollo

Control

de Calidad

Producción

Transporte de cambios para Test

Liberación para producción

Instancia 6.0

Mandante

Instancia 6.0

Mandante

Instancia 6.0

Mandante

Footer

Hoja divisoria – Times New Roman desde 52pt Parámetros claves de la Seguridad en SAP ERP

Reglas definidas por

el cliente:

Programa : RSPARAM

Transaccion : RSPFPAR

Parámetros: Control de claves de acceso con parámetros del

perfil del sistema

Seguridad de Usuarios Controles de Accesos

Ejecución directa

de programas es

una mala practica

“riesgo de

Seguridad”

• Segundos de inactividad antes de desactivar la sesión de un usuario. El valor 0 indica no se aplica la desactivación. El valor se mide en segundos, valor recomendado 20 minutos (valor 1200)

RDISP/GUI_AUTO_LOGOUT

• Número de veces que un usuario puede ingresar una password incorrecta antes de que el sistema finalice los intentos de logon. El valor por defecto es 3. Se puede ingresar un rango entre 1 a 99. El valor recomendado es 3.

LOGIN/FAILS_TO_SESSION_END

• Número de veces que un usuario puede ingresar una password incorrecta antes de que el sistema bloquee los intentos reiterativos. El bloqueo de la cuenta de usuario es automáticamente liberado a l medianoche del mismo día. valor recomendado de 3 a 5.

LOGIN/FAILS_TO_USER_LOCK

• Número mínimo de caracteres que debe ser usados por una password. Por defecto se exigen 3. Puede ser un rango de 3 a 8. El valor recomendado es de 6 a 8.

LOGIN/MIN_PASSWORD_LNG

• Número de días después de los cuales se debe cambiar la password. El valor por defecto es 0. El valor recomendado es 30 ó 45 días.

LOGIN/PASSWORD_EXPIRATION_TIME

perfil del sistema

el cliente:

Programa : RSPARAM

Políticas de

Seguridad de la

Información

Parámetros de

Seguridad SAP

perfil del sistema

el cliente:

Programa : RSPARAM

Concepto de Autorización en SAP ERP

• Comprender el concepto de autorización, sus derivadas y las

diversas capas de seguridad que le permite al usuario del

sistema SAP, poder ejecutar una transacción.

• Asimismo, esta sesión tiene como objetivo que los alumnos

conozcan la herramienta que permite construir los roles y

perfiles de autorización para los privilegios de usuario y los

distintos tipos de roles que existen y la utilidad que se le puede

dar a cada uno de ellos.

Introducción

Objeto de

Autorización

Rol / Perfil

Unidad básica de

seguridad

Instancia del objeto

de autorización

Representa tareas

Centro para

1.- Actividad

2.- Centro

Autorización #1

1.-Actividad = Crear

2.-Centro = 001

Autorización #2

1.-Actividad = Visual.

2.-Centro = Todos

Rol/Perfil #1 (Crear OC)

*Autorización #1

*Otras autorizaciones

Rol/Perfil #2 (Recepción Mat.)

*Autorización #2

Seguridad de Autorizaciones Concepto de autorización

Perfil #1

(Crear PO)

•Autorización #1

•Autoriz.Adicionales

Perfil #2

(Recepción de bienes)

•Autorización #2

•Autoriz.Adicionales

Perfil:

Representa

conjunto de

autorizaciones

Seguridad de Autorizaciones Concepto de autorización - Perfil

Rol (Enpleado de Compras)

•Perfil #1

•Perfiles Adicionales

Rol (Empleado de Recepción)

•Perfil #2

•Perfiles Adicionales

Representa

conjunto de

tareas de una

función

Seguridad de Autorizaciones Concepto de autorización - Perfil

Objeto de

Autorización

Rol / Perfil

Compuesto

Unidad básica de

seguridad

Instancia del objeto

de autorización

Representa tareas

Representa roles

de trabajo

Centro para

1.- Actividad

2.- Centro

Autorización #1

1.-Actividad = Crear

2.-Centro = 001

Autorización #2

1.-Actividad = Visual.

2.-Centro = Todos

Rol/Perfil #1

(Crear OC)

*Autorización #1

Rol/Perfil #2

(Recepción Mat.)

*Autorización #2

Rol Compuesto (Empleado compras)

*Rol/Perfil #1

*Otros Roles/perfiles

Rol Compuesto (Empleado recepción)

*Rol/Perfil #2

*Otros Roles/perfiles

S_TCODE Adicionado en la versión 3.0d

Asegura transacciones individuales

Primer objeto chequeado cuando un

usuario ingresa una transacción

El objeto S_TCODE siempre debe tener

status STANDAR“

Objeto principal

Ejecute la

Transacción

Capa 1

Capa 2

Capa 3

Crear Pedido

de Compras

S_TCODE

Seguridad de Autorizaciones Mecánica de Autorización

Conociendo las 3 capas de seguridad estándar

Hoja divisoria – Times New Roman desde 52pt Segregación de Funciones

• Comprender el concepto de segregación funcional y su relación con las

diversas capas de seguridad que le permite al usuario del sistema SAP,

poder ejecutar una transacción a niveles organizacionales diferentes.

• Identificar los puntos relevantes para mantener una adecuada segregación

de funciones en la organización con el fin de mantener un sano control

interno.

• Entender el significado de una segregación funcional adecuada y su

impacto para la información y los procesos realizados por la compañía, con

el fin de prevenir fraudes y la integridad de la información

Introducción Segregación de Funciones

• Una de las principales actividades de control interno

• Al aplicarlo a SAP podemos hacer referencia a la siguiente sentencia

“La seguridad en un ERP, debe abordar el resguardo de la

disponibilidad, confidencialidad e integridad de la información del

negocio”

• Tiene como objetivo prevenir o reducir el riesgo de errores o

irregularidades, y en especial el fraude interno en las organizaciones

• Permite asegurar que un individuo no pueda llevar a cabo todas las

fases de una operación/transacción, desde su autorización, pasando

por la custodia de activos y el mantenimiento de los registros maestros

necesarios

• Control de accesos transaccionales y de manejo de información

Segregación de Funciones

Segregación Funcional

Crear Proveedor (Compra)

Crear pedido de compras

Aprobar pedido de compras

Registrar factura acreedor

Aprobar pedido de compras

Como mitigar los riesgos de errores y/o fraudes al limitar el

acceso a transacciones críticas y/o conflictivas?

Segregación Funcional

Escenario Riesgoso

Crear Proveedor (Compra)

RIESGO ¡¡¡¡

Que un usuario realice la creación de un

proveedor ficticio y que las facturas sean

registradas por el mismo usuario, las que

se irían directo a la propuesta de pago

automática

Escenario Típico de Fraude

3 Alternativas:

1.- Segregar el acceso en 2 usuarios

(Automático-preventivo)

2.- Implementar un control automático para

que la factura se registre bloqueada y una

instancia de control la aprueba (Automático –

preventivo)

3.- Colocar un control de mitigación que

consista en un reporte de monitoreo

(semiautomático – detectivo)

CONTROL

Segregación Funcional Beneficios

• Mayor control sobre el modelo de accesos de los usuarios,

manteniendo procedimientos conocidos y establecidos.

• Mejorar el ambiente de control interno

• Reducir las acciones fraudulentos o mal intencionadas dentro de la

compañía

• Mantener información sensible y crítica de la compañía en los usuarios

que realmente responden a su nivel de responsabilidad.

• Mejorar los niveles de seguridad del sistema, según las buenas

practicas

• Proteger eficientemente el ambiente que sustenta la información

operacional y financiera del negocio.

Beneficios

Hoja divisoria – Times New Roman desde 52pt Ciclo de Seguridad ABAP y Tablas

Marco de Gobernabilidad

Catastro

Seguridad ABAP

Seguridad Grupo de

Autorización

Seguridad Transacción

Seguridad Autorización

Seguridad ABAP Ciclo Virtuoso de Seguridad de Programas ABAP

Marco de Gobernabilidad

Catastro

Seguridad Grupo de

Autorización

Seguridad Transacción

Seguridad Autorización

Seguridad ABAP Ciclo Virtuoso de Seguridad de Tablas

1 . - Ve r i f i c a r l o s o b j e t o s a c t i vo s

p a r a l a t r a n s a c c i ó n P F C G ( S U 2 4 )

2 . - R e a l i z a r u n a j u s t e m a s i vo d e

r o l e s

3 . - B u s c a r q u e t r a n s a c c i ó n l e e n e l

o b j e t o S _ TA B U _ D I S

Herramientas de Seguridad ERP SAP

Me permite hacer

rastreo ejecución

de autorizaciones

por parte de los

usuarios

Herramientas de Monitoreo Autorizaciones

Transacción ST01 : Trace de sistema

Transacción ST03N : Carga de Trabajo del Sistema

Me permite revisar

transacciones

ejecutadas

históricamente por

los usuarios

Herramientas de Monitoreo Autorizaciones

Herramientas de Gestion Usuarios

Transacción SUIM : Sistema de información de usuarios

Footer

Hoja divisoria – Times New Roman desde 52pt SAP GRC Access Control y su relación con el concepto de autorizaciones

Prevención sustentable de infracciones a la segregación de funciones

Analyze and Manage Risk – AMR

Solución de análisis, detección y

remediación de riesgos de acceso y autorización

Business Role

Management - BRM

Solución para definición y

gestión de Roles

Emergency Access

Management – EAM

Solución para control de

acceso privilegiado

Provision and Manage

User – PMU

Solución de

provisionamiento

Identificar y

Analizar Riesgos

Administrar Roles

de Acceso

Administrar accesos

críticos Prevenir

ccess C

Gestión y Control de Accesos

El siguiente cuadro presenta la secuencia de implementación y uso de los distintos

módulos de la herramienta SAP GRC Access Control.

SAP GRC Access Control

Arquitectura de generación de riesgos en

GRC Acces Control SAP

Preguntas…

Oficina central Av. Providencia 1760 Pisos 6, 7, 8, 9, 13 y 18 Providencia, Santiago Chile Fono: (56-2) 729 7000 Fax: (56-2) 374 9177 e-mail: deloittechile@deloitte.com Regiones Cap. Arturo Prat 461 Oficina 1902 Antofagasta Chile Fono: (56-55) 44 9660 Fax: (56-55) 44 9662 e-mail: antofagasta@deloitte.com 1 Poniente 123 Piso 7 Viña del Mar Chile Fono: (56-32) 246 6111 Fax: (56-32) 246 6086 e-mail: vregionchile@deloitte.com O’Higgins 940 Piso 6 Concepción Chile Fono: (56-41) 291 4055 Fax: (56-41) 291 4066 e-mail: concepcionchile@deloitte.com Libertador Bernardo O’Higgins 167 Oficina 603 Puerto Montt Chile Fono: (56-65) 288 600 Fax: (56-65) 298 600 e-mail: puertomontt@deloitte.com

Deloitte® se refiere a Deloitte Touche Tohmatsu -asociación suiza- y a su red de firmas miembro, cada una como una entidad única e independiente. Por favor, vea en www.deloitte.cl/acerca de la descripción detallada de la estructura legal de Deloitte Touche Tohmatsu y sus Firmas miembro.

A u d i t C o n s u l t i n g T a x & L e g a l R i s k C o n s u l t i n g F i n a n c i a l A d v i s o r y S e r v i c e s O u t s o u r c i n g

Taller de Seguridad SAP

Documents

La madurez de los controles de Cyberseguridad Trends€¦ · Taller de Madurez de la Seguridad Corporativa ... 38 Controles de Seguridad ISO 27K evaluados con un modelo COBIT de madurez

Taller Overview sap fiori

Safety Leadership / Liderazgo en la Seguridad · Liderazgo en la Seguridad A bilingual workshop for employers with Hispanic workers Un taller bilingüe para patrones con trabajadores

CA Workload Automation for SAP · SAP Solution Manager proporciona un entorno centralizado para que los ... puede implementar políticas de seguridad externas que brinden un control

Recomendaciones Para Mejorar la Seguridad Peatonal y ......esfuerzos de vidas saludables. Este informe resume los procedimientos del taller, así como recomendaciones para proyectos,

Financiamiento de la seguridad social Taller formativo de seguridad social para sindicalistas argentinos Buenos Aires, 27-31 de agosto de 2007

Taller de Seguridad, Backup y Recover en una Base de Datos

Diapositiva 1upchmed.pe/.../wp-content/uploads/2012/11/BANNER-BI… · PPT file · Web view2012-11-16 · RED ASISTENCIAL REBAGLIATI O.I.S. Seguridad Social para todos I CURSO TALLER

Seguridad e Higiene Ocupacional - repositorio.sena.edu.co · Seguridad e Higiene Ocupacional Seguridad en construcción SENA • 7A' Seguridad e higiene ocupacional,seguridad en construccion

Tall,tall,Who is tall? He is tall.She is tall. We are tall,tall,tall. Taller,taller,Who is taller? He is taller.she is taller. They are taller than

Taller - International Civil Aviation Organization. Taller (26oct).pdfSeminario Taller CARSAM sobre Certificación de Aeródromos Taller 2017-10-26 1 . OBJETIVOS •Los siguientes

Taller de seguridad del paciente en SADECA

ACELERANDO SU PASO HACIA LA EMPRESA DIGITAL · SAP OnDemand Activación SAP S/4HANA Preparar la experiencia de usuarios & ILM Preparación seguridad y gobernabilidad Preparación

RELATORÍA: Taller sobre Seguridad Ciudadana en México · of the Mexico Center at Rice University’s Baker Institute for Public Policy Monterrey . RELATORÍA: TALLER SOBRE SEGURIDA

Security Operations Center, una infraestructura …Seguridad esférica Security Seguridad Física Cibersegu-ridad Safety Seguridad Laboral Seguridad Transporte Seguridad Alimentaria

Seguridad Sap

How to Get Taller - Grow Taller Secrets

SapBOne | SAP BUSINESS ONEUna aplicación para gestionar y controlar el proceso de fabricación con seguridad La implantación de SAP Business One en un entorno de fabricación ligera

Taller de Sap by Mundosap

Taller de Seguridad SAP ERP