Taller de Seguridad SAP

Isaca Santiago Chapter Ciclo de Talleres Técnicos 2014 Taller de Seguridad SAP ERP

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Marzo, 2014

Relator:

María Esther Soto

Consultor Senior

ERS / Deloitte

2 Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Tabla de contenido

1. CV Relator.

2. Introducción a la seguridad en SAP ERP.

3. Parámetros claves de la seguridad en SAP ERP

4. Concepto de autorización en SAP ERP

5. Segregación de Funciones en SAP ERP

6. Break

7. Herramientas de seguridad en SAP ERP

8. Ciclo de Seguridad ABAP y Tablas Z

9. SAP GRC Access Control y su relación con el

concepto de autorización.

10.Preguntas

19:00 a 19:05

19:06 a 19:25

19:26 a 19:40

19:41 a 20:20

20:21 a 20:45

20:46 a 21:00

21:01 a 21:20

21:21 a 21:35

21:36 a 21:49

21:50 a 22:00

3

CV Relator


CV Relator

María Esther Soto

Consultor Senior

Enterprise Risk Services

Security & Privacy Services

Tel:+56 2 729 8766

Email: [email protected]

Estudios:

• Ingeniera informática- Universidad de Santiago de Chile

Experiencia relevante

Consultor Senior de Risk Consulting de la línea de Seguridad

y Privacidad de Deloitte, Ingeniero en ejecución en

computación e informática. Con cinco años de experiencia

como desarrolladora en ABAP y cuatro años en Seguridad

SAP.

Además, ha participado en cursos de: Seguridad SAP y

Metodología EVD en Deloitte.

Actualmente participa como relatora de cursos tanto de

Auditoría y Seguridad ERP SAP para capacitaciones abiertas

y cerradas a clientes.

Ha participado en diversos proyectos relacionados con

diagnóstico, rediseño, diseño e implementación de seguridad

SAP: Corporación Sofofa, Unimarc, Metro, Empresas Taylor,

Mutual de Seguridad, entre otras-

5

Introducción a la Seguridad en SAP ERP

Introducción

Comprender el concepto del ERP SAP 6.0 y conocer las distintas

funcionalidades que este sistema posee, las cuales se traducen en

módulos que interactúan de forma integrada para el procesamiento de

las transacciones de negocio bajo una jerarquía organizacional.

Comprender los ámbitos que cubre el Basis Component de SAP y la

importancia que el mismo tiene dentro de un modelo integrado de

seguridad.

Enfocar la seguridad de las aplicaciones como un todo, bajo el punto

de vista de un modelo integrado de seguridad.


7 Footer

Hoja divisoria – Times New Roman desde 52pt Conceptos básicos de SAP

7

Arquitectura Cliente / Servidor multi-nivel.

Base (Middleware) soporta tecnología de sistemas abiertos.

Business Framework Architecture, abierta a integración total

con otros componentes y aplicaciones.

Interfaz de usuario homogénea entre aplicaciones.

Ambiente de desarrollo de fácil comprensión.

Integración total entre aplicaciones.

Amplio rango de servicios.

8

Conceptos básicos de SAP ¿Qué es SAP?


Capa de Base de Datos

BD Principal

Datos para

ver o cambiar

Información

de salida

para el

usuario

Información

de salida

para el

usuario

Capa de Aplicación

Buffer BD Buffer BD

Información

de entrada

desde el usuario

Información

de entrada

desde el

usuario

Información

validada por

el usuario

Capa de Presentación

9

Conceptos básicos de SAP ¿Qué es SAP?

Capa 1

Capa 2

Capa 3


6.0 Cliente/ Servidor

ABAP/4

BC

FI Financial

Accounting

CO Controlling

AM Fixed Assets

Mgmt.

PS Project System

WF Workflow

IS Industry

Solutions

MM Materials

Mgmt.

HR Human

Resources

SD Sales &

Distribution

PP Production Planning

QM Quality

Manage-ment

PM Plant Main-tenance

10 10

Conceptos básicos de SAP Módulos de SAP


11 11

BC

Componente Basis ……..

• ABAP/4 Development Workbench

• Computer Center Management System

• Sistema de Transportes

• Administración de la Base de Datos

• Administración de Seguridad



Categoria Funcional - Industry Solutions IS

12 12

...

Business

Information

Ware-

house

Sales

Force

Auto-

mation

B2B

Procurement

Advanced

Planner &

Optimizer

6.0

SAP High Tech & Electronics

SAP Consumer Products

SAP Transportation

SAP Public Sector

SAP Telecomm

SAP Chemicals

SAP Pharmaceuticals

SAP Retail

SAP Banking

SAP Service Providers

SAP Aerospace & Defense

SAP Media

SAP Automotive

SAP Health Care

SAP Utilities

SAP Oil & Gas

SAP Engineering & Construction



13

Análisis General Módulo Basis


• SAP es solo una aplicación de muchísimas....

• Sólo estamos definiendo la seguridad para un elemento que

junto a otros conformarían el engranaje total de seguridad

Informática.

Overview de Componente Basis

Modelo Integrado de Seguridad


• Cubre los siguientes ámbitos:






Módulos de 6.0

ABAP/4 Development Workbench

6.0 BASIS

Sistema

Operativo Base de

Datos

Protocolo

de

Comunicac

iones

GUI´S

(Interfaces

Gráficas

de

Usuario)


Control de Cambios - Landscape

Single Client / Single System

Instancia 6.0

Mandante

Multi Client / Single System

Instancia 6.0

Mandante Mandante Mandante

Single Client / Single System

/ Multi Servers

Instancia 6.0

Mandante

Instancia 6.0

Mandante

Instancia 6.0

Mandante

Single Client / Multi system/

Single Servers

Instancia 6.0

Mandante Mandante Mandante



Control de Cambios - Transporte

Liberación para

actualizaciones

Desarrollo

Control

de Calidad

Producción

Transporte de cambios para Test

Liberación para producción

Instancia 6.0

Mandante

Instancia 6.0

Mandante

Instancia 6.0

Mandante


1

9

Footer

Hoja divisoria – Times New Roman desde 52pt Parámetros claves de la Seguridad en SAP ERP


.

Reglas definidas por

el cliente:

Programa : RSPARAM

Transaccion : RSPFPAR

Parámetros: Control de claves de acceso con parámetros del

perfil del sistema

Seguridad de Usuarios Controles de Accesos

Ejecución directa

de programas es

una mala practica

“riesgo de

Seguridad”


• Segundos de inactividad antes de desactivar la sesión de un usuario. El valor 0 indica no se aplica la desactivación. El valor se mide en segundos, valor recomendado 20 minutos (valor 1200)

RDISP/GUI_AUTO_LOGOUT

• Número de veces que un usuario puede ingresar una password incorrecta antes de que el sistema finalice los intentos de logon. El valor por defecto es 3. Se puede ingresar un rango entre 1 a 99. El valor recomendado es 3.

LOGIN/FAILS_TO_SESSION_END

• Número de veces que un usuario puede ingresar una password incorrecta antes de que el sistema bloquee los intentos reiterativos. El bloqueo de la cuenta de usuario es automáticamente liberado a l medianoche del mismo día. valor recomendado de 3 a 5.

LOGIN/FAILS_TO_USER_LOCK

• Número mínimo de caracteres que debe ser usados por una password. Por defecto se exigen 3. Puede ser un rango de 3 a 8. El valor recomendado es de 6 a 8.

LOGIN/MIN_PASSWORD_LNG

• Número de días después de los cuales se debe cambiar la password. El valor por defecto es 0. El valor recomendado es 30 ó 45 días.

LOGIN/PASSWORD_EXPIRATION_TIME



perfil del sistema




perfil del sistema


el cliente:

Programa : RSPARAM



Políticas de

Seguridad de la

Información

Parámetros de

Seguridad SAP



perfil del sistema


el cliente:

Programa : RSPARAM


24

Concepto de Autorización en SAP ERP


• Comprender el concepto de autorización, sus derivadas y las

diversas capas de seguridad que le permite al usuario del

sistema SAP, poder ejecutar una transacción.

• Asimismo, esta sesión tiene como objetivo que los alumnos

conozcan la herramienta que permite construir los roles y

perfiles de autorización para los privilegios de usuario y los

distintos tipos de roles que existen y la utilidad que se le puede

dar a cada uno de ellos.

Introducción


Objeto de

Autorización

Autorización

Rol / Perfil

Unidad básica de

seguridad

Instancia del objeto

de autorización

Representa tareas

Centro para

OC

1.- Actividad

2.- Centro

Autorización #1

1.-Actividad = Crear

2.-Centro = 001

Autorización #2

1.-Actividad = Visual.

2.-Centro = Todos

Rol/Perfil #1 (Crear OC)

*Autorización #1

*Otras autorizaciones

Rol/Perfil #2 (Recepción Mat.)

*Autorización #2


Seguridad de Autorizaciones Concepto de autorización


Perfil #1

(Crear PO)

•Autorización #1

•Autoriz.Adicionales

Perfil #2

(Recepción de bienes)

•Autorización #2

•Autoriz.Adicionales

Perfil:

Representa

conjunto de

autorizaciones

Seguridad de Autorizaciones Concepto de autorización - Perfil


Rol (Enpleado de Compras)

•Perfil #1

•Perfiles Adicionales

Rol (Empleado de Recepción)

•Perfil #2

•Perfiles Adicionales

Rol:

Representa

conjunto de

tareas de una

función

Seguridad de Autorizaciones Concepto de autorización - Perfil


Objeto de

Autorización

Autorización

Rol / Perfil

Rol

Compuesto

Unidad básica de

seguridad

Instancia del objeto

de autorización

Representa tareas

Representa roles

de trabajo

Centro para

OC

1.- Actividad

2.- Centro

Autorización #1

1.-Actividad = Crear

2.-Centro = 001

Autorización #2

1.-Actividad = Visual.

2.-Centro = Todos

Rol/Perfil #1

(Crear OC)

*Autorización #1


Rol/Perfil #2

(Recepción Mat.)

*Autorización #2


Rol Compuesto (Empleado compras)

*Rol/Perfil #1

*Otros Roles/perfiles

Rol Compuesto (Empleado recepción)

*Rol/Perfil #2

*Otros Roles/perfiles



S_TCODE Adicionado en la versión 3.0d

Asegura transacciones individuales

Primer objeto chequeado cuando un

usuario ingresa una transacción

El objeto S_TCODE siempre debe tener

status STANDAR“


Objeto principal


Ejecute la

Transacción

Capa 1

Capa 2

Capa 3

Crear Pedido

de Compras

S_TCODE

Seguridad de Autorizaciones Mecánica de Autorización

Conociendo las 3 capas de seguridad estándar

Hoja divisoria – Times New Roman desde 52pt Segregación de Funciones

32 32


• Comprender el concepto de segregación funcional y su relación con las

diversas capas de seguridad que le permite al usuario del sistema SAP,

poder ejecutar una transacción a niveles organizacionales diferentes.

• Identificar los puntos relevantes para mantener una adecuada segregación

de funciones en la organización con el fin de mantener un sano control

interno.

• Entender el significado de una segregación funcional adecuada y su

impacto para la información y los procesos realizados por la compañía, con

el fin de prevenir fraudes y la integridad de la información

Introducción Segregación de Funciones


• Una de las principales actividades de control interno

• Al aplicarlo a SAP podemos hacer referencia a la siguiente sentencia

“La seguridad en un ERP, debe abordar el resguardo de la

disponibilidad, confidencialidad e integridad de la información del

negocio”

• Tiene como objetivo prevenir o reducir el riesgo de errores o

irregularidades, y en especial el fraude interno en las organizaciones

• Permite asegurar que un individuo no pueda llevar a cabo todas las

fases de una operación/transacción, desde su autorización, pasando

por la custodia de activos y el mantenimiento de los registros maestros

necesarios

• Control de accesos transaccionales y de manejo de información

Segregación de Funciones

Tips


Segregación Funcional

Crear Proveedor (Compra)

Crear pedido de compras

Aprobar pedido de compras

Registrar factura acreedor

Aprobar pedido de compras


Como mitigar los riesgos de errores y/o fraudes al limitar el

acceso a transacciones críticas y/o conflictivas?



Segregación Funcional

Escenario Riesgoso

Crear Proveedor (Compra)


RIESGO ¡¡¡¡

Que un usuario realice la creación de un

proveedor ficticio y que las facturas sean

registradas por el mismo usuario, las que

se irían directo a la propuesta de pago

automática

Escenario Típico de Fraude

3 Alternativas:

1.- Segregar el acceso en 2 usuarios

(Automático-preventivo)

2.- Implementar un control automático para

que la factura se registre bloqueada y una

instancia de control la aprueba (Automático –

preventivo)

3.- Colocar un control de mitigación que

consista en un reporte de monitoreo

(semiautomático – detectivo)

CONTROL



Segregación Funcional Beneficios

• Mayor control sobre el modelo de accesos de los usuarios,

manteniendo procedimientos conocidos y establecidos.

• Mejorar el ambiente de control interno

• Reducir las acciones fraudulentos o mal intencionadas dentro de la

compañía

• Mantener información sensible y crítica de la compañía en los usuarios

que realmente responden a su nivel de responsabilidad.

• Mejorar los niveles de seguridad del sistema, según las buenas

practicas

• Proteger eficientemente el ambiente que sustenta la información

operacional y financiera del negocio.


Beneficios

Hoja divisoria – Times New Roman desde 52pt Ciclo de Seguridad ABAP y Tablas

38 38


Marco de Gobernabilidad

Catastro

Seguridad ABAP

Seguridad Grupo de

Autorización

Seguridad Transacción

Seguridad Autorización

Seguridad ABAP Ciclo Virtuoso de Seguridad de Programas ABAP


Marco de Gobernabilidad

Catastro

Seguridad Grupo de

Autorización

Seguridad Transacción

Seguridad Autorización

Seguridad ABAP Ciclo Virtuoso de Seguridad de Tablas

41 Enterprise Risk Services | Security & Privacy Services | GRC Solutions 41 41 © 2011 Deloitte

1 . - Ve r i f i c a r l o s o b j e t o s a c t i vo s

p a r a l a t r a n s a c c i ó n P F C G ( S U 2 4 )

2 . - R e a l i z a r u n a j u s t e m a s i vo d e

r o l e s

3 . - B u s c a r q u e t r a n s a c c i ó n l e e n e l

o b j e t o S _ TA B U _ D I S

Herramientas de Seguridad ERP SAP


Me permite hacer

rastreo ejecución

de autorizaciones

por parte de los

usuarios

Herramientas de Monitoreo Autorizaciones

Transacción ST01 : Trace de sistema


Transacción ST03N : Carga de Trabajo del Sistema

Me permite revisar

transacciones

ejecutadas

históricamente por

los usuarios

Herramientas de Monitoreo Autorizaciones


Herramientas de Gestion Usuarios

Transacción SUIM : Sistema de información de usuarios

4

5

Footer

Hoja divisoria – Times New Roman desde 52pt SAP GRC Access Control y su relación con el concepto de autorizaciones


Prevención sustentable de infracciones a la segregación de funciones

Analyze and Manage Risk – AMR

Solución de análisis, detección y

remediación de riesgos de acceso y autorización

Business Role

Management - BRM

Solución para definición y

gestión de Roles

Emergency Access

Management – EAM

Solución para control de

acceso privilegiado

Provision and Manage

User – PMU

Solución de

provisionamiento

Identificar y

Analizar Riesgos

Administrar Roles

de Acceso

Administrar accesos

críticos Prevenir

GR

C A

ccess C

on

tro

l

Gestión y Control de Accesos

Ob

jeti

vo

s

El siguiente cuadro presenta la secuencia de implementación y uso de los distintos

módulos de la herramienta SAP GRC Access Control.

SAP GRC Access Control


Arquitectura de generación de riesgos en

GRC Acces Control SAP


Preguntas…

49

Oficina central Av. Providencia 1760 Pisos 6, 7, 8, 9, 13 y 18 Providencia, Santiago Chile Fono: (56-2) 729 7000 Fax: (56-2) 374 9177 e-mail: [email protected] Regiones Cap. Arturo Prat 461 Oficina 1902 Antofagasta Chile Fono: (56-55) 44 9660 Fax: (56-55) 44 9662 e-mail: [email protected] 1 Poniente 123 Piso 7 Viña del Mar Chile Fono: (56-32) 246 6111 Fax: (56-32) 246 6086 e-mail: [email protected] O’Higgins 940 Piso 6 Concepción Chile Fono: (56-41) 291 4055 Fax: (56-41) 291 4066 e-mail: [email protected] Libertador Bernardo O’Higgins 167 Oficina 603 Puerto Montt Chile Fono: (56-65) 288 600 Fax: (56-65) 298 600 e-mail: [email protected]

www.deloitte.cl © 2012 Deloitte. Miembro de Deloitte Touche Tohmatsu Todos los derechos reservados.

Deloitte® se refiere a Deloitte Touche Tohmatsu -asociación suiza- y a su red de firmas miembro, cada una como una entidad única e independiente. Por favor, vea en www.deloitte.cl/acerca de la descripción detallada de la estructura legal de Deloitte Touche Tohmatsu y sus Firmas miembro.

A u d i t C o n s u l t i n g T a x & L e g a l R i s k C o n s u l t i n g F i n a n c i a l A d v i s o r y S e r v i c e s O u t s o u r c i n g

Documents

Taller de Seguridad SAP