Isaca Santiago Chapter Ciclo de Talleres Técnicos 2014
Taller de Seguridad SAP ERP
Relator: María Esther Soto Consultor Senior ERS / Deloitte Enterprise Risk Services | Security & Privacy Services | GRC Solutions Marzo, 2014
Tabla de contenido
1. CV Relator.
19:00 a 19:05
2. Introducción a la seguridad en SAP ERP.
19:06 a 19:25
3. Parámetros claves de la seguridad en SAP ERP
19:26 a 19:40
4. Concepto de autorización en SAP ERP
19:41 a 20:20
5. Segregación de Funciones en SAP ERP
20:21 a 20:45
6. Break
20:46 a 21:00
7. Herramientas de seguridad en SAP ERP
21:01 a 21:20
8. Ciclo de Seguridad ABAP y Tablas Z
21:21 a 21:35
9. SAP GRC Access Control y su relación con el
21:36 a 21:49
concepto de autorización. 10. Preguntas
21:50 a 22:00
CV Relator
CV Relator Enterprise Risk Services Security & Privacy Services
María Esther Soto Consultor Senior Tel:+56 Tel :+56 2 729 8766 Email: mariasoto Email:
[email protected] @DELOITTE.com
Estudios: •
Ingeniera informática- Universidad de Santiago de Chile
Ha participado en diversos diversos proyectos relacionados con diagnóstico, rediseño, diseño e implementación de seguridad SAP: Corporación Sofofa, Unimarc, Metro, Empresas Taylor, Mutual de Seguridad, entre otras-
Experiencia relevante
Consultor Senior de Risk Consulting de la línea de Seguridad y Privacidad de Deloitte, Ingeniero en ejecución en computación e informática. Con cinco años de experiencia como desarrolladora en ABAP y cuatro años en Seguridad SAP. Además, ha participado en cursos de: Seguridad SAP y Metodología EVD en Deloitte. Actualmente participa como relatora de cursos tanto de Auditoría y Seguridad ERP SAP para capacitaciones abiertas y cerradas a clientes.
Introducción a la Seguridad en SAP ERP
Introducción Comprender el concepto del ERP SAP 6.0 y conocer las distintas funcionalidades que este sistema posee, las cuales se traducen en módulos que interactúan de forma integrada para el procesamiento de las transacciones de negocio bajo una jerarquía organizacional. Comprender los ámbitos que cubre el Basis Component de SAP y la importancia que el mismo tiene dentro de un modelo integrado de seguridad. Enfocar la seguridad de las aplicaciones como un todo, bajo el punto de vista de un modelo integrado de seguridad.
– Times Conceptos Hoja divisoria básicos de SAP New Roman desde 52pt
Conceptos básicos de SAP ¿Qué es SAP? Arquitectura Cliente / Servidor multi-nivel. Base (Middleware) soporta tecnología de sistemas abiertos. Business Framework Architecture, abierta a integración total con otros componentes y aplicaciones. Interfaz de usuario homogénea entre aplicaciones. Ambiente de desarrollo de fácil comprensión. Integración total entre aplicaciones. Amplio rango de servicios.
Conceptos básicos de SAP ¿Qué es SAP? Capa 1
BD Principal
Capa de Base de Datos Información validada por el usuario
Datos para ver o cambiar
Capa 2
Buffer BD
Buffer BD
Capa de Aplicación Información de salida para el usuario
Información de entrada desde el usuario
Información de entrada desde el usuario
Capa 3 Capa de Presentación
Información de salida para el usuario
Conceptos básicos de SAP Módulos de SAP
SD
FI
Sales & Distribution
Financial Accounting
MM
CO
Materials Mgmt.
Controlling
PP
AM
6.0
Production Planning
Fixed Assets Mgmt.
QM
Cliente/ Servidor ABAP/4 PM Plant Main-tenance BC
PS
Quality Manage-ment
Project System
WF Workflow
HR
IS
Human Resources
Industry Solutions
Conceptos básicos de SAP Módulos de SAP
BC
• ABAP/4 Development Workbench • Computer Center Management System • Sistema de Transportes • Administración de la Base de Datos • Administración de Seguridad
Componente Basis ……..
Conceptos básicos de SAP Módulos de SAP Categoria Funcio nal - Ind us try Solu tion s IS SAP High Tech & Electronics SAP Engineering & Construction SAP Consumer Products SAP Oil & Gas
SAP Utilities
SAP Health Care
SAP Transportation
Business Information Warehouse
SAP Public Sector Sales Force Automation
...
SAP Telecomm
6.0 SAP Automotive
SAP Media
SAP Chemicals Advanced Planner & Optimizer
B2B Procurement
SAP Pharmaceuticals
SAP Retail SAP Aerospace & Defense SAP Banking SAP Service Providers
Análisis General Módulo Basis
Overview de Componente Basis Modelo Integrado de Seguridad
• SAP es solo una aplicación de muchísimas.... • Sólo estamos definiendo la seguridad para un elemento que junto a otros conformarían el engranaje total de seguridad Informática.
Overview de Componente Basis Modelo Integrado de Seguridad
•
Cubre los siguientes ámbitos:
Overview de Componente Basis Modelo Integrado de Seguridad
Módulos de 6.0
ABAP/4 Development Workbench 6.0 BASIS Sistema Operativo
Base de Datos
Protocolo de Comunicac iones
GUI´S (Interfaces Gráficas de Usuario)
Overview de Componente Basis C o n t r o l d e C am b i o s - L an d s c a p e
Single Client / Single System Mandante
Multi Client / Single System Mandante
Instancia 6.0
Mandante
Mandante
Instancia 6.0
Single Client / Single System / Multi Servers Mandante
Mandante
Mandante
Instancia 6.0
Instancia 6.0
Instancia 6.0
Single Client / Multi system/ Single Servers Mandante
Mandante
Instancia 6.0
Mandante
Overview de Componente Basis Contro l de Camb ios - Transp orte
Mandante
Desarrollo
Transporte de cambios para Test
Instancia 6.0
Mandante
Control de Calidad
Liberación para producción
Instancia 6.0
Mandante
Producción Instancia 6.0
Liberación para actualizaciones
– Times Parámetros Hoja divisoria claves de la New Seguridad Roman en desde SAP ERP 52pt
Seguridad de Usuarios C o n t r o l es d e A c c e s o s Parám et ro s : Control de claves de acceso con parámetros del perfil del sistema .
Reglas definidas por el cliente: Programa : RSPARAM Transaccion : RSPFPAR
Ejecución directa de programas es una mala practica “riesgo de Seguridad”
Seguridad de Usuarios C o n t r o l es d e A c c e s o s Parám et ro s : Control de claves de acceso con parámetros del perfil del sistema RDISP/GUI_AUTO_LOGOUT • Segundos de inactividad antes de desactivar la sesión de un usuario. El valor 0 indica no se aplica la desactivación. El valor se mide en segundos, valor recomendado 20 minutos (valor 1200) LOGIN/FAILS_TO_SESSION_END • Número de veces que un usuario puede ingresar una password incorrecta antes de que el sistema finalice los intentos de logon. El valor por defecto es 3. Se puede ingresar un rango entre 1 a 99. El valor recomendado es 3. LOGIN/FAILS_TO_USER_LOCK • Número de veces que un usuario puede ingresar una password incorrecta antes de que el sistema bloquee los intentos reiterativos. El bloqueo de la cuenta de usuario es automáticamente liberado a l medianoche del mismo día. valor recomendado de 3 a 5. LOGIN/MIN_PASSWORD_LNG • Número mínimo de caracteres que debe ser usados por una password. Por defecto se exigen 3. Puede ser un rango de 3 a 8. El valor recomendado es de 6 a 8. LOGIN/PASSWORD_EXPIRATION_TIME • Número de días después de los cuales se debe cambiar la password. El valor por defecto es 0. El valor recomendado es 30 ó 45 días.
Seguridad de Usuarios C o n t r o l es d e A c c e s o s Parám et ro s : Control de claves de acceso con parámetros del perfil del sistema
Reglas definidas por el cliente: Programa : RSPARAM Transaccion : RSPFPAR
Seguridad de Usuarios C o n t r o l es d e A c c e s o s Par ám et ro s : Control de claves de acceso con parámetros del perfil del sistema
Políticas de Seguridad de la Información
Parámetros de Seguridad SAP
Reglas definidas por el cliente: Programa : RSPARAM Transaccion : RSPFPAR
Concepto de Autorización en SAP ERP
Introducción
•
Comprender el concepto de autorización, sus derivadas y las diversas capas de seguridad que le permite al usuario del sistema SAP, poder ejecutar una transacción.
• Asimismo, esta sesión tiene como objetivo que los alumnos conozcan la herramienta que permite construir los roles y perfiles de autorización para los privilegios de usuario y los distintos tipos de roles que existen y la utilidad que se le puede dar a cada uno de ellos.
Seguridad de Autorizaciones Conc epto d e auto rización
Objeto de Autorización
Centro para OC
Unidad básica de seguridad
Autorización Instancia del objeto de autorización
Rol / Perfil
2.- Centro
Autorización #1
Autorización #2
1.-Actividad = Crear 2.-Centro = 001
1.-Actividad = Visual. 2.-Centro = Todos
Rol/Perfil #1
Rol/Perfil #2
(Crear OC) Representa tareas
1.- Actividad
*Autorización #1 *Otras autorizaciones
(Recepción Mat.) *Autorización #2 *Otras autorizaciones
Seguridad de Autorizaciones Con cepto de autor ización - Perfil
Perfil: Representa conjunto de autorizaciones
Perfil #1 (Crear PO) •Auto rización #1 •Autoriz.Adicionales
Perfil #2 (Recepción de bienes) •Auto rización #2 •Autoriz.Adicionales
Seguridad de Autorizaciones Con cepto de autor ización - Perfil Rol: Representa conjunto de tareas de una función
Rol (Enpleado de Compras) •Perfil #1 •Perfiles Adicionales
Rol (Empleado de Recepción) •Perfil #2 •Perfiles Adicionales
Seguridad de Autorizaciones Conc epto d e auto rización Centro para OC
Objeto de Autorización
2.- Centro
Unidad básica de seguridad
Autorización Instancia del objeto de autorización
Rol / Perfil
1.- Actividad
Autorización #1
Autorización #2
1.-Actividad = Crear 2.-Centro = 001
1.-Actividad = Visual. 2.-Centro = Todos
Rol/Perfil #1 (Crear OC) *Autorización #1 *Otras autorizaciones
Rol/Perfil #2 (Recepción Mat.) *Autorización #2 *Otras autorizaciones
Representa tareas
Rol Compuesto Representa roles de trabajo
Rol Compuesto (Empleado compras) *Rol/Perfil #1 *Otros Roles/perfiles
Rol Compuesto (Empleado recepción) *Rol/Perfil #2 *Otros Roles/perfiles
Seguridad de Autorizaciones Conc epto d e auto rización Objeto princip al
S_TCODE
Adicionado
en la versión 3.0d Asegura transacciones individuales Primer objeto chequeado cuando un usuario ingresa una transacción
El objeto S_TCODE siempre debe tener status STANDAR“
Seguridad de Autorizaciones Mec án ic a d e A u to rizac ión Con oc iendo las 3 capas de seg ur idad es tánd ar
Capa 1 Ejecute la Transacción
S_TCODE Capa 2
Capa 3 Crear Pedido de Compras
Segregación Hoja divisoria de – Funciones Times New Roman desde 52pt
Introducción Segregación de Func ion es •
Comprender el concepto de segregación funcional y su relación con las diversas capas de seguridad que le permite al usuario del sistema SAP, poder ejecutar una transacción a niveles organizacionales diferentes.
•
Identificar los puntos relevantes para mantener una adecuada segregación de funciones en la organización con el fin de mantener un sano control interno.
•
Entender el significado de una segregación funcional adecuada y su impacto para la información y los procesos realizados por la compañía, con el fin de prevenir fraudes y la integridad de la información
Segregación de Funciones Tips •
Una de las principales actividades de control interno
•
Al aplicarlo a SAP podemos hacer referencia a la siguiente sentencia “La seguridad en un ERP, debe abordar el resguardo de la disponibilidad, confidencialidad e integridad de la información del negocio”
•
Tiene como objetivo prevenir o reducir el riesgo de errores o irregularidades, y en especial el fraude interno en las organizaciones
•
Permite asegurar que un individuo no pueda llevar a cabo todas las fases de una operación/transacción, desde su autorización, pasando por la custodia de activos y el mantenimiento de los registros maestros necesarios
•
Control de accesos transaccionales y de manejo de información
Segregación Funcional de Funciones Segregación
Como mitigar los riesgos de errores y/o fraudes al limitar el acceso a transacciones críticas y/o conflictivas? Crear Proveedor (Compra)
Aprobar pedido de compras
Crear pedido de compras
Aprobar pedido de compras
Registrar factura acreedor
Registrar factura acreedor
Segregación de Funciones Segregación Funcional
Escenario Riesgoso
Crear Proveedor (Compra)
RIESGO ¡¡¡¡ Que un usuario realice la creación de un proveedor ficticio y que las facturas sean registradas por el mismo usuario, las que se irían directo a la propuesta de pago automática
Escenario Típico de Fraude
Registrar factura acreedor
CONTROL 3 Alternativas: 1.- Segregar el acceso en 2 usuarios (Automático-preventivo) 2.- Implementar un control automático para que la factura se registre bloqueada y una instancia de control la aprueba (Automático – preventivo) 3.- Colocar un control de mitigación que consista en un reporte de monitoreo (semiautomático – detectivo)
Segregación Funcional de Funciones Segregación Beneficios Beneficios • • • • • •
Mayor control sobre el modelo de accesos de los usuarios, manteniendo procedimientos conocidos y establecidos. Mejorar el ambiente de control interno Reducir las acciones fraudulentos o mal intencionadas dentro de la compañía Mantener información sensible y crítica de la compañía en los usuarios que realmente responden a su nivel de responsabilidad. Mejorar los niveles de seguridad del sistema, según las buenas practicas Proteger eficientemente el ambiente que sustenta la información operacional y financiera del negocio.
– Times Ciclodivisoria Hoja de Seguridad ABAP New y Tablas Roman desde 52pt
Seguridad ABAP C i c l o Vi r t u o s o d e Se g u r i d a d d e P r o g r a m a s A B A P
Catastro
Seguridad Autorización
Seguridad ABAP
Marco de Gobernabilidad
Seguridad Transacción
Seguridad Grupo de Autorización
Seguridad ABAP Ciclo Virtuo so de Segu ridad de Tablas
Catastro
Seguridad Autorización
Marco de Gobernabilidad
Seguridad Transacción
Seguridad Grupo de Autorización
1 . - Ve r i f i c a r l o s o b j e t o s a c t i v o s para la transacción PFCG (SU24)
Herramientas de Seguridad ERP SAP 2.- Realizar un ajuste masivo de roles
3.- Buscar que transacción leen el objeto S_TABU_DIS
Herramientas de Monitoreo Autorizaciones Trans acción ST01 : Trace de sistema
Me permite hacer rastreo ejecución de autorizaciones por parte de los usuarios
Herramientas de Monitoreo Autorizaciones Trans acción ST03N : Carga de Trabajo del Sistema Me permite revisar transacciones ejecutadas históricamente por los usuarios
Herramientas de Gestion Usuarios Trans acción SUIM : Sistema de información de usuarios
– Times SAP GRC Hoja divisoria Access Control y New su relación Romancon desde el concepto 52pt de autorizaciones
SAP GRC Access Control El siguiente cuadro presenta la secuencia de implementación y uso de los distintos módulos de la herramienta SAP GRC Access Control.
s o v i t e j b O
l o r t n o C s s e c c A C R G
Gestión y Control de Accesos
Identificar y Analizar Riesgos
Administrar Roles de Acceso
Administrar accesos críticos
Business Role Management - BRM
Emergency Access Management – EAM
Provision and Manage User – PMU
Solución para definición y gestión de Roles
Solución para control de acceso privilegiado
Solución de provisionamiento
Prevenir
Analyze and Manage Risk – AMR Solución de análisis, detección y remediación de riesgos de acceso y autorización
Prevención sustentable de infracciones a la segregación de funciones
Arquitectura de generación de riesgos en GRC Acces Control SAP
Preguntas…