Taller de Seguridad SAP

Isaca Santiago Chapter  Ciclo de Talleres Técnicos 2014

Taller de Seguridad SAP ERP

Relator: María Esther Soto Consultor Senior ERS / Deloitte Enterprise Risk Services | Security & Privacy Services | GRC Solutions Marzo, 2014

Tabla de contenido

1. CV Relator.

19:00 a 19:05

2. Introducción a la seguridad en SAP ERP.

19:06 a 19:25

3. Parámetros claves de la seguridad en SAP ERP

19:26 a 19:40

4. Concepto de autorización en SAP ERP

19:41 a 20:20

5. Segregación de Funciones en SAP ERP

20:21 a 20:45

6. Break

20:46 a 21:00

7. Herramientas de seguridad en SAP ERP

21:01 a 21:20

8. Ciclo de Seguridad ABAP y Tablas Z

21:21 a 21:35

9. SAP GRC Access Control y su relación con el

21:36 a 21:49

concepto de autorización. 10. Preguntas

21:50 a 22:00

CV Relator

CV Relator Enterprise Risk Services Security & Privacy Services

María Esther Soto Consultor Senior Tel:+56 Tel :+56 2 729 8766 Email: mariasoto Email:  [email protected] @DELOITTE.com

Estudios: •

Ingeniera informática- Universidad de Santiago de Chile

Ha participado en diversos diversos proyectos relacionados con diagnóstico, rediseño, diseño e implementación de seguridad SAP: Corporación Sofofa, Unimarc, Metro, Empresas Taylor, Mutual de Seguridad, entre otras-

Experiencia relevante

Consultor Senior de Risk Consulting de la línea de Seguridad y Privacidad de Deloitte, Ingeniero en ejecución en computación e informática. Con cinco años de experiencia como desarrolladora en ABAP y cuatro años en Seguridad SAP.  Además, ha participado en cursos de: Seguridad SAP y Metodología EVD en Deloitte.  Actualmente participa como relatora de cursos tanto de  Auditoría y Seguridad ERP SAP para capacitaciones abiertas y cerradas a clientes.

Introducción a la Seguridad en SAP ERP

Introducción Comprender el concepto del ERP SAP 6.0 y conocer las distintas funcionalidades que este sistema posee, las cuales se traducen en módulos que interactúan de forma integrada para el procesamiento de las transacciones de negocio bajo una jerarquía organizacional. Comprender los ámbitos que cubre el Basis Component de SAP y la importancia que el mismo tiene dentro de un modelo integrado de seguridad. Enfocar la seguridad de las aplicaciones como un todo, bajo el punto de vista de un modelo integrado de seguridad.

 –  Times Conceptos Hoja divisoria básicos de SAP  New Roman desde 52pt

Conceptos básicos de SAP ¿Qué es SAP?  Arquitectura Cliente / Servidor multi-nivel. Base (Middleware) soporta tecnología de sistemas abiertos. Business Framework Architecture, abierta a integración total con otros componentes y aplicaciones. Interfaz de usuario homogénea entre aplicaciones.  Ambiente de desarrollo de fácil comprensión. Integración total entre aplicaciones.  Amplio rango de servicios.

Conceptos básicos de SAP ¿Qué es SAP? Capa 1

BD Principal

Capa de Base de Datos Información validada por el usuario

Datos para ver o cambiar

Capa 2

Buffer BD

Buffer BD

Capa de Aplicación Información de salida para el usuario

Información de entrada desde el usuario

Información de entrada desde el usuario

Capa 3 Capa de Presentación

Información de salida para el usuario

Conceptos básicos de SAP Módulos de SAP

SD

FI

Sales & Distribution

Financial Accounting

MM

CO

Materials Mgmt.

Controlling

PP

AM

6.0

Production Planning

Fixed Assets Mgmt.

QM

Cliente/ Servidor ABAP/4 PM Plant Main-tenance BC

PS

Quality Manage-ment

Project System

WF Workflow

HR

IS

Human Resources

Industry Solutions

Conceptos básicos de SAP Módulos de SAP

BC

• ABAP/4 Development Workbench • Computer Center Management System • Sistema de Transportes • Administración de la Base de Datos • Administración de Seguridad

Componente Basis ……..

Conceptos básicos de SAP Módulos de SAP Categoria Funcio nal - Ind us try Solu tion s IS  SAP High Tech & Electronics SAP Engineering & Construction SAP Consumer Products SAP Oil & Gas

SAP Utilities

SAP Health Care

SAP Transportation

Business Information Warehouse

SAP Public Sector Sales Force Automation

...

SAP Telecomm

6.0 SAP Automotive

SAP Media

SAP Chemicals Advanced Planner & Optimizer

B2B Procurement

SAP Pharmaceuticals

SAP Retail SAP Aerospace & Defense SAP Banking SAP Service Providers

Análisis General Módulo Basis

Overview de Componente Basis Modelo Integrado de Seguridad

• SAP es solo una aplicación de muchísimas.... • Sólo estamos definiendo la seguridad para un elemento que  junto a otros conformarían el engranaje total de seguridad Informática.

Overview de Componente Basis Modelo Integrado de Seguridad

•

Cubre los siguientes ámbitos:

Overview de Componente Basis Modelo Integrado de Seguridad

Módulos de 6.0

 ABAP/4 Development Workbench 6.0 BASIS Sistema Operativo

Base de Datos

Protocolo de Comunicac iones

GUI´S (Interfaces Gráficas de Usuario)

Overview de Componente Basis C o n t r o l d e C am b i o s - L an d s c a p e

Single Client / Single System Mandante

Multi Client / Single System Mandante

Instancia 6.0

Mandante

Mandante

Instancia 6.0

Single Client / Single System  / Multi Servers Mandante

Mandante

Mandante

Instancia 6.0

Instancia 6.0

Instancia 6.0

Single Client / Multi system/ Single Servers Mandante

Mandante

Instancia 6.0

Mandante

Overview de Componente Basis Contro l de Camb ios - Transp orte

Mandante

Desarrollo

Transporte de cambios para Test

Instancia 6.0

Mandante

Control de Calidad

Liberación para producción

Instancia 6.0

Mandante

Producción Instancia 6.0

Liberación para actualizaciones

 –  Times Parámetros Hoja divisoria claves de la  New Seguridad Roman en desde SAP ERP 52pt

Seguridad de Usuarios C o n t r o l es d e A c c e s o s   Parám et ro s : Control de claves de acceso con parámetros del perfil del sistema .

Reglas definidas por el cliente: Programa : RSPARAM Transaccion : RSPFPAR

Ejecución directa de programas es una mala practica “riesgo de Seguridad”

Seguridad de Usuarios C o n t r o l es d e A c c e s o s   Parám et ro s : Control de claves de acceso con parámetros del perfil del sistema RDISP/GUI_AUTO_LOGOUT • Segundos de inactividad antes de desactivar la sesión de un usuario. El valor 0 indica no se aplica la desactivación. El valor se mide en segundos, valor recomendado 20 minutos (valor 1200) LOGIN/FAILS_TO_SESSION_END • Número de veces que un usuario puede ingresar una password incorrecta antes de que el sistema finalice los intentos de logon. El valor por defecto es 3. Se puede ingresar un rango entre 1 a 99. El valor recomendado es 3. LOGIN/FAILS_TO_USER_LOCK • Número de veces que un usuario puede ingresar una password incorrecta antes de que el sistema bloquee los intentos reiterativos. El bloqueo de la cuenta de usuario es automáticamente liberado a l medianoche del mismo día. valor recomendado de 3 a 5. LOGIN/MIN_PASSWORD_LNG • Número mínimo de caracteres que debe ser usados por una password. Por defecto se exigen 3. Puede ser un rango de 3 a 8. El valor recomendado es de 6 a 8. LOGIN/PASSWORD_EXPIRATION_TIME • Número de días después de los cuales se debe cambiar la password. El valor por defecto es 0. El valor recomendado es 30 ó 45 días.

Seguridad de Usuarios C o n t r o l es d e A c c e s o s   Parám et ro s : Control de claves de acceso con parámetros del perfil del sistema

Reglas definidas por el cliente: Programa : RSPARAM Transaccion : RSPFPAR

Seguridad de Usuarios C o n t r o l es d e A c c e s o s   Par ám et ro s : Control de claves de acceso con parámetros del perfil del sistema

Políticas de Seguridad de la Información

Parámetros de Seguridad SAP

Reglas definidas por el cliente: Programa : RSPARAM Transaccion : RSPFPAR

Concepto de Autorización en SAP ERP

Introducción

•

Comprender el concepto de autorización, sus derivadas y las diversas capas de seguridad que le permite al usuario del sistema SAP, poder ejecutar una transacción.

•  Asimismo, esta sesión tiene como objetivo que los alumnos conozcan la herramienta que permite construir los roles y perfiles de autorización para los privilegios de usuario y los distintos tipos de roles que existen y la utilidad que se le puede dar a cada uno de ellos.

Seguridad de Autorizaciones Conc epto d e auto rización 

Objeto de Autorización

Centro para OC

Unidad básica de seguridad

Autorización Instancia del objeto de autorización

Rol / Perfil

2.- Centro

Autorización #1

Autorización #2

1.-Actividad = Crear 2.-Centro = 001

1.-Actividad = Visual. 2.-Centro = Todos

Rol/Perfil #1

Rol/Perfil #2

(Crear OC) Representa tareas

1.- Actividad

*Autorización #1 *Otras autorizaciones

(Recepción Mat.) *Autorización #2 *Otras autorizaciones

Seguridad de Autorizaciones Con cepto de autor ización - Perfil 

Perfil: Representa conjunto de autorizaciones

Perfil #1 (Crear PO) •Auto rización #1 •Autoriz.Adicionales

Perfil #2 (Recepción de bienes) •Auto rización #2 •Autoriz.Adicionales

Seguridad de Autorizaciones Con cepto de autor ización - Perfil  Rol: Representa conjunto de tareas de una función

Rol (Enpleado de Compras) •Perfil #1 •Perfiles Adicionales

Rol (Empleado de Recepción) •Perfil #2 •Perfiles Adicionales

Seguridad de Autorizaciones Conc epto d e auto rización  Centro para OC

Objeto de Autorización

2.- Centro

Unidad básica de seguridad

Autorización Instancia del objeto de autorización

Rol / Perfil

1.- Actividad

Autorización #1

Autorización #2

1.-Actividad = Crear 2.-Centro = 001

1.-Actividad = Visual. 2.-Centro = Todos

Rol/Perfil #1 (Crear OC) *Autorización #1 *Otras autorizaciones

Rol/Perfil #2 (Recepción Mat.) *Autorización #2 *Otras autorizaciones

Representa tareas

Rol Compuesto Representa roles de trabajo

Rol Compuesto (Empleado compras) *Rol/Perfil #1 *Otros Roles/perfiles

Rol Compuesto (Empleado recepción) *Rol/Perfil #2 *Otros Roles/perfiles

Seguridad de Autorizaciones Conc epto d e auto rización  Objeto princip al

S_TCODE

Adicionado

en la versión 3.0d Asegura transacciones individuales Primer objeto chequeado cuando un usuario ingresa una transacción

El objeto S_TCODE siempre debe tener status STANDAR“

Seguridad de Autorizaciones Mec án ic a d e A u to rizac ión  Con oc iendo las 3 capas de seg ur idad es tánd ar

Capa 1 Ejecute la Transacción

S_TCODE Capa 2

Capa 3 Crear Pedido de Compras

Segregación Hoja divisoria de – Funciones  Times  New Roman desde 52pt

Introducción Segregación de Func ion es  •

Comprender el concepto de segregación funcional y su relación con las diversas capas de seguridad que le permite al usuario del sistema SAP, poder ejecutar una transacción a niveles organizacionales diferentes.

•

Identificar los puntos relevantes para mantener una adecuada segregación de funciones  en la organización con el fin de mantener un sano control interno.

•

Entender el significado de una segregación funcional adecuada y su impacto para la información y los procesos realizados por la compañía, con el fin de prevenir fraudes y la integridad de la información

Segregación de Funciones Tips  •

Una de las principales actividades de control interno

•

 Al aplicarlo a SAP podemos hacer referencia a la siguiente sentencia “La seguridad en un ERP, debe abordar el resguardo de la disponibilidad, confidencialidad e integridad de la información del negocio” 

•

Tiene como objetivo prevenir o reducir el riesgo de errores o irregularidades, y en especial el fraude interno en las organizaciones

•

Permite asegurar que un individuo no pueda llevar a cabo todas las fases de una operación/transacción, desde su autorización, pasando por la custodia de activos y el mantenimiento de los registros maestros necesarios

•

Control de accesos transaccionales y de manejo de información

Segregación Funcional de Funciones Segregación

Como mitigar los riesgos de errores y/o fraudes al limitar el acceso a transacciones críticas y/o conflictivas? Crear Proveedor (Compra)

Aprobar pedido de compras

Crear pedido de compras

Aprobar pedido de compras

Registrar factura acreedor

Registrar factura acreedor

Segregación de Funciones Segregación Funcional

Escenario Riesgoso

Crear Proveedor (Compra)

RIESGO ¡¡¡¡ Que un usuario realice la creación de un proveedor ficticio y que las facturas sean registradas por el mismo usuario, las que se irían directo a la propuesta de pago automática

Escenario Típico de Fraude

Registrar factura acreedor

CONTROL 3 Alternativas: 1.- Segregar el acceso en 2 usuarios (Automático-preventivo) 2.- Implementar un control automático para que la factura se registre bloqueada y una instancia de control la aprueba (Automático – preventivo) 3.- Colocar un control de mitigación que consista en un reporte de monitoreo (semiautomático – detectivo)

Segregación Funcional de Funciones Segregación Beneficios Beneficios • • • • • •

Mayor control sobre el modelo de accesos de los usuarios, manteniendo procedimientos conocidos y establecidos. Mejorar el ambiente de control interno Reducir las acciones fraudulentos o mal intencionadas dentro de la compañía Mantener información sensible y crítica de la compañía en los usuarios que realmente responden a su nivel de responsabilidad. Mejorar los niveles de seguridad del sistema, según las buenas practicas Proteger eficientemente el ambiente que sustenta la información operacional y financiera del negocio.

 –  Times Ciclodivisoria Hoja de Seguridad ABAP  New y Tablas Roman desde 52pt

Seguridad ABAP C i c l o Vi r t u o s o d e Se g u r i d a d d e P r o g r a m a s A B A P

Catastro

Seguridad Autorización

Seguridad ABAP

Marco de Gobernabilidad

Seguridad Transacción

Seguridad Grupo de Autorización

Seguridad ABAP Ciclo Virtuo so de Segu ridad de Tablas

Catastro

Seguridad Autorización

Marco de Gobernabilidad

Seguridad Transacción

Seguridad Grupo de Autorización

1 . - Ve r i f i c a r l o s o b j e t o s a c t i v o s para la transacción PFCG (SU24)

Herramientas de Seguridad ERP SAP 2.- Realizar un ajuste masivo de roles

3.- Buscar que transacción leen el objeto S_TABU_DIS

Herramientas de Monitoreo Autorizaciones Trans acción ST01 : Trace de sistema

Me permite hacer rastreo ejecución de autorizaciones por parte de los usuarios

Herramientas de Monitoreo Autorizaciones Trans acción ST03N : Carga de Trabajo del Sistema Me permite revisar transacciones ejecutadas históricamente por los usuarios

Herramientas de Gestion Usuarios Trans acción SUIM : Sistema de información de usuarios

 –  Times SAP GRC Hoja divisoria Access Control y  New su relación Romancon desde el concepto 52pt de autorizaciones

SAP GRC Access Control El siguiente cuadro presenta la secuencia de implementación y uso de los distintos módulos de la herramienta SAP GRC Access Control.

  s   o   v    i    t   e    j    b    O

   l   o   r    t   n   o    C   s   s   e   c   c    A    C    R    G

Gestión y Control de Accesos

Identificar y Analizar Riesgos

Administrar Roles de Acceso

Administrar accesos críticos

Business Role Management - BRM

Emergency Access Management – EAM

Provision and Manage User – PMU

Solución para definición y gestión de Roles

Solución para control de acceso privilegiado

Solución de provisionamiento

Prevenir

Analyze and Manage Risk – AMR Solución de análisis, detección y remediación de riesgos de acceso y autorización

Prevención sustentable de infracciones a la segregación de funciones

Arquitectura de generación de riesgos en GRC Acces Control SAP

Preguntas…