Isaca Santiago Chapter Ciclo de Talleres Técnicos 2014 Taller de Seguridad SAP ERP
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Marzo, 2014
Relator:
María Esther Soto
Consultor Senior
ERS / Deloitte
2 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Tabla de contenido
1. CV Relator.
2. Introducción a la seguridad en SAP ERP.
3. Parámetros claves de la seguridad en SAP ERP
4. Concepto de autorización en SAP ERP
5. Segregación de Funciones en SAP ERP
6. Break
7. Herramientas de seguridad en SAP ERP
8. Ciclo de Seguridad ABAP y Tablas Z
9. SAP GRC Access Control y su relación con el
concepto de autorización.
10.Preguntas
19:00 a 19:05
19:06 a 19:25
19:26 a 19:40
19:41 a 20:20
20:21 a 20:45
20:46 a 21:00
21:01 a 21:20
21:21 a 21:35
21:36 a 21:49
21:50 a 22:00
3
CV Relator
4 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
CV Relator
María Esther Soto
Consultor Senior
Enterprise Risk Services
Security & Privacy Services
Tel:+56 2 729 8766
Email: [email protected]
Estudios:
• Ingeniera informática- Universidad de Santiago de Chile
Experiencia relevante
Consultor Senior de Risk Consulting de la línea de Seguridad
y Privacidad de Deloitte, Ingeniero en ejecución en
computación e informática. Con cinco años de experiencia
como desarrolladora en ABAP y cuatro años en Seguridad
SAP.
Además, ha participado en cursos de: Seguridad SAP y
Metodología EVD en Deloitte.
Actualmente participa como relatora de cursos tanto de
Auditoría y Seguridad ERP SAP para capacitaciones abiertas
y cerradas a clientes.
Ha participado en diversos proyectos relacionados con
diagnóstico, rediseño, diseño e implementación de seguridad
SAP: Corporación Sofofa, Unimarc, Metro, Empresas Taylor,
Mutual de Seguridad, entre otras-
5
Introducción a la Seguridad en SAP ERP
Introducción
Comprender el concepto del ERP SAP 6.0 y conocer las distintas
funcionalidades que este sistema posee, las cuales se traducen en
módulos que interactúan de forma integrada para el procesamiento de
las transacciones de negocio bajo una jerarquía organizacional.
Comprender los ámbitos que cubre el Basis Component de SAP y la
importancia que el mismo tiene dentro de un modelo integrado de
seguridad.
Enfocar la seguridad de las aplicaciones como un todo, bajo el punto
de vista de un modelo integrado de seguridad.
6 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
7 Footer
Hoja divisoria – Times New Roman desde 52pt Conceptos básicos de SAP
7
Arquitectura Cliente / Servidor multi-nivel.
Base (Middleware) soporta tecnología de sistemas abiertos.
Business Framework Architecture, abierta a integración total
con otros componentes y aplicaciones.
Interfaz de usuario homogénea entre aplicaciones.
Ambiente de desarrollo de fácil comprensión.
Integración total entre aplicaciones.
Amplio rango de servicios.
8
Conceptos básicos de SAP ¿Qué es SAP?
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Capa de Base de Datos
BD Principal
Datos para
ver o cambiar
Información
de salida
para el
usuario
Información
de salida
para el
usuario
Capa de Aplicación
Buffer BD Buffer BD
Información
de entrada
desde el usuario
Información
de entrada
desde el
usuario
Información
validada por
el usuario
Capa de Presentación
9
Conceptos básicos de SAP ¿Qué es SAP?
Capa 1
Capa 2
Capa 3
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
6.0 Cliente/ Servidor
ABAP/4
BC
FI Financial
Accounting
CO Controlling
AM Fixed Assets
Mgmt.
PS Project System
WF Workflow
IS Industry
Solutions
MM Materials
Mgmt.
HR Human
Resources
SD Sales &
Distribution
PP Production Planning
QM Quality
Manage-ment
PM Plant Main-tenance
10 10
Conceptos básicos de SAP Módulos de SAP
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
11 11
BC
Componente Basis ……..
• ABAP/4 Development Workbench
• Computer Center Management System
• Sistema de Transportes
• Administración de la Base de Datos
• Administración de Seguridad
Conceptos básicos de SAP Módulos de SAP
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Categoria Funcional - Industry Solutions IS
12 12
...
Business
Information
Ware-
house
Sales
Force
Auto-
mation
B2B
Procurement
Advanced
Planner &
Optimizer
6.0
SAP High Tech & Electronics
SAP Consumer Products
SAP Transportation
SAP Public Sector
SAP Telecomm
SAP Chemicals
SAP Pharmaceuticals
SAP Retail
SAP Banking
SAP Service Providers
SAP Aerospace & Defense
SAP Media
SAP Automotive
SAP Health Care
SAP Utilities
SAP Oil & Gas
SAP Engineering & Construction
Conceptos básicos de SAP Módulos de SAP
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
13
Análisis General Módulo Basis
14 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
• SAP es solo una aplicación de muchísimas....
• Sólo estamos definiendo la seguridad para un elemento que
junto a otros conformarían el engranaje total de seguridad
Informática.
Overview de Componente Basis
Modelo Integrado de Seguridad
15 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
• Cubre los siguientes ámbitos:
Overview de Componente Basis
Modelo Integrado de Seguridad
16 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Overview de Componente Basis
Modelo Integrado de Seguridad
Módulos de 6.0
ABAP/4 Development Workbench
6.0 BASIS
Sistema
Operativo Base de
Datos
Protocolo
de
Comunicac
iones
GUI´S
(Interfaces
Gráficas
de
Usuario)
17 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Control de Cambios - Landscape
Single Client / Single System
Instancia 6.0
Mandante
Multi Client / Single System
Instancia 6.0
Mandante Mandante Mandante
Single Client / Single System
/ Multi Servers
Instancia 6.0
Mandante
Instancia 6.0
Mandante
Instancia 6.0
Mandante
Single Client / Multi system/
Single Servers
Instancia 6.0
Mandante Mandante Mandante
Overview de Componente Basis
18 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Control de Cambios - Transporte
Liberación para
actualizaciones
Desarrollo
Control
de Calidad
Producción
Transporte de cambios para Test
Liberación para producción
Instancia 6.0
Mandante
Instancia 6.0
Mandante
Instancia 6.0
Mandante
Overview de Componente Basis
1
9
Footer
Hoja divisoria – Times New Roman desde 52pt Parámetros claves de la Seguridad en SAP ERP
20 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
.
Reglas definidas por
el cliente:
Programa : RSPARAM
Transaccion : RSPFPAR
Parámetros: Control de claves de acceso con parámetros del
perfil del sistema
Seguridad de Usuarios Controles de Accesos
Ejecución directa
de programas es
una mala practica
“riesgo de
Seguridad”
21 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
• Segundos de inactividad antes de desactivar la sesión de un usuario. El valor 0 indica no se aplica la desactivación. El valor se mide en segundos, valor recomendado 20 minutos (valor 1200)
RDISP/GUI_AUTO_LOGOUT
• Número de veces que un usuario puede ingresar una password incorrecta antes de que el sistema finalice los intentos de logon. El valor por defecto es 3. Se puede ingresar un rango entre 1 a 99. El valor recomendado es 3.
LOGIN/FAILS_TO_SESSION_END
• Número de veces que un usuario puede ingresar una password incorrecta antes de que el sistema bloquee los intentos reiterativos. El bloqueo de la cuenta de usuario es automáticamente liberado a l medianoche del mismo día. valor recomendado de 3 a 5.
LOGIN/FAILS_TO_USER_LOCK
• Número mínimo de caracteres que debe ser usados por una password. Por defecto se exigen 3. Puede ser un rango de 3 a 8. El valor recomendado es de 6 a 8.
LOGIN/MIN_PASSWORD_LNG
• Número de días después de los cuales se debe cambiar la password. El valor por defecto es 0. El valor recomendado es 30 ó 45 días.
LOGIN/PASSWORD_EXPIRATION_TIME
Seguridad de Usuarios Controles de Accesos
Parámetros: Control de claves de acceso con parámetros del
perfil del sistema
22 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Seguridad de Usuarios Controles de Accesos
Parámetros: Control de claves de acceso con parámetros del
perfil del sistema
Reglas definidas por
el cliente:
Programa : RSPARAM
Transaccion : RSPFPAR
23 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Políticas de
Seguridad de la
Información
Parámetros de
Seguridad SAP
Seguridad de Usuarios Controles de Accesos
Parámetros: Control de claves de acceso con parámetros del
perfil del sistema
Reglas definidas por
el cliente:
Programa : RSPARAM
Transaccion : RSPFPAR
24
Concepto de Autorización en SAP ERP
25 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
• Comprender el concepto de autorización, sus derivadas y las
diversas capas de seguridad que le permite al usuario del
sistema SAP, poder ejecutar una transacción.
• Asimismo, esta sesión tiene como objetivo que los alumnos
conozcan la herramienta que permite construir los roles y
perfiles de autorización para los privilegios de usuario y los
distintos tipos de roles que existen y la utilidad que se le puede
dar a cada uno de ellos.
Introducción
26 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Objeto de
Autorización
Autorización
Rol / Perfil
Unidad básica de
seguridad
Instancia del objeto
de autorización
Representa tareas
Centro para
OC
1.- Actividad
2.- Centro
Autorización #1
1.-Actividad = Crear
2.-Centro = 001
Autorización #2
1.-Actividad = Visual.
2.-Centro = Todos
Rol/Perfil #1 (Crear OC)
*Autorización #1
*Otras autorizaciones
Rol/Perfil #2 (Recepción Mat.)
*Autorización #2
*Otras autorizaciones
Seguridad de Autorizaciones Concepto de autorización
27 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Perfil #1
(Crear PO)
•Autorización #1
•Autoriz.Adicionales
Perfil #2
(Recepción de bienes)
•Autorización #2
•Autoriz.Adicionales
Perfil:
Representa
conjunto de
autorizaciones
Seguridad de Autorizaciones Concepto de autorización - Perfil
28 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Rol (Enpleado de Compras)
•Perfil #1
•Perfiles Adicionales
Rol (Empleado de Recepción)
•Perfil #2
•Perfiles Adicionales
Rol:
Representa
conjunto de
tareas de una
función
Seguridad de Autorizaciones Concepto de autorización - Perfil
29 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Objeto de
Autorización
Autorización
Rol / Perfil
Rol
Compuesto
Unidad básica de
seguridad
Instancia del objeto
de autorización
Representa tareas
Representa roles
de trabajo
Centro para
OC
1.- Actividad
2.- Centro
Autorización #1
1.-Actividad = Crear
2.-Centro = 001
Autorización #2
1.-Actividad = Visual.
2.-Centro = Todos
Rol/Perfil #1
(Crear OC)
*Autorización #1
*Otras autorizaciones
Rol/Perfil #2
(Recepción Mat.)
*Autorización #2
*Otras autorizaciones
Rol Compuesto (Empleado compras)
*Rol/Perfil #1
*Otros Roles/perfiles
Rol Compuesto (Empleado recepción)
*Rol/Perfil #2
*Otros Roles/perfiles
Seguridad de Autorizaciones Concepto de autorización
30 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
S_TCODE Adicionado en la versión 3.0d
Asegura transacciones individuales
Primer objeto chequeado cuando un
usuario ingresa una transacción
El objeto S_TCODE siempre debe tener
status STANDAR“
Seguridad de Autorizaciones Concepto de autorización
Objeto principal
31 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Ejecute la
Transacción
Capa 1
Capa 2
Capa 3
Crear Pedido
de Compras
S_TCODE
Seguridad de Autorizaciones Mecánica de Autorización
Conociendo las 3 capas de seguridad estándar
Hoja divisoria – Times New Roman desde 52pt Segregación de Funciones
32 32
33 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
• Comprender el concepto de segregación funcional y su relación con las
diversas capas de seguridad que le permite al usuario del sistema SAP,
poder ejecutar una transacción a niveles organizacionales diferentes.
• Identificar los puntos relevantes para mantener una adecuada segregación
de funciones en la organización con el fin de mantener un sano control
interno.
• Entender el significado de una segregación funcional adecuada y su
impacto para la información y los procesos realizados por la compañía, con
el fin de prevenir fraudes y la integridad de la información
Introducción Segregación de Funciones
34 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
• Una de las principales actividades de control interno
• Al aplicarlo a SAP podemos hacer referencia a la siguiente sentencia
“La seguridad en un ERP, debe abordar el resguardo de la
disponibilidad, confidencialidad e integridad de la información del
negocio”
• Tiene como objetivo prevenir o reducir el riesgo de errores o
irregularidades, y en especial el fraude interno en las organizaciones
• Permite asegurar que un individuo no pueda llevar a cabo todas las
fases de una operación/transacción, desde su autorización, pasando
por la custodia de activos y el mantenimiento de los registros maestros
necesarios
• Control de accesos transaccionales y de manejo de información
Segregación de Funciones
Tips
35 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Segregación Funcional
Crear Proveedor (Compra)
Crear pedido de compras
Aprobar pedido de compras
Registrar factura acreedor
Aprobar pedido de compras
Registrar factura acreedor
Como mitigar los riesgos de errores y/o fraudes al limitar el
acceso a transacciones críticas y/o conflictivas?
Segregación de Funciones
36 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Segregación Funcional
Escenario Riesgoso
Crear Proveedor (Compra)
Registrar factura acreedor
RIESGO ¡¡¡¡
Que un usuario realice la creación de un
proveedor ficticio y que las facturas sean
registradas por el mismo usuario, las que
se irían directo a la propuesta de pago
automática
Escenario Típico de Fraude
3 Alternativas:
1.- Segregar el acceso en 2 usuarios
(Automático-preventivo)
2.- Implementar un control automático para
que la factura se registre bloqueada y una
instancia de control la aprueba (Automático –
preventivo)
3.- Colocar un control de mitigación que
consista en un reporte de monitoreo
(semiautomático – detectivo)
CONTROL
Segregación de Funciones
37 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Segregación Funcional Beneficios
• Mayor control sobre el modelo de accesos de los usuarios,
manteniendo procedimientos conocidos y establecidos.
• Mejorar el ambiente de control interno
• Reducir las acciones fraudulentos o mal intencionadas dentro de la
compañía
• Mantener información sensible y crítica de la compañía en los usuarios
que realmente responden a su nivel de responsabilidad.
• Mejorar los niveles de seguridad del sistema, según las buenas
practicas
• Proteger eficientemente el ambiente que sustenta la información
operacional y financiera del negocio.
Segregación de Funciones
Beneficios
Hoja divisoria – Times New Roman desde 52pt Ciclo de Seguridad ABAP y Tablas
38 38
39 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Marco de Gobernabilidad
Catastro
Seguridad ABAP
Seguridad Grupo de
Autorización
Seguridad Transacción
Seguridad Autorización
Seguridad ABAP Ciclo Virtuoso de Seguridad de Programas ABAP
40 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Marco de Gobernabilidad
Catastro
Seguridad Grupo de
Autorización
Seguridad Transacción
Seguridad Autorización
Seguridad ABAP Ciclo Virtuoso de Seguridad de Tablas
41 Enterprise Risk Services | Security & Privacy Services | GRC Solutions 41 41 © 2011 Deloitte
1 . - Ve r i f i c a r l o s o b j e t o s a c t i vo s
p a r a l a t r a n s a c c i ó n P F C G ( S U 2 4 )
2 . - R e a l i z a r u n a j u s t e m a s i vo d e
r o l e s
3 . - B u s c a r q u e t r a n s a c c i ó n l e e n e l
o b j e t o S _ TA B U _ D I S
Herramientas de Seguridad ERP SAP
42 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Me permite hacer
rastreo ejecución
de autorizaciones
por parte de los
usuarios
Herramientas de Monitoreo Autorizaciones
Transacción ST01 : Trace de sistema
43 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Transacción ST03N : Carga de Trabajo del Sistema
Me permite revisar
transacciones
ejecutadas
históricamente por
los usuarios
Herramientas de Monitoreo Autorizaciones
44 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Herramientas de Gestion Usuarios
Transacción SUIM : Sistema de información de usuarios
4
5
Footer
Hoja divisoria – Times New Roman desde 52pt SAP GRC Access Control y su relación con el concepto de autorizaciones
46 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Prevención sustentable de infracciones a la segregación de funciones
Analyze and Manage Risk – AMR
Solución de análisis, detección y
remediación de riesgos de acceso y autorización
Business Role
Management - BRM
Solución para definición y
gestión de Roles
Emergency Access
Management – EAM
Solución para control de
acceso privilegiado
Provision and Manage
User – PMU
Solución de
provisionamiento
Identificar y
Analizar Riesgos
Administrar Roles
de Acceso
Administrar accesos
críticos Prevenir
GR
C A
ccess C
on
tro
l
Gestión y Control de Accesos
Ob
jeti
vo
s
El siguiente cuadro presenta la secuencia de implementación y uso de los distintos
módulos de la herramienta SAP GRC Access Control.
SAP GRC Access Control
47 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Arquitectura de generación de riesgos en
GRC Acces Control SAP
48 Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Preguntas…
49
Oficina central Av. Providencia 1760 Pisos 6, 7, 8, 9, 13 y 18 Providencia, Santiago Chile Fono: (56-2) 729 7000 Fax: (56-2) 374 9177 e-mail: [email protected] Regiones Cap. Arturo Prat 461 Oficina 1902 Antofagasta Chile Fono: (56-55) 44 9660 Fax: (56-55) 44 9662 e-mail: [email protected] 1 Poniente 123 Piso 7 Viña del Mar Chile Fono: (56-32) 246 6111 Fax: (56-32) 246 6086 e-mail: [email protected] O’Higgins 940 Piso 6 Concepción Chile Fono: (56-41) 291 4055 Fax: (56-41) 291 4066 e-mail: [email protected] Libertador Bernardo O’Higgins 167 Oficina 603 Puerto Montt Chile Fono: (56-65) 288 600 Fax: (56-65) 298 600 e-mail: [email protected]
www.deloitte.cl © 2012 Deloitte. Miembro de Deloitte Touche Tohmatsu Todos los derechos reservados.
Deloitte® se refiere a Deloitte Touche Tohmatsu -asociación suiza- y a su red de firmas miembro, cada una como una entidad única e independiente. Por favor, vea en www.deloitte.cl/acerca de la descripción detallada de la estructura legal de Deloitte Touche Tohmatsu y sus Firmas miembro.
A u d i t C o n s u l t i n g T a x & L e g a l R i s k C o n s u l t i n g F i n a n c i a l A d v i s o r y S e r v i c e s O u t s o u r c i n g