Taller de Seguridad SAP ERP - ISACA

Loading...

Isaca Santiago Chapter Ciclo de Talleres Técnicos 2014

Taller de Seguridad SAP ERP

Relator: María Esther Soto Consultor Senior ERS / Deloitte Enterprise Risk Services | Security & Privacy Services | GRC Solutions Marzo, 2014

Tabla de contenido

1. CV Relator.

19:00 a 19:05

2. Introducción a la seguridad en SAP ERP.

19:06 a 19:25

3. Parámetros claves de la seguridad en SAP ERP

19:26 a 19:40

4. Concepto de autorización en SAP ERP

19:41 a 20:20

5. Segregación de Funciones en SAP ERP

20:21 a 20:45

6. Break

20:46 a 21:00

7. Herramientas de seguridad en SAP ERP

21:01 a 21:20

8. Ciclo de Seguridad ABAP y Tablas Z

21:21 a 21:35

9. SAP GRC Access Control y su relación con el

21:36 a 21:49

concepto de autorización. 10. Preguntas

2

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

21:50 a 22:00

CV Relator

3

CV Relator Enterprise Risk Services Security & Privacy Services

María Esther Soto Consultor Senior Tel:+56 2 729 8766

Email: [email protected]

Estudios: •

Ingeniera informática- Universidad de Santiago de Chile

Ha participado en diversos proyectos relacionados con diagnóstico, rediseño, diseño e implementación de seguridad SAP: Corporación Sofofa, Unimarc, Metro, Empresas Taylor, Mutual de Seguridad, entre otras-

Experiencia relevante

Consultor Senior de Risk Consulting de la línea de Seguridad y Privacidad de Deloitte, Ingeniero en ejecución en computación e informática. Con cinco años de experiencia como desarrolladora en ABAP y cuatro años en Seguridad SAP. Además, ha participado en cursos de: Seguridad SAP y Metodología EVD en Deloitte. Actualmente participa como relatora de cursos tanto de Auditoría y Seguridad ERP SAP para capacitaciones abiertas y cerradas a clientes.

4

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Introducción a la Seguridad en SAP ERP

5

Introducción Comprender el concepto del ERP SAP 6.0 y conocer las distintas funcionalidades que este sistema posee, las cuales se traducen en módulos que interactúan de forma integrada para el procesamiento de las transacciones de negocio bajo una jerarquía organizacional.

Comprender los ámbitos que cubre el Basis Component de SAP y la importancia que el mismo tiene dentro de un modelo integrado de seguridad. Enfocar la seguridad de las aplicaciones como un todo, bajo el punto de vista de un modelo integrado de seguridad.

6

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Conceptos Hoja divisoria básicos – Times de SAP New Roman desde 52pt

7

Footer

Conceptos básicos de SAP ¿Qué es SAP? Arquitectura Cliente / Servidor multi-nivel.

Base (Middleware) soporta tecnología de sistemas abiertos. Business Framework Architecture, abierta a integración total con otros componentes y aplicaciones. Interfaz de usuario homogénea entre aplicaciones. Ambiente de desarrollo de fácil comprensión. Integración total entre aplicaciones. Amplio rango de servicios.

8

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Conceptos básicos de SAP ¿Qué es SAP? Capa 1

BD Principal

Capa de Base de Datos Información validada por el usuario

Datos para ver o cambiar

Capa 2

Buffer BD

Buffer BD

Capa de Aplicación Información de salida para el usuario

Información de entrada desde el usuario

Información de entrada desde el usuario

Capa 3 Capa de Presentación

9

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Información de salida para el usuario

Conceptos básicos de SAP Módulos de SAP

SD

FI

Sales & Distribution

Financial Accounting

MM

CO

Materials Mgmt.

Controlling

PP

AM

6.0

Production Planning

Fixed Assets Mgmt.

QM

PS

Quality Manage-ment

Project System

Cliente/ Servidor ABAP/4 PM Plant Main-tenance BC

10

WF Workflow

HR

IS

Human Resources

Industry Solutions

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Conceptos básicos de SAP Módulos de SAP

BC

• ABAP/4 Development Workbench • Computer Center Management System • Sistema de Transportes • Administración de la Base de Datos • Administración de Seguridad

Componente Basis ……..

11

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Conceptos básicos de SAP Módulos de SAP Categoria Funcional - Industry Solutions IS SAP High Tech & Electronics SAP Engineering & Construction SAP Consumer Products SAP Oil & Gas

SAP Transportation Business Information Warehouse

SAP Utilities

SAP Health Care

SAP Public Sector Sales Force Automation

...

SAP Telecomm

6.0 SAP Automotive

SAP Media

SAP Chemicals Advanced Planner & Optimizer

B2B Procurement

SAP Pharmaceuticals

SAP Retail SAP Aerospace & Defense SAP Banking SAP Service Providers

12

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Análisis General Módulo Basis

13

Overview de Componente Basis Modelo Integrado de Seguridad • SAP es solo una aplicación de muchísimas.... • Sólo estamos definiendo la seguridad para un elemento que junto a otros conformarían el engranaje total de seguridad Informática.

14

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Overview de Componente Basis Modelo Integrado de Seguridad



Cubre los siguientes ámbitos:

15

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Overview de Componente Basis Modelo Integrado de Seguridad

Módulos de 6.0

ABAP/4 Development Workbench 6.0 BASIS Sistema Operativo

16

Base de Datos

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Protocolo de Comunicac iones

GUI´S (Interfaces Gráficas de Usuario)

Overview de Componente Basis Control de Cambios - Landscape

Single Client / Single System Mandante

Multi Client / Single System Mandante

Instancia 6.0

Mandante

Instancia 6.0

Single Client / Single System / Multi Servers

17

Mandante

Mandante

Mandante

Mandante

Instancia 6.0

Instancia 6.0

Instancia 6.0

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Single Client / Multi system/ Single Servers Mandante

Mandante

Instancia 6.0

Mandante

Overview de Componente Basis Control de Cambios - Transporte

Mandante

Desarrollo

Transporte de cambios para Test

Instancia 6.0

Mandante

Control de Calidad

Liberación para producción

Instancia 6.0

Mandante

Producción Instancia 6.0

18

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Liberación para actualizaciones

Parámetros Hoja divisoria claves – Times de la New Roman Seguridad en desde SAP ERP 52pt

1 9

Footer

Seguridad de Usuarios Controles de Accesos Parámetros: Control de claves de acceso con parámetros del perfil del sistema .

Reglas definidas por el cliente: Programa : RSPARAM Transaccion : RSPFPAR

Ejecución directa de programas es una mala practica “riesgo de Seguridad” 20

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Seguridad de Usuarios Controles de Accesos Parámetros: Control de claves de acceso con parámetros del perfil del sistema RDISP/GUI_AUTO_LOGOUT • Segundos de inactividad antes de desactivar la sesión de un usuario. El valor 0 indica no se aplica la desactivación. El valor se mide en segundos, valor recomendado 20 minutos (valor 1200)

LOGIN/FAILS_TO_SESSION_END • Número de veces que un usuario puede ingresar una password incorrecta antes de que el sistema finalice los intentos de logon. El valor por defecto es 3. Se puede ingresar un rango entre 1 a 99. El valor recomendado es 3. LOGIN/FAILS_TO_USER_LOCK • Número de veces que un usuario puede ingresar una password incorrecta antes de que el sistema bloquee los intentos reiterativos. El bloqueo de la cuenta de usuario es automáticamente liberado a l medianoche del mismo día. valor recomendado de 3 a 5. LOGIN/MIN_PASSWORD_LNG • Número mínimo de caracteres que debe ser usados por una password. Por defecto se exigen 3. Puede ser un rango de 3 a 8. El valor recomendado es de 6 a 8.

LOGIN/PASSWORD_EXPIRATION_TIME • Número de días después de los cuales se debe cambiar la password. El valor por defecto es 0. El valor recomendado es 30 ó 45 días.

21

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Seguridad de Usuarios Controles de Accesos Parámetros: Control de claves de acceso con parámetros del perfil del sistema

Reglas definidas por el cliente: Programa : RSPARAM Transaccion : RSPFPAR

22

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Seguridad de Usuarios Controles de Accesos Parámetros: Control de claves de acceso con parámetros del perfil del sistema

Políticas de Seguridad de la Información

Parámetros de Seguridad SAP

23

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Reglas definidas por el cliente: Programa : RSPARAM Transaccion : RSPFPAR

Concepto de Autorización en SAP ERP

24

Introducción •

Comprender el concepto de autorización, sus derivadas y las diversas capas de seguridad que le permite al usuario del sistema SAP, poder ejecutar una transacción.



Asimismo, esta sesión tiene como objetivo que los alumnos conozcan la herramienta que permite construir los roles y perfiles de autorización para los privilegios de usuario y los distintos tipos de roles que existen y la utilidad que se le puede dar a cada uno de ellos.

25

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Seguridad de Autorizaciones Concepto de autorización Objeto de Autorización

Centro para OC

Unidad básica de seguridad

Autorización Instancia del objeto de autorización

Rol / Perfil

26

2.- Centro

Autorización #1

Autorización #2

1.-Actividad = Crear 2.-Centro = 001

1.-Actividad = Visual. 2.-Centro = Todos

Rol/Perfil #1

Rol/Perfil #2

(Crear OC) Representa tareas

1.- Actividad

*Autorización #1 *Otras autorizaciones

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

(Recepción Mat.) *Autorización #2 *Otras autorizaciones

Seguridad de Autorizaciones Concepto de autorización - Perfil

Perfil: Representa conjunto de autorizaciones

27

Perfil #1 (Crear PO) •Autorización #1 •Autoriz.Adicionales

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Perfil #2 (Recepción de bienes) •Autorización #2 •Autoriz.Adicionales

Seguridad de Autorizaciones Concepto de autorización - Perfil Rol: Representa conjunto de tareas de una función

28

Rol (Enpleado de Compras) •Perfil #1 •Perfiles Adicionales

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Rol (Empleado de Recepción) •Perfil #2 •Perfiles Adicionales

Seguridad de Autorizaciones Concepto de autorización Centro para OC

Objeto de Autorización

2.- Centro

Unidad básica de seguridad

Autorización Instancia del objeto de autorización

Rol / Perfil

1.- Actividad

Autorización #1

Autorización #2

1.-Actividad = Crear 2.-Centro = 001

1.-Actividad = Visual. 2.-Centro = Todos

Rol/Perfil #1 (Crear OC) *Autorización #1 *Otras autorizaciones

Rol/Perfil #2 (Recepción Mat.) *Autorización #2 *Otras autorizaciones

Representa tareas

Rol Compuesto Representa roles de trabajo 29

Rol Compuesto (Empleado compras) *Rol/Perfil #1 *Otros Roles/perfiles

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Rol Compuesto (Empleado recepción) *Rol/Perfil #2 *Otros Roles/perfiles

Seguridad de Autorizaciones Concepto de autorización Objeto principal

S_TCODE

Adicionado en la versión 3.0d Asegura transacciones individuales Primer objeto chequeado cuando un usuario ingresa una transacción

El objeto S_TCODE siempre debe tener status STANDAR“

30

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Seguridad de Autorizaciones Mecánica de Autorización Conociendo las 3 capas de seguridad estándar

Capa 1 Ejecute la Transacción

S_TCODE Capa 2

Capa 3 Crear Pedido de Compras

31

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Segregación Hoja divisoria de–Funciones Times New Roman desde 52pt

32

Introducción Segregación de Funciones •

Comprender el concepto de segregación funcional y su relación con las diversas capas de seguridad que le permite al usuario del sistema SAP, poder ejecutar una transacción a niveles organizacionales diferentes.



Identificar los puntos relevantes para mantener una adecuada segregación de funciones en la organización con el fin de mantener un sano control interno.



Entender el significado de una segregación funcional adecuada y su impacto para la información y los procesos realizados por la compañía, con el fin de prevenir fraudes y la integridad de la información

33

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Segregación de Funciones Tips •

Una de las principales actividades de control interno



Al aplicarlo a SAP podemos hacer referencia a la siguiente sentencia “La seguridad en un ERP, debe abordar el resguardo de la disponibilidad, confidencialidad e integridad de la información del negocio”



Tiene como objetivo prevenir o reducir el riesgo de errores o irregularidades, y en especial el fraude interno en las organizaciones



Permite asegurar que un individuo no pueda llevar a cabo todas las fases de una operación/transacción, desde su autorización, pasando por la custodia de activos y el mantenimiento de los registros maestros necesarios



Control de accesos transaccionales y de manejo de información

34

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Segregación Funcional de Funciones Segregación

Como mitigar los riesgos de errores y/o fraudes al limitar el acceso a transacciones críticas y/o conflictivas? Crear Proveedor (Compra)

Aprobar pedido de compras

Crear pedido de compras

Aprobar pedido de compras

Registrar factura acreedor

Registrar factura acreedor

35

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Segregación de Funciones Segregación Funcional

Escenario Riesgoso

Crear Proveedor (Compra)

RIESGO ¡¡¡¡ Que un usuario realice la creación de un proveedor ficticio y que las facturas sean registradas por el mismo usuario, las que se irían directo a la propuesta de pago automática

Escenario Típico de Fraude

Registrar factura acreedor

CONTROL 3 Alternativas: 1.- Segregar el acceso en 2 usuarios (Automático-preventivo) 2.- Implementar un control automático para que la factura se registre bloqueada y una instancia de control la aprueba (Automático – preventivo) 3.- Colocar un control de mitigación que consista en un reporte de monitoreo (semiautomático – detectivo)

36

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Segregación Funcional de Funciones Segregación Beneficios Beneficios • • • • •



37

Mayor control sobre el modelo de accesos de los usuarios, manteniendo procedimientos conocidos y establecidos. Mejorar el ambiente de control interno Reducir las acciones fraudulentos o mal intencionadas dentro de la compañía Mantener información sensible y crítica de la compañía en los usuarios que realmente responden a su nivel de responsabilidad. Mejorar los niveles de seguridad del sistema, según las buenas practicas Proteger eficientemente el ambiente que sustenta la información operacional y financiera del negocio.

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Ciclodivisoria Hoja de Seguridad – Times ABAP yNew Tablas Roman desde 52pt

38

Seguridad ABAP Ciclo Virtuoso de Seguridad de Programas ABAP

Catastro

Seguridad Autorización

Seguridad ABAP

Marco de Gobernabilidad

Seguridad Transacción

39

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Seguridad Grupo de Autorización

Seguridad ABAP Ciclo Virtuoso de Seguridad de Tablas

Catastro

Seguridad Autorización

Marco de Gobernabilidad

Seguridad Transacción

40

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Seguridad Grupo de Autorización

1 . - Ve r i f i c a r l o s o b j e t o s a c t i v o s para la transacción PFCG (SU24)

Herramientas de Seguridad ERP SAP 2.- Realizar un ajuste masivo de roles

3.- Buscar que transacción leen el o b j e t o S _ TA B U _ D I S

41 41

© 2011 Deloitte

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Herramientas de Monitoreo Autorizaciones Transacción ST01 : Trace de sistema

42

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Me permite hacer rastreo ejecución de autorizaciones por parte de los usuarios

Herramientas de Monitoreo Autorizaciones Transacción ST03N : Carga de Trabajo del Sistema Me permite revisar transacciones ejecutadas históricamente por los usuarios

43

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Herramientas de Gestion Usuarios Transacción SUIM : Sistema de información de usuarios

44

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

SAP GRC Hoja divisoria Access – Times Control y New su relación Romancon desde el concepto 52pt de autorizaciones

4 5

Footer

SAP GRC Access Control

GRC Access Control

Objetivos

El siguiente cuadro presenta la secuencia de implementación y uso de los distintos módulos de la herramienta SAP GRC Access Control. Gestión y Control de Accesos

Identificar y Analizar Riesgos

Administrar Roles de Acceso

Administrar accesos críticos

Business Role Management - BRM

Emergency Access Management – EAM

Provision and Manage User – PMU

Solución para definición y gestión de Roles

Solución para control de acceso privilegiado

Solución de provisionamiento

Prevenir

Analyze and Manage Risk – AMR Solución de análisis, detección y remediación de riesgos de acceso y autorización

Prevención sustentable de infracciones a la segregación de funciones

46

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Arquitectura de generación de riesgos en GRC Acces Control SAP

47

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Preguntas…

48

Enterprise Risk Services | Security & Privacy Services | GRC Solutions

Oficina central Av. Providencia 1760 Pisos 6, 7, 8, 9, 13 y 18 Providencia, Santiago Chile Fono: (56-2) 729 7000 Fax: (56-2) 374 9177 e-mail: [email protected] Regiones Cap. Arturo Prat 461 Oficina 1902 Antofagasta Chile Fono: (56-55) 44 9660 Fax: (56-55) 44 9662 e-mail: [email protected] 1 Poniente 123 Piso 7 Viña del Mar Chile Fono: (56-32) 246 6111 Fax: (56-32) 246 6086 e-mail: [email protected] O’Higgins 940 Piso 6 Concepción Chile Fono: (56-41) 291 4055 Fax: (56-41) 291 4066 e-mail: [email protected]

Audi t Consul t i ng Tax &Legal Risk Consul t i ng Fi nancial Advi sory Servi ces Out sourci ng Deloitte® se refiere a Deloitte Touche Tohmatsu -asociación suiza- y a su red de firmas miembro, cada una como una entidad única e independiente. Por favor, vea en www.deloitte.cl/acerca de la descripción detallada de la estructura legal de Deloitte Touche Tohmatsu y sus Firmas miembro. ©

2012 Deloitte. Miembro de Deloitte Touche Tohmatsu Todos los derechos reservados.

49

Libertador Bernardo O’Higgins 167 Oficina 603 Puerto Montt Chile Fono: (56-65) 288 600 Fax: (56-65) 298 600 e-mail: [email protected]

www.deloitte.cl

Loading...

Taller de Seguridad SAP ERP - ISACA

Isaca Santiago Chapter Ciclo de Talleres Técnicos 2014 Taller de Seguridad SAP ERP Relator: María Esther Soto Consultor Senior ERS / Deloitte Enterp...

5MB Sizes 5 Downloads 0 Views

Recommend Documents

Sap erp pdf download
SAP eBooks - IT eBook free first takes a deep dive into common pitfalls in implementing SAP ERP projects in a complex IT

SAP ERP - Wikipedia
SAP ERP is enterprise resource planning software developed by the German company SAP SE. SAP ERP incorporates the key bu

Discover SAP ERP HCM
As befitting an SAP ERP HCM system that is used by over 10,000 companies around the world, you can store almost any data

SAP Archives - ERP Suites
SAP has a very robust process for ensuring that invoices are matched against the PO and GR. ... SAP will be verifying th

Introduction to SAP ERP
WHY ERP /SAP. A,P,SHRINGI. 4. Well integrated SAP has been implemented 9 out of 10 fortune 500 companies. It brings disc

Zeitliche Abgrenzung | SAP ERP | SAP Help Portal
Verwendung. Mit Hilfe dieses Reports führen Sie zeitliche Zins- und Disagio/Agio-Abgrenzungen durch. Das System ermitte

Guide SAP Security Optimization Self-Service - ISACA
How to – Guide SAP Security Optimization Self-Service. This document describes how to use the SAP Security Optimizatio

Acerca de ISACA
COBIT 5 Español. ISACA® (isaca.org) ayuda a los profesionales globales a liderar, adaptar y asegurar la confianza en u

Sap erp tutorial for beginners
be/CxUv-RRwAA4 For in-depth training for different This Pin was discovered by Rod Silva. Use policy, to sap tutorial for

ERP CERTIFICATION MATERIALS : SAP ACTIVATE
ACT100, ACT200, S4H01 Course Materials. For more details you can mail us [email protected]; SAP Activate - S/4HANA 151