Taller de Seguridad SAP ERP

Transcription

Taller de Seguridad SAP ERP
Isaca Santiago Chapter
Ciclo de Talleres Técnicos 2014
Taller de Seguridad SAP ERP
Relator:
María Esther Soto
Consultor Senior
ERS / Deloitte
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Marzo, 2014
Tabla de contenido
1. CV Relator.
19:00 a 19:05
2. Introducción a la seguridad en SAP ERP.
19:06 a 19:25
3. Parámetros claves de la seguridad en SAP ERP
19:26 a 19:40
4. Concepto de autorización en SAP ERP
19:41 a 20:20
5. Segregación de Funciones en SAP ERP
20:21 a 20:45
6. Break
20:46 a 21:00
7. Herramientas de seguridad en SAP ERP
21:01 a 21:20
8. Ciclo de Seguridad ABAP y Tablas Z
21:21 a 21:35
9. SAP GRC Access Control y su relación con el
21:36 a 21:49
concepto de autorización.
10. Preguntas
2
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
21:50 a 22:00
CV Relator
3
CV Relator
Enterprise Risk Services
Security & Privacy Services
María Esther Soto
Consultor Senior
Tel:+56 2 729 8766
Email: mariasoto@DELOITTE.com
Estudios:
•
Ingeniera informática- Universidad de Santiago de Chile
Ha participado en diversos proyectos relacionados con
diagnóstico, rediseño, diseño e implementación de seguridad
SAP: Corporación Sofofa, Unimarc, Metro, Empresas Taylor,
Mutual de Seguridad, entre otras-
Experiencia relevante
Consultor Senior de Risk Consulting de la línea de Seguridad
y Privacidad de Deloitte, Ingeniero en ejecución en
computación e informática. Con cinco años de experiencia
como desarrolladora en ABAP y cuatro años en Seguridad
SAP.
Además, ha participado en cursos de: Seguridad SAP y
Metodología EVD en Deloitte.
Actualmente participa como relatora de cursos tanto de
Auditoría y Seguridad ERP SAP para capacitaciones abiertas
y cerradas a clientes.
4
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Introducción a la Seguridad en
SAP ERP
5
Introducción
Comprender el concepto del ERP SAP 6.0 y conocer las distintas
funcionalidades que este sistema posee, las cuales se traducen en
módulos que interactúan de forma integrada para el procesamiento de
las transacciones de negocio bajo una jerarquía organizacional.
Comprender los ámbitos que cubre el Basis Component de SAP y la
importancia que el mismo tiene dentro de un modelo integrado de
seguridad.
Enfocar la seguridad de las aplicaciones como un todo, bajo el punto
de vista de un modelo integrado de seguridad.
6
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Conceptos
Hoja
divisoria
básicos
– Times
de SAP
New Roman desde 52pt
7
Footer
Conceptos básicos de SAP
¿Qué es SAP?
Arquitectura Cliente / Servidor multi-nivel.
Base (Middleware) soporta tecnología de sistemas abiertos.
Business Framework Architecture, abierta a integración total
con otros componentes y aplicaciones.
Interfaz de usuario homogénea entre aplicaciones.
Ambiente de desarrollo de fácil comprensión.
Integración total entre aplicaciones.
Amplio rango de servicios.
8
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Conceptos básicos de SAP
¿Qué es SAP?
Capa 1
BD Principal
Capa de Base de Datos
Información
validada por
el usuario
Datos para
ver o cambiar
Capa 2
Buffer BD
Buffer BD
Capa de Aplicación
Información
de salida
para el
usuario
Información
de entrada
desde el usuario
Información
de entrada
desde el
usuario
Capa 3
Capa de Presentación
9
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Información
de salida
para el
usuario
Conceptos básicos de SAP
Módulos de SAP
SD
FI
Sales &
Distribution
Financial
Accounting
MM
CO
Materials
Mgmt.
Controlling
PP
AM
6.0
Production
Planning
Fixed Assets
Mgmt.
QM
PS
Quality
Manage-ment
Project
System
Cliente/ Servidor
ABAP/4
PM
Plant Main-tenance
BC
10
WF
Workflow
HR
IS
Human
Resources
Industry
Solutions
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Conceptos básicos de SAP
Módulos de SAP
BC
• ABAP/4 Development Workbench
• Computer Center Management System
• Sistema de Transportes
• Administración de la Base de Datos
• Administración de Seguridad
Componente Basis ……..
11
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Conceptos básicos de SAP
Módulos de SAP
Categoria Funcional - Industry Solutions IS
SAP High Tech & Electronics
SAP Engineering & Construction
SAP Consumer Products
SAP Oil & Gas
SAP Transportation
Business
Information
Warehouse
SAP Utilities
SAP Health Care
SAP Public Sector
Sales
Force
Automation
...
SAP Telecomm
6.0
SAP Automotive
SAP Media
SAP Chemicals
Advanced
Planner &
Optimizer
B2B
Procurement
SAP Pharmaceuticals
SAP Retail
SAP Aerospace & Defense
SAP Banking
SAP Service Providers
12
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Análisis General Módulo
Basis
13
Overview de Componente Basis
Modelo Integrado de Seguridad
• SAP es solo una aplicación de muchísimas....
• Sólo estamos definiendo la seguridad para un elemento que
junto a otros conformarían el engranaje total de seguridad
Informática.
14
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Overview de Componente Basis
Modelo Integrado de Seguridad
•
Cubre los siguientes ámbitos:
15
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Overview de Componente Basis
Modelo Integrado de Seguridad
Módulos de 6.0
ABAP/4 Development Workbench
6.0 BASIS
Sistema
Operativo
16
Base de
Datos
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Protocolo
de
Comunicac
iones
GUI´S
(Interfaces
Gráficas
de
Usuario)
Overview de Componente Basis
Control de Cambios - Landscape
Single Client / Single System
Mandante
Multi Client / Single System
Mandante
Instancia 6.0
Mandante
Instancia 6.0
Single Client / Single System
/ Multi Servers
17
Mandante
Mandante
Mandante
Mandante
Instancia 6.0
Instancia 6.0
Instancia 6.0
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Single Client / Multi system/
Single Servers
Mandante
Mandante
Instancia 6.0
Mandante
Overview de Componente Basis
Control de Cambios - Transporte
Mandante
Desarrollo
Transporte de cambios para Test
Instancia 6.0
Mandante
Control
de Calidad
Liberación para producción
Instancia 6.0
Mandante
Producción
Instancia 6.0
18
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Liberación para
actualizaciones
Parámetros
Hoja
divisoria
claves
– Times
de la
New Roman
Seguridad
en desde
SAP ERP
52pt
1
9
Footer
Seguridad de Usuarios
Controles de Accesos
Parámetros: Control de claves de acceso con parámetros del
perfil del sistema
.
Reglas definidas por
el cliente:
Programa : RSPARAM
Transaccion : RSPFPAR
Ejecución directa
de programas es
una mala practica
“riesgo de
Seguridad”
20
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Seguridad de Usuarios
Controles de Accesos
Parámetros: Control de claves de acceso con parámetros del
perfil del sistema
RDISP/GUI_AUTO_LOGOUT
• Segundos de inactividad antes de desactivar la sesión de un usuario. El valor 0 indica no se aplica la
desactivación. El valor se mide en segundos, valor recomendado 20 minutos (valor 1200)
LOGIN/FAILS_TO_SESSION_END
• Número de veces que un usuario puede ingresar una password incorrecta antes de que el sistema finalice
los intentos de logon. El valor por defecto es 3. Se puede ingresar un rango entre 1 a 99. El valor
recomendado es 3.
LOGIN/FAILS_TO_USER_LOCK
• Número de veces que un usuario puede ingresar una password incorrecta antes de que el sistema bloquee
los intentos reiterativos. El bloqueo de la cuenta de usuario es automáticamente liberado a l medianoche
del mismo día. valor recomendado de 3 a 5.
LOGIN/MIN_PASSWORD_LNG
• Número mínimo de caracteres que debe ser usados por una password. Por defecto se exigen 3. Puede
ser un rango de 3 a 8. El valor recomendado es de 6 a 8.
LOGIN/PASSWORD_EXPIRATION_TIME
• Número de días después de los cuales se debe cambiar la password. El valor por defecto es 0. El valor
recomendado es 30 ó 45 días.
21
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Seguridad de Usuarios
Controles de Accesos
Parámetros: Control de claves de acceso con parámetros del
perfil del sistema
Reglas definidas por
el cliente:
Programa : RSPARAM
Transaccion : RSPFPAR
22
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Seguridad de Usuarios
Controles de Accesos
Parámetros: Control de claves de acceso con parámetros del
perfil del sistema
Políticas de
Seguridad de la
Información
Parámetros de
Seguridad SAP
23
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Reglas definidas por
el cliente:
Programa : RSPARAM
Transaccion : RSPFPAR
Concepto de Autorización
en SAP ERP
24
Introducción
•
Comprender el concepto de autorización, sus derivadas y las
diversas capas de seguridad que le permite al usuario del
sistema SAP, poder ejecutar una transacción.
•
Asimismo, esta sesión tiene como objetivo que los alumnos
conozcan la herramienta que permite construir los roles y
perfiles de autorización para los privilegios de usuario y los
distintos tipos de roles que existen y la utilidad que se le puede
dar a cada uno de ellos.
25
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Seguridad de Autorizaciones
Concepto de autorización
Objeto de
Autorización
Centro para
OC
Unidad básica de
seguridad
Autorización
Instancia del objeto
de autorización
Rol / Perfil
26
2.- Centro
Autorización #1
Autorización #2
1.-Actividad = Crear
2.-Centro = 001
1.-Actividad = Visual.
2.-Centro = Todos
Rol/Perfil #1
Rol/Perfil #2
(Crear OC)
Representa tareas
1.- Actividad
*Autorización #1
*Otras autorizaciones
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
(Recepción Mat.)
*Autorización #2
*Otras autorizaciones
Seguridad de Autorizaciones
Concepto de autorización - Perfil
Perfil:
Representa
conjunto de
autorizaciones
27
Perfil #1
(Crear PO)
•Autorización #1
•Autoriz.Adicionales
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Perfil #2
(Recepción de bienes)
•Autorización #2
•Autoriz.Adicionales
Seguridad de Autorizaciones
Concepto de autorización - Perfil
Rol:
Representa
conjunto de
tareas de una
función
28
Rol
(Enpleado de Compras)
•Perfil #1
•Perfiles Adicionales
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Rol
(Empleado de Recepción)
•Perfil #2
•Perfiles Adicionales
Seguridad de Autorizaciones
Concepto de autorización
Centro para
OC
Objeto de
Autorización
2.- Centro
Unidad básica de
seguridad
Autorización
Instancia del objeto
de autorización
Rol / Perfil
1.- Actividad
Autorización #1
Autorización #2
1.-Actividad = Crear
2.-Centro = 001
1.-Actividad = Visual.
2.-Centro = Todos
Rol/Perfil #1
(Crear OC)
*Autorización #1
*Otras autorizaciones
Rol/Perfil #2
(Recepción Mat.)
*Autorización #2
*Otras autorizaciones
Representa tareas
Rol
Compuesto
Representa roles
de trabajo
29
Rol Compuesto
(Empleado compras)
*Rol/Perfil #1
*Otros Roles/perfiles
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Rol Compuesto
(Empleado recepción)
*Rol/Perfil #2
*Otros Roles/perfiles
Seguridad de Autorizaciones
Concepto de autorización
Objeto principal
S_TCODE
Adicionado en la versión 3.0d
Asegura transacciones individuales
Primer objeto chequeado cuando un
usuario ingresa una transacción
El objeto S_TCODE siempre debe tener
status STANDAR“
30
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Seguridad de Autorizaciones
Mecánica de Autorización
Conociendo las 3 capas de seguridad estándar
Capa 1
Ejecute la
Transacción
S_TCODE
Capa 2
Capa 3
Crear Pedido
de Compras
31
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Segregación
Hoja
divisoria
de–Funciones
Times
New Roman desde 52pt
32
Introducción
Segregación de Funciones
•
Comprender el concepto de segregación funcional y su relación con las
diversas capas de seguridad que le permite al usuario del sistema SAP,
poder ejecutar una transacción a niveles organizacionales diferentes.
•
Identificar los puntos relevantes para mantener una adecuada segregación
de funciones en la organización con el fin de mantener un sano control
interno.
•
Entender el significado de una segregación funcional adecuada y su
impacto para la información y los procesos realizados por la compañía, con
el fin de prevenir fraudes y la integridad de la información
33
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Segregación de Funciones
Tips
•
Una de las principales actividades de control interno
•
Al aplicarlo a SAP podemos hacer referencia a la siguiente sentencia
“La seguridad en un ERP, debe abordar el resguardo de la
disponibilidad, confidencialidad e integridad de la información del
negocio”
•
Tiene como objetivo prevenir o reducir el riesgo de errores o
irregularidades, y en especial el fraude interno en las organizaciones
•
Permite asegurar que un individuo no pueda llevar a cabo todas las
fases de una operación/transacción, desde su autorización, pasando
por la custodia de activos y el mantenimiento de los registros maestros
necesarios
•
Control de accesos transaccionales y de manejo de información
34
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Segregación Funcional
de Funciones
Segregación
Como mitigar los riesgos de errores y/o fraudes al limitar el
acceso a transacciones críticas y/o conflictivas?
Crear Proveedor (Compra)
Aprobar pedido de compras
Crear pedido de compras
Aprobar pedido de compras
Registrar factura acreedor
Registrar factura acreedor
35
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Segregación de Funciones
Segregación Funcional
Escenario Riesgoso
Crear Proveedor (Compra)
RIESGO ¡¡¡¡
Que un usuario realice la creación de un
proveedor ficticio y que las facturas sean
registradas por el mismo usuario, las que
se irían directo a la propuesta de pago
automática
Escenario Típico de Fraude
Registrar factura acreedor
CONTROL
3 Alternativas:
1.- Segregar el acceso en 2 usuarios
(Automático-preventivo)
2.- Implementar un control automático para
que la factura se registre bloqueada y una
instancia de control la aprueba (Automático –
preventivo)
3.- Colocar un control de mitigación que
consista en un reporte de monitoreo
(semiautomático – detectivo)
36
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Segregación Funcional
de Funciones
Segregación
Beneficios
Beneficios
•
•
•
•
•
•
37
Mayor control sobre el modelo de accesos de los usuarios,
manteniendo procedimientos conocidos y establecidos.
Mejorar el ambiente de control interno
Reducir las acciones fraudulentos o mal intencionadas dentro de la
compañía
Mantener información sensible y crítica de la compañía en los usuarios
que realmente responden a su nivel de responsabilidad.
Mejorar los niveles de seguridad del sistema, según las buenas
practicas
Proteger eficientemente el ambiente que sustenta la información
operacional y financiera del negocio.
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Ciclodivisoria
Hoja
de Seguridad
– Times
ABAP
yNew
Tablas
Roman desde 52pt
38
Seguridad ABAP
Ciclo Virtuoso de Seguridad de Programas ABAP
Catastro
Seguridad
Autorización
Seguridad
ABAP
Marco de
Gobernabilidad
Seguridad
Transacción
39
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Seguridad
Grupo de
Autorización
Seguridad ABAP
Ciclo Virtuoso de Seguridad de Tablas
Catastro
Seguridad
Autorización
Marco de
Gobernabilidad
Seguridad
Transacción
40
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Seguridad
Grupo de
Autorización
1 . - Ve r i f i c a r l o s o b j e t o s a c t i v o s
para la transacción PFCG (SU24)
Herramientas de Seguridad
ERP SAP
2.- Realizar un ajuste masivo de
roles
3.- Buscar que transacción leen el
o b j e t o S _ TA B U _ D I S
41
41
© 2011 Deloitte
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Herramientas de Monitoreo
Autorizaciones
Transacción ST01 : Trace de sistema
42
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Me permite hacer
rastreo ejecución
de autorizaciones
por parte de los
usuarios
Herramientas de Monitoreo
Autorizaciones
Transacción ST03N : Carga de Trabajo del Sistema
Me permite revisar
transacciones
ejecutadas
históricamente por
los usuarios
43
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Herramientas de Gestion
Usuarios
Transacción SUIM : Sistema de información de usuarios
44
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
SAP GRC
Hoja
divisoria
Access
– Times
Control y
New
su
relación
Romancon
desde
el concepto
52pt
de
autorizaciones
4
5
Footer
SAP GRC Access Control
GRC Access Control
Objetivos
El siguiente cuadro presenta la secuencia de implementación y uso de los distintos
módulos de la herramienta SAP GRC Access Control.
Gestión y Control de Accesos
Identificar y
Analizar Riesgos
Administrar Roles
de Acceso
Administrar accesos
críticos
Business Role
Management - BRM
Emergency Access
Management – EAM
Provision and Manage
User – PMU
Solución para definición y
gestión de Roles
Solución para control de
acceso privilegiado
Solución de
provisionamiento
Prevenir
Analyze and Manage Risk – AMR
Solución de análisis, detección y
remediación de riesgos de acceso y autorización
Prevención sustentable de infracciones a la segregación de funciones
46
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Arquitectura de generación de riesgos en
GRC Acces Control SAP
47
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Preguntas…
48
Enterprise Risk Services | Security & Privacy Services | GRC Solutions
Oficina central
Av. Providencia 1760
Pisos 6, 7, 8, 9, 13 y 18
Providencia, Santiago
Chile
Fono: (56-2) 729 7000
Fax: (56-2) 374 9177
e-mail: deloittechile@deloitte.com
Regiones
Cap. Arturo Prat 461
Oficina 1902
Antofagasta
Chile
Fono: (56-55) 44 9660
Fax: (56-55) 44 9662
e-mail: antofagasta@deloitte.com
1 Poniente 123
Piso 7
Viña del Mar
Chile
Fono: (56-32) 246 6111
Fax: (56-32) 246 6086
e-mail: vregionchile@deloitte.com
O’Higgins 940
Piso 6
Concepción
Chile
Fono: (56-41) 291 4055
Fax: (56-41) 291 4066
e-mail:
concepcionchile@deloitte.com
Audi t Consul t i ng Tax &Legal Risk Consul t i ng
Fi nancial Advi sory Servi ces Out sourci ng
Deloitte® se refiere a Deloitte Touche Tohmatsu -asociación suiza- y a su red de firmas miembro,
cada una como una entidad única e independiente. Por favor, vea en www.deloitte.cl/acerca de la
descripción detallada de la estructura legal de Deloitte Touche Tohmatsu y sus Firmas miembro.
©
2012 Deloitte. Miembro de Deloitte Touche Tohmatsu
Todos los derechos reservados.
49
Libertador Bernardo O’Higgins 167
Oficina 603
Puerto Montt
Chile
Fono: (56-65) 288 600
Fax: (56-65) 298 600
e-mail: puertomontt@deloitte.com
www.deloitte.cl