Taller de Seguridad SAP ERP
Transcription
Taller de Seguridad SAP ERP
Isaca Santiago Chapter Ciclo de Talleres Técnicos 2014 Taller de Seguridad SAP ERP Relator: María Esther Soto Consultor Senior ERS / Deloitte Enterprise Risk Services | Security & Privacy Services | GRC Solutions Marzo, 2014 Tabla de contenido 1. CV Relator. 19:00 a 19:05 2. Introducción a la seguridad en SAP ERP. 19:06 a 19:25 3. Parámetros claves de la seguridad en SAP ERP 19:26 a 19:40 4. Concepto de autorización en SAP ERP 19:41 a 20:20 5. Segregación de Funciones en SAP ERP 20:21 a 20:45 6. Break 20:46 a 21:00 7. Herramientas de seguridad en SAP ERP 21:01 a 21:20 8. Ciclo de Seguridad ABAP y Tablas Z 21:21 a 21:35 9. SAP GRC Access Control y su relación con el 21:36 a 21:49 concepto de autorización. 10. Preguntas 2 Enterprise Risk Services | Security & Privacy Services | GRC Solutions 21:50 a 22:00 CV Relator 3 CV Relator Enterprise Risk Services Security & Privacy Services María Esther Soto Consultor Senior Tel:+56 2 729 8766 Email: mariasoto@DELOITTE.com Estudios: • Ingeniera informática- Universidad de Santiago de Chile Ha participado en diversos proyectos relacionados con diagnóstico, rediseño, diseño e implementación de seguridad SAP: Corporación Sofofa, Unimarc, Metro, Empresas Taylor, Mutual de Seguridad, entre otras- Experiencia relevante Consultor Senior de Risk Consulting de la línea de Seguridad y Privacidad de Deloitte, Ingeniero en ejecución en computación e informática. Con cinco años de experiencia como desarrolladora en ABAP y cuatro años en Seguridad SAP. Además, ha participado en cursos de: Seguridad SAP y Metodología EVD en Deloitte. Actualmente participa como relatora de cursos tanto de Auditoría y Seguridad ERP SAP para capacitaciones abiertas y cerradas a clientes. 4 Enterprise Risk Services | Security & Privacy Services | GRC Solutions Introducción a la Seguridad en SAP ERP 5 Introducción Comprender el concepto del ERP SAP 6.0 y conocer las distintas funcionalidades que este sistema posee, las cuales se traducen en módulos que interactúan de forma integrada para el procesamiento de las transacciones de negocio bajo una jerarquía organizacional. Comprender los ámbitos que cubre el Basis Component de SAP y la importancia que el mismo tiene dentro de un modelo integrado de seguridad. Enfocar la seguridad de las aplicaciones como un todo, bajo el punto de vista de un modelo integrado de seguridad. 6 Enterprise Risk Services | Security & Privacy Services | GRC Solutions Conceptos Hoja divisoria básicos – Times de SAP New Roman desde 52pt 7 Footer Conceptos básicos de SAP ¿Qué es SAP? Arquitectura Cliente / Servidor multi-nivel. Base (Middleware) soporta tecnología de sistemas abiertos. Business Framework Architecture, abierta a integración total con otros componentes y aplicaciones. Interfaz de usuario homogénea entre aplicaciones. Ambiente de desarrollo de fácil comprensión. Integración total entre aplicaciones. Amplio rango de servicios. 8 Enterprise Risk Services | Security & Privacy Services | GRC Solutions Conceptos básicos de SAP ¿Qué es SAP? Capa 1 BD Principal Capa de Base de Datos Información validada por el usuario Datos para ver o cambiar Capa 2 Buffer BD Buffer BD Capa de Aplicación Información de salida para el usuario Información de entrada desde el usuario Información de entrada desde el usuario Capa 3 Capa de Presentación 9 Enterprise Risk Services | Security & Privacy Services | GRC Solutions Información de salida para el usuario Conceptos básicos de SAP Módulos de SAP SD FI Sales & Distribution Financial Accounting MM CO Materials Mgmt. Controlling PP AM 6.0 Production Planning Fixed Assets Mgmt. QM PS Quality Manage-ment Project System Cliente/ Servidor ABAP/4 PM Plant Main-tenance BC 10 WF Workflow HR IS Human Resources Industry Solutions Enterprise Risk Services | Security & Privacy Services | GRC Solutions Conceptos básicos de SAP Módulos de SAP BC • ABAP/4 Development Workbench • Computer Center Management System • Sistema de Transportes • Administración de la Base de Datos • Administración de Seguridad Componente Basis …….. 11 Enterprise Risk Services | Security & Privacy Services | GRC Solutions Conceptos básicos de SAP Módulos de SAP Categoria Funcional - Industry Solutions IS SAP High Tech & Electronics SAP Engineering & Construction SAP Consumer Products SAP Oil & Gas SAP Transportation Business Information Warehouse SAP Utilities SAP Health Care SAP Public Sector Sales Force Automation ... SAP Telecomm 6.0 SAP Automotive SAP Media SAP Chemicals Advanced Planner & Optimizer B2B Procurement SAP Pharmaceuticals SAP Retail SAP Aerospace & Defense SAP Banking SAP Service Providers 12 Enterprise Risk Services | Security & Privacy Services | GRC Solutions Análisis General Módulo Basis 13 Overview de Componente Basis Modelo Integrado de Seguridad • SAP es solo una aplicación de muchísimas.... • Sólo estamos definiendo la seguridad para un elemento que junto a otros conformarían el engranaje total de seguridad Informática. 14 Enterprise Risk Services | Security & Privacy Services | GRC Solutions Overview de Componente Basis Modelo Integrado de Seguridad • Cubre los siguientes ámbitos: 15 Enterprise Risk Services | Security & Privacy Services | GRC Solutions Overview de Componente Basis Modelo Integrado de Seguridad Módulos de 6.0 ABAP/4 Development Workbench 6.0 BASIS Sistema Operativo 16 Base de Datos Enterprise Risk Services | Security & Privacy Services | GRC Solutions Protocolo de Comunicac iones GUI´S (Interfaces Gráficas de Usuario) Overview de Componente Basis Control de Cambios - Landscape Single Client / Single System Mandante Multi Client / Single System Mandante Instancia 6.0 Mandante Instancia 6.0 Single Client / Single System / Multi Servers 17 Mandante Mandante Mandante Mandante Instancia 6.0 Instancia 6.0 Instancia 6.0 Enterprise Risk Services | Security & Privacy Services | GRC Solutions Single Client / Multi system/ Single Servers Mandante Mandante Instancia 6.0 Mandante Overview de Componente Basis Control de Cambios - Transporte Mandante Desarrollo Transporte de cambios para Test Instancia 6.0 Mandante Control de Calidad Liberación para producción Instancia 6.0 Mandante Producción Instancia 6.0 18 Enterprise Risk Services | Security & Privacy Services | GRC Solutions Liberación para actualizaciones Parámetros Hoja divisoria claves – Times de la New Roman Seguridad en desde SAP ERP 52pt 1 9 Footer Seguridad de Usuarios Controles de Accesos Parámetros: Control de claves de acceso con parámetros del perfil del sistema . Reglas definidas por el cliente: Programa : RSPARAM Transaccion : RSPFPAR Ejecución directa de programas es una mala practica “riesgo de Seguridad” 20 Enterprise Risk Services | Security & Privacy Services | GRC Solutions Seguridad de Usuarios Controles de Accesos Parámetros: Control de claves de acceso con parámetros del perfil del sistema RDISP/GUI_AUTO_LOGOUT • Segundos de inactividad antes de desactivar la sesión de un usuario. El valor 0 indica no se aplica la desactivación. El valor se mide en segundos, valor recomendado 20 minutos (valor 1200) LOGIN/FAILS_TO_SESSION_END • Número de veces que un usuario puede ingresar una password incorrecta antes de que el sistema finalice los intentos de logon. El valor por defecto es 3. Se puede ingresar un rango entre 1 a 99. El valor recomendado es 3. LOGIN/FAILS_TO_USER_LOCK • Número de veces que un usuario puede ingresar una password incorrecta antes de que el sistema bloquee los intentos reiterativos. El bloqueo de la cuenta de usuario es automáticamente liberado a l medianoche del mismo día. valor recomendado de 3 a 5. LOGIN/MIN_PASSWORD_LNG • Número mínimo de caracteres que debe ser usados por una password. Por defecto se exigen 3. Puede ser un rango de 3 a 8. El valor recomendado es de 6 a 8. LOGIN/PASSWORD_EXPIRATION_TIME • Número de días después de los cuales se debe cambiar la password. El valor por defecto es 0. El valor recomendado es 30 ó 45 días. 21 Enterprise Risk Services | Security & Privacy Services | GRC Solutions Seguridad de Usuarios Controles de Accesos Parámetros: Control de claves de acceso con parámetros del perfil del sistema Reglas definidas por el cliente: Programa : RSPARAM Transaccion : RSPFPAR 22 Enterprise Risk Services | Security & Privacy Services | GRC Solutions Seguridad de Usuarios Controles de Accesos Parámetros: Control de claves de acceso con parámetros del perfil del sistema Políticas de Seguridad de la Información Parámetros de Seguridad SAP 23 Enterprise Risk Services | Security & Privacy Services | GRC Solutions Reglas definidas por el cliente: Programa : RSPARAM Transaccion : RSPFPAR Concepto de Autorización en SAP ERP 24 Introducción • Comprender el concepto de autorización, sus derivadas y las diversas capas de seguridad que le permite al usuario del sistema SAP, poder ejecutar una transacción. • Asimismo, esta sesión tiene como objetivo que los alumnos conozcan la herramienta que permite construir los roles y perfiles de autorización para los privilegios de usuario y los distintos tipos de roles que existen y la utilidad que se le puede dar a cada uno de ellos. 25 Enterprise Risk Services | Security & Privacy Services | GRC Solutions Seguridad de Autorizaciones Concepto de autorización Objeto de Autorización Centro para OC Unidad básica de seguridad Autorización Instancia del objeto de autorización Rol / Perfil 26 2.- Centro Autorización #1 Autorización #2 1.-Actividad = Crear 2.-Centro = 001 1.-Actividad = Visual. 2.-Centro = Todos Rol/Perfil #1 Rol/Perfil #2 (Crear OC) Representa tareas 1.- Actividad *Autorización #1 *Otras autorizaciones Enterprise Risk Services | Security & Privacy Services | GRC Solutions (Recepción Mat.) *Autorización #2 *Otras autorizaciones Seguridad de Autorizaciones Concepto de autorización - Perfil Perfil: Representa conjunto de autorizaciones 27 Perfil #1 (Crear PO) •Autorización #1 •Autoriz.Adicionales Enterprise Risk Services | Security & Privacy Services | GRC Solutions Perfil #2 (Recepción de bienes) •Autorización #2 •Autoriz.Adicionales Seguridad de Autorizaciones Concepto de autorización - Perfil Rol: Representa conjunto de tareas de una función 28 Rol (Enpleado de Compras) •Perfil #1 •Perfiles Adicionales Enterprise Risk Services | Security & Privacy Services | GRC Solutions Rol (Empleado de Recepción) •Perfil #2 •Perfiles Adicionales Seguridad de Autorizaciones Concepto de autorización Centro para OC Objeto de Autorización 2.- Centro Unidad básica de seguridad Autorización Instancia del objeto de autorización Rol / Perfil 1.- Actividad Autorización #1 Autorización #2 1.-Actividad = Crear 2.-Centro = 001 1.-Actividad = Visual. 2.-Centro = Todos Rol/Perfil #1 (Crear OC) *Autorización #1 *Otras autorizaciones Rol/Perfil #2 (Recepción Mat.) *Autorización #2 *Otras autorizaciones Representa tareas Rol Compuesto Representa roles de trabajo 29 Rol Compuesto (Empleado compras) *Rol/Perfil #1 *Otros Roles/perfiles Enterprise Risk Services | Security & Privacy Services | GRC Solutions Rol Compuesto (Empleado recepción) *Rol/Perfil #2 *Otros Roles/perfiles Seguridad de Autorizaciones Concepto de autorización Objeto principal S_TCODE Adicionado en la versión 3.0d Asegura transacciones individuales Primer objeto chequeado cuando un usuario ingresa una transacción El objeto S_TCODE siempre debe tener status STANDAR“ 30 Enterprise Risk Services | Security & Privacy Services | GRC Solutions Seguridad de Autorizaciones Mecánica de Autorización Conociendo las 3 capas de seguridad estándar Capa 1 Ejecute la Transacción S_TCODE Capa 2 Capa 3 Crear Pedido de Compras 31 Enterprise Risk Services | Security & Privacy Services | GRC Solutions Segregación Hoja divisoria de–Funciones Times New Roman desde 52pt 32 Introducción Segregación de Funciones • Comprender el concepto de segregación funcional y su relación con las diversas capas de seguridad que le permite al usuario del sistema SAP, poder ejecutar una transacción a niveles organizacionales diferentes. • Identificar los puntos relevantes para mantener una adecuada segregación de funciones en la organización con el fin de mantener un sano control interno. • Entender el significado de una segregación funcional adecuada y su impacto para la información y los procesos realizados por la compañía, con el fin de prevenir fraudes y la integridad de la información 33 Enterprise Risk Services | Security & Privacy Services | GRC Solutions Segregación de Funciones Tips • Una de las principales actividades de control interno • Al aplicarlo a SAP podemos hacer referencia a la siguiente sentencia “La seguridad en un ERP, debe abordar el resguardo de la disponibilidad, confidencialidad e integridad de la información del negocio” • Tiene como objetivo prevenir o reducir el riesgo de errores o irregularidades, y en especial el fraude interno en las organizaciones • Permite asegurar que un individuo no pueda llevar a cabo todas las fases de una operación/transacción, desde su autorización, pasando por la custodia de activos y el mantenimiento de los registros maestros necesarios • Control de accesos transaccionales y de manejo de información 34 Enterprise Risk Services | Security & Privacy Services | GRC Solutions Segregación Funcional de Funciones Segregación Como mitigar los riesgos de errores y/o fraudes al limitar el acceso a transacciones críticas y/o conflictivas? Crear Proveedor (Compra) Aprobar pedido de compras Crear pedido de compras Aprobar pedido de compras Registrar factura acreedor Registrar factura acreedor 35 Enterprise Risk Services | Security & Privacy Services | GRC Solutions Segregación de Funciones Segregación Funcional Escenario Riesgoso Crear Proveedor (Compra) RIESGO ¡¡¡¡ Que un usuario realice la creación de un proveedor ficticio y que las facturas sean registradas por el mismo usuario, las que se irían directo a la propuesta de pago automática Escenario Típico de Fraude Registrar factura acreedor CONTROL 3 Alternativas: 1.- Segregar el acceso en 2 usuarios (Automático-preventivo) 2.- Implementar un control automático para que la factura se registre bloqueada y una instancia de control la aprueba (Automático – preventivo) 3.- Colocar un control de mitigación que consista en un reporte de monitoreo (semiautomático – detectivo) 36 Enterprise Risk Services | Security & Privacy Services | GRC Solutions Segregación Funcional de Funciones Segregación Beneficios Beneficios • • • • • • 37 Mayor control sobre el modelo de accesos de los usuarios, manteniendo procedimientos conocidos y establecidos. Mejorar el ambiente de control interno Reducir las acciones fraudulentos o mal intencionadas dentro de la compañía Mantener información sensible y crítica de la compañía en los usuarios que realmente responden a su nivel de responsabilidad. Mejorar los niveles de seguridad del sistema, según las buenas practicas Proteger eficientemente el ambiente que sustenta la información operacional y financiera del negocio. Enterprise Risk Services | Security & Privacy Services | GRC Solutions Ciclodivisoria Hoja de Seguridad – Times ABAP yNew Tablas Roman desde 52pt 38 Seguridad ABAP Ciclo Virtuoso de Seguridad de Programas ABAP Catastro Seguridad Autorización Seguridad ABAP Marco de Gobernabilidad Seguridad Transacción 39 Enterprise Risk Services | Security & Privacy Services | GRC Solutions Seguridad Grupo de Autorización Seguridad ABAP Ciclo Virtuoso de Seguridad de Tablas Catastro Seguridad Autorización Marco de Gobernabilidad Seguridad Transacción 40 Enterprise Risk Services | Security & Privacy Services | GRC Solutions Seguridad Grupo de Autorización 1 . - Ve r i f i c a r l o s o b j e t o s a c t i v o s para la transacción PFCG (SU24) Herramientas de Seguridad ERP SAP 2.- Realizar un ajuste masivo de roles 3.- Buscar que transacción leen el o b j e t o S _ TA B U _ D I S 41 41 © 2011 Deloitte Enterprise Risk Services | Security & Privacy Services | GRC Solutions Herramientas de Monitoreo Autorizaciones Transacción ST01 : Trace de sistema 42 Enterprise Risk Services | Security & Privacy Services | GRC Solutions Me permite hacer rastreo ejecución de autorizaciones por parte de los usuarios Herramientas de Monitoreo Autorizaciones Transacción ST03N : Carga de Trabajo del Sistema Me permite revisar transacciones ejecutadas históricamente por los usuarios 43 Enterprise Risk Services | Security & Privacy Services | GRC Solutions Herramientas de Gestion Usuarios Transacción SUIM : Sistema de información de usuarios 44 Enterprise Risk Services | Security & Privacy Services | GRC Solutions SAP GRC Hoja divisoria Access – Times Control y New su relación Romancon desde el concepto 52pt de autorizaciones 4 5 Footer SAP GRC Access Control GRC Access Control Objetivos El siguiente cuadro presenta la secuencia de implementación y uso de los distintos módulos de la herramienta SAP GRC Access Control. Gestión y Control de Accesos Identificar y Analizar Riesgos Administrar Roles de Acceso Administrar accesos críticos Business Role Management - BRM Emergency Access Management – EAM Provision and Manage User – PMU Solución para definición y gestión de Roles Solución para control de acceso privilegiado Solución de provisionamiento Prevenir Analyze and Manage Risk – AMR Solución de análisis, detección y remediación de riesgos de acceso y autorización Prevención sustentable de infracciones a la segregación de funciones 46 Enterprise Risk Services | Security & Privacy Services | GRC Solutions Arquitectura de generación de riesgos en GRC Acces Control SAP 47 Enterprise Risk Services | Security & Privacy Services | GRC Solutions Preguntas… 48 Enterprise Risk Services | Security & Privacy Services | GRC Solutions Oficina central Av. Providencia 1760 Pisos 6, 7, 8, 9, 13 y 18 Providencia, Santiago Chile Fono: (56-2) 729 7000 Fax: (56-2) 374 9177 e-mail: deloittechile@deloitte.com Regiones Cap. Arturo Prat 461 Oficina 1902 Antofagasta Chile Fono: (56-55) 44 9660 Fax: (56-55) 44 9662 e-mail: antofagasta@deloitte.com 1 Poniente 123 Piso 7 Viña del Mar Chile Fono: (56-32) 246 6111 Fax: (56-32) 246 6086 e-mail: vregionchile@deloitte.com O’Higgins 940 Piso 6 Concepción Chile Fono: (56-41) 291 4055 Fax: (56-41) 291 4066 e-mail: concepcionchile@deloitte.com Audi t Consul t i ng Tax &Legal Risk Consul t i ng Fi nancial Advi sory Servi ces Out sourci ng Deloitte® se refiere a Deloitte Touche Tohmatsu -asociación suiza- y a su red de firmas miembro, cada una como una entidad única e independiente. Por favor, vea en www.deloitte.cl/acerca de la descripción detallada de la estructura legal de Deloitte Touche Tohmatsu y sus Firmas miembro. © 2012 Deloitte. Miembro de Deloitte Touche Tohmatsu Todos los derechos reservados. 49 Libertador Bernardo O’Higgins 167 Oficina 603 Puerto Montt Chile Fono: (56-65) 288 600 Fax: (56-65) 298 600 e-mail: puertomontt@deloitte.com www.deloitte.cl