Guia de seguridad
Páginas: 10 (2463 palabras)
Publicado: 20 de enero de 2016
CURSO DE SEGURIDAD SAP
0. Concepto de seguridad en SAP
Se entiende por autorización al concepto de proteger los programas y transacciones dentro de SAP contra accesos indebidos.
Se determina que acciones puede realizar un usuario en el sistema, luego de que inicio sesión en el sistema realizando a través de su usuario – clave.
0.1 El porque de la importancia de la seguridad
Recordemosque:
Todo aquel que quiera utilizar SAP deberá tener un usuario dado de alta en el maestro de usuarios (SU01).
Todo usuario deberá tener asignado uno o más roles y/o perfiles.
Las autorizaciones (y restricciones) que tendrá dicho usuario son las indicadas por los roles (y/o perfiles) que tenga asignados en el maestro de usuarios.
Los roles son utilizados para garantizar que cada usuario puedaacceder dentro del sistema a todas aquellas transacciones que le permitan realizar su trabajo.
A través de una correcta asignación de roles se evita que el usuario tenga accesos extras que puedan provocarle un perjuicio a la organización.
La seguridad, a través de los roles y su asignación a usuarios, se alinea con las políticas de seguridad de la organización.
Una correcta implementación de rolesasegura un ágil mantenimiento de los permisos de los usuarios.
Concepción de las autorizaciones:
A la hora de concebir un esquema de autorización se deberían realizar los siguientes pasos:
Definición de Matriz de Roles Modelos: Utilizando la información recopilada, blue-prints y el análisis correspondiente. Si es una reingeniería se deberá analizar el esquema existente y se deberá repensar enfunción de los procesos de la compañía-
Definición de Criterios de Segregación: Se realizará de acuerdo con la apertura de permisos que requiera la organización sobre actividades similares (Campos Organizacionales).
Definición de Casos de Prueba: Se realizan para testear y lograr el óptimo funcionamiento de los roles.
Enfoque para la definición de seguridad:
Se define como buena práctica adoptarun enfoque de definición de seguridad basado en tres capas
1. Accesos comunes
Se define un rol para todas las autorizaciones que son comunes a todos los puestos de la organización y no son críticas.
Ejemplo:
Recursos de impresión
Acceso a la ayuda de la aplicación
Acceso a transacciones técnicas para evaluar problemas de perfiles de seguridad (SU53)
Acceso a la modificación de los datos propiosde usuario
Etc.
2. Accesos por procesos
Se definen todos los perfiles requeridos para definir las autorizaciones necesarias para cada comunidad de usuarios asociados a un proceso o grupo de procesos específicos
Ejemplo: un rol o perfil determinado para la comunidad de usuarios asociados a Material Management puede contener las autorizaciones requeridas para visualizar materiales, stocks y órdenesde compra pendientes
Típicamente estos roles contienen sólo autorizaciones de visualización con algunas excepciones.
3. Accesos por rol
Esta capa se construye sobre las anteriores y tiene las autorizaciones requeridas para un puesto de trabajo específico
Ejemplo: habitualmente existirá un único rol que tenga autorizaciones para la creación de una Orden de Compra (rol de comprador).
A este niveles donde se incluyen la mayoría de las autorizaciones para transacciones que permitan la actualización de datos en el sistema.
0.2 Concepto de auditoria
Principales medidas de seguridad a considerar en una auditoria:
Roles y Funciones de negocio
Accesos remotos
Monitoreo de la seguridad (acciones preventivas)
Alertas de ataques y riesgos (acciones reactivas)
Datos sensibles protegidos
Funcionesy programas sensibles protegidos
Cambios al sistema de producción
Administración de usuarios
Desde la perspectiva del auditor de sistema, es necesario asegurarse que los objetos de autorización críticos del sistema están protegidos.
Protección de sistemas productivos a cambios no autorizados o no probados
Políticas y procedimientos para llevar los cambios a los Sistemas productivos.
Evitar...
CURSO DE SEGURIDAD SAP
0. Concepto de seguridad en SAP
Se entiende por autorización al concepto de proteger los programas y transacciones dentro de SAP contra accesos indebidos.
Se determina que acciones puede realizar un usuario en el sistema, luego de que inicio sesión en el sistema realizando a través de su usuario – clave.
0.1 El porque de la importancia de la seguridad
Recordemosque:
Todo aquel que quiera utilizar SAP deberá tener un usuario dado de alta en el maestro de usuarios (SU01).
Todo usuario deberá tener asignado uno o más roles y/o perfiles.
Las autorizaciones (y restricciones) que tendrá dicho usuario son las indicadas por los roles (y/o perfiles) que tenga asignados en el maestro de usuarios.
Los roles son utilizados para garantizar que cada usuario puedaacceder dentro del sistema a todas aquellas transacciones que le permitan realizar su trabajo.
A través de una correcta asignación de roles se evita que el usuario tenga accesos extras que puedan provocarle un perjuicio a la organización.
La seguridad, a través de los roles y su asignación a usuarios, se alinea con las políticas de seguridad de la organización.
Una correcta implementación de rolesasegura un ágil mantenimiento de los permisos de los usuarios.
Concepción de las autorizaciones:
A la hora de concebir un esquema de autorización se deberían realizar los siguientes pasos:
Definición de Matriz de Roles Modelos: Utilizando la información recopilada, blue-prints y el análisis correspondiente. Si es una reingeniería se deberá analizar el esquema existente y se deberá repensar enfunción de los procesos de la compañía-
Definición de Criterios de Segregación: Se realizará de acuerdo con la apertura de permisos que requiera la organización sobre actividades similares (Campos Organizacionales).
Definición de Casos de Prueba: Se realizan para testear y lograr el óptimo funcionamiento de los roles.
Enfoque para la definición de seguridad:
Se define como buena práctica adoptarun enfoque de definición de seguridad basado en tres capas
1. Accesos comunes
Se define un rol para todas las autorizaciones que son comunes a todos los puestos de la organización y no son críticas.
Ejemplo:
Recursos de impresión
Acceso a la ayuda de la aplicación
Acceso a transacciones técnicas para evaluar problemas de perfiles de seguridad (SU53)
Acceso a la modificación de los datos propiosde usuario
Etc.
2. Accesos por procesos
Se definen todos los perfiles requeridos para definir las autorizaciones necesarias para cada comunidad de usuarios asociados a un proceso o grupo de procesos específicos
Ejemplo: un rol o perfil determinado para la comunidad de usuarios asociados a Material Management puede contener las autorizaciones requeridas para visualizar materiales, stocks y órdenesde compra pendientes
Típicamente estos roles contienen sólo autorizaciones de visualización con algunas excepciones.
3. Accesos por rol
Esta capa se construye sobre las anteriores y tiene las autorizaciones requeridas para un puesto de trabajo específico
Ejemplo: habitualmente existirá un único rol que tenga autorizaciones para la creación de una Orden de Compra (rol de comprador).
A este niveles donde se incluyen la mayoría de las autorizaciones para transacciones que permitan la actualización de datos en el sistema.
0.2 Concepto de auditoria
Principales medidas de seguridad a considerar en una auditoria:
Roles y Funciones de negocio
Accesos remotos
Monitoreo de la seguridad (acciones preventivas)
Alertas de ataques y riesgos (acciones reactivas)
Datos sensibles protegidos
Funcionesy programas sensibles protegidos
Cambios al sistema de producción
Administración de usuarios
Desde la perspectiva del auditor de sistema, es necesario asegurarse que los objetos de autorización críticos del sistema están protegidos.
Protección de sistemas productivos a cambios no autorizados o no probados
Políticas y procedimientos para llevar los cambios a los Sistemas productivos.
Evitar...
Leer documento completo
Regístrate para leer el documento completo.