Continuando con los pasos que se habían detallado previamente, seguimos con los puntos a verificar en una auditoría:

6- Verificar que los permisos para trabajar con órdenes de transporte, tareas, y pasajes entre ambientes, estén asignados a las personas que deben cumplir los respectivos roles y que se cumpla la segregación de funciones. Verificar el objeto S_TRANSPRT, y los permisos a las transacciones SE09, SE10, STMS, etc (Ver este link sobre el sistema de transporte, y detalles sobre los objetos de autorización en este link)

7- Verificar que los programas Z (customizados) posean los authority check que requiramos. Esta búsqueda se puede realizar facilmente a través del programa RSABAPSC ejecutado desde la transacción SA38.

8- Revisar los parámetros definidos en el perfil de instancia (a través del reporte RSPARAM (SA38), o la transacción RZ11. (Más info)

9- Verificar todos los usuarios que posean permisos para desarrollar en ambientes productivos (Objeto S_DEVELOP con actividades 01, 02 o 06), y que también dispongan de la transacción SE38

10- Verificar que los permisos de debug con modificación de variables no estén asignados en un ambiente productivo (S_DEVELOP, actividade 02 y tipo de objeto DEBUG) (Más info…)

11- Ejecución de Querys, verificarlo revisando qué usuarios pueden ejecutar la transacción SQ01 y el objeto S_QUERY con 02 o 23.

En un próximo post seguiremos profundizando con el programa de auditoría que venimos elaborando en este blog.

Tags: auditoría., Control, SAP, Seguridad

This entry was posted on Friday, November 6th, 2009 at 16:59 and is filed under auditoría.. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.