En el presente gráfico podemos observar la pirámide de una auditoría completa, pero identificando que en este primer esquema nos vamos a concentrar en la auditoría del Sistema Basis de SAP

Recuerden que los primeros pasos a seguir los detallamos en el primer post, y en el presente ya ahondaremos en los primeros controles técnicos a realizar.

1- Verificar el acceso al customizing, específicamente a la transacción SPRO por parte de los usuarios y los permisos del objeto S_IMG_ACTV. Lo ideal es restringir estos permisos a los usuarios en general y solo usuarios de emergencia o funcionales puedan visualizar (03) el customizing en pos de la solución de problemas de desarrollo. Adicionalmente podrían verificarse que no existan permisos innecesarios directamente a muchas de las transacciones del customizing (O*).

Este control es independiente de los permisos definidos para el mandante en general mediante la transacción SCC4, ya que se busca restringir los permisos a fin de evitar que un mandante abierto por error pueda ser modificado, y como siempre también, evitar el otorgamiento de permisos innecesarios.

2- Restringir el acceso a la transacción SCC4 para evitar la gestión del mandante por usuarios no autorizados.

3- Verificar en la transacción SCC4 la configuración del mandante, de forma de no permitir cambios en un mandante productivo, así como tampoco debería permitirse la ejecución de CAATs o eCAATs, ni sobrescribir el mandante (S_TABU_DIS ACTVT=2, Group=SS; S_ADMI_FCD=T000; S_TABU_CLI=X) (Más info)

4- Revisar los permisos otorgados mediante S_TABU_DIS a los usuarios (permisos de modificación directa de tablas) evitando otorgar cualquier permiso a todas las tablas o tablas del sistema (* o SS, entre otros), controlar los permisos a las tablas Z* y que las mismas tengan grupos de autorización vinculados. Verificar en conjunto con el acceso a las transacciones SE16, SE16N, SE17, SM30, SM31 y variantes. (Más info)

5- Verificar la posibilidad de ejecutar programas directamente por parte de usuarios finales (acceso a transacciones SA38, SE38, SE80, SE37), en conjunto con el objeto S_PROGRAM, y la existencia de programas sin grupo de autorización (tabla TRDIR campo SECU). (Más info)

Esto es solo un comienzo de una serie de artículos que detallarán un plan de auditoría y los pasos a seguir. Cualquier sugerencia es bienvenida.

Tags: auditoría., customizing, SAP, SCC4, SPRO, S_IMG_ACTV

This entry was posted on Wednesday, September 23rd, 2009 at 14:34 and is filed under auditoría.. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.