Posts Tagged ‘Control’

Auditar SAP – Revisión (II)

Friday, November 6th, 2009

Continuando con los pasos que se habían detallado previamente, seguimos con los puntos a verificar en una auditoría:

6- Verificar que los permisos para trabajar con órdenes de transporte, tareas, y pasajes entre ambientes, estén asignados a las personas que deben cumplir los respectivos roles y que se cumpla la segregación de funciones. Verificar el objeto S_TRANSPRT, y los permisos a las transacciones SE09, SE10, STMS, etc (Ver este link sobre el sistema de transporte, y detalles sobre los objetos de autorización en este link)

7- Verificar que los programas Z (customizados) posean los authority check que requiramos. Esta búsqueda se puede realizar facilmente a través del programa RSABAPSC ejecutado desde la transacción SA38.

8- Revisar los parámetros definidos en el perfil de instancia (a través del reporte RSPARAM (SA38), o la transacción RZ11. (Más info)

9- Verificar todos los usuarios que posean permisos para desarrollar en ambientes productivos (Objeto S_DEVELOP con actividades 01, 02 o 06), y que también dispongan de la transacción SE38

10- Verificar que los permisos de debug con modificación de variables no estén asignados en un ambiente productivo (S_DEVELOP, actividade 02 y tipo de objeto DEBUG) (Más info…)

11- Ejecución de Querys, verificarlo revisando qué usuarios pueden ejecutar la transacción SQ01 y el objeto S_QUERY con 02 o 23.

En un próximo post seguiremos profundizando con el programa de auditoría que venimos elaborando en este blog.

VN:F [1.8.2_1042]
Rating: 5.0/5 (4 votes cast)
VN:F [1.8.2_1042]
Rating: +4 (from 4 votes)

Tags: , , ,
Posted in auditoría. | 3 Comments »

Tips: Sistema de Transporte

Wednesday, March 18th, 2009

Existe un control poco conocido y utilizado en el sistema SAP que permite crear advertencias, o errores en el sistema de transporte si una orden modifica algún objeto definido como crítico. Es un útil sistema de control para hacer más simple y práctica, la revisión de las órdenes de transporte.

Para definir los objetos primero debemos asegurarnos que este chequeo esté activado en el perfil de transporte. El parámetro es CHK_CRIOBJ_AT_EXPORT y puede cambiarse su valor desde la transacción STMS - Resumen (documentación de sap), el valor 0 no realizara chequeo alguno, W crea un warning y por último E genera un error en caso de encontrar un objeto crítico e impide el transporte. La configuración ideal habitualmente es W, para alertar al usuario responsable de los transportes.

Los objetos críticos se definen también en la transacción STMS - Resumen, luego Detalles y Objetos Críticos.

Este control es de suma utilidad a la hora de ayudar a la siempre ardua tarea de controlar que lo transportes realizados en el sistema no comprometan la seguridad del mismo, o la confidencialida de la información que en el poseemos.

VN:F [1.8.2_1042]
Rating: 5.0/5 (1 vote cast)
VN:F [1.8.2_1042]
Rating: 0 (from 0 votes)

Tags: , , , , , ,
Posted in Tips, auditoría., transporte | 3 Comments »

Parámetros: Mejores prácticas (parte II)

Tuesday, March 10th, 2009

Siguiendo con el post del día de ayer nos quedaron algunos parámetros para seguir con las recomendaciones de “las mejores prácticas”:

Multiloguin

login/disable_multi_gui_login = Debe estar configurado en uno (1) para minimizar dos riesgos. Primero, que los usuarios no compartan su Id y su contraseña de manera que no sea identificable el responsable de las acciones, y segundo que no pueda loguearse concurrentemente un usuario que obtuvo una contraseña de otro, si el primero ya estaba logueado al sistema (quedando registrado el intento de loguin)

login/multi_login_users = Bajo este parámetro pueden definirse excepciones al caso anterior, pero lo ideal es no hacerlo salvo necesidad explícita y justificada.

login/failed_user_auto_unlock = Esto debe ser (0) para evitar que los usuarios bloqueados se habiliten automáticamente. Como mecanismo de control es importante la participación y control por parte del administrador para desbloquearlo.

login/fails_to_session_end = Si bien no es una medida de seguridad en si misma, permite molestar en los intentos de adivinar una contraseña. Lo ideal sería definirlo al menos en un número menos al valor de login/fails_to_user_lock

login/fails_to_user_lock = Para evitar los multiples intentos de adivinar una contraseña lo ideal es definir este parámetro en (3).

Otros parámetros

login/disable_cpic = Si no son necesarias este tipo de conexiones lo ideal es deshabilitar este tipo de acceso. (1)

login/no_automatic_user_sapstar = Lo ideal es deshabilitarlo (1) deshabilita). Para más información ver el artículo:  http://www.seguridadsap.com/sap/usuarios-por-defecto-sap-ddic-earlywatch-etc/.

rdisp/gui_auto_logout = Es interesante definir este parámetro por cuestiones de performance (sesiones activas) y para evitar que las estaciones de trabajo queden logueadas en ausencia del usuario (en conjunto con las políticas locales de las estaciones). Un valor lógico sería  20 minutos (1200)

login/system_client = Preferentemente podría dejarse que el usuario tenga que especificar el número de mandante como una medida adicional de seguridad para los intentos casuales de acceso.

La lista no trata de ser exhaustiva, y tiene fines didácticos e incluso está abierta a la discusión por parte de ustedes si así lo desean en los comments.

VN:F [1.8.2_1042]
Rating: 3.5/5 (2 votes cast)
VN:F [1.8.2_1042]
Rating: +2 (from 2 votes)

Tags: , , , , ,
Posted in auditoría., autorización | No Comments »