viagra purchase canada


Posts Tagged ‘SPRO’

Auditar SAP – Revisión (I)

Wednesday, September 23rd, 2009

En el presente gráfico podemos observar la pirámide de una auditoría completa, pero identificando que en este primer esquema nos vamos a concentrar en la auditoría del Sistema Basis de SAP

image

Recuerden que los primeros pasos a seguir los detallamos en el primer post, y en el presente ya ahondaremos en los primeros controles técnicos a realizar.

1- Verificar el acceso al customizing, específicamente a la transacción SPRO por parte de los usuarios y los permisos del objeto S_IMG_ACTV. Lo ideal es restringir estos permisos a los usuarios en general y solo usuarios de emergencia o funcionales puedan visualizar (03) el customizing en pos de la solución de problemas de desarrollo. Adicionalmente podrían verificarse que no existan permisos innecesarios directamente a muchas de las transacciones del customizing (O*).

Este control es independiente de los permisos definidos para el mandante en general mediante la transacción SCC4, ya que se busca restringir los permisos a fin de evitar que un mandante abierto por error pueda ser modificado, y como siempre también, evitar el otorgamiento de permisos innecesarios.

2- Restringir el acceso a la transacción SCC4 para evitar la gestión del mandante por usuarios no autorizados.

3- Verificar en la transacción SCC4 la configuración del mandante, de forma de no permitir cambios en un mandante productivo, así como tampoco debería permitirse la ejecución de CAATs o eCAATs, ni sobrescribir el mandante (S_TABU_DIS ACTVT=2, Group=SS; S_ADMI_FCD=T000; S_TABU_CLI=X) (Más info)

4- Revisar los permisos otorgados mediante S_TABU_DIS a los usuarios (permisos de modificación directa de tablas) evitando otorgar cualquier permiso a todas las tablas o tablas del sistema (* o SS, entre otros), controlar los permisos a las tablas Z* y que las mismas tengan grupos de autorización vinculados. Verificar en conjunto con el acceso a las transacciones SE16, SE16N, SE17, SM30, SM31 y variantes. (Más info)

5- Verificar la posibilidad de ejecutar programas directamente por parte de usuarios finales (acceso a transacciones SA38, SE38, SE80, SE37), en conjunto con el objeto S_PROGRAM, y la existencia de programas sin grupo de autorización (tabla TRDIR campo SECU). (Más info)

Esto es solo un comienzo de una serie de artículos que detallarán un plan de auditoría y los pasos a seguir. Cualquier sugerencia es bienvenida.

VN:F [1.9.18_1163]
Rating: 4.9/5 (7 votes cast)
VN:F [1.9.18_1163]
Rating: +4 (from 4 votes)