Gestionar la seguridad en SAP: accesos y autorizaciones

Gestionar la seguridad en SAP: accesos y autorizaciones

El este post hablaremos sobre la seguridad en SAP y cómo se gestiona a través de los accesos y las autorizaciones de los usuarios.

Hay muchas compañías que soportan los procesos de su negocio sobre el sistema SAP y que requieren de un adecuado esquema de controles de acceso a fin de evitar situaciones como el uso no autorizado a programas o transacciones del sistema y, como consecuencia de ello, situaciones de fraude interno o errores operativos que puedan afectar al negocio.

En seguridad de la información, el principio de menor autoridad requiere que cada usuario o puesto de trabajo acceda sólo a la información y recursos que son necesarios para su desarrollar estrictamente las tareas actividades propias de su función o posición y por lo tanto solamente tendrán acceso a la información para este propósito. Por este motivo las organizaciones deberán cumplir con este requerimiento y, seguir una estrategia técnica para configurar los requerimientos de seguridad en el sistema, tomar un modelo de riesgo adaptado al negocio y que permita a las responsables tomar decisiones adecuadamente y llevar a cabo un proceso para la administración de accesos y autorizaciones.

Para que tengas una idea de cómo funcionan los permisos en SAP, dentro de SAP podemos tener un número determinado de usuarios, pero no todos tendrán acceso a las mismas transacciones, sino que dependerá de sus funciones. Daremos acceso a los usuarios mediante autorizaciones que permiten acceder a unas transacciones determinadas, es decir, cada usuario tendrá una autorización en la que se le asignan unas determinadas transacciones. Sin embargo, en caso de no asignar las autorizaciones para visualizar y gestionar cierta información el usuario en particular, no tendrá acceso a esta parte del sistema ni a sus datos.

Para la gestión de todo el tema de restricción de accesos, SAP cuenta con un área de riesgos y normativas. SAP dispone de SAP GRC (Governance, Risk and Compliance) como conjunto de soluciones de control de acceso, esenciales para el gobierno de los procesos de tecnología de la información, gestión del riesgo y la conformidad de acuerdo a las regulaciones y leyes vigentes. SAP GRC permite automatizar las funciones de detección, mitigación, remediación y prevención de acceso, riesgos y autorizaciones indebidas dando lugar a una adecuada separación de funciones, menor riesgo y mayor rendimiento del negocio.

¿Cómo se estructura la gestión de accesos y autorizaciones en SAP?

El sistema de accesos y autorizaciones de SAP permite gestionar los permisos de lectura y escritura sobre los elementos que todo usuario tiene asignados.

El sistema funciona a través de roles, estos pueden ser simples o compuestos, que agrupan una serie de objetos de autorización o autorizaciones. Cada autorización incorpora permisos para un elemento del sistema. Cada uno de estos objetos de autorización es el elemento mínimo que nos permite proporcionar permiso para ejecutar la tarea determinada. Esta tarea puede ser acceso a una transacción, grupo de transacciones, a un área de ventas, grupo de compras, planta, almacén, etc.

La estructura que proporciona accesos a los usuarios puede parecer un poco compleja debido a la escala de elementos que hay, pero su estructura está bien definidia. Cada tarea a la cual tiene acceso un usuario (transacción, grupo de compras, etc) se encuentra definida de un campo de autorización. Este campo se encuentra en un objeto de autorización, y éste a su vez en un rol. Todas las tareas (transacciones o elementos de la estructura organizativa) a la que tiene acceso un usuario es porqué el permiso para tener acceso a esta parte del sistema está definido en los objetos de autorización que forman uno o más roles de los que tiene asignado este usuario.

El proyecto de autorización

Antes de montar un proyecto de autorizaciones deberemos realizar un análisis de los trabajos que debe realizar cada usuario SAP para poderle asignar aquellas autorizaciones que son necesarias para desarrollar su actividad y a la vez permita una segregación de permisos adecuada (Segregation of Duties) para garantizar la seguridad de los procesos de la compañía.

En un proyecto de autorización deberemos realizas las siguientes tareas:

  • Analizar las tareas que debe realizar cada usuario.
  • Agrupar usuarios según tareas comunes.
  • Crear roles que se ajusten a cada tarea. Es recomendable que sean lo más específicos posible y en algunos casos incluso puede ser necesario desarrollar un nuevo rol.
  • Asociar las autorizaciones específicas a cada rol. Es importante fijarnos en las transacciones que se incorporan en cada rol.
  • Asignar roles según las tareas que realiza cada usuario.

Dentro de cada usuario deberemos hacer un análisis de incompatibilidades de transacciones. Esta tarea siempre es realizada por el equipo de seguridad en sistemas, antes de asignar ciertos roles a un usuario que los solicita se realiza un estudio de incompatibilidades para determinar aquellas autorizaciones que juntas no las puede tener un mismo usuario debido a la segregación de permisos. Un ejemplo de incompatibilidad seria aquel usuario que tiene permiso para dar de alta un proveedor en sistema, actualizar las tarifas de este proveedor, introducir pedidos de compras del

proveedor en cuestión, recepcionarlos y aprobar la factura. En este caso estaríamos incurriendo en diversas incompatibilidades que harían factible una situación de fraude hacia la compañía.

Una vez detectadas las incompatibilidades, deben solucionarse ajustando los roles, creando nuevos roles o eliminando roles que tiene asignado un usuario.

¿Serias capaz de realizar un esquema con los accesos que tiene o debería tener tu usuario de SAP considerando tus funciones en la compañía?

Curso relacionado: Curso Superior de SAP