Las 10 mejores formas de monitorear sus roles de SAP para el cumplimiento de auditoría de SAP - inteligenciaes

Las 10 mejores formas de monitorear sus roles de SAP para el cumplimiento de auditoría de SAP

El sistema SAP tiene muchas herramientas de generación de informes y programas ABAP/4 que brindan una investigación y supervisión detalladas de la configuración de seguridad de SAP para el cumplimiento de auditoría de SAP. Los informes de seguimiento se pueden ejecutar a través de dos métodos, ejecutando el programa real utilizando las transacciones SE38, SA38 o SUIM (Sistema de Información de Repositorio).

Objetivo: para cada sistema, revisar los parámetros clave del perfil del sistema relacionados con la seguridad.

Informe: RSPARAM Frecuencia: Mensual

Los valores de los parámetros deben configurarse de acuerdo con lo recomendado por los procedimientos operativos estándar de administración de seguridad de SAP desarrollados por la empresa. Además, estos parámetros deben establecerse de manera consistente para todos los sistemas SAP.

Objetivo: garantizar que el acceso de seguridad esté debidamente restringido a los miembros del equipo de seguridad, tal como se define en las políticas y procedimientos.

Informe: RSUSR040 Frecuencia: Quincenal

Revise los usuarios que tienen acceso a los objetos de autorización S_USER_GRP, S_USER_AUT y S_USER_PRO. El acceso a estos objetos debe estar limitado a los Equipos de Administración de Base y Seguridad. El equipo básico solo debe tener acceso a la pantalla y la capacidad de restablecer contraseñas para todos los grupos de usuarios, excepto SUPER y Seguridad. Este acceso permite a los usuarios tener acceso a las funciones de administración del sistema. Ninguno de los usuarios no técnicos debe tener acceso a estos objetos.

Lee mas  Cree una base de datos de MS Access: 9 pasos simples para una base de datos productiva

Objetivo: Garantizar que el acceso a las transacciones de valores esté debidamente protegido.

Informe: RSUSR010 Frecuencia: Mensual

Compruebe el acceso transaccional a la administración de seguridad. Ejecute el informe RSUSR010 y verifique las transacciones PFCG, SU01, SU02, SU03 y SU05. Controlan el acceso al generador de perfiles, la administración de usuarios, la administración de perfiles, el mantenimiento de autorizaciones y la administración de usuarios de Internet. Si ve que personas que no son de seguridad de SAP tienen acceso a esta transacción, esto debería generar una bandera roja.

Objetivo: Garantizar que el acceso a la tabla esté configurado correctamente.

Informe: RSUSR040 Frecuencia: Mensual

El acceso a las mesas de mantenimiento debe coordinarse con el Equipo Base. Y, el acceso a la tabla debe coincidir con la capacidad de realizar la configuración. Revise los usuarios que tienen acceso a la tabla para el acceso a la tabla dependiente e independiente del cliente. (S_TABU_CLI y S_TABU_DIS). El acceso a la tabla independiente del cliente debe limitarse a los clientes Sandbox y Configuration Master.

Objetivo: Asegurarse de que todos los usuarios estén correctamente asignados al grupo de usuarios correcto.

Informe: RSUSR002 Frecuencia: Mensual

Revise los usuarios definidos para todos los clientes y sistemas. Cada usuario debe ser asignado a un grupo de usuarios preaprobado válido. Verifique el usuario que está asignado a la seguridad básica y la mesa de ayuda

Lee mas  Revisión de Bakugan - Alfa Percival

Objetivo: Asegurarse de que las contraseñas no permitidas se implementen de manera consistente y cumplan con los procedimientos operativos estándar.

Transacción: SE16 Frecuencia: Semestral

Verifique los datos contenidos en la tabla USR40. Esta tabla contiene configuraciones de contraseña específicas no permitidas.

Objetivo: Asegurarse de que SAP Profile Generator esté correctamente configurado.

Transacción SPRO Frecuencia: Semestral.

Revise la configuración y activación del generador de perfiles de SAP. Revise la documentación en Enterprise IMG para asegurarse de que todos los pasos de configuración se hayan completado correctamente. Esta actividad debe centrarse en los nuevos sistemas.

Objetivo: comprobar si hay cambios y objetos insertados manualmente en el rol

Revise la tabla en busca de objetos que se hayan insertado manualmente y cuyo acceso haya cambiado. Esto identificará a los administradores de seguridad sobre algunos de los roles que se desarrollan según la política de seguridad. Es una buena práctica no tener roles con objeto de autorización manual o de cambio.

Transacción: SE16 Frecuencia: Semestral

Objetivo: busque actualizaciones de la configuración de transacción a objeto en SU24 Transaction

Transacción: SE16 Frecuencia: Mensual

La transacción SU24 debe mantenerse para que no sea necesario agregar objetos de autorización manual a la pestaña de autorización en el generador de perfiles. Además, si se introduce un objeto de autorización o valor de campo incorrecto en el generador de perfiles, debe cambiarse solo a través de SU24. Esto permitirá que solo se traigan valores de campo correctos o en blanco para que se puedan ingresar los valores correctos y se asignen las autorizaciones adecuadas. El seguimiento de estos cambios proporcionará al grupo de auditoría de SAP los cambios de configuración realizados en las transacciones.

Lee mas  Recuperación de datos - Recuperación de datos NTFS

Objetivo: Cambios de roles en el sistema

Transacción: SUIM Frecuencia: Mensual

Aquí, el grupo de cumplimiento de auditoría de SAP está buscando el volumen de cambios que ocurren en los roles. Si los volúmenes de cambios son demasiado altos, esto les dará una advertencia previa para una mayor investigación sobre la aprobación.

Leave a Comment