SAP Auditoria IT: evaluar transacciones de SAP

Hola buen día, mi nombre es Aldo y estoy trabajando para una farmacéutica, estoy como auditor de TI, comienzo un análisis para evaluar transacciones de SAP según puesto, perfil y rol del usuario, cree una matriz donde tengo identificadas las transacciones por usuario, pero me he dado cuenta que muchos usuarios tienen muchos roles y entre esos roles las transacciones se repiten mas de una vez, ejemplo.
Comprador…MB51
Comprador1…MB51
Atencion_Cliente…MB51
Estos tres roles tienen la misma transacción y están asignados al mismo usuario, porque? no se, la gente de sistemas no sabe darme un explicación.

El procedimiento que realizo para poder tener una matriz de certificación de usuarios es un poco manual en excel, mediante entrevistas con el usuario final y selección de transacciones que el usuario use cotidianamente, esto para eliminar las que no y bajar el volumen de transacciones, esto como primer paso, después debo evaluar cuales causan conflicto de segregación de funciones, es decir que no sean juez y parte.

Tuve una presentación con la gente de Deloitte México y me ofrecen una herramienta llamada eQSmart creada por ellos en Holanda, pero el costo es muy elevado.

Mi pregunta es. ¿Conocen algún otro método para realizar este trabajo o alguna otra herramienta?
muchas gracias por la atencion.
saludos

2 Me gusta

Hola Aldo, recuerda pasar por Presentaciones para crear tu nuevo tema, y presentarte :+1:

La MB51 sirve para visualizar documentos de material (cualquier documento de MM), entonces será asignado a distintos roles, o áreas. Por eso lo tienen compradores, y personal de atención al cliente.
Esa sería la razón.

No, yo he usado tu mismo método y es el mejor porque ese relevamiento usuario por usuario tiene muy bajo nivel de error, siempre y cuando el usuario sea honesto (y sincero), pues si te toca un usuario que no tiene esa actitud, entonces, todo saldrá mal.

Lo que puedes hacer, es tener una hoja, entregarla al usuario para que la llene a mano, y firme la hoja con nombre, apellido, número de empleado, y de esa forma lo “comprometes” a que los datos que brinda sean tomados en serio, y de esa forma te cubres como auditor :wink:

1 me gusta

Gracias por la respuesta, el tema de los Roles, entiendo para que es la transaccion, a lo que me refiero es que un usuario llega a tener hasta 20 roles con 250 transacciones y solo usa 15, sistemas no sabe porque se le agregaron tantos roles y ahora es un mundo de transacciones. La Idea del trabajo es segregar funciones, compras con sus transacciones, ventas con las suyas etc. esto para evitar riesgos de cualquie tipo.

Tengo una matriz en excel donde apunto las transacciones que los usuarios me indican que usan. al final de la evaluación de todos los usuarios mandaremos un mail para que nos den el visto bueno y comenzar con la depuración.

Des afortunadamente es un trabajo titanio entrevistarme con 225 usuarios con un total de 43515 transacciones.

eQSmart hace el trabajo que yo tengo mas rápido, automatizado, ademas de que te da riesgos encontrado y soluciones a ellos, como de seguridad y conflicto de intereses, ejemplos de riesgos…

1.-usuario SAP* - habilitado - X
2.-desconexion automática - X
3.-numero de intentos bloqueo cuenta - X
4.-Cambio periodico contraseña - OK

que son algunos riesgos que ya se tiene identificados por mi y que ya tomamos medias al respecto.

gracias por tu respuesta y opinión.
saludos

2 Me gusta

Siempre pasa cuando en las implementaciones, la empresa que implementa NO tiene en cuenta el impacto de SAP BASIS, y no lo pre-venden correctamente, y la empresa que adquiere SAP tampoco tiene en cuenta el tema de permisos, y no le presta atención.

Entonces, empiezan con todos los usuarios, y 20 roles con 250 transacciones, a los 6 meses empiezan a querer sacar permisos, quitan y ponen, y así, hasta que pasa el tiempo y viene la primer auditoría, y explota todo porque no cumplen las normas básicas de seguridad.

Es moneda corriente el tema, creeme.

Saludos

1 me gusta

jaja, entiendo, pues esperemos que este trabajo sirva para comenzar a tener un buen control y así seguir en futuras ocasiones.
gracias
saludos

Es probable que este artículo te sirva:

Recuerda @Aldo.TorresV, que cuando decidas que tu consulta está “solucionada” puedes elegir uno de los mensajes de este debate y marcado como que ha solucionado tu duda. Así mantenemos la comunidad limpia, y ordenada. :+1:

1 me gusta

Enterado, gracias por el apoyo.
saludos

Estimado,

Las herramientas pueden mostrarte alertas e información del sistema, pero depende mas del área de TI como definen los roles. Si crean un rol con acceso a 1000 transacciones obviamente la herramienta va a mostrar que es un riesgo, son cosas que se pueden saber sin estas herramientas.

debieran estandarizar el proceso de creación y asignación de permisos con buenas prácticas reduciendo estos riesgos.

Saludos.

1 me gusta

Buenas. Yo no tengo muchas experiencia… pero por lo poco que tengo, me gustaria arriesgar una analisis general. La seguridad en SAP es bastante fragmentada. Existen inumeras formas de restringir el acceso a un determinado proceso si es utilizada de forma adecuada. Sin embargo esto varía a cada situación, a cada empresa y en estas a cada contexto, niveles de organización, parametrizaciones de tipos, clases, areas, acciones y metodos. El tema es que por lo general las empresas son dinamicas, es dificil encontrar una empreza con un grado solido y estable de procesos, organizaciones y de personal, especialmente las grandes empresas, el negocio se tranforma y los sistemas necesita adaptarse. La organización en la seguridad es fundamental y es basicamente imposible mantener esta organización sin una auditoría constante, sea en los métodos, las herramientas y en los mismos resultados. Al final, ser tan restrictivo a cada paso tiene su peso. Mientras mayor la estructura en si misma, mayores, más complejos y tediosos seran los laburos de auditoria, de revisión y de análisis, aplicación, desarrollo e implementación de normas y reglas, bien como del mantenimiento del estandar alcanzado.

Hola buenas tardes.

Este es un trabajo fundamental, laborioso y que requiere de personal con conocimiento en seguridad (generalmente un basis) y que debe hacer el área de sistemas apoyados con los Key User de cada módulo, pero veo que lo deberás hacer tu, me suena extraño porque no se si tengas el tiempo suficiente para hacer este trabajo, que bueno yo lo hago de manera muy detallada de ahi el tiempo que me toma hacerlo.

Te comparto la realidad que he vivido en mi experiencia, al inicio de la implementación la empresa no tiene claridad sobre las actividades de la gente, ya que les resulta muy nueva la forma de operar sobre SAP así que es una realidad que dejan abiertos los perfiles de los usuarios (SAP ALL) y van solucionando la problemática de acceso de manera reactiva, y con el tiempo se van alineando las actividades del personal.

El afinar los roles y perfiles es una tarea laboriosa y requiere de conocimiento y tiempo y es común que en las empresas no tengan personal con alguno de estos requisitos.

el 100 % de empresas donde he laborado he hecho este trabajo de segregación de funciones y es de talacha, si tienen activada la auditoria de SAP ya tienes un gran gran avance, ya que puedes listar por usuario las actividades de cierto tiempo atrás considerando que cubra cierres de mes y es necesario revisar actividades en un cierre de año también (por separado).

Creas una matriz en excel te doy un ejemplo de como la creo yo , por usuario, por rol, por transacción en el rol y de acuerdo al reporte que obtengas de auditoria vas marcando con una X las transacciones que usa el usuario, ahi detectas lo que usa lo que no y se deben crear roles mas específicos por área y usuario, ya que con el reporte de Auditoria tienes claridad de lo que hoy por hoy el usuario utiliza .

Yo me apoyo mucho por colores, cada Rol en un color y coincide con las filas de las transacciones que contiene, ahí voy marcando lo que utilizan que al final es generalmente un 10 % de todo lo que tienen autorizado.

En las empresas que NO tienen activada la auditoria de SAP, es mas laborioso, voy listando la Tr ST03N diariamente durante un par de meses para obtener las transacciones que utilizan los usuarios (si les preguntas omiten muchas porque ni se acuerdan que las usan) de esta manera obtengo el reporte de auditoria para llenar las matrices.

Ya que llenas las matrices es muy gráfico ver las transacciones que utilizan y así crear roles mas definidos, pero hasta aquí solo vamos en transacciones, si aun se debe cerrar mas a detalle dentro de cada transacción, como sociedades, oficinas de venta, clases de movimientos, crear, modificar o solo visualizar ya es otro tema de tiempo y trabajo y eso si te lo debe dar la empresa por medio de los Key User de cada módulo que son los que deben gestionar esta información.

Espero haber contribuido a tus inquietudes.

8 Me gusta

Excelente aporte @Alma_24 ! si te animas a compartir tu excel, borra los datos sensibles (usuarios, empresa, etc), y lo pasas a la comunidad. Leer aquí cómo: ¿Cómo colaborar con material o manuales?

2 Me gusta

Este tema se cerró automáticamente 7 días después del último post. No se permiten nuevas respuestas.