Alguna vez leí que es una buena practica no Eliminar los Roles de un usuario sino modificar su fecha de fin de vigencia y para reactivarlo, volver a modificar la fecha. Este mismo comentario me lo habían dicho algunos especialistas que han tenido a cargo la administración de usuarios en otras empresas. Sin embargo, recibimos una auditoria y están solicitando la eliminación definitiva del rol que no debe tener el usuario. Existe alguna literatura que soporte lo dicho anteriormente o lo solicitado por el Auditor?, he buscado nuevamente ese articulo pero no lo encuentro. Agradezco la orientación que me puedan dar para saber como proceder.
La auditoria externa, tiene acceso a tus roles en SAP?
Ellos deberían ver qué roles tienen los usuarios, y en caso de que detecten falencias, pueden solicitar eliminar “x” rol del usuario… ok, deberías hacerlo, pero esto último NO significa que debes ELIMINAR el rol del sistema.
Gracias por la respuesta. La Auditoria solicito información de las tablas directamente de asignación de roles a los usuarios y las transacciones asignadas al rol. Ellos dentro de la información pueden ver si el rol esta o no vigente para el usuario que revisan, pero al parecer nunca se tienen en cuenta estos campos para sus análisis y asumen que el rol esta vigente con sus transacciones. Así les demostremos con la SUIM que no acceden a las transacciones y objetos, parece que no lo entienden. El procedimiento que se tiene implementado acá es solamente modificar la fecha de fin de vigencia y no eliminar el rol al usuario. Si un rol deja de ser necesario para todos los usuarios solo lo marcamos con “Rol Obsoleto”
Para mí está perfecto el proceder de la empresa, no así lo que exige la auditoria.
¿Qué normas usan ellos para obligarles a ustedes a borrar el rol del sistema? ¿Qué requerimiento legal los avala? No podrían ni observar el dictamen de auditoria si el rol realmente no está asignado al usuario que se audita.
@torces17 buenas tardes. Tengo una duda, con que finalidad le dejan los roles al usuario si este ya fue dado de baja o cambio de puesto?. En el caso de que fue una baja, no es necesario que tenga los roles, y si es un cambio de puesto, los roles se debe de eliminar y colocar los del nuevo puesto. Adicional, quisiera compartirles que en un cliente lo que se hacia era colocar los roles desde la posición RH (tenían ese módulo), así, si el usuario A era baja, por medio de un Job eliminaba los roles del usuario más no de la posición RH, ya que esa posición la podría tomar el usuario B y por default, se le colocaban los roles de la posición, ya que hay que recordar que los roles son por posición, no por usuario.
Espero ayudarte en algo.
Saludos, @Yshua
Hola Torces17
El motivo de no borrar los roles a un usuario es para mantener la referencia de accesos a los cuales tiene o tenia el usuario en un momento especifico. Es una forma de tener respuestas rápidas en el momento que se tenga algún problema o simplemente una consulta.
Ahora si la auditoria te esta indicando que debe borrarse el rol, te deben estar indicando la razón por la cual debes hacerlo. En general, cuando se plantea la eliminación de un rol a un usuario es porque estas usando criterios de segregación de funciones, con los cuales aseguras que acciones potencialmente peligrosas no se presenten, por ejemplo que un usuario por los roles asignados pueda crear proveedores y hacer ordenes de pago.
Acá no tenemos implementado el modulo RH (lo que he leido es su gran utilidad para este tipo de controles y asignaciones). Contestando a la pregunta, el rol no se elimina porque en la mayoría de los casos el rol solo se habilita de manera temporal por reemplazos de vacaciones dentro de la misma unidad de trabajo, por lo tanto lo que se hace es volver a modificar la fecha de vigencia.
Creo que las auditorias que nos visitan no tienen muy claro que SAP no es como las otras aplicaciones Windows.
Torces17,
tener la funcionalidad HCM te la brinda la facilidad de asociar al puesto de trabajo, los roles de seguridad asociadas a las funciones (tareas) que se realizan en este puesto. Eso te permite mayor “agilidad” en el momento de asignar los roles.
Si quieres una herramienta SAP que te ayude a gestionar el tema de los roles incluyendo mejores practicas a nivel de auditoria interna, te recomiendo que utilices SAP GRC.Quizas esto va mas alla de tu pregunta inicial pero aqui tienes algunos links donde puedes obtener mayor informacion.