Auditoria de Seguretat per SAP

SAP ERP és un sistema integrat que proporciona a les empreses eines per gestionar la planificació estratègica, controlar els seus objectius i analitzar les operacions. L'ús d'una solució ERP té nombrosos avantatges per al negoci, però cal tenir en compte alguns elements clau que impacten de forma directa en la integritat, confidencialitat i disponibilitat de la informació i transaccions que es processen en SAP. Aquests elements són "Risc", "Controls" i "Seguretat".

Beneficis

Els principals beneficis de l’auditoria i seguretat de SAP són:

  1. Reduir els riscos de frau intern.
  2. Garantir la integritat, exactitud, confidencialitat i disponibilitat de les dades del negoci.
  3. Reduir els riscos d’accessos no autoritzats a les transaccions crítiques.
  4. Compliment normatiu (LOPD, SOX, Codi Penal).
  5. Control sobre l’entorn productiu i transaccional.
  6. Enfortiment del control intern de la companyia.
  7. Compliment de requeriments d’auditoria interna i externa.

piramde

La nostra metodologia

1. Revisió de controls de SAP

Control d’accés a programes i dades

SAP:

  • Paràmetres de configuració de les contrasenyes.
  • Accés als objectes crítics de SAP.
  • Accés d’executar transaccions crítiques.
  • Revisió dels perfils de seguretat.
  • Revisió de la configuració dels perfils nadius.
  • Gestió i revisió de perfils d’usuaris i usuaris genèrics.

Sistema Operatiu i base de dades:

  • Control d’accés al sistema operatiu i base de dades (paràmetres de contrasenyes, usuaris).
  • Gestió d’usuaris administradors i amb privilegis de seguretat.
  • Gestió d’usuaris de connexió, treballs planificats, etc.

Gestió de canvis a programes

  • Llistat de Key Users per a l’aprovació de peticions de canvi.
  • Monitorització i restricció de la capacitat per desbloquejar l’ambient de producció i realitzar canvis de forma directa (inclòs els canvis a les taules i diccionari de SAP).
  • Segregació de funcions en la gestió de canvis.
  • Usuaris de programació en producció.

Operacions informàtiques

  • Controls d’accés de modificació de treballs per lots i interfícies.
  • Controls per a la realització de les còpies de seguretat.
  • Gestió d’incidències de seguretat.

2. Revisió de la segregació de funcions

  • Identificar els nivells jeràrquics o càrrecs de cada unitat de negoci.
  • Identificar les activitats per cada procés de negoci.
  • Identificació dels controls implementats automàtics i manuals en cada procés.
  • Identificar per cada activitat de negoci el nivell de capacitat (Ability level). Definir la funció (Function level) o TCODE en SAP.
cuadro2a