Auditoría de Seguridad para SAP

SAP ERP es un sistema integrado que proporciona a las empresas herramientas para gestionar la planificación estratégica, controlar sus objetivos y analizar las operaciones. El uso de una solución ERP tiene numerosas ventajas para el negocio, sin embargo es necesario tener en cuenta algunos elementos clave que impactan de forma directa en la integridad, confidencialidad y disponibilidad de la información y transacciones que se procesan en SAP. Estos elementos son “Riesgo”, “Controles” y “Seguridad”.

Beneficios

Los principales beneficios de la auditoría y seguridad de SAP son:

  1. Reducir los riesgos de fraude interno.
  2. Garantizar la integridad,  exactitud, confidencialidad y disponibilidad de los datos del negocio.
  3. Reducir los riesgos de accesos no autorizados las transacciones críticas.
  4. Cumplimiento normativo (LOPD, SOX, Código Penal).
  5. Control sobre el entorno productivo y transaccional.
  6. Fortalecimiento del control interno de la compañía.
  7. Cumplimiento de requerimientos de auditoría interna y externa.

piramde

Nuestra metodología

1. Revisión de controles de SAP

Control de acceso a programas y datos

SAP:

  • Parámetros de configuración de las contraseñas.
  • Acceso a los objetos críticos de SAP.
  • Acceso de ejecutar transacciones críticas.
  • Revisión de los perfiles de seguridad.
  • Revisión de la configuración de los perfiles nativos.
  • Gestión y revisión de perfiles de usuarios y usuarios  genéricos.

Sistema Operativo y base de datos:

  • Control de acceso al sistema operativo y base de  datos (parámetros de contraseñas, usuarios).
  • Gestión de usuarios administradores y con privilegios  de seguridad.
  • Gestión de usuarios de conexión, trabajos  planificados, etc.

Gestión de cambios a programas

  • Listado de Key Users para la aprobación de peticiones de cambio.
  • Monitorización y restricción de la capacidad para desbloquear el ambiente de producción y realizar cambios de forma directa (incluido los cambios a las tablas y diccionario de SAP).
  • Segregación de funciones en la gestión de cambios.
  • Usuarios de programación en producción.

Operaciones informáticas

  • Controles de acceso de modificación de trabajos por lotes e interfaces.
  • Controles para la realización de las copias de seguridad.
  • Gestión de incidencias de seguridad.

2. Revisión de la segregación de funciones

  • Identificar los niveles jerárquicos o cargos de cada unidad de negocio.
  • Identificar las actividades por cada proceso de negocio.
  • Identificación  de los controles implementados automáticos y manuales en cada proceso.
  • Identificar por cada actividad de negocio el nivel de capacidad (ability level).
  • Definir la función (Function level) o TCODE en SAP.
cuadro2a