#Custom code adaptation  ·  #GRCAC  ·  #risk  ·  Personal Insights

Navegación por consideraciones de seguridad al agregar un código de transacción personalizado al conjunto de reglas de GRC

By s4pcademy 


*imagen1

Introducción: Las empresas siempre están evolucionando sus operaciones para mantenerse al día con las necesidades del mercado. La mayoría de las veces, surgen requisitos especiales que requieren una codificación personalizada para satisfacer las necesidades comerciales. Los clientes de SAP pueden implementar una codificación especial a través del lenguaje ABAP (en forma de transacción personalizada) para agregar nuevas funciones al sistema que no están disponibles en la plataforma estándar. Como resultado, pueden crear involuntariamente lagunas de seguridad que hacen que los entornos de SAP sean susceptibles a los ataques cibernéticos. Un código ABAP eficiente para una transacción personalizada debe contener elementos que puedan proteger contra amenazas a la seguridad, como usuario y contraseña codificados, relevancia de riesgo de césped, codificación ABAP de incumplimiento de sap, etc. Posteriormente, se debe determinar si tales transacciones personalizadas necesitan incluirse en la matriz de riesgo de SoD.

Este blog es más una lista de verificación que analiza las consideraciones clave que debe tener antes de agregar un código de transacción personalizado a un conjunto de reglas en GRC, para garantizar que su sistema permanezca seguro y que los riesgos se controlen con precisión mientras opera con la máxima eficiencia.

Suposiciones: Está familiarizado con la configuración de las funciones y los riesgos de SOD en el conjunto de reglas de SAP GRC, o tiene una comprensión básica del mismo.

Análisis de transacciones personalizadas desde el punto de vista de la seguridad:

a) Lo primero es lo primero, siempre asegúrese de tener una mirada minuciosa a los documentos de especificación funcional (FS) y/o especificación técnica (TS) para obtener una comprensión clara de la transacción personalizada y sus funcionalidades.

b) Verifique si el programa desarrollado para el código de transacción personalizado tiene las declaraciones AUTHORITY-CHECK para proteger los datos y la lógica comercial junto con la lógica del código de retorno (SY-SUBRC). La lógica de devolución se utiliza para devolver la transacción a un estado coherente cuando se deniega el acceso a un usuario. A continuación se muestra un ejemplo de una instrucción AUTHORITY-CHECK con la lógica de devolución en un programa estándar de SAP:

El programa asociado con una transacción personalizada también se puede identificar de las siguientes maneras:

  • Utilizando el código de transacción SE93. A continuación se muestra un ejemplo de una transacción SAP estándar SU01 y su programa asociado de la pantalla SE93.

  • Usando la tabla TSTC de SAP. Tenga en cuenta que puede haber situaciones en las que TSTC no proporcione la asignación del código de transacción al programa. Es porque para los programas a los que se les ha asignado un código de transacción que usa un objeto de inicio de «Transacción con parámetros», el nombre del programa está en los parámetros. Para estas transacciones, PGMNA en la tabla TSTC estará en blanco. La información adicional que vincula el nombre del programa con el código de transacción se encuentra en la tabla TSTCP (Parámetros para Transacciones).

C) Asegúrese de que la configuración de SU24 se realice y contenga todos los objetos de autorización que se llaman en el código de programa. Verifique lo mismo usando el programa “RS_ABAP_SOURCE_SCAN”.

Repitiendo el hecho obvio, los objetos de autorización con el indicador de cheque como «Cheque» y el valor de la propuesta como «Sí» en SU24, se agregarán automáticamente a los roles de PFCG cuando la transacción correspondiente se agregue al menú de roles. Asegúrese de que estos objetos estén incluidos en las sentencias AUTHORITY-CHECK del programa personalizado.

d) Se recomienda ejecutar la transacción por su cuenta en el entorno de Desarrollo o Prueba, solo para validar que funciona de la misma manera que se menciona en el documento de Especificación funcional y para descartar cualquier excepción adversa.

mi) Determine si la transacción personalizada está actualizando registros en una tabla específica en SAP o es solo una transacción de informe. Con base en este análisis de sensibilidad, se puede decidir si la transacción personalizada debe incluirse en la matriz SOD o no.

F) El Launchpad de Fiori se ha convertido con el tiempo en la interfaz principal para los usuarios, por lo tanto, es necesario verificar si hay alguna aplicación de Fiori asociada con la transacción personalizada que se haya configurado para que sea accesible en el Launchpad de Fiori, que a su vez tendrá que agregarse a la matriz SOD.

Si está interesado en obtener más información sobre cómo incorporar aplicaciones y servicios de Fiori en el conjunto de reglas de SOD, consulte el blog de SAP: https://blogs.sap.com/2021/07/12/how-to-incorporate-sap-fiori-appfapp-and-servicesvc-in-the-ruleset./

gramo) También se recomienda consultar con su Equipo de Administrador del Sistema (Equipo BASIS) para realizar un análisis de rendimiento en el código de transacción personalizado para evitar cualquier problema potencial de rendimiento del sistema.

h) En este momento, debemos haber identificado el proceso comercial asociado con la transacción personalizada y la funcionalidad que habilita en el sistema. El siguiente paso es buscar la función SOD que mejor se ajuste en GRC para poder agregarle la transacción personalizada, sus permisos junto con la aplicación Fiori y los servicios (si corresponde). Si no se puede encontrar una coincidencia adecuada, es mejor crear una nueva función SOD y luego asignarla al riesgo con el que está en conflicto. Por supuesto, esto debe hacerse en consonancia con los administradores de riesgos y/o el equipo de cumplimiento de SOD.

i) Conozca la audiencia prevista para esta transacción personalizada para que se pueda realizar un análisis de riesgo inicial en este conjunto de usuarios (y roles también) y los resultados se puedan compartir con el equipo de cumplimiento para su evaluación y revisión de los riesgos generados recientemente en el entorno.

Conclusión: La adición de códigos de transacción personalizados en un conjunto de reglas de GRC es una forma eficaz de ampliar la funcionalidad del sistema SAP para identificar nuevos riesgos asociados que ocurren en roles y usuarios. Sin embargo, se debe tener cuidado al implementar este procedimiento, asegurando que las nuevas definiciones de riesgo en la matriz SOD sean precisas. En este blog, hemos discutido las consideraciones que deben hacerse antes de agregar un código de transacción personalizado a un conjunto de reglas en SAP Access Control, para proteger adecuadamente el entorno de SAP.

Por favor, no olvide proporcionar sus comentarios y comentarios 😊

** Las capturas de pantalla del sistema que se muestran en este blog son datos de muestra y solo tienen fines de referencia. Cualquier parecido con datos reales es pura coincidencia.

*imagen1 cortesía – blogs.sap.com



Source link


agregarcódigoconjuntoConsideracionesGRCNavegaciónpersonalizadoporreglasseguridadtransacción

Artículos relacionados


Personal Insights
SAP, una empresa impulsada por el ecosistema: historia de Int4 AG
Product Information
¿Esperar demasiado para las aprobaciones? ¿Qué hay de establecer plazos por adelantado?
sy-mandt  ·  Technical Articles
Por la madriguera del conejo: cómo obtener el cliente sap actual mediante programación desde un controlador dentro de SAPUI5.

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*


Ajustes de privacidad

Decida qué cookies quiere permitir. Puede cambiar estos ajustes en cualquier momento. Sin embargo, esto puede hacer que algunas funciones dejen de estar disponibles. Para obtener información sobre eliminar las cookies, por favor consulte la función de ayuda de su navegador. Aprenda más sobre las cookies que usamos.

Con el deslizador, puede habilitar o deshabilitar los diferentes tipos de cookies:

  • Bloquear todas
  • Essentials
  • Funcionalidad
  • Análisis
  • Publicidad

Este sitio web hará:

Este sitio web no:

  • Esencial: recuerde su configuración de permiso de cookie
  • Esencial: Permitir cookies de sesión
  • Esencial: Reúna la información que ingresa en un formulario de contacto, boletín informativo y otros formularios en todas las páginas
  • Esencial: haga un seguimiento de lo que ingresa en un carrito de compras
  • Esencial: autentica que has iniciado sesión en tu cuenta de usuario
  • Esencial: recuerda la versión de idioma que seleccionaste
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Tailor information and advertising to your interests based on e.g. the content you have visited before. (Currently we do not use targeting or targeting cookies.
  • Advertising: Gather personally identifiable information such as name and location
  • Recuerde sus detalles de inicio de sesión
  • Esencial: recuerde su configuración de permiso de cookie
  • Esencial: Permitir cookies de sesión
  • Esencial: Reúna la información que ingresa en un formulario de contacto, boletín informativo y otros formularios en todas las páginas
  • Esencial: haga un seguimiento de lo que ingresa en un carrito de compras
  • Esencial: autentica que has iniciado sesión en tu cuenta de usuario
  • Esencial: recuerda la versión de idioma que seleccionaste
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Tailor information and advertising to your interests based on e.g. the content you have visited before. (Currently we do not use targeting or targeting cookies.
  • Advertising: Gather personally identifiable information such as name and location
Guardar y cerrar