Al comparar SAP S/4HANA Cloud, edición pública, con SAP S/4HANA local, varias diferencias en sus capacidades de auditoría de TI se vuelven obvias. Esta publicación de blog es parte de una serie de artículos en los que comparamos el proceso de auditoría de SAP S/4HANA Cloud, edición pública, con el proceso de auditoría de SAP S/4HANA on Premise.
Para resumir las diferencias más importantes: dado que SAP S/4HANA Cloud, edición pública, es una oferta de SaaS, la diferencia más obvia es el acceso del cliente, que solo es posible en el nivel de la aplicación.
SAP también ha evolucionado su experiencia de usuario con transacciones ERP reemplazadas por aplicaciones Fiori, aplicaciones que brindan acceso a la funcionalidad comercial de una manera más moderna. Es por eso que los clientes solo tienen acceso a través de autorizaciones comerciales autenticadas mediante SAP Identity Authentication Services.
En comparación con SAP S/4HANA local que se ejecuta en un entorno local, algunas funciones se han reemplazado con aplicaciones modernas, algunas configuraciones son responsabilidad de SAP y algunas funciones ya no son accesibles. Algunos ejemplos:
Otra área en la que una oferta de SaaS difiere de una solución local es la configuración de las configuraciones relevantes para la seguridad.
En un entorno de nube, como es el caso de SAP S/4HANA Cloud, edición pública, SAP es responsable de la mayoría de las configuraciones de seguridad relacionadas con la plataforma y, por la presente, ha seguido un seguro por defecto enfoque, que se puede agrupar en los siguientes párrafos.
Estos párrafos brindan más detalles sobre las medidas que SAP aplicó a SAP S/4HANA Cloud, edición pública, y las opciones que aún tienen los clientes para acceder a la funcionalidad requerida en caso de una auditoría de TI.
La autenticación del usuario comercial del cliente solo es posible a través de un proveedor de identidad dedicado, por ejemplo, el Servicio de autenticación de identidad de SAP. Esto también significa que la configuración de autenticación (por ejemplo, la política de contraseñas) no se puede revisar en los propios sistemas SAP S/4HANA Cloud, edición pública.
Además, los llamados catálogos comerciales representan la entidad de autorizaciones más pequeña para los clientes. Las autorizaciones críticas (p. ej., que contienen el perfil SAP_ALL o la autorización de depuración y reemplazo) no están disponibles para los clientes, al igual que los usuarios predeterminados de SAP (p. ej., usuarios DDIC, SAP* o TMSADM).
En particular, los usuarios técnicos también deben mencionarse aquí. En un entorno local, -SAP no ha definido roles ni autorizaciones para usuarios técnicos en el contexto de un escenario de comunicación, por ejemplo, establecer una conexión entre dos sistemas locales. En SAP S/4HANA Cloud, edición pública, los usuarios de comunicación para un escenario similar están estrictamente definidos para que las autorizaciones se ajusten al acuerdo de comunicación respectivo.
Si bien una solución local de SAP S/4HANA proporciona el informe RSUSR100N para acceder a documentos de cambios relacionados con el usuario en todo el sistema, en SAP S/4HANA Cloud, edición pública, ahora hay dos aplicaciones de SAP Fiori disponibles para ayudar a los clientes a obtener una descripción general del negocio existente. usuarios y sus autorizaciones. Los usuarios para escenarios de comunicación se pueden revisar en una aplicación SAP Fiori separada (Mantener usuarios de comunicación – F1338).
Como su nombre lo indica, la aplicación SAP Fiori Mantener usuarios comerciales permite editar los datos de los usuarios comerciales, por ejemplo, asignar o eliminar roles, bloquear o desbloquear usuarios o descargar una lista de usuarios. Esta aplicación también contiene los documentos de cambio relacionados con el usuario para rastrear los cambios del usuario, como la creación, el bloqueo, etc.
Aplicación SAP Fiori “Mantener usuarios comerciales”
El sistema de información IAM de la aplicación SAP Fiori permite la visualización de información sobre el uso de roles comerciales, catálogos comerciales, usuarios comerciales y restricciones, y cómo están relacionados. La funcionalidad es similar a la transacción SUIM en la solución local de SAP S/4HANA. Por ejemplo, puede usar esta aplicación para verificar si un usuario comercial está usando una aplicación en particular y verificar qué autorizaciones tiene.
Aplicación SAP Fiori “Sistema de Información IAM”
Como se mencionó anteriormente, a diferencia de una solución local, el acceso a la tabla del sistema no es posible en SAP S/4HANA Cloud, edición pública. Como resultado, no es posible acceder a tablas como USR02 o E070. Se puede acceder a los datos de la tabla a través de las aplicaciones SAP S/4HANA Cloud Fiori correspondientes, por ejemplo, Mantener usuarios comerciales o la recientemente introducida Explorador de datos del cliente (CDB).
Los parámetros del perfil del sistema SAP tampoco son accesibles para los clientes y no pueden ser controlados por ellos. La configuración necesaria es responsabilidad de SAP, está definida por SAP y se configura en todos los sistemas en consecuencia.
El registro de auditoría de seguridad (SAL) y el registro de tablas para las tablas de bases de datos dedicadas están habilitados de forma predeterminada y los clientes no pueden desactivarlos.
En SAP S/4HANA en las instalaciones, la transacción SM20/rsau_read_log se puede usar para verificar si el registro de auditoría de seguridad está habilitado y configurado adecuadamente para registrar las actividades críticas de seguridad de los usuarios.
En SAP S/4HANA Cloud, edición pública, aunque el registro de auditoría de seguridad siempre está habilitado, hay dos aplicaciones SAP Fiori disponibles para verificar esto en un contexto de auditoría.
Tenga en cuenta que la activación y configuración del registro de auditoría de seguridad es responsabilidad exclusiva de SAP. Los clientes pueden revisar los eventos y tipos registrados.
Con esta aplicación, puede mostrar información sobre eventos relevantes para la seguridad que ocurren en su sistema SAP, por ejemplo, intentos de inicio de sesión fallidos o exitosos.
Aplicación SAP Fiori «Mostrar registro de auditoría de seguridad»
Con esta aplicación, puede obtener una descripción general rápida de la información estática del sistema. Esta aplicación proporciona una descripción general de los eventos registrados disponibles a través de la aplicación Mostrar registro de auditoría de seguridad (F4204) y más información específica del entorno del sistema, por ejemplo, la función del arrendatario o el estado del registro de auditoría de seguridad y el registro de cambios de tabla. Durante una auditoría, puede ser necesario obtener una visión general rápida de la información estática del sistema.
Aplicación SAP Fiori “Display Static System Audit”
La gestión de cambios de software de SAP S/4HANA Cloud, edición pública, se explica con más detalle en una publicación de blog posterior de esta serie. Este párrafo se centra en las características de la gestión de cambios de SAP S/4HANA Cloud, edición pública, en comparación con un dispositivo local.
La actualización del software SAP S/4HANA Cloud, edición pública, es responsabilidad de SAP. Las nuevas versiones de software se instalan primero en todos los sistemas que no son de producción para permitir que los clientes prueben los posibles cambios en sus procesos comerciales. Después de un cronograma definido, todos los sistemas de producción se actualizan a la última versión de SAP S/4HANA Cloud, edición pública. Actualmente, SAP aplica nuevas versiones de software cada seis meses y, además, aplica revisiones mensuales. Los parches de emergencia se pueden implementar a pedido. Las actualizaciones de seguridad necesarias también se implementan regularmente como parte de este proceso de entrega de software. La versión actual se puede ver en la auditoría estática del sistema de la aplicación SAP Fiori o en la sección Acerca de disponible en el perfil de usuario.
La capacidad de cambio del sistema no puede ser controlada por el cliente. Según el rol del arrendatario (prueba o producción), esto lo establece SAP. La transacción SCC4 proporciona una descripción general de los clientes existentes y el estado de producción en un sistema local SAP S/4HANA. En SAP S/4HANA Cloud, edición pública, el rol de inquilino (p. ej., prueba, producción) se puede encontrar en la aplicación SAP Fiori Display Static System Audit (F5461) mencionada anteriormente.
Los cambios de configuración comercial por parte de los clientes se realizan con procesos estandarizados en SAP S/4HANA Cloud, edición pública. Este proceso garantiza que los cambios se apliquen primero al sistema que no es de producción, los clientes puedan probarlos y luego se apliquen al sistema de producción.
La gestión de cambios de software concluye nuestra descripción general de la seguridad por defecto en SAP S/4HANA Cloud, edición pública.
En nuestra próxima publicación de blog, nos centraremos en la gestión de acceso de SAP S/4HANA, edición pública, y cómo se puede auditar.
Para leer todas las próximas publicaciones de esta serie, siga el Auditoría de S4HANACloud etiqueta que hemos creado para este propósito.
Calle Eloy Gonzalo, 27
Madrid, Madrid.
Código Postal 28010
Paseo de la Reforma 26
Colonia Juárez, Cuauhtémoc
Ciudad de México 06600
Real Cariari
Autopista General Cañas,
San José, SJ 40104
Av. Jorge Basadre 349
San Isidro
Lima, LIM 15073