
Tener más de una persona para completar una tarea determinada es una forma efectiva de prevenir el mal uso y monitorear la observancia de este concepto, por lo tanto, de suma importancia para la auditoría.
Los usuarios tienen privilegios de acceso más allá de los necesarios para realizar sus funciones asignadas, lo que puede crear una segregación inadecuada de funciones.
Se supervisa la segregación de funciones y se elimina el acceso en conflicto o se asigna a controles de mitigación, que se documentan y prueban.
Un conjunto de funciones sensibles se define como una línea de base para la segregación de funciones. Los ejemplos habituales de funciones tan sensibles implican ejecuciones de pago, un empleado no debería poder poner dinero en su propio bolsillo. La creación y/o cambio de cuentas de proveedores es otro ejemplo, donde -nuevamente- se deben prevenir acciones maliciosas por parte de los empleados, por ejemplo para cambiar la información de la cuenta bancaria. Por lo tanto, estos escenarios están protegidos por la segregación de funciones, es decir, se necesita más de una persona para completar esas tareas y, en consecuencia, se crean las funciones y autorizaciones adecuadas.
En SAP S/4HANA Cloud, edición pública, la entidad más pequeña que se puede asignar a los usuarios comerciales son los catálogos comerciales. Los catálogos comerciales son libres de SoD y el informe ISAE3000 está disponible a través del Centro de confianza de SAP proporciona prueba de ello.
El usuario clave de IAM del cliente asigna interfaces de usuario y autorizaciones a los usuarios al agrupar catálogos comerciales en roles comerciales y asignarlos a los usuarios. Es esencial que el usuario clave comprenda qué incluye un determinado catálogo comercial y cómo se relaciona con otros catálogos. En consecuencia, la asignación de roles comerciales presenta un riesgo de crear conflictos de SoD.
Esta publicación de blog no cubre SAP Identity and Access Governance (IAG), que se puede usar para el análisis de SoD. En cambio, la atención se centra en SAP S/4HANA Cloud, edición pública, y sus medios para analizar las infracciones de segregación de funciones.
Tenga en cuenta que es responsabilidad exclusiva del cliente definir qué autorizaciones están en conflicto combinado y cuál podría ser el impacto en el Sistema de Control Interno. Con base en el impacto, se deben implementar controles de mitigación para revisar y monitorear a los usuarios con autorizaciones en conflicto.
En un primer paso, se deben evaluar los roles comerciales. Como se escribió anteriormente, es responsabilidad de los usuarios clave de IAM del cliente crear y asignar roles comerciales en función de la estructura de las organizaciones. Para asegurarse de que todos los roles comerciales estén libres de conflictos de SoD, es necesario descargar todos los catálogos comerciales que se incluyen en todos los roles comerciales para verificar que esos roles comerciales no contengan catálogos comerciales en conflicto. Tal descarga se puede hacer con la aplicación SAP Fiori Sistema de información IAM (2450).
Descargar catálogos comerciales con la aplicación SAP Fiori IAM Information System (F2450)
El análisis de la lista debe ser realizado, como se mencionó, manualmente por el cliente en función del impacto en los procesos y controles internos en caso de que no se utilice SAP Identity and Access Governance.
Desde una perspectiva de auditoría de fin de año, especialmente los catálogos comerciales con categoría de acceso «escribir» son críticos. Desde una perspectiva de protección de datos, la categoría de acceso «lectura» también podría ser crítica.
En un segundo paso, es necesario verificar que los usuarios no tengan asignados múltiples roles comerciales, donde una combinación de dichos roles comerciales también generaría conflictos de separación de tareas. Para tal verificación, la lista requerida se puede descargar con la aplicación SAP Fiori Mantener usuarios comerciales (F1303). El cliente debe realizar el análisis de la lista, como se mencionó, manualmente en caso de que no se utilice SAP Identity and Access Governance.
En un tercer paso, debe identificarse si los usuarios tienen asignadas autorizaciones conflictivas. Si este es el caso, podrían ser necesarios controles de mitigación. Las asignaciones de funciones de usuario se pueden identificar utilizando la aplicación SAP Fiori Actualizar usuarios comerciales (F1303) y descargando las asignaciones de funciones de usuario:
Descargar asignaciones de roles de usuario con la aplicación SAP Fiori Mantener usuarios comerciales (F1303)
Los usuarios privilegiados necesitan realizar tareas (técnicas) en casi cualquier sistema. A menudo, estas tareas requieren un amplio conjunto de autorizaciones. No obstante, dichas autorizaciones deben restringirse siempre que sea posible.
Los usuarios tienen privilegios de acceso más allá de los necesarios para realizar sus funciones asignadas, lo que puede crear una segregación inadecuada de funciones.
El acceso de nivel privilegiado (por ejemplo, para administradores de seguridad) está autorizado y restringido adecuadamente.
Para obtener la población de usuarios con acceso privilegiado, se necesitan los datos del sistema que están disponibles a través del sistema de información IAM de la aplicación SAP Fiori (F2450).
En un primer paso, vaya a Rol comercial: aplicación y descargue el informe.
Identifique roles comerciales que brindan acceso a aplicaciones seleccionadas con el sistema de información IAM de la aplicación SAP Fiori (F2450)
Establezca una tabla dinámica con un filtro en, por ejemplo, las siguientes aplicaciones: catálogos comerciales, plantillas de roles comerciales, mostrar cambios de roles comerciales después de la actualización, mostrar usuarios técnicos, mantener roles comerciales, mantener usuarios comerciales, mantener usuarios de comunicación, usuarios comerciales eliminados mantenidos .
Tenga en cuenta que los clientes deben definir el acceso privilegiado en función del impacto de la autorización en su sistema de control interno.
Identifique los roles comerciales que brindan acceso a las aplicaciones seleccionadas.
En un segundo paso, vaya a Rol comercial: Restricción y aplique los roles comerciales identificados anteriormente como filtro. Genere un informe y aplique ‘escribir’ como filtro en la columna ‘Categoría de acceso’ e identifique roles comerciales con acceso de escritura.
Aplicar los roles comerciales identificados anteriormente como filtro en el sistema de información IAM de la aplicación SAP Fiori (F2450)
Por último, nuevamente en el Sistema de información de IAM de la aplicación SAP Fiori (F2450), navegue hasta Rol comercial: usuario comercial y aplique los roles comerciales identificados con acceso de escritura desde el segundo paso. Descargue un informe de usuarios comerciales con roles comerciales identificados.
Aplicar roles comerciales identificados con acceso de escritura en el sistema de información IAM de la aplicación SAP Fiori (F2450)
Para leer todas las próximas publicaciones de esta serie, siga el Auditoría de S4HANACloud etiqueta que hemos creado para este propósito.”
O póngase en contacto con nosotros en LinkedIn.
Calle Eloy Gonzalo, 27
Madrid, Madrid.
Código Postal 28010
Paseo de la Reforma 26
Colonia Juárez, Cuauhtémoc
Ciudad de México 06600
Real Cariari
Autopista General Cañas,
San José, SJ 40104
Av. Jorge Basadre 349
San Isidro
Lima, LIM 15073