S4HANACloud audit  ·  Technical Articles

Supervisión de SOD/Nivel de acceso privilegiado (Parte 3.6/3.7)

By s4pcademy 


Tener más de una persona para completar una tarea determinada es una forma efectiva de prevenir el mal uso y monitorear la observancia de este concepto, por lo tanto, de suma importancia para la auditoría.

Riesgo

Los usuarios tienen privilegios de acceso más allá de los necesarios para realizar sus funciones asignadas, lo que puede crear una segregación inadecuada de funciones.

Descripción del control

Se supervisa la segregación de funciones y se elimina el acceso en conflicto o se asigna a controles de mitigación, que se documentan y prueban.

Fondo

Un conjunto de funciones sensibles se define como una línea de base para la segregación de funciones. Los ejemplos habituales de funciones tan sensibles implican ejecuciones de pago, un empleado no debería poder poner dinero en su propio bolsillo. La creación y/o cambio de cuentas de proveedores es otro ejemplo, donde -nuevamente- se deben prevenir acciones maliciosas por parte de los empleados, por ejemplo para cambiar la información de la cuenta bancaria. Por lo tanto, estos escenarios están protegidos por la segregación de funciones, es decir, se necesita más de una persona para completar esas tareas y, en consecuencia, se crean las funciones y autorizaciones adecuadas.

En SAP S/4HANA Cloud, edición pública, la entidad más pequeña que se puede asignar a los usuarios comerciales son los catálogos comerciales. Los catálogos comerciales son libres de SoD y el informe ISAE3000 está disponible a través del Centro de confianza de SAP proporciona prueba de ello.

El usuario clave de IAM del cliente asigna interfaces de usuario y autorizaciones a los usuarios al agrupar catálogos comerciales en roles comerciales y asignarlos a los usuarios. Es esencial que el usuario clave comprenda qué incluye un determinado catálogo comercial y cómo se relaciona con otros catálogos. En consecuencia, la asignación de roles comerciales presenta un riesgo de crear conflictos de SoD.

Esta publicación de blog no cubre SAP Identity and Access Governance (IAG), que se puede usar para el análisis de SoD. En cambio, la atención se centra en SAP S/4HANA Cloud, edición pública, y sus medios para analizar las infracciones de segregación de funciones.

Tenga en cuenta que es responsabilidad exclusiva del cliente definir qué autorizaciones están en conflicto combinado y cuál podría ser el impacto en el Sistema de Control Interno. Con base en el impacto, se deben implementar controles de mitigación para revisar y monitorear a los usuarios con autorizaciones en conflicto.

En un primer paso, se deben evaluar los roles comerciales. Como se escribió anteriormente, es responsabilidad de los usuarios clave de IAM del cliente crear y asignar roles comerciales en función de la estructura de las organizaciones. Para asegurarse de que todos los roles comerciales estén libres de conflictos de SoD, es necesario descargar todos los catálogos comerciales que se incluyen en todos los roles comerciales para verificar que esos roles comerciales no contengan catálogos comerciales en conflicto. Tal descarga se puede hacer con la aplicación SAP Fiori Sistema de información IAM (2450).

Descargar%20empresa%20catálogos%20con%20SAP%20Fiori%20app%20IAM%20Información%20Sistema%20%28F2450%29

Descargar catálogos comerciales con la aplicación SAP Fiori IAM Information System (F2450)

El análisis de la lista debe ser realizado, como se mencionó, manualmente por el cliente en función del impacto en los procesos y controles internos en caso de que no se utilice SAP Identity and Access Governance.

Desde una perspectiva de auditoría de fin de año, especialmente los catálogos comerciales con categoría de acceso «escribir» son críticos. Desde una perspectiva de protección de datos, la categoría de acceso «lectura» también podría ser crítica.

En un segundo paso, es necesario verificar que los usuarios no tengan asignados múltiples roles comerciales, donde una combinación de dichos roles comerciales también generaría conflictos de separación de tareas. Para tal verificación, la lista requerida se puede descargar con la aplicación SAP Fiori Mantener usuarios comerciales (F1303). El cliente debe realizar el análisis de la lista, como se mencionó, manualmente en caso de que no se utilice SAP Identity and Access Governance.

En un tercer paso, debe identificarse si los usuarios tienen asignadas autorizaciones conflictivas. Si este es el caso, podrían ser necesarios controles de mitigación. Las asignaciones de funciones de usuario se pueden identificar utilizando la aplicación SAP Fiori Actualizar usuarios comerciales (F1303) y descargando las asignaciones de funciones de usuario:

Descargar%20Usuario%20Rol%20Asignaciones%20con%20SAP%20Fiori%20app%20Mantener%20Negocio%20Usuarios%20%28F1303%29

Descargar asignaciones de roles de usuario con la aplicación SAP Fiori Mantener usuarios comerciales (F1303)

Los usuarios privilegiados necesitan realizar tareas (técnicas) en casi cualquier sistema. A menudo, estas tareas requieren un amplio conjunto de autorizaciones. No obstante, dichas autorizaciones deben restringirse siempre que sea posible.

Riesgo

Los usuarios tienen privilegios de acceso más allá de los necesarios para realizar sus funciones asignadas, lo que puede crear una segregación inadecuada de funciones.

Descripción del control

El acceso de nivel privilegiado (por ejemplo, para administradores de seguridad) está autorizado y restringido adecuadamente.

Fondo

Para obtener la población de usuarios con acceso privilegiado, se necesitan los datos del sistema que están disponibles a través del sistema de información IAM de la aplicación SAP Fiori (F2450).

En un primer paso, vaya a Rol comercial: aplicación y descargue el informe.

Identificar%20negocio%20roles%20que%20proporcionan%20acceso%20a%20aplicaciones%20seleccionadas%20con%20SAP%20Fiori%20aplicación%20IAM%20Información%20Sistema%20%28F2450%29

Identifique roles comerciales que brindan acceso a aplicaciones seleccionadas con el sistema de información IAM de la aplicación SAP Fiori (F2450)

Establezca una tabla dinámica con un filtro en, por ejemplo, las siguientes aplicaciones: catálogos comerciales, plantillas de roles comerciales, mostrar cambios de roles comerciales después de la actualización, mostrar usuarios técnicos, mantener roles comerciales, mantener usuarios comerciales, mantener usuarios de comunicación, usuarios comerciales eliminados mantenidos .

Tenga en cuenta que los clientes deben definir el acceso privilegiado en función del impacto de la autorización en su sistema de control interno.

Identifique los roles comerciales que brindan acceso a las aplicaciones seleccionadas.

En un segundo paso, vaya a Rol comercial: Restricción y aplique los roles comerciales identificados anteriormente como filtro. Genere un informe y aplique ‘escribir’ como filtro en la columna ‘Categoría de acceso’ e identifique roles comerciales con acceso de escritura.

Aplicar%20sobre%20identificado%20negocio%20roles%20como%20filtro%20en%20SAP%20Fiori%20aplicación%20IAM%20Información%20Sistema%20%28F2450%29

Aplicar los roles comerciales identificados anteriormente como filtro en el sistema de información IAM de la aplicación SAP Fiori (F2450)

Por último, nuevamente en el Sistema de información de IAM de la aplicación SAP Fiori (F2450), navegue hasta Rol comercial: usuario comercial y aplique los roles comerciales identificados con acceso de escritura desde el segundo paso. Descargue un informe de usuarios comerciales con roles comerciales identificados.

Aplicar%20identificado%20negocio%20roles%20con%20escribir%20acceso%20en%20SAP%20Fiori%20app%20IAM%20Información%20Sistema%20%28F2450%29

Aplicar roles comerciales identificados con acceso de escritura en el sistema de información IAM de la aplicación SAP Fiori (F2450)

Para leer todas las próximas publicaciones de esta serie, siga el Auditoría de S4HANACloud etiqueta que hemos creado para este propósito.”

O póngase en contacto con nosotros en LinkedIn.



Source link


3.63.7accesoparteprivilegiadoSODNivelSupervisión

Artículos relacionados


Technical Articles
Crear contenido fiscal para países/regiones no localizados en SAP Cloud Applications Studio: parte 5
Product Information
SAP MDG: un trampolín para SAP S/4HANA Journey: parte I
Technical Articles  ·  Visual Cloud Functions
SAP Build Apps VCF capacidades avanzadas de acceso a datos: clasificación, filtrado y paginación

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*


Ajustes de privacidad

Decida qué cookies quiere permitir. Puede cambiar estos ajustes en cualquier momento. Sin embargo, esto puede hacer que algunas funciones dejen de estar disponibles. Para obtener información sobre eliminar las cookies, por favor consulte la función de ayuda de su navegador. Aprenda más sobre las cookies que usamos.

Con el deslizador, puede habilitar o deshabilitar los diferentes tipos de cookies:

  • Bloquear todas
  • Essentials
  • Funcionalidad
  • Análisis
  • Publicidad

Este sitio web hará:

Este sitio web no:

  • Esencial: recuerde su configuración de permiso de cookie
  • Esencial: Permitir cookies de sesión
  • Esencial: Reúna la información que ingresa en un formulario de contacto, boletín informativo y otros formularios en todas las páginas
  • Esencial: haga un seguimiento de lo que ingresa en un carrito de compras
  • Esencial: autentica que has iniciado sesión en tu cuenta de usuario
  • Esencial: recuerda la versión de idioma que seleccionaste
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Tailor information and advertising to your interests based on e.g. the content you have visited before. (Currently we do not use targeting or targeting cookies.
  • Advertising: Gather personally identifiable information such as name and location
  • Recuerde sus detalles de inicio de sesión
  • Esencial: recuerde su configuración de permiso de cookie
  • Esencial: Permitir cookies de sesión
  • Esencial: Reúna la información que ingresa en un formulario de contacto, boletín informativo y otros formularios en todas las páginas
  • Esencial: haga un seguimiento de lo que ingresa en un carrito de compras
  • Esencial: autentica que has iniciado sesión en tu cuenta de usuario
  • Esencial: recuerda la versión de idioma que seleccionaste
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Tailor information and advertising to your interests based on e.g. the content you have visited before. (Currently we do not use targeting or targeting cookies.
  • Advertising: Gather personally identifiable information such as name and location
Guardar y cerrar