Usuarios cancelados o transferidos/Revisión de acceso de usuarios (Parte 3.4/3.5)
By s4pcademy
Riesgo
Los usuarios tienen privilegios de acceso a pesar de que se transfirieron a un nuevo rol comercial, lo que podría crear un conflicto de segregación de funciones o los usuarios que han sido despedidos todavía están activos en el sistema, creando un riesgo de seguridad.
Descripción del control
Este control se enfoca en garantizar la eliminación oportuna de los derechos de acceso de los usuarios que han sido dados de baja y aquellos que han sido transferidos a nuevos roles. El control también estipula que la eliminación o revisión de los derechos de acceso se realice de manera oportuna y se verifique y documente.
Fondo
Una de las deficiencias más comunes en el manejo de usuarios es el problema de tratar con usuarios cancelados o transferidos en un sistema. El acceso para usuarios cancelados y/o transferidos se elimina o modifica de manera oportuna.
(Recuerde que el proceso puede cambiar con versiones posteriores)
Se puede obtener una lista de usuarios activos a través de la aplicación Gestión de acceso e identidad > Mantener usuarios comerciales > Descargar usuarios.
Listado de usuario activo
- Cambiar documentos para usuarios
Se puede obtener una lista de los documentos de cambio para los usuarios a través de la aplicación Gestión de identidad y acceso > Mantener usuarios comerciales > Mostrar cambios > Aplicar período de auditoría y todos los filtros > Descargar.
Cambiar documentos para usuarios
Nota 1: La fecha de eliminación se almacenará para la auditoría de fin de año si se elimina un usuario, pero el cliente puede configurar individualmente el período de retención para los usuarios comerciales eliminados. Esto se puede mitigar mediante la autenticación a través de IAS.
Nota 2: los roles de los usuarios se eliminarán automáticamente con su eliminación. De aquí en adelante, el usuario ingresa a la lista “Mantener usuarios comerciales eliminados”. Mientras el nombre de usuario se almacene dentro de esta lista, no es posible asignarlo a un nuevo usuario.
Riesgo:
Una revisión de usuario insuficiente puede dar lugar a los siguientes riesgos:
- Falla en la implementación de controles de acceso adecuados para las interfaces de administración de la nube
- Opciones de control de acceso lógico inadecuadas debido a la inmadurez del servicio en la nube
- Incapacidad para restringir el acceso o implementar la segregación de funciones para el personal del proveedor de la nube
Descripción del control:
Para garantizar la asignación adecuada de autorizaciones, así como el manejo correcto de todos los usuarios, activos o inactivos, el acceso de los usuarios debe revisarse periódicamente.
Fondo:
Los dos temas anteriores (Asignación de autorización y Usuarios cancelados o transferidos) han demostrado el papel fundamental que juegan los privilegios en cualquier auditoría; por lo tanto, es vital realizar una revisión periódica del acceso que los usuarios tienen al sistema.
Los siguientes informes estándar de SAP se pueden utilizar como base para la revisión del acceso de los usuarios:
Vaya a la aplicación Gestión de acceso e identidad > Mantener usuarios comerciales > Descargar usuarios.
Revisión de acceso de usuario
Participa con nosotros
Para leer todas las próximas publicaciones de esta serie, siga el Auditoría de S4HANACloud etiqueta que hemos creado para este propósito.”
O póngase en contacto con nosotros en LinkedIn.
