Auditora a la Seguridad

del Sistema SAP

Fidel Oteiza 1921 Of. 1001 Providencia

Fono 2-244-1808 Fax 2-244-1742 www.twobox.cl

La auditora a la seguridad del sistema SAP surge de la necesidad de

responder preguntas como las siguientes:
Se han entregado autorizaciones excesivas a los usuarios?
Algunas atribuciones pueden ser incompatibles con la funcin del usuario
y/o con otras atribuciones asignadas?
Hay perfiles de usuarios con poderosos atributos de administracin de
sistemas?
Los usuarios que han dejado de pertenecer a la empresa han sido
bloqueados en el sistema?
Los usuarios para cumplir con sus tareas habituales hacen uso de cuentas
de otros usuarios?
Qu cuentas son utilizadas por varios usuarios?

El Servicio de Auditora a la Seguridad del Sistema SAP consiste en un

diagnstico de la situacin actual de los perfiles y roles existentes en el
sistema, verifica el cumplimiento de los procedimientos vigentes y
detecta, identifica y controla fallas en los accesos al sistema SAP que se
han asignado a roles y usuarios.
Nuestro informe contiene los siguientes reportes:
- Resumen de vulnerabilidades detectadas junto con las conclusiones y
recomendaciones de mitigacin
- Detalle de las vulnerabilidades asociando el riesgo que conlleva cada una,
el impacto que potencialmente puede producir y la propuesta de
solucin de cada caso.
- Un anexo con 13 informes que describen la situacin actual, generados
por el software TBSecure.
- Utilizamos TBSecure, herramienta de software, que a nuestros clientes
del Servicio de Auditora a la Seguridad del Sistema SAP, se les entrega sin
costo en la versin TBSecure RO.

En Chile

En Per

TwoBox Consultores
Fidel Oteiza 1921 of 1001 Providencia - Santiago
consultores@twobox.cl
(562) 244 1808

VALUE CG SAC
Calle Allende 478 Lima Per
info@valuecg.com
(+51 1) 226 3922

T B S e c u r e RO

Caractersticas

TwoBox Security System

Multiempresas
TBSecure reconoce multi sociedades / holding o grupos de stas por
las cuales se realiza la gestin de seguridad.
Consultas
El mdulo de consultas ofrece al usuario un cubo de informacin para
analizar:

Roles / transacciones asignadas y utilizadas, con la fecha, hora y
terminal utilizado

Transacciones sensibles y crticas asignadas y utilizadas, con fecha,
hora y terminal utilizado

Transacciones con conflictos de SOD asignadas y utilizadas, con
fecha, hora y terminal utilizado
Informes
El mdulo de informes emite a nivel de detalle por usuario, sus
transacciones asignadas y utilizadas, en el perodo de la muestra:

Transacciones sensibles y crticas

Transacciones con conflicto de segregacin de funciones
Usuarios sin conexin
Ingreso a varias cuentas de usuarios desde una estacin de
trabajo

Ingreso a una cuenta desde varias estaciones de trabajo

Comparativo entre muestras
Integracin con Microsoft Office
Los resultados de consultas e informes pueden ser exportados a Excel
en forma directa.
Las caractersticas y funciones de TBSecure en otras versiones
puede consultarlas en www.twobox.cl/tbsecure.html

En Chile

En Per

TwoBox Consultores
Fidel Oteiza 1921 of 1001 Providencia - Santiago
consultores@twobox.cl
(562) 244 1808

VALUE CG SAC
Calle Allende 478 Lima Per
info@valuecg.com
(+51 1) 226 3922

T B S e c u r e (RO)

Beneficios

TwoBox Security System

CASO 1: Anlisis y Seguimiento de vulnerabilidades

El anlisis de las vulnerabilidades identificadas en el proceso de auditora, requieren de
informacin detallada que no est disponible. Con TBSecure (RO) el proceso de anlisis se
reduce en forma considerable como se ilustra en siguiente ejemplo:
Usuarios y transacciones con conflicto por segregacin de funciones
Cuentas de usuarios con (ME21N / MIGO / MIRO)
-

Riesgo: medio

Impacto: integridad

Descripcin:
Existen 9 cuentas de usuarios que tienen asignada esta transacciones y las han utilizado
La transaccin ME21N permite crear pedidos de compras; MIGO permite realizar la entrada de
mercancas y; MIRO el ingreso de la factura recibida.

Mitigacin
Este caso corresponde a un conflicto por segregacin de funciones. Cada una de estas
transacciones debe estar asignada a reas funcionales con contraposicin de intereses. Si esto
no fuere posible, se debe revisar desde el punto de vista organizacional y de las normas
internas la conveniencia que un usuario asuma este tripe rol y en caso que as correspondiere,
crear los mecanismos de control interno necesarios.

Anlisis
Realizar seguimiento del uso de estas transacciones por parte de los usuarios identificados en
la situacin descrita

En slo dos pasos se dispone la informacin de cuando el usuario utiliz la transaccin y desde qu estacin de
trabajo la ejecut
rea
Usuario
Cuenta
Tx1
Tx2
Tx3
ADMINISTRACIN Y FINANZAS
XXXXXXXXXXXXX
XXXXXXXXXX
ME21N

Crear pedido

MIGO Movimiento de mercancas

En Chile

En Per

TwoBox Consultores
Fidel Oteiza 1921 of 1001 Providencia - Santiago
consultores@twobox.cl
(562) 244 1808

VALUE CG SAC
Calle Allende 478 Lima Per
info@valuecg.com
(+51 1) 226 3922

MIRO

Entrar factura recibida

T B S e c u r e (RO)

Beneficios

TwoBox Security System

CASO 2: Auditor de seguridad debe eliminar las autorizaciones excesivas de

un usuario
Actividad en Sistema SAP:
1. Estrategia: revisin detallada de las Tx asignadas a cada usuario y verificar que cada
una corresponda a su funcin
2. Plan
a. Identificar en SAP por cada usuario las transacciones asignadas
b. Identificar las funciones de cada usuario y las Tx que requiere para tal efecto
c. Para las Tx que no le corresponden, entrevistar al usuario o a su jefatura funcional
para validar / confirmar su eliminacin.
d. Crear nuevo rol en SAP con transacciones definitivas
e. Eliminar en SAP roles antiguos

Actividad en TBSecure:
1. Estrategia: revisin detallada de las Tx asignadas a cada usuario y verificar que cada Tx
corresponde a su funcin
2. Plan
a. Etapa 1:
i. Identificar para cada usuario las transacciones utilizadas
ii. Validar que entre las utilizadas corresponde que se mantengan
asignadas las crticas / sensibles / incompatibles; caso contrario, se
decide eliminar la autorizacin
iii. Crear en SAP nuevo rol con las transacciones definitivas
iv. Eliminar en SAP roles antiguos
b. Etapa 2:
i. Para las Tx que quedaron asignadas entrevistar al usuario o a su
jefatura funcional para validar y confirmar que corresponden a su
funcin.
ii. Caso contrario eliminar la autorizacin

Beneficios
1. Control del riesgo de excesivas autorizaciones se logra en un plazo reducido
2. Detectar incumplimiento de las funciones asignadas y/o sub utilizacin del sistema

En Chile

En Per

TwoBox Consultores
Fidel Oteiza 1921 of 1001 Providencia - Santiago
consultores@twobox.cl
(562) 244 1808

VALUE CG SAC
Calle Allende 478 Lima Per
info@valuecg.com
(+51 1) 226 3922