Riesgo Operacional y Seguridad del Sistema SAP

Transcripción

1 Riesgo Operacional y Seguridad del Sistema SAP Fidel Oteiza 1921 Of Providencia Fono Desde su creación TwoBox Consultores se ha dedicado a la investigación y desarrollo de productos y servicios que soporten y hagan posible la aplicación de las mejores prácticas y procedimientos en temas asociados al Riesgo Operacional y en particular a la seguridad y los controles de acceso tanto para el Sistema SAP como para Sistemas Legados, según lo determinan los estándares de la Seguridad de la Información establecidos en la norma ISO De esta forma, consideramos que la Seguridad de la Información es un elemento clave para el control y mitigación de diversas causas de Riesgo Operacional, tales como fraudes Internos, el uso de información privilegiada y fallas en los sistemas tecnológicos entre otros. TwoBox dispone de una serie de servicios de apoyo a las empresas usuarias del Sistema ERP SAP R/3 y Sistemas Legados, que permiten aplicar estas mejores prácticas y hacerlas parte de sus procesos y procedimientos. la Situación Roles y Roles y y Administración de Usuarios, Capacitación Funcional y Técnica Servicios de TwoBox Diagnósticos Revisión y análisis de Cuentas de Usuarios y sus autorizaciones (Conflictos por Segregación de Funciones; asignación de Críticas y Sensibles; asignación de Críticos; cuentas de usuario sin acceso al sistema SAP por período prolongado; cuentas de usuarios sin uso desde su creación; cuentas SAP por defecto que se encuentren activas y/o en uso) Revisión de la seguridad del Sistema SAP (se revisan 12 aspectos clave, entre los que se encuentran parámetros de seguridad; cambios de password; uso de mandantes; grupos de autorizaciones en tablas y programas, que determinan el estado general de la seguridad del sistema) Revisión de las transacciones desarrolladas por el cliente (verificar la presencia de Authority Check en el código de los programas y el uso efectivo de éstos durante su ejecución, por medio de análisis de la traza de su validación) TwoBox Consultores Fidel Oteiza 1921 of 1001 Providencia SAPIENSA CONSULTORES Calle 4 N 160 Lima 27 Lima BUSVALCORP Carrera 2 No Of. 201 Av. Santa Fe 495, Piso 4, México, D. F., C.P Santiago eolavarria@sapiensacorp.com Bogotá, Colombia info@nsconsulting.com.mx consultores@twobox.cl (+511) info@busvalcorp.com (5255) (562) (57) (57)

2 Diseño de los procesos relacionados con Cuentas de Usuarios y sus autorizaciones (creación / modificación / bloqueo de cuentas; asignación de autorizaciones; creación / modificación de roles) Desarrollo de sus procedimientos relacionados Diseño y Modelamiento de la solución (estrategia de diseño de roles) Desarrollo de funciones y roles Construcción de roles utilizando herramientas de productividad y carga de información histórica desde la traza Pruebas, puesta en productivo y soporte Diseño de Diseño y construcción de las mapas de procesos SAP incompatibles por Conflictos de Segregación de Funciones a nivel de: - - Objetos de autorización Integración con para la detección de riesgos en las transacciones asignadas y en la simulación (what if), que debe aplicarse en el proceso de autorización de nuevos accesos. corta duración con mejoras que permitan reducir exposición a riesgos tanto por la cantidad de transacciones asignadas y por conflictos por segregación de funciones Casos típicos de mejoras - Eliminación de perfiles amplios (tipo SAP_ALL) y reemplazo de roles técnicos con accesos de alto privilegio - Segregación funcional de roles con autorizaciones amplias - Eliminación desde roles de transacciones que no se utilizan Control de calidad de la efectividad de las mejoras a través de diagnósticos utilizando Servicio en el que TwoBox actúa como Seguridad, entregando a usuarios nuevos y actuales accesos y autorizaciones ajustadas a políticas y procedimientos claramente definidos. Valor agregado en las recomendaciones de acuerdo a las mejores prácticas en las actividades de: - Análisis funcional en base a la descripción funcional de cada usuario y del uso de SAP - Análisis de riesgo utilizando matrices de riesgo definidas en Administración de Cuentas de Usuarios, Servicio en el que TwoBox realiza la operación en el Sistema SAP, ya sea en modo on site o bien en forma remota, que permite liberar recursos internos de los clientes, soportar períodos de mayor carga de trabajo, actuar como reemplazo en períodos de vacaciones. Está orientado a realizar tareas de: creación / mantención de cuentas de usuarios; creación / mantención de roles y perfiles; ejecutar transportes- Adaptación de Tx para incorporar Authority Check Herramienta de software desarrollada por TwoBox Apoya el monitoreo de los accesos al sistema SAP R/3 y verificar las condiciones de las autorizaciones entregadas a los usuarios. Detecta vulnerabilidades en amplios aspectos de la seguridad, de forma de permitir desarrollar los planes de control y mitigación de los riesgos consecuentes. Simulación (what if) de los riesgos que podrían determinar la asignación de accesos solicitados al sistema. TwoBox Consultores Fidel Oteiza 1921 of 1001 Providencia SAPIENSA CONSULTORES Calle 4 N 160 Lima 27 Lima BUSVALCORP Carrera 2 No Of. 201 Av. Santa Fe 495, Piso 4, México, D. F., C.P Santiago eolavarria@sapiensacorp.com Bogotá, Colombia info@nsconsulting.com.mx consultores@twobox.cl (+511) info@busvalcorp.com (5255) (57) (57)

3 Revisión Seguridad en Comunicaciones del Sistema SAP Fidel Oteiza 1921 Of Providencia Fono Desde su creación TwoBox Consultores se ha dedicado a la investigación y desarrollo de productos y servicios que soporten y hagan posible la aplicación de las mejores prácticas y procedimientos en temas asociados al Riesgo Operacional y en particular a la seguridad y los controles de acceso tanto para el Sistema SAP R/3 como para Sistemas Legados, según lo determinan los estándares de la Seguridad de la Información establecidos en la norma ISO Sobre esta base, TwoBox desarrolló un Proceso de Revisión de Comunicaciones que permite verificar el acceso externo al Sistema SAP ERP utilizando las cuentas de Comunicaciones y Sistemas a las que habitualmente se asignan privilegios amplios y sin restricciones. Por ello, disponemos de una serie de servicios de apoyo a las empresas usuarias del Sistema ERP SAP R/3 y Sistemas Legados, que permiten aplicar estas mejores prácticas y hacerlas parte de sus procesos y procedimientos. Revisión de Comunicaciones Tiene objetivo evidenciar y alertar los eventuales riesgos de penetración en su sistema SAP, utilizando cuentas de usuarios a las que comúnmente se asignan privilegios como SAP_ALL, que se utilizan para fines de comunicaciones y otros servicios similares. La aplicación está construida en.net y hace uso de RFC y BAPI s estándar de SAP: RFC_READ_TABLE BAPI_COMPANYCODE_GETLIST BAPI_USER_GETLIST BAPI_EMPLOYEE_GETDATA El test dispone de tres opciones: Leer y presentar en pantalla las sociedades FI definidas en el sistema SAP Leer y presentar en pantalla los usuarios definidos en el sistema SAP Leer y presentar en pantalla los empleados creados en el módulo HCM Tanto la información que se proporciona para ingresar al sistema SAP, como la que se leerá desde el sistema SAP, no se almacena en ningún medio, por lo cual, una vez que concluye el proceso, se perderá y no quedará disponible en ninguna forma ni formato. El test se ejecuta en cualquier PC conectado en cualquier medio a un Sistema SAP ERP. Requiere contar con Microsoft.NET Framework instalado (si no está instalado, el programa instalador ofrecerá la opción). Mayor información puede encontrarse en Por TwoBox Consultores Por El Cliente Certifica que las características de inocuidad del test de penetración son de acuerdo a lo expuesto. Acepta realizar el test de penetración de acuerdo a las características y condiciones indicadas en este documento. TwoBox Consultores Fidel Oteiza 1921 of 1001 Providencia Santiago consultores@twobox.cl SAPIENSA CONSULTORES Calle 4 N 160 Lima 27 Lima eolavarria@sapiensacorp.com (+511) BUSVALCORP Carrera 2 No Of. 201 Bogotá info@busvalcorp.com (57) (57) Av. Santa Fe 495, Piso 4, C.P México D.F. info@nsconsulting.com.mx (5255)

4 Diseño de los procesos relacionados con Cuentas de Usuarios y sus autorizaciones (creación / modificación / bloqueo de cuentas; asignación de autorizaciones; creación / modificación de roles) Desarrollo de sus procedimientos relacionados Diseño y Modelamiento de la solución (estrategia de diseño de roles) Desarrollo de funciones y roles Construcción de roles utilizando herramientas de productividad y carga de información histórica desde la traza Pruebas, puesta en productivo y soporte Diseño de Diseño y construcción de las mapas de procesos SAP incompatibles por Conflictos de Segregación de Funciones a nivel de: - - Objetos de autorización Integración con para la detección de riesgos en las transacciones asignadas y en la simulación (what if), que debe aplicarse en el proceso de autorización de nuevos accesos. corta duración con mejoras que permitan reducir exposición a riesgos tanto por la cantidad de transacciones asignadas y por conflictos por segregación de funciones Casos típicos de mejoras - Eliminación de perfiles amplios (tipo SAP_ALL) y reemplazo de roles técnicos con accesos de alto privilegio - Segregación funcional de roles con autorizaciones amplias - Eliminación desde roles de transacciones que no se utilizan Control de calidad de la efectividad de las mejoras a través de diagnósticos utilizando Servicio en el que TwoBox actúa como Seguridad, entregando a usuarios nuevos y actuales accesos y autorizaciones ajustadas a políticas y procedimientos claramente definidos. Valor agregado en las recomendaciones de acuerdo a las mejores prácticas en las actividades de: - Análisis funcional en base a la descripción funcional de cada usuario y del uso de SAP - Análisis de riesgo utilizando matrices de riesgo definidas en Administración de Cuentas de Usuarios, Servicio en el que TwoBox realiza la operación en el Sistema SAP, ya sea en modo on site o bien en forma remota, que permite liberar recursos internos de los clientes, soportar períodos de mayor carga de trabajo, actuar como reemplazo en períodos de vacaciones. Está orientado a realizar tareas de: creación / mantención de cuentas de usuarios; creación / mantención de roles y perfiles; ejecutar transportes- Adaptación de Tx para incorporar Authority Check Herramienta de software desarrollada por TwoBox Apoya el monitoreo de los accesos al sistema SAP R/3 y verificar las condiciones de las autorizaciones entregadas a los usuarios. Detecta vulnerabilidades en amplios aspectos de la seguridad, de forma de permitir desarrollar los planes de control y mitigación de los riesgos consecuentes. Simulación (what if) de los riesgos que podrían determinar la asignación de accesos solicitados al sistema. TwoBox Consultores Fidel Oteiza 1921 of 1001 Providencia SAPIENSA CONSULTORES Calle 4 N 160 Lima 27 Lima BUSVALCORP Carrera 2 No Of. 201 Av. Santa Fe 495, Piso 4, México, D. F., C.P Santiago eolavarria@sapiensacorp.com Bogotá, Colombia info@nsconsulting.com.mx consultores@twobox.cl (+511) info@busvalcorp.com (5255) (57) (57)

5 Chequeado Solo un buen Diagnóstico, le permitirá saber exactamente el estado de la Qué es urgente? Eliminar autorizaciones amplias (SAP ALL u otras similares) Controlar las Sensibles. Controlar las Críticas asignadas. Retirar a los usuarios las transacciones que no usan. Qué sigue después? Servicio de Diagnóstico y Chequeo del estado de la Los fraudes al interior de las empresas los cometen empleados que abusan de las confianzas y atribuciones que les han sido otorgadas. Para evitar estas situaciones, lo importante es que SAP ERP, no otorgue facilidades para permitir fraudes, que sean consecuencia directa de la calidad de la definición y asignación de atribuciones a los roles existentes en el sistema. Primero, establecer las oportunidades de mejora que pueden aplicarse a los métodos de trabajo y a los procedimientos de asignación de transacciones y accesos a usuarios. Posteriormente, una vez resuelta la sobreasignación de transacciones a los usuarios, solucionar los Conflictos por Segregación de Funciones que se hayan detectado. Cuál es la exposición al riesgo de fraudes en que me encuentro hoy? La respuesta se determina solamente al realizar un adecuado l Estado de la Seguridad, que permita identificar claramente las vulnerabilidades, los riesgos asociados y las líneas de solución, priorizando desde lo urgente hacia lo importante. Capacitación Funcional TB Secure

6 Chequeado

7 Reparado Disminuir en forma importante los riesgos identificados en la seguridad de SAP, sin causar impacto a usuarios y por un bajo costo,. es posible. Elimina la sobreasignación de transacciones, reduciendo drásticamente los conflictos por segregación de funciones y el número de transacciones críticas y sensibles asignadas. Logrará que el número de transacciones asignadas será muy similar al de las transacciones efectivamente usadas. Los riesgos residuales de un proyecto como éste estarán ligados a los procesos de negocio que se utilicen, más que a las consecuencias de errores de implantación o de definición técnica de la seguridad. Mejoras de la Un buen diagnóstico de la situación actual permite establecer los riesgos de la seguridad del sistema SAP, pero una solución tal como el rediseño global de roles puede ser muy compleja y cara. Por ello, el desafío será mantener la calidad de la seguridad lograda y elaborar, disponer y respetar los procedimientos establecidos para asignar nuevos accesos a los usuarios y crear y mantener los roles. Nuestra propuesta es realizar un Proyecto de Mejoras que disminuya en forma importante los riesgos y cause el menor impacto a usuarios, sin que su costo sea una variable que impida llevarlo a cabo. Cuáles son los beneficios de un Proyecto de Mejoras? Elimina todo tipo de autorización amplia asignada a usuarios funcionales y técnicos. Diseña Roles Técnicos funcionalmente segregados.

8 Proyectado Por qué es importante contar con una definición de roles de calidad? En los Diseño de, para las actividades de creación y mantención de roles, derivación de roles, asignación / designación de roles a usuarios, TwoBox Consultores utiliza Herramientas de Productividad que permiten ejecutar estas actividades en minutos. Muchos y grandes beneficios: Disminuir al mínimo el tiempo en las tareas que son más exigentes en horas hombre, extensas y tediosas. No hay costos relevantes en la recuperación de tiempo ante errores en las definiciones; sólo basta con reprocesar. Menores costos en el proyecto!. En general, en los proyectos de implantación SAP, la definición de la seguridad no es asumida como un elemento prioritario del proyecto, a pesar de la gran importancia que tiene este tema y de las importantes externalidades negativas que puede generar. Contar con una Estrategia para el Diseño de los alineada con la metodología ASAP es básico, ya que solo así se asegurará que el proyecto entregue además de un sistema bien configurado, sus roles y perfiles correctamente definidos de acuerdo a las mejores prácticas existentes. Adicionalmente, una vez que se ha puesto en producción el sistema, en general no se aplica un proceso autorizaciones para los nuevos accesos que considere las mejores prácticas, por ello, el deterioro de la calidad de los roles y por ende de los privilegios de los usuarios del sistema es continuo y permanente, lo que obligará a desarrollar proyectos de remediación o de rediseño de roles y perfiles.

9 Afinado Si tiene problemas con la situación de la Seguridad de SAP, lo recomendable es Rediseñar sus Roles. Se reducen significativamente los costos de creación y mantención de los roles durante el proyecto, logrando roles estructurados y creados en el sistema. Asignar automatizadamente roles a cuentas de usuarios Se eliminan los errores de la asignación y desasignación de roles antiguos y nuevos. Reducir el Tiempo de Pruebas y Puesta en Productivo Soportamos proyectos cuya duración promedio es de 12 semanas y con costos igualmente reducidos. Si el resultado del diagnóstico de la seguridad de SAP, hace recomendable realizar un Proyecto de Rediseño Global de los Roles, nuestro trabajo considera al menos los siguientes cuatro aspectos: Si al finalizar el trabajo no existen roles con transacciones en conflicto por segregación de funciones; no hay definidos perfiles amplios del tipo SAP ALL y se aplican procedimientos formales para la mantención en el tiempo de la estructura de roles, el proyecto de Rediseño será exitoso Implantar y Modelar una Estrategia de Diseño de Roles Se definen Roles por Función, considerando la mayor granularidad en su definición que sea posible lograr. Se establece una clara orientación a la segregación de funciones. Las definiciones se acompañan de una adecuada nomenclatura técnica de los roles. Construir los nuevos roles rápidamente El uso de herramientas de productividad y de la base creada con la información de objetos efectivamente validados desde la traza, disminuye de manera muy importante el tiempo de creación de roles.

10 Ordenado Un buen mapa permite llegar más fácilmente a nuestro destino Diseño y construcción de las mapas de procesos SAP incompatibles por Conflictos de Segregación de Funciones Desagregación en el mapa de los conflictos a nivel de funciones transacciones objetos de autorización, determinando una estructura que permite eliminar falsos / positivos en los riesgos potenciales como materializados Integración con para la detección de riesgos en las transacciones asignadas y en la simulación (what if), que debe aplicarse en el proceso de autorización de nuevos accesos. Las matrices de transacciones con incompatibilidad funcional, responden a estándares que no siempre se aplican con la precisión y rigurosidad que algunas empresas requieren. La diversidad de las organizaciones, de sus procesos, de sus controles internos y de otros aspectos como son su historia y cultura hacen necesario configurar y personalizar sus propios mapas de procesos incompatibles. Nuestro servicio de Mapeo de considera las siguientes actividades: Identificación de los procesos funcionales y técnicos definidos en SAP

11 Formulado Cómo asegurar la consistencia y calidad de los en el tiempo? y de asignación de nuevos privilegios a los usuarios son altamente formalizados y sus procedimientos son seguidos y cumplidos por todas las entidades participantes. Nuestro servicio de, permite a nuestros clientes contar con estos procesos y sus procedimientos, los cuales se formulan en base a las siguientes actividades: Nuestra estrategia de diseño de roles se basa en un claro objetivo estratégico: Definir roles sustentables, sostenibles y estables en el tiempo. Esto significa que los roles que se construyan deben permanecer iguales en el tiempo y los nuevos que se definan, por efecto de la implementación de nuevos proyectos o bien por mejoras funcionales, deberán ser creados considerando la misma estrategia, logrando de esta forma condiciones de seguridad estables en el tiempo. Identificación de la situación actual y de aspectos claves: se realiza un levantamiento para lograr un correcto entendimiento de la organización, sus procesos, políticas y estándares de trabajo. Diseño de los procesos relacionados con Cuentas de Usuarios y sus autorizaciones utilizando herramientas BPM (ARIS, Process Maker y otros). Creación / modificación / bloqueo de cuentas Asignación de autorizaciones Creación / modificación de roles Workflow Desarrollo de los procedimientos relacionados Este es un beneficio es directo para nuestros clientes, que nunca deberán volver a enfrentar proyectos de Diseño de Roles nuevamente. De esta forma, y para satisfacer adecuadamente este objetivo, el proceso de creación de roles y su mantención en el tiempo deberá estar regida por un proceso y sus respectivos procedimientos estandarizado y rigurosamente alineado a las mejores prácticas existentes. Por ello, una definición correcta y de calidad de roles, sólo se mantendrá en esas condiciones, si los procesos de mantención

12 Certificado Y..qué hacer con nuestras?. Una vez identificadas las que deben ser corregidas, nuestro servicio considera ejecutar un plan de mejoras que resuelve los siguientes aspectos: Estructura la solución a aplicar de acuerdo al módulo / funcionalidad de la transacción Define los nuevos objetos de autorización y registrar su relación con la transacción en SAP Define los estándares de programación para Tx y autorizaciones en caso de que no existan Modifica las Tx para incluir controles de authority check Aplica pruebas y controles de eficiencia por análisis de la traza de autorizaciones. En resumen sus Certificadas El l Estado de la Seguridad de SAP, entre otras actividades, analiza las desarrolladas por el cliente, utilizando una aplicación propia de TwoBox, que revisa y verifica en forma automatizada la presencia de Authority Check en el código de los programas. Por medio del análisis de la traza de Objetos de Autorización validados efectivamente por cada aplicación, se determina el uso efectivo de éstos durante su ejecución. Como resultado se obtiene: El registro de Tx y sus Authority Check definidos. El registro de Tx, sus Authority Check definidos y los efectivamente validados y se determina la brecha entre los que debe ser y lo que realmente es Las Tx sin Tx y sus Authority Check definidos.

13 Respaldado La mejor Herramienta de apoyo para la Seguridad de SAP TB Secure conflictos por segregación de funciones que puedan generarse. Este análisis se realiza utilizando una matriz de riesgos a nivel de transacciones y objetos de autorización, considerando: Autorización de acuerdo a los resultados de las actividades anteriores La definición detallada de la creación / actualización del rol y perfil La verificación de calidad al comparar la definición detallada con la ingresada al sistema Apoya el monitoreo de los accesos al sistema SAP R/3 y verifica las condiciones de las autorizaciones entregadas a los usuarios. Detecta vulnerabilidades en amplios aspectos de la seguridad, de forma de permitir desarrollar los planes de control y mitigación de los riesgos consecuentes. Simulación (what if), de los riesgos que podrían determinar la asignación de accesos solicitados al sistema. es un software diseñado y creado por TwoBox Consultores para apoyar el proceso de autorizaciones de accesos al sistema SAP, que incorpora en sus procesos internos, las mejores prácticas existentes, como también, en forma automatizada, la evaluación de riesgos asociados a las autorizaciones vigentes. apoya las funciones típicas del proceso de aprobación de nuevos privilegios solicitados por los usuarios, a través de las siguientes acciones: Realiza la Validación funcional: que deben realizar los líderes funcionales / key user / process owners Desarrolla el Análisis de Riesgos: labor generalmente asignada a las áreas de auditoría y control interno, que deben verificar las autorizaciones asignadas al usuario y los

14 Garantizado Déjenos ser su seguridad Servicio en el que TwoBox Consultores actúa como Seguridad, permite entregar a los usuarios actuales y nuevos, accesos y privilegios ajustados a políticas y procedimientos claramente definidos. Nuestros informes revisan no solo de la condición actual de los privilegios del usuario, sino que además, señalan la forma en que éstos quedarán una vez entregados los nuevos permisos solicitados, en base al análisis de los siguientes aspectos: Análisis funcional en base a la descripción funcional de cada usuario y del uso de SAP Análisis de riesgo utilizando matrices de riesgo definidas en Trazabilidad de los resultados entregados Nuestra larga experiencia en proyectos de remediación y rediseño de la seguridad SAP, nos ha permitido adquirir una sólida base de conocimientos funcionales de cada uno de los módulos del sistema. El valor que aportarán a la seguridad de su sistema nuestras recomendaciones, se sustenta en la rigurosa aplicación de las mejores prácticas existentes en la industria. Esto, unido a la utilización nuestras propias Herramientas de Productividad para la creación, mantención y gestión de roles, nos permiten ahorrar cientos de horas hombre y disminuyendo los errores del trabajo manual y los plazos de estos procesos. Por esto, nuestra estrategia de diseño de roles, que se basa en un claro objetivo: Definir roles sustentables, sostenibles y estables en el tiempo, de forma que los roles que se construyan deben permanecer iguales en el tiempo y los nuevos que se definan, por efecto de nuevos proyectos o por mejoras funcionales, deberán ser creados considerando la misma estrategia, dando estabilidad a la seguridad.