Crearle transacciones a los queries y programas zeta

-

En el ámbito de las autorizaciones de los sistemas SAP y mas en el ERP, siempre los entes auditores, hacen mucho énfasis o generan reportes de no conformidad, mencionando que las transacciones relacionadas con los queries (sq01, sq02, sq03) como las relacionadas con la ejecución de los programas SE38 o SA38 y que son asignadas a los usuarios, representan un alto riesgo para la seguridad del sistema, obviamente dando las explicaciones correspondientes sobre el impacto de las mismas. Pero teniéndolas bien controladas o creando estrategias de su uso, se pueden mitigar esos riesgos.
Para ello y de acuerdo con mi experiencia, consignare las estrategias que existen con el fin de reducir los riesgos o al menos con el fin de presentar los controles que se tienen para mitigar estos riesgos que por cierto siempre lo califican como de alto riesgo, poniendo en alerta a los directores de TI.
Empezaré por nombrar donde se e encuentra el riesgo. Para las transacciones de los queries, el error que siempre solemos cometer es asignar primero las transacciones al usuario y segundo permitir el acceso a los queries, por facilidad, agilidad y comodidad. Pero se preguntarán donde esta el riesgo, el riesgo esta en que sin quererlo les damos a los usuarios a demás de la potestad de leer y ejecutar los queries, la potestad de cambiar o en su defecto eliminar los queries. También para un usuario súper avanzado, la facultad de crear consultas para identificar información sensible.
Para resolverlo, lo primero es eliminar las transacciones de los roles que existen en el sistema, lo segundo es desactivar la opción de modificación en el query, tercero es crearle una transacción al query, cuarto, asignar el usuario al grupo de usuarios del query en la transacción sq03, quinto en caso de ser necesario, asignar los permisos con el objeto s_query necesarios excepto de modificación, para que el usuario pueda operar la consulta del query o en otras palabras para que pueda ejecutar la consulta, sexto crear la transacción a través de la se93, como sigue:

  • Transacción SE93: Ejemplo ZXX -> créate.
  • Seleccionar transaction with parameters (parameter transaction).
  • Colocar texto en transaction text.
  • En la sesion default values for Transaction colocar START_REPORT
  • Seleccionar skip initial screen.
  • In transaction classification Professional user transaction.
  • Gui support seleccionar, SAPGUI for HTML, for JAva, for Windows.
  • Por último, asociar los valores del query a la transacción.

D_SREPOVARI-REPORTTYPE  =  AQ
D_SREPOVARI-EXTDREPORT   = el nombre del query
D_SREPOVARI-REPORT = que corresponde al grupo de users.

Ahora para las transacciones de la se38 y la SA38, les damos la facultad no solo de ejecutar programas que pueden llegar a desestabilizar un sistema, sino también la facultad de cambiar datos durante el proceso de ejecución y es aquí donde existe el riesgo.
Para controlarlo, lo primero que tenemos que hacer es eliminar de todos los roles el acceso a la transacción se38 y sa38, como el acceso al objeto de autorización s_develop, tipo de objeto debug, con actividad 02. Para los que no saben, esta actividad y para los que la tienen asignada, te permite cambiar datos durante el proceso de ejecución. Lo segundo es crearle una transacción al programa zeta que el usuario quiere o necesita ejecutar. Tercero es asignarle la transacción al usuario para que la pueda ejecutar.
No obstante, no dejará de existir la posibilidad que se requiera ejecutar el programa para que el grupo abap o desarrollador, pueda identificar con datos reales, el comportamiento de alguna situación reportada. Para resolverlo, se debe crear un rol, asignar la transacción se38, SA38, con actividad de display. Luego mediante un ticket, se asigna al usuario por un tiempo determinado, junto con la aprobación correspondiente, donde también quedará consignado, cuando se asignó, a quien se le asignó y con qué propósito fue asignada, de tal forma que cuando sea solicitado el registro por el ente auditor, se pueda tener documentado y presentar la evidencia y o traza sobre el respecto.

Comentarios

Publicar un comentario

Entradas populares de este blog

Verificación de la caducidad de un rol como de la duplicidad del mismo

-
Imagen
Dentro del proceso de asignación de roles a un usuario, solemos cometer varios errores que a simple vista parece no tener ninguna repercusión pero que si lo miramos desde el punto de vista técnico y en detalle, generan una serie de eventos que suelen afectar varios elementos, entre los que se encuentran, comprometer recursos de memoria del sistema SAP, duplicidad en la asignación de roles, con fecha de caducidad diferentes, tareas de gestión que se vuelven bastante engorrosas y más cuando o se acerca la auditoria o se identifica el pecado, mediante el uso de las herramientas que los entes de auditoria suelen realizar. Lo cierto es que en últimas son sobrecostos en el que incurrimos a la hora de administrar un sistema SAP en el ámbito de los roles de seguridad y es por eso que daré algunos tips para que podamos resolverlo de una manera más ágil. Antes de mencionarlos, debo recordar algunos conceptos: ·      Entre más roles tenga asignado un usuario son más los r
Leer más

Ventajas de activar el log de auditoria SM20 de una manera más eficiente

-
Imagen
Una de las formas de mantener un sistema bajo un control absoluto desde el punto de vista de acceso hacia el sistema junto con otras variables, es a través del log de auditoria, donde dependiendo de lo que requieras auditar o mejor de lo que el ente de auditoria te exija habilitar debes tener en cuenta y claro, ya que la forma como opera pues dependiendo de cómo lo actives y dependiendo del volumen de usuarios y el acceso simultaneo podrías llegar afectar el rendimiento del sistema. A lo largo de mi experiencia he visto que este log lo activan de manera inadecuada pues habilitan todos los eventos que en realidad lo que hacen es cargar el sistema de información innecesaria y lo peor es que casi nunca consultan. De lo que llevo con SAP, lo único valioso que he podido identificar es el acceso hacia las transacciones, aunque también podrían ser valiosos, los accesos de logon y de logoff. El punto no está en lo que brinda sino en la forma como opera, y en este ámbito nos enco
Leer más

“Sequential read” tiene un contexto diferente a lectura secuencial en el ámbito de SAP SM50.

-
Imagen
  Muchas veces cuando monitoreamos el sistema SAP ERP y sobre todo los work process (que es en donde se procesan las peticiones que hace el usuario) a través de la transacción sm50 o en su defecto en la sm66, observamos que en la columna action, algunas veces se refleja el texto “sequential read”, tal y como se observa en la imagen siguiente: En múltiples ocasiones nos sorprendemos y caemos en lo que lo que en el ámbito de base de datos se denomina lectura secuencial, que para quienes hemos trabajados en base de datos o estudiamos en la universidad, nos enseñaron que es uno de los métodos más ineficaces e ineficientes para construir consultas. La verdad desde el punto de vista técnico, resulta ser un término muy engañoso, ya que por lo general suele ser comparado con este método ineficaz. Quiero aclarar que no obedece a lo mismo, aunque el mensaje así lo pareciese. Este método “sequential read” cuando aparece en la sm50, se refiere a todos los demás accesos a la b
Leer más