Crearle transacciones a los queries y programas zeta
En el ámbito de las autorizaciones de los sistemas SAP y mas
en el ERP, siempre los entes auditores, hacen mucho énfasis o generan reportes
de no conformidad, mencionando que las transacciones relacionadas con los
queries (sq01, sq02, sq03) como las relacionadas con la ejecución de los
programas SE38 o SA38 y que son asignadas a los usuarios, representan un alto
riesgo para la seguridad del sistema, obviamente dando las explicaciones
correspondientes sobre el impacto de las mismas. Pero teniéndolas bien
controladas o creando estrategias de su uso, se pueden mitigar esos riesgos.
Para ello y de acuerdo con mi experiencia, consignare las
estrategias que existen con el fin de reducir los riesgos o al menos con el fin
de presentar los controles que se tienen para mitigar estos riesgos que por
cierto siempre lo califican como de alto riesgo, poniendo en alerta a los
directores de TI.
Empezaré por nombrar donde se e encuentra el riesgo. Para
las transacciones de los queries, el error que siempre solemos cometer es
asignar primero las transacciones al usuario y segundo permitir el acceso a los
queries, por facilidad, agilidad y comodidad. Pero se preguntarán donde esta el
riesgo, el riesgo esta en que sin quererlo les damos a los usuarios a demás de
la potestad de leer y ejecutar los queries, la potestad de cambiar o en su
defecto eliminar los queries. También para un usuario súper avanzado, la
facultad de crear consultas para identificar información sensible.
Para resolverlo, lo primero es eliminar las transacciones de
los roles que existen en el sistema, lo segundo es desactivar la opción de
modificación en el query, tercero es crearle una transacción al query, cuarto,
asignar el usuario al grupo de usuarios del query en la transacción sq03,
quinto en caso de ser necesario, asignar los permisos con el objeto s_query
necesarios excepto de modificación, para que el usuario pueda operar la
consulta del query o en otras palabras para que pueda ejecutar la consulta,
sexto crear la transacción a través de la se93, como sigue:
- Transacción SE93: Ejemplo ZXX -> créate.
- Seleccionar transaction with parameters (parameter transaction).
- Colocar texto en transaction text.
- En la sesion default values for Transaction colocar START_REPORT
- Seleccionar skip initial screen.
- In transaction classification Professional user transaction.
- Gui support seleccionar, SAPGUI for HTML, for JAva, for Windows.
- Por último, asociar los valores del query a la transacción.
D_SREPOVARI-REPORTTYPE = AQ
D_SREPOVARI-EXTDREPORT = el nombre del query
D_SREPOVARI-REPORT = que corresponde al grupo de users.
Ahora para las transacciones de la se38 y la SA38, les damos
la facultad no solo de ejecutar programas que pueden llegar a desestabilizar un
sistema, sino también la facultad de cambiar datos durante el proceso de
ejecución y es aquí donde existe el riesgo.
Para controlarlo, lo primero que tenemos que hacer es eliminar
de todos los roles el acceso a la transacción se38 y sa38, como el acceso al
objeto de autorización s_develop, tipo de objeto debug, con actividad 02. Para
los que no saben, esta actividad y para los que la tienen asignada, te permite
cambiar datos durante el proceso de ejecución. Lo segundo es crearle una
transacción al programa zeta que el usuario quiere o necesita ejecutar. Tercero
es asignarle la transacción al usuario para que la pueda ejecutar.
No obstante, no dejará de existir la posibilidad que se
requiera ejecutar el programa para que el grupo abap o desarrollador, pueda
identificar con datos reales, el comportamiento de alguna situación reportada.
Para resolverlo, se debe crear un rol, asignar la transacción se38, SA38, con
actividad de display. Luego mediante un ticket, se asigna al usuario por un
tiempo determinado, junto con la aprobación correspondiente, donde también
quedará consignado, cuando se asignó, a quien se le asignó y con qué propósito
fue asignada, de tal forma que cuando sea solicitado el registro por el ente
auditor, se pueda tener documentado y presentar la evidencia y o traza sobre el
respecto.
Comentarios
Publicar un comentario