Preguntale al Basis

En el ámbito de las autorizaciones de los sistemas SAP y mas en el ERP, siempre los entes auditores, hacen mucho énfasis o generan reportes de no conformidad, mencionando que las transacciones relacionadas con los queries (sq01, sq02, sq03) como las relacionadas con la ejecución de los programas SE38 o SA38 y que son asignadas a los usuarios, representan un alto riesgo para la seguridad del sistema, obviamente dando las explicaciones correspondientes sobre el impacto de las mismas. Pero teniéndolas bien controladas o creando estrategias de su uso, se pueden mitigar esos riesgos. Para ello y de acuerdo con mi experiencia, consignare las estrategias que existen con el fin de reducir los riesgos o al menos con el fin de presentar los controles que se tienen para mitigar estos riesgos que por cierto siempre lo califican como de alto riesgo, poniendo en alerta a los directores de TI. Empezaré por nombrar donde se e encuentra el riesgo. Para las transacciones de los queries, el

  Muchas veces cuando monitoreamos el sistema SAP ERP y sobre todo los work process (que es en donde se procesan las peticiones que hace el usuario) a través de la transacción sm50 o en su defecto en la sm66, observamos que en la columna action, algunas veces se refleja el texto “sequential read”, tal y como se observa en la imagen siguiente: En múltiples ocasiones nos sorprendemos y caemos en lo que lo que en el ámbito de base de datos se denomina lectura secuencial, que para quienes hemos trabajados en base de datos o estudiamos en la universidad, nos enseñaron que es uno de los métodos más ineficaces e ineficientes para construir consultas. La verdad desde el punto de vista técnico, resulta ser un término muy engañoso, ya que por lo general suele ser comparado con este método ineficaz. Quiero aclarar que no obedece a lo mismo, aunque el mensaje así lo pareciese. Este método “sequential read” cuando aparece en la sm50, se refiere a todos los demás accesos a la b